Gilt die Richtlinie auch für kleine Projekte?

Ja. ISO 27002 A 5.8 unterscheidet ausdrücklich nicht nach Projektgröße. Auch ein zweimonatiges Migrationsprojekt mit drei Beteiligten verarbeitet Daten, erstellt Zugänge und produziert Ergebnisse, die geschützt werden müssen. Der Umfang der Sicherheitsaktivitäten skaliert mit dem Risiko — die Grundstruktur (Risikobewertung, Anforderungen, Abschluss-Review) bleibt gleich.

Brauche ich für jedes Projekt eine eigene Risikobewertung?

Ja, mindestens eine initiale. Bei Projektstart bewertest du die Informationssicherheitsrisiken des Projekts und dokumentierst sie im Projektrisiko-Register. An definierten Meilensteinen (Planung, Umsetzung, kurz vor Go-live) wird die Bewertung aktualisiert. Für Standardprojekte mit niedrigem Risiko reicht ein kompakter Fragebogen; komplexe Projekte brauchen eine vollständige Bedrohungsmodellierung.

Wer ist für die Sicherheit im Projekt verantwortlich?

Die Projektleitung trägt die operative Verantwortung und benennt bei Projektstart eine Ansprechperson für Informationssicherheit (bei großen Projekten eine eigene Rolle, bei kleinen die Projektleitung selbst). Die Informationssicherheitsbeauftragte Person berät, nimmt an Gate-Reviews teil und entscheidet bei Eskalationen. Die Geschäftsleitung genehmigt die Richtlinie und akzeptiert Restrisiken.

Was passiert bei Projektabschluss?

Beim Abschluss werden Projektzugänge entzogen, Projektdaten klassifiziert übergeben oder sicher gelöscht, temporäre Umgebungen abgebaut und Sicherheitsdokumentation archiviert. Offene Findings werden in den Regelbetrieb überführt. Ohne diesen Schritt bleiben verwaiste Zugänge und ungesicherte Testdaten zurück.

Wie hängt diese Richtlinie mit der Richtlinie zur sicheren Softwareentwicklung zusammen?

Die Projektmanagement-Richtlinie definiert den organisatorischen Rahmen: Risikobewertung bei Projektstart, Gate-Reviews, Rollen, Abschluss. Die Richtlinie zur sicheren Softwareentwicklung geht tiefer ins technische Detail — sichere Coding-Standards, Code-Reviews, Testverfahren. Bei Softwareprojekten greifen beide Dokumente ineinander: das eine steuert den Projektprozess, das andere den Entwicklungsprozess.

Richtlinie zu Informationssicherheit im Projektmanagement

Jedes Projekt verändert etwas: Systeme, Daten, Zugänge, Prozesse. Wo sich etwas verändert, entstehen Risiken — und genau deshalb gehört Informationssicherheit in den Projektlebenszyklus eingebaut, von der ersten Idee bis zum Abschluss.

ISO 27001 widmet dem Thema ein eigenes Control (A 5.8), das BSI verankert es in ISMS.1.A9 als organisationsweite Pflicht. Beide Rahmenwerke betonen: Informationssicherheit im Projektmanagement betrifft alle Projekte — Facility-Management, Organisationsentwicklung, Produkteinführungen, IT-Migrationen. Weiter unten findest du die komplette Vorlage auf Deutsch und Englisch.

Ein Control, alle Projekte. A 5.8 verlangt, dass Informationssicherheit in die Projektmanagement-Methodik integriert wird — unabhängig von Projektart, Größe oder Fachbereich.
Risikobewertung bei Projektstart und an Meilensteinen. Das Projektrisiko-Register enthält Informationssicherheitsrisiken gleichberechtigt neben Budget- und Terminrisiken.
Sicherheitsanforderungen vor der ersten Designentscheidung. Datenschutz, Zugriffskonzept, Klassifizierung und Compliance-Anforderungen werden im Projektauftrag dokumentiert und von der Informationssicherheitsbeauftragten Person freigegeben.
Gate-Reviews an definierten Projektphasen (Initiierung, Planung, Umsetzung, Go-live) prüfen, ob die Sicherheitsanforderungen erfüllt sind.
Sauberer Projektabschluss: Zugänge entziehen, Daten übergeben oder löschen, Findings in den Regelbetrieb überführen.

