| 5 | Organizational controls 组织控制(ISO/IEC 27001: 2022 附录A) | |
| 5.8 | Information security in project management 项目管理中的信息安全 | Control 控制 Information security shall be integrated into project management. 信息安全应被整合到项目管理中。 |
| A.6 信息安全组织(ISO/IEC 27001: 2013 附录A) | ||
| A.6.1 内部组织 | ||
| 目标:建立一个管理框架,以启动和控制组织内信息安全的实现和运行。 | ||
| A.6.1.5 | 项目管理中的信息安全 | 控制 应关注项目管理中的信息安全问题,无论何种类型的项目。 |
控制解析:
- 本控制与ISO/IEC 27001: 2013附录A中A.6.1.5相对应,新版控制要求文字描述有重新组织,但内涵大同小异,并没有变化。
- 组织在实施本控制要求时,应建立项目信息安全管理过程,形成书面的《项目信息安全管理程序》。
- 在《项目信息安全管理程序》中,应明确各类型的项目的信息安全管理活动和过程,如:(1)项目信息安全要求的识别和评估;(2)项目信息安全目标的建立;(3)项目信息安全组织的建立;(4)项目信息安全资产识别和风险评估;(5)项目信息安全监控等。
实施本控制应输出的文档:
- 《项目信息安全管理程序》。
- 项目信息安全要求识别和评估资料、项目信息安全目标、项目信息安全组织、项目信息资产识别与风险评估资料、项目信息安全检查记录等。
本控制审核要点:
- 是否建立《项目信息安全管理程序》。
- 抽查项目进行过程中,是否有对信息安全要求进行识别和评估,是否建立项目信息安全目标,是否建立项目信息安全管理组织,是否进行项目信息资产识别与风险评估,是否进行项目信息安全检查,并提供相关记录。
