ALPS GmbH

Informationssicherheit im Projekt

November 2019 ISO 27001, IT-Sicherheit, Projekt Adrian Lambeck

Sicherheit im Projekt

Jedes Unternehmen führt Projekte durch. Vor Projektbeginn müssen dabei Projekte mit Relevanz für die Informationssicherheit identifiziert werden (siehe ISO 27001 A.6.1.5). Vermeiden Sie ungeplanten Mehrkosten oder Sicherheitslücken indem Sie relevante Projekte frühzeitig identifizieren.

Wie identifiziert man Projekte, in denen Sicherheitsanforderungen eine Rolle spielen?

Vor allem müssen die richtigen Fragen gestellt werden. Um Projekte mit Auswirkungen auf die Informationssicherheit zu identifizieren, sollte für jedes Projekt vor Projektbeginn eine Reihe von Fragen beantwortet werden. Diese Fragen müssen vom zuständigen Projektmanager beantwortet werden und geben Hinweis darauf, ob ein Security-Spezialist sich mit dem Projekt genauer beschäftigen sollte.

Welche Projekte sind relevant für die Informationssicherheit?

Als Teil Ihres Prozesses für Projektmanagement können Sie u.a. folgende Fragen stellen, um sicherheitsrelevante Projekte zu identifizieren:

  • „Werden in dem Projekt vertrauliche oder streng vertrauliche Daten verarbeitet?“ (z.B. Kundendaten, personenbezogene Daten, Gesundheitsdaten)
  • „Wird für die Umsetzung des Projektes ein externer Dienstleister eingesetzt (z.B. Programmierer, IT-Administrator) oder an einen Dienstleister ausgelagert?“
  • „Wird durch das Projekt eine neue Technologie eingeführt?“

Weitere Fragen und die entsprechenden Sicherheitsanforderungen, finden Sie auch in unserer ISO-27001-Checkliste.

Ab wann ist ein Security Spezialist gefordert?

Bereits ein „Ja“ für eine der o.a. Fragen genügt, damit sich ein Security Spezialist genauer über das Projekt informieren sollte. Dieser Spezialist ist ein von der ALPS GmbH gestellter Project Security Officer (PSO). Vor Beginn des Projektes werden relevante Sicherheitsanforderungen vom PSO identifiziert, um so die damit verbundenen Aufwände in der Projektplanung bereits berücksichtigen zu können. Insbesondere werden die Sicherheitsrisiken analysiert und bewertet (siehe ISO 27001 6.1.2), um geeignete Maßnahmen zu identifizieren.

Welche weiteren Vorkehrungen können getroffen werden?

Wie bei den meisten Themen des Sicherheitsmanagements spielt auch im Projektmanagement das Thema Lieferantensteuerung eine wichtige Rolle, da kaum ein Projekt ohne externe Dienstleister und Lieferanten durchgeführt wird (siehe ISO 27001 A.15.1). Identifizieren Sie daher Sicherheitsanforderungen an Ihre Dienstleister bevor Sie diese in das Projekt involvieren.

Beispiel: Wird als Teil des Projektes eine Internetanwendung oder mobile App entwickelt, muss von Anfang an abgeschätzt werden, ob am Ende der Entwicklung ein Penetrationstest durchgeführt werden muss (siehe ISO 27001 A.18.2.1). Geschieht dies nicht, steht am Ende das notwendige Budget nicht zur Verfügung und der Zeitplan gerät durcheinander. Ohne Penetrationstest aber geht die Anwendung möglicherweise mit Sicherheitslücken in den Betrieb.

Welche Leistungen bieten wir Ihnen an?

  • Wir stellen Ihnen einen Project Security Officer (PSO) zur Seite.
  • Wir erstellen gemeinsam mit Ihnen die Planung zur Informationssicherheit passend zu Ihrem Projekt. (z.B passen wir die o.a. Beispielfragen auf Ihr Unternehmen an)
  • Wir prüfen das Projekt auf die aktuellen und notwendigen Informationssicherheitsanforderungen.
  • Wir setzen für das Thema Risikobewertung und Risikobehandlung mit Ihnen einen Prozess gemäß ISO 27001 Abschnitt 6.1.2 und 6.1.3 auf.

Senden Sie uns Ihre Anfrage – wir freuen uns auf die Zusammenarbeit mit Ihnen!

Ihr ALPS-Experten-Team