Worum geht es konkret?

Projekte erzeugen temporäre Strukturen: eigene Teamzusammensetzungen, neue Zugänge, Testumgebungen, geteilte Dokumente mit externen Dienstleistern. Diese Strukturen existieren oft außerhalb der etablierten Betriebsprozesse — und genau dort entstehen Lücken.

Ein Beispiel: Ein Migrationsprojekt richtet eine Testumgebung mit Produktionsdaten ein. Das Projektteam bekommt erweiterte Zugriffsrechte. Externe Berater erhalten Zugang zum internen Netzwerk. Nach Projektende bleiben die Testumgebung, die Zugänge und die Daten bestehen — niemand räumt auf, weil kein Prozess dafür vorgesehen war.

Die Richtlinie definiert genau diesen Prozess: Wann werden Sicherheitsrisiken bewertet? Welche Anforderungen müssen vor der ersten Designentscheidung stehen? Wer prüft an welchem Gate? Und was passiert, wenn das Projekt endet?

Warum ist sie so wichtig?

Projekte sind die häufigste Quelle unkontrollierter Veränderungen. Im laufenden Betrieb greifen Change-Management-Prozesse. In Projekten gelten oft eigene Regeln, eigene Zeitpläne, eigener Budgetdruck. Sicherheitsanforderungen, die im Betrieb selbstverständlich sind (Zugriffskonzept, Datensicherung, Klassifizierung), werden im Projektkontext gerne auf „nach Go-live” verschoben — und dann vergessen.

Nachträgliche Sicherheit ist teuer. Wer Sicherheitsanforderungen erst nach der Architekturentscheidung einbringt, muss umbauen. ISO 27002 formuliert das klar: Frühzeitige Berücksichtigung in der Planungs- und Entwurfsphase führt zu wirksameren und kosteneffizienteren Ergebnissen.

Compliance-Klammer für das gesamte ISMS. Projekte berühren fast alle anderen Richtlinienbereiche: Zugriffskontrolle, Informationsklassifizierung, Lieferantensicherheit, sichere Entwicklung. Die Projektmanagement-Richtlinie stellt sicher, dass diese Querverweise bei jeder Projektinitiierung systematisch geprüft werden.

Was gehört in die Richtlinie?

Die Vorlage deckt sieben Abschnitte ab — hier die wichtigsten im Überblick:

Sicherheit im Projektlebenszyklus (A 5.8) — Risikobewertung bei Initiierung und an Meilensteinen, sichere Kommunikationskanäle, Wirksamkeitsprüfung von Maßnahmen
Frühzeitige Integration von Sicherheitsanforderungen — Anforderungs-Checkliste im Projektauftrag, Freigabe durch die Informationssicherheitsbeauftragte Person vor der Planungsphase
Informationsklassifizierung und Schutzbedarfsfeststellung — Inventar der im Projekt verarbeiteten Informationen, Klassifizierung nach Vertraulichkeit, Integrität und Verfügbarkeit
Authentisierung und Zugriffskontrolle — Zugriffsprofile für alle Nutzertypen (Projektteam, Betrieb, Externe), Provisionierung nach Least Privilege, Entzug bei Projektende
Lieferantensicherheit — Sicherheitsklauseln in Verträgen, Nachweispflichten, Rückgabe oder sichere Löschung von Informationen bei Vertragsende
Security-Gate-Reviews — Prüfpunkte an Projektphasen-Übergängen, Eskalationspfad für offene Findings
Rollen und Verantwortlichkeiten — Projektleitung, Sicherheitsansprechperson im Projekt, Informationssicherheitsbeauftragte Person, Geschäftsleitung

So führst du die Richtlinie ein

01

Bestehende Projektmanagement-Methodik analysieren

Bevor du die Richtlinie schreibst, brauchst du ein klares Bild davon, wie Projekte in deiner Organisation heute ablaufen. Gibt es ein standardisiertes Vorgehensmodell (Wasserfall, agil, hybrid)? Wo sind Entscheidungspunkte definiert? Gibt es bereits Gate-Reviews? Das Ziel: Sicherheitsaktivitäten in die bestehende Methodik einbetten, keinen Parallelprozess aufbauen.
02

