ISO 27001:2022 Kontrolü A.5.8 – Proje Yönetiminde Bilgi Güvenliği
ISO 27001 kontrolü A.5.8, projelerin bilgi güvenliği kapsamında yönetilmesi gerektiğini vurgular. Bu kontrol, şirketlerin projelerde işlenen bilgilerin korunmasını sistematik bir şekilde güvenlik politikaları ve prosedürlerine dahil etmelerini gerektirir. Özellikle proje yönetimi süreçlerinde güvenlik önlemleri, şirketin genel bilgi güvenliği çerçevesine entegre edilmelidir. Bu, projelerdeki bilgi kaybını, hırsızlığını veya kötüye kullanımını önlemeye yardımcı olur.
Temeller
A.5.8 Proje yönetiminde bilgi güvenliği, projelerin başlangıcından sonlandırılmasına kadar her aşamada bilgi güvenliğinin korunmasını sağlar. Bu kontrol, projelerde işlenen her tür bilginin güvenliğini sağlamayı amaçlar ve bu tür bilgilerin yönetimini, süreçleri ve güvenlik önlemlerini içerir. Projelerde işlenen bilgiler, organizasyon için kritik olabilir ve bu yüzden güvenliği sağlamak her aşamada ön planda olmalıdır.
Belgeleme
ISO 27001 kontrolü A.5.8 için belgeler, projelerdeki bilgi güvenliği uygulamalarını açıkça tanımlar ve organizasyonun güvenlik gereksinimlerine uygun bir çerçeve oluşturur.
-
Küçük ve Orta Ölçekli Şirketler için: Tüm güvenlik politikaları ve prosedürleri içinde proje yönetiminin güvenliğini kapsayacak şekilde tanımlar. Örneğin, Erişim Kontrol Politikası, proje dokümantasyonunun yanı sıra şirketin tüm bilgi sistemlerine erişim prosedürlerini belirtir.
-
Büyük Şirketler için: Proje Yönetimi Güvenliği Politikası yazılabilir. Bu politika, projelerdeki güvenlik gereksinimlerini belirleyerek, bunları tüm proje yönetim süreçlerine entegre eder.
Bu belgeler zorunlu değildir ancak tavsiye edilir. Uygulamada, bu belgeler organizasyonun güvenlik gereksinimlerini doğru şekilde yerine getirebilmesini sağlar.
Uygulama
A.5.8 Proje yönetiminde bilgi güvenliği kontrolüne uymak için aşağıdaki adımlar uygulanabilir:
-
Teknoloji:
Şirketler, proje yönetimi yazılımlarını (örneğin Jira, Trello, Monday) ve güvenlik politikaları yazmak için metin işleme uygulamalarını (örneğin MS Word, Google Docs) kullanarak bilgi güvenliğini yönetebilir. Bu yazılımlar, projelerin her aşamasında bilgilere erişimi izler ve denetler, böylece bilgilerin güvenliği sağlanmış olur. -
Organizasyon/İşlemler:
Proje yönetiminde kullanılacak bilgi güvenliği politikalarını tanımlamak, onaylamak, yayınlamak, iletmek ve incelemek için bir süreç oluşturulmalıdır. Bu süreçler, Proje Yönetimi Güvenliği Politikası aracılığıyla belgelendirilebilir. Ayrıca, proje yöneticileri için proje güvenliği gereksinimlerinin nasıl belirlenmesi gerektiğine dair prosedürler geliştirilmelidir. -
İnsanlar:
Çalışanlar projelerde bilgi güvenliğinin neden önemli olduğu konusunda bilinçlendirilmelidir. Proje yöneticilerine, proje güvenliği gereksinimlerini nasıl belirleyecekleri ve bu gereksinimleri ilgili politikalara ve prosedürlere nasıl dahil edecekleri konusunda eğitimler verilmelidir. Bu eğitim, güvenlik ihlallerini önlemeye ve projelerde bilgi güvenliğini sağlama konusunda büyük önem taşır.
Denetim Kanıtı
Sertifika denetimi sırasında, denetçiler A.5.8 Proje yönetiminde bilgi güvenliği kontrolü ile ilgili olarak aşağıdaki kanıtları arayabilirler:
-
Bilgi güvenliği uygulamalarının projelere dahil edilip edilmediği,
-
Proje güvenliği politikalarının uygulamada olup olmadığı,
-
Proje yönetimi sırasında güvenlik önlemleri ve prosedürlerinin izlenip izlenmediği.
Bu kanıtlar, organizasyonun projelerde bilgi güvenliğini nasıl yönettiğini ve ISO 27001’in gerekliliklerine ne kadar uyduğunu gösterecektir.
ISO 27001 A.5.8 kontrolü, projelerde işlenen bilgilerin güvenliğini sağlamak için gerekli güvenlik önlemlerini belirler. Proje yöneticileri, projelerdeki her tür bilgiyi güvenli bir şekilde işlemek ve güvenlik politikalarını uygulamakla yükümlüdür. Bu kontrol, organizasyonların projelerde bilgi güvenliğini sağlamak için etkili politikalar ve süreçler oluşturmasını sağlar, böylece proje verilerinin korunması en yüksek seviyede tutulur.
