Wie sicher sind Ihre Projektinformationen?

Informationssicherheit im Projekt nach ISO 27001 mit PRINCE2©

Gehen Projektinformationen verloren oder geraten sie in die falschen Hände, kann dies erheblichen Schaden anrichten. Informationssicherheit ist daher Chefsache. Die DIN ISO/IEC 27001:2017-06 beschreibt nicht nur Anforderungen an die Informationssicherheit der Linienorganisation, sondern fordert diese auch für Projekte. Stefanie Eilhardt beschreibt, was Informationssicherheit in Projekten bedeutet. Sie schlägt einen Weg vor, wie man Managementsysteme ineinander integriert, um mit möglichst geringem Overhead sowohl sicher als auch effizient Projekte durchzuführen. In einem ausführlichen Anhang beschreibt Eilhardt, wie dies beim Projektmanagementsystem PRINCE2® aussehen kann.
Für eilige Leser (Management Summary)
Als Abonnent erhalten Sie die wichtigsten Thesen des Beitrags zusammengefasst im Management-Summary.
Mehr Infos zum Abo oder Login.

Haben Sie, hat Ihre Organisation den Wert der im Unternehmen vorhandenen Informationen bereits für sich erkannt? Zu diesen Informationen gehören auch die in Projekten verwendeten, aber vor allem die neu entstehenden Informationen – unabhängig von Projektart oder Branche. Doch welche konkreten Maßnahmen haben Sie ergriffen, um diese Informationen zu schützen? Ist Informationssicherheit in Ihrer Organisation Chefsache oder nur Aufgabe der IT-Abteilung?

Informationssicherheit ist ein Managementthema und gewinnt sowohl aufgrund der wachsenden Bedrohung durch Internetkriminalität als auch durch die normativen und rechtlichen Entwicklungen zunehmend an Bedeutung. Die DIN ISO/IEC 27001:2017-06 "Informationstechnik - Sicherheitsverfahren – Informationssicherheitsmanagementsysteme – Anforderungen" (DIN 2017) stellt Organisationen, die ihre Managementsysteme bereit für die Herausforderungen der Informationsgesellschaft machen wollen, einen Maßstab für Informationssicherheit zur Verfügung.

Die ISO 27001 fordert in Anhang A (A.5.1.5) (DIN 2015) explizit, dass die Informationssicherheit auch im Projektmanagement berücksichtigt werden muss. Die logische Konsequenz daraus ist, dass Unternehmen die Aspekte der Informationssicherheit in ihren Projektmanagementsystemen integrieren müssen – sowohl um zukunftsfähig zu sein, als auch um normative wie rechtliche Anforderungen erfüllen zu können, wie z.B. in Deutschland das IT-Sicherheitsgesetz (BSI2016) und das Energiewirtschaftsgesetz §11 Abs. 1a (BMJV 2017).

Im Folgenden stelle ich Ihnen Ansätze vor, wie Sie die Anforderungen der ISO 27001 in Ihr Projektmanagementsystem (PMS) integrieren können. Als konkretes Beispiel verwende ich hierfür das international weit verbreitete PMS PRINCE2® (AXELOS 2017). Selbstverständlich können die hier beschriebenen Ansätze auch analog auf andere PMS übertragen werden.

Mangelnde Informationssicherheit gefährdet den Projekterfolg

Projektbeteiligte sind auf Informationen angewiesen, um Aufgaben ausführen, Produkte beschreiben und Entscheidungen treffen zu können. Entscheidend dafür ist, dass Informationen vollständig und korrekt verfügbar sind. Zugleich dürfen diese Informationen nicht in die falschen Hände geraten. Ist dies nicht gewährleistet, kann das schwerwiegende Folgen für ein Projekt, das Unternehmen, die angeschlossenen Dienstleister und die Kunden haben. Die folgenden Beispiele illustrieren, wie wichtig in Projekten die Sicherheit von Informationen sowohl für den Projekt- als auch für den Unternehmenserfolg ist.

Fehlentscheidungen

Liegen unvollständige oder fehlerhafte Informationen vor, kann das zu Fehleinschätzungen (z.B. Dauer einer Aufgabe mit Auswirkung auf die geschätzte Projektdauer) und Fehlentscheidungen (z.B. durch unbekannte Risiken) führen, die sich langfristig auf Faktoren wie Kosten, Zeit und Qualität eines Projekts auswirken können.

Wiederbeschaffungsaufwände & Zusatzkosten

Kommen

Anzeige
Jetzt kostenlos weiterlesen!
Abonnenten des Projekt Magazins wissen mehr!
Starten Sie jetzt unser 4-wöchiges Kennenlern-Angebot: Die Anmeldung dauert nur ein paar Minuten – Sie können also gleich weiterlesen.
  • KostenlosDas Kennenlern-Angebot kostet Sie nichts.
  • Kein RisikoSie können jederzeit kündigen, ohne dass Ihnen Kosten entstehen.
  • Einen Monat lang alles lesen4 Wochen Online-Zugriff auf alle Inhalte des Projekt Magazins.
Tech Link