Sicherheits-Checkliste für den Projektauftrag erstellen

Die Checkliste wird Teil des Projektauftrags und erfasst: Welche Daten verarbeitet das Projekt? Welche Klassifizierung haben sie? Welche Zugriffsrechte werden benötigt? Gibt es externe Beteiligte? Welche regulatorischen Anforderungen gelten? Die Informationssicherheitsbeauftragte Person gibt die ausgefüllte Checkliste frei, bevor das Projekt in die Planungsphase übergeht.
03

Gate-Reviews in den Projektplan integrieren

An mindestens vier Stellen — Initiierung, Planung, Umsetzung, Go-live — prüft die Informationssicherheitsbeauftragte Person (oder eine benannte Vertretung), ob die Sicherheitsanforderungen erfüllt sind. Findings werden dokumentiert und nachverfolgt. Ein Go-live mit offenen Findings erfordert eine formale Risikoakzeptanz durch die Geschäftsleitung.
04

Vorlage anpassen und genehmigen lassen

Ersetze die Platzhalter ([IHR_ORGANISATIONSNAME], [RICHTLINIEN_EIGENTÜMER_ROLLE]) und passe die Abschnitte an eure Projektlandschaft an. Kleine Organisation ohne externe Projektbeteiligte? Der Abschnitt zu Lieferantensicherheit kann gekürzt werden. Was übrig bleibt, muss eure Realität abbilden. Genehmigung durch die Geschäftsleitung einholen und an alle Projektverantwortlichen kommunizieren.
05

Projektabschluss-Prozess etablieren

Der am häufigsten vergessene Schritt: Bei Projektabschluss werden Zugänge entzogen, Testumgebungen abgebaut, Projektdaten klassifiziert übergeben oder sicher gelöscht und offene Findings in den Regelbetrieb überführt. Definiere eine Abschluss-Checkliste und mache sie zum festen Bestandteil deines Projektabschlussberichts.

Wo es in der Praxis schiefgeht

Aus Audit-Erfahrung, nach Häufigkeit sortiert:

1. Sicherheit wird auf „nach Go-live” verschoben. Im Projektplan steht „Sicherheitskonzept erstellen” als letzter Meilenstein. Dann gerät das Projekt unter Zeitdruck, und der Meilenstein fällt weg. Die Folge: ein System geht in Produktion ohne dokumentiertes Zugriffskonzept, ohne Klassifizierung der verarbeiteten Daten, ohne Härtung.

2. Kein Projektabschluss-Review. Das Projekt wird „abgeschlossen”, aber die Testumgebung mit Produktionsdaten läuft weiter, die erweiterten Zugriffsrechte des Projektteams bleiben bestehen, und die API-Keys für den externen Berater rotieren nie. Nach zwei Jahren weiß niemand mehr, wofür diese Ressourcen existieren.

3. Externe ohne Sicherheitsbriefing. Berater, Freelancer und Dienstleister werden ins Projektteam aufgenommen und erhalten Zugang zu Systemen und Daten — ohne dass sie über ihre Informationssicherheitspflichten informiert werden. Im Vorfall fehlt jede vertragliche Grundlage.

4. Risikobewertung als einmaliger Formalakt. Bei Projektstart wird eine Risikobewertung erstellt und abgeheftet. An den Meilensteinen findet keine Aktualisierung statt, obwohl sich Projektumfang, beteiligte Systeme und externe Abhängigkeiten verändert haben.

5. Fehlende Klassifizierung von Projektdaten. Projektdokumentation, Protokolle, Architekturdiagramme und Testergebnisse enthalten oft vertrauliche Informationen — werden aber auf allgemein zugänglichen Laufwerken oder in unverschlüsselten Collaboration-Tools abgelegt, weil niemand die Klassifizierung geprüft hat.

