Jedes Unternehmen führt Projekte durch. Vor Projektbeginn müssen dabei Projekte mit Relevanz für die Informationssicherheit identifiziert werden (siehe ISO 27001 A.6.1.5). Vermeiden Sie ungeplanten Mehrkosten oder Sicherheitslücken indem Sie relevante Projekte frühzeitig identifizieren.
Vor allem müssen die richtigen Fragen gestellt werden. Um Projekte mit Auswirkungen auf die Informationssicherheit zu identifizieren, sollte für jedes Projekt vor Projektbeginn eine Reihe von Fragen beantwortet werden. Diese Fragen müssen vom zuständigen Projektmanager beantwortet werden und geben Hinweis darauf, ob ein Security-Spezialist sich mit dem Projekt genauer beschäftigen sollte.
Als Teil Ihres Prozesses für Projektmanagement können Sie u.a. folgende Fragen stellen, um sicherheitsrelevante Projekte zu identifizieren:
Weitere Fragen und die entsprechenden Sicherheitsanforderungen, finden Sie auch in unserer ISO27001 Checkliste
Bereits ein „Ja“ für eine der o.a. Fragen genügt, damit sich ein Security Spezialist genauer über das Projekt informieren sollte. Dieser Spezialist ist ein von der ALPS GmbH gestellter Project Security Officer (PSO). Vor Beginn des Projektes werden relevante Sicherheitsanforderungen vom PSO identifiziert, um so die damit verbundenen Aufwände in der Projektplanung bereits berücksichtigen zu können. Insbesondere werden die Sicherheitsrisiken analysiert und bewertet (siehe ISO 27001 6.1.2), um geeignete Maßnahmen zu identifizieren.
Wie bei den meisten Themen des Sicherheitsmanagements spielt auch im Projektmanagement das Thema Lieferantensteuerung eine wichtige Rolle, da kaum ein Projekt ohne externe Dienstleister und Lieferanten durchgeführt wird (siehe ISO 27001 A.15.1). Identifizieren Sie daher Sicherheitsanforderungen an Ihre Dienstleister bevor Sie diese in das Projekt involvieren.
Beispiel: Wird als Teil des Projektes eine Internetanwendung oder mobile App entwickelt, muss von Anfang an abgeschätzt werden, ob am Ende der Entwicklung ein Penetrationstest durchgeführt werden muss (siehe ISO 27001 A.18.2.1). Geschieht dies nicht, steht am Ende das notwendige Budget nicht zur Verfügung und der Zeitplan gerät durcheinander. Ohne Penetrationstest aber geht die Anwendung möglicherweise mit Sicherheitslücken in den Betrieb.
Senden Sie uns Ihre Anfrage – wir freuen uns auf die Zusammenarbeit mit Ihnen!
Ihr ALPS-Experten-Team