A.5 Organisatorische Maßnahmen
Informationssicherheit im Projektmanagement
Informationssicherheit muss in das Projektmanagement integriert werden, unabhängig von der Art des Projekts.
Was fordert dieses Control?
Informationssicherheit muss in das Projektmanagement integriert werden, unabhängig von der Art des Projekts.
Warum ist das wichtig?
Sicherheit, die erst nachträglich aufgesetzt wird, ist teuer und lückenhaft. Frühe Integration in Projekte (Security by Design) verhindert spätere Schwachstellen.
Cross-Standard-Mapping
| Standard | Control-ID | Relevanz |
|---|---|---|
| TISAX | 1.4.1 | Direkt |
| BSI | CON.1 | Indirekt |
| AI Act | Art. 9 | Indirekt |
Was der Auditor erwartet
- 1Sicherheitsanforderungen als fester Bestandteil von Projekten
- 2Risikobewertung in Projektphasen
- 3Berücksichtigung unabhängig von Projektart (IT und Nicht-IT)
Audit-Checkliste
Dokumente
Projektmanagement-Vorgaben
Verankerung von Sicherheitsanforderungen und Gates
Nachweise
Projektunterlagen
Sicherheitsbewertung in konkreten Projekten
Interviews
Projektleiter
Wie Sicherheit in Projekten berücksichtigt wird
Praxis-Tipps zur Umsetzung
Security-Gates einbauen
Sicherheitsprüfungen als feste Meilensteine im Projektablauf verankern.
Früh bewerten
Risiken bereits in der Initiierungsphase betrachten, nicht erst beim Go-live.
Auch Nicht-IT-Projekte
Das Control gilt für alle Projektarten, nicht nur Softwareprojekte.
Häufige Fehler
Sicherheit am Ende
Erst kurz vor Produktivsetzung wird über Sicherheit nachgedacht.
Nur IT-Projekte
Organisatorische Projekte werden nicht betrachtet.
Häufig gestellte Fragen
Gilt das nur für IT-Projekte?
Nein, ausdrücklich für alle Projektarten, auch organisatorische und bauliche Vorhaben.
Wie integriert man Sicherheit in Projekte?
Über feste Sicherheitsanforderungen, Risikobewertungen und Freigabe-Gates in den Projektphasen.
Was bedeutet Security by Design hier?
Sicherheit von Beginn an mitzudenken statt sie nachträglich aufzusetzen.
So hilft CompliantDesk bei A.5.8
Verknüpfen Sie Projekte mit Risiken, Maßnahmen und Kontrollen, sodass Sicherheitsanforderungen über den Projektverlauf nachweisbar bleiben.