Vorlage: Informationssicherheit im Projektmanagement

Dokumentenkontrolle
Eigentümer: [RICHTLINIEN_EIGENTÜMER_ROLLE, z. B. Informationssicherheitsbeauftragte/r]
Genehmigt von: [GENEHMIGER_NAME_UND_ROLLE]
Version: [VERSION]
Gültig ab: [GÜLTIGKEITSDATUM]
Nächste Überprüfung: [NÄCHSTES_ÜBERPRÜFUNGSDATUM]

1. Rechtliche/Regulatorische Grundlage

ISO/IEC 27001:2022 / ISO/IEC 27002:2022, Anhang A — Organisatorische Maßnahmen:

A 5.8 — Informationssicherheit im Projektmanagement

BSI IT-Grundschutz:

ISMS.1.A9 (Integration der Informationssicherheit in organisationsweite Prozesse und Verfahren)

Weitere jurisdiktionsspezifische Gesetze — insbesondere Datenschutzrecht (DSGVO), sektorspezifische Projekt-Compliance-Anforderungen, Exportkontrolle und Beschränkungen grenzüberschreitender Datenübermittlungen — sind im Rechtsregister aufgeführt und werden durch Verweis einbezogen.

2. Zweck & Geltungsbereich

Diese Richtlinie legt fest, wie Informationssicherheit in das Projektmanagement bei [IHR_ORGANISATIONSNAME] integriert wird. Sie stellt sicher, dass Informationssicherheitsrisiken im Zusammenhang mit Projekten und deren Ergebnissen über den gesamten Projektlebenszyklus hinweg wirksam identifiziert, bewertet und behandelt werden, in Übereinstimmung mit ISO/IEC 27002:2022, A 5.8.

Die Richtlinie gilt für alle Projekte unabhängig von Komplexität, Größe, Dauer, Fachrichtung oder Anwendungsbereich — einschließlich Projekten für Kerngeschäftsprozesse, IKT, Gebäudemanagement, Produktentwicklung und andere unterstützende Prozesse. Sie erfasst alle an Projektarbeit beteiligten Personen, einschließlich Beschäftigter, Auftragnehmer, Berater und externer Lieferanten in Projektrollen.

Informationssicherheit wird nicht als separate Aktivität behandelt, die am Ende eines Projekts angefügt wird. Sie ist Teil der standardmäßigen Projektmanagement-Methodik von der Initiierung bis zum Abschluss und erfasst sowohl neue Projekte als auch laufende Aktivitäten.

3. Informationssicherheit im Projektlebenszyklus (A 5.8)

Informationssicherheit wird in das Projektmanagement integriert, um sicherzustellen, dass Sicherheitsrisiken als Teil jedes Projekts behandelt werden. Die verwendete Projektmanagement-Methodik erfordert, dass Informationssicherheitsaspekte von den frühesten Phasen an eingebettet und über den gesamten Projektlebenszyklus hinweg aufrechterhalten werden — nicht nur in IKT-Projekten, sondern in allen Projekttypen. Projektentwicklungsansätze, ob Wasserfall oder Agil, unterstützen Informationssicherheit auf eine strukturierte, der bewerteten Risikohöhe angepasste Weise. Die frühzeitige Berücksichtigung in den Planungs- und Designphasen führt zu wirksameren und kostengünstigeren Sicherheitsergebnissen.

3.1 Risikobewertung & -behandlung in Projekten

Integrierte Risikobewertung: Informationssicherheitsrisiken werden frühzeitig und periodisch über den gesamten Projektlebenszyklus hinweg als integrierter Teil des übergreifenden Projektrisikomanagements bewertet und behandelt. Das Projektrisikoregister umfasst Informationssicherheitsrisiken neben anderen Projektrisiken. Die Risikobewertung wird bei Projektinitiierung durchgeführt und an definierten Meilensteinen wiederholt — mindestens in der Planungs-, Ausführungs- und Vor-Abschluss-Phase.
Kommunikationssicherheit in der Ausführungsphase: Informationssicherheitsrisiken im Zusammenhang mit der Ausführung eines Projekts — einschließlich der Sicherheit interner und externer Kommunikationskanäle, des Datenaustauschs zwischen Projektbeteiligten und des Zugriffs auf Projektumgebungen — werden über den gesamten Projektlebenszyklus hinweg identifiziert und behandelt. Sichere Kommunikationskanäle werden für das Projekt definiert. Regeln für den Austausch von Projektinformationen mit internen Teams, externen Partnern und Kunden werden bei der Projektinitiierung festgelegt und während der Ausführung durchgesetzt.

3.2 Frühzeitige Integration von Sicherheitsanforderungen

Sicherheitsanforderungen bei der Initiierung: Informationssicherheitsanforderungen werden in den frühen Phasen jedes Projekts adressiert — bevor wesentliche Designentscheidungen getroffen oder externe Verpflichtungen eingegangen werden. Dies umfasst Anwendungssicherheitsanforderungen, Anforderungen zur Einhaltung geistiger Eigentumsrechte, Datenschutzanforderungen und Anforderungen aus anderen geltenden IS-Maßnahmen. Eine Checkliste für Sicherheitsanforderungen wird als Teil des Projektauftrags ausgefüllt. Das Projekt geht nicht in die Planungsphase über, ohne dass die Sicherheitsanforderungen dokumentiert und von der/dem Informationssicherheitsbeauftragten oder einer benannten Sicherheitsprüfinstanz freigegeben wurden.

3.3 Überprüfung & Wirksamkeitstests

Fortschrittsüberprüfung & Wirksamkeitstests: Der Fortschritt bei der Behandlung von Informationssicherheitsrisiken wird an vordefinierten Projektmeilensteinen überprüft. Die Wirksamkeit von Sicherheitsmaßnahmen wird bewertet und, wo machbar, getestet — etwa durch Sicherheitsüberprüfungen, Penetrationstests oder Code-Reviews — bevor ein Projektergebnis live geht oder formal abgenommen wird. Feststellungen werden bis zum Abschluss nachverfolgt und an den Projektsponsor gemeldet. Ergebnisse werden in der Projektakte dokumentiert.

4. Ermittlung der Informationssicherheitsanforderungen (A 5.8)

Informationssicherheitsanforderungen für Produkte oder Dienste, die durch ein Projekt bereitgestellt werden, werden mit mehreren Methoden ermittelt: durch Ableitung von Compliance-Anforderungen aus dieser Richtlinie, themenspezifischen Richtlinien und Vorschriften sowie aus Aktivitäten wie Threat Modelling, Vorfallanalysen, Nutzung von Schwachstellen-Schwellenwerten und Notfallplanung. Dies stellt sicher, dass Architektur und Design von Informationssystemen auf Basis der Betriebsumgebung vor bekannten Bedrohungen geschützt sind. Die folgenden Punkte werden bei der Ermittlung der Anforderungen für alle Projekttypen berücksichtigt:

4.1 Informationsklassifizierung & Schutzbedarf

Informationsinventar & Geschäftsauswirkungen: Bei der Projektinitiierung werden die Informationen identifiziert, die durch das Projekt erzeugt, verarbeitet, gespeichert oder übertragen werden. Jeder Informationstyp wird gemäß der Richtlinie zur Informationsklassifizierung und Kennzeichnung klassifiziert, und die potenziellen negativen Geschäftsauswirkungen unzureichender Sicherheit werden bewertet — einschließlich Szenarien wie unbefugte Offenlegung, fehlerhafte Änderung oder Nichtverfügbarkeit. Klassifizierung und Auswirkungsbewertung bestimmen die Auswahl der Sicherheitsmaßnahmen für das Projekt.
Vertraulichkeits-, Integritäts- & Verfügbarkeitsanforderungen: Die erforderlichen Schutzstufen für jeden identifizierten Informationstyp und zugehörigen Wert werden hinsichtlich Vertraulichkeit (C), Integrität (I) und Verfügbarkeit (A) festgelegt. Eine standardisierte Schutzbedarfsbewertungsmatrix bildet die Klassifizierungsstufe und CIA-Anforderungen auf spezifische Sicherheitsmaßnahmen ab. Diese Anforderungen werden vor Beginn der Designphase in der Projektanforderungsspezifikation dokumentiert.

4.2 Authentifizierung & Zugriffskontrolle

Authentifizierungsanforderungen: Der erforderliche Identitätsvertrauensgrad für jede Kategorie von Entitäten, die mit dem Projektergebnis interagieren — Nutzer, Systeme und Dienste — wird festgelegt. Authentifizierungsanforderungen werden aus diesem Vertrauensgrad abgeleitet: Interaktionen mit niedrigem Vertrauensgrad verwenden passwortbasierte Authentifizierung, Interaktionen mit mittlerem Vertrauensgrad erfordern Multi-Faktor-Authentifizierung, Interaktionen mit hohem Vertrauensgrad erfordern zertifikatsbasierte oder Hardware-Token-Authentifizierung. Diese Anforderungen werden in der Projektanforderungsspezifikation dokumentiert und stimmen mit der Zugriffskontroll-Richtlinie überein.
Zugriffsbereitstellung & Autorisierung: Zugriffsbereitstellungs- und Autorisierungsprozesse werden für alle Benutzertypen definiert, die mit dem Projekt und seinen Ergebnissen befasst sind: Kunden und geschäftliche Endnutzer, privilegierte und technische Nutzer, Projektteammitglieder, Betriebspersonal, das nach Projektabschluss übernimmt, und externe Lieferanten. Für jeden Benutzertyp werden Bereitstellungsworkflow, Genehmigungsbehörde, Zugriffsprüfzyklus und Trigger für die Deprovisionierung spezifiziert. Der Zugriff auf Projektumgebungen folgt dem Prinzip des geringsten Privilegs und wird entfernt, wenn er nicht mehr erforderlich ist.

4.3 Nutzerpflichten & -verantwortlichkeiten

Sicherheitsbriefing für Nutzer: Alle Personen, die einem Projekt beitreten — Beschäftigte, Auftragnehmer und externe Parteien — werden über ihre projektrelevanten Informationssicherheitspflichten und -verantwortlichkeiten informiert, bevor ihnen Zugriff auf Projektressourcen gewährt wird. Dazu gehören die akzeptable Nutzung von Projektsystemen und -daten, Verfahren zur Vorfallmeldung, Datenhandhabungsregeln basierend auf der Klassifizierung und die Konsequenzen von Richtlinienverstößen. Briefings werden dokumentiert und die Bestätigung wird erfasst.

4.4 Geschäftsprozessanforderungen

Transaktionsprotokollierung, Überwachung & Nichtabstreitbarkeit: Anforderungen aus den durch das Projekt unterstützten Geschäftsprozessen werden identifiziert und in die Projektanforderungen aufgenommen. Dies umfasst Anforderungen an die Transaktionsprotokollierung (welche Ereignisse protokolliert werden, Aufbewahrungsfristen), Überwachungsanforderungen (Echtzeit oder periodisch) und Nichtabstreitbarkeitsanforderungen (bei denen der Nachweis des Eintretens oder Nichteintretens einer Aktion erhalten bleibt). Integrationspunkte für die Überwachung mit der zentralen Protokollierungs- und SIEM-Infrastruktur der Organisation werden in der Designphase spezifiziert.
Integration mit IS-Kontrollinfrastruktur: Anforderungen, die durch andere Informationssicherheitsmaßnahmen vorgegeben sind, werden identifiziert und in das Projekt aufgenommen. Dies umfasst Schnittstellenanforderungen für Protokollierungs- und Überwachungssysteme, Data-Loss-Prevention-Systeme (DLP), Identitäts- und Zugriffsmanagement-Systeme, Schwachstellenmanagement-Feeds und Vorfallmanagement-Tools. Die Projektarchitektur ist so gestaltet, dass sie diese Integrationspunkte unterstützt, und wird in den Überprüfungsphasen dagegen validiert.

4.5 Rechtliche & regulatorische Compliance

Einhaltung des rechtlichen & regulatorischen Umfelds: Geltende rechtliche, gesetzliche, regulatorische und vertragliche Anforderungen, die für das Projekt relevant sind, werden bei der Initiierung identifiziert und als Sicherheitsanforderungen dokumentiert. Dies umfasst Datenschutzgesetzgebung (einschließlich DSGVO, wo anwendbar), sektorspezifische Vorschriften, vertragliche Sicherheitspflichten und etwaige Exportkontrollen oder Beschränkungen für grenzüberschreitende Datenübermittlungen. Die Rechtsberatung wird in die Validierung der Compliance-Anforderungen einbezogen. Die Compliance-Zuordnung wird in der Projektdokumentation geