5Organizational controls 组织控制ISO/IEC 27001: 2022 附录A)
5.8Information security in project management
项目管理中的信息安全
Control 控制
Information security shall be integrated into project management.
信息安全应被整合到项目管理中。
A.6 信息安全组织(ISO/IEC 27001: 2013 附录A)
A.6.1 内部组织
目标:建立一个管理框架,以启动和控制组织内信息安全的实现和运行。
A.6.1.5项目管理中的信息安全控制
应关注项目管理中的信息安全问题,无论何种类型的项目。

控制解析:

  1. 本控制与ISO/IEC 27001: 2013附录A中A.6.1.5相对应,新版控制要求文字描述有重新组织,但内涵大同小异,并没有变化。
  2. 组织在实施本控制要求时,应建立项目信息安全管理过程,形成书面的《项目信息安全管理程序》。
  3. 在《项目信息安全管理程序》中,应明确各类型的项目的信息安全管理活动和过程,如:(1)项目信息安全要求的识别和评估;(2)项目信息安全目标的建立;(3)项目信息安全组织的建立;(4)项目信息安全资产识别和风险评估;(5)项目信息安全监控等。

实施本控制应输出的文档:

  1. 《项目信息安全管理程序》。
  2. 项目信息安全要求识别和评估资料、项目信息安全目标、项目信息安全组织、项目信息资产识别与风险评估资料、项目信息安全检查记录等。

本控制审核要点:

  1. 是否建立《项目信息安全管理程序》。
  2. 抽查项目进行过程中,是否有对信息安全要求进行识别和评估,是否建立项目信息安全目标,是否建立项目信息安全管理组织,是否进行项目信息资产识别与风险评估,是否进行项目信息安全检查,并提供相关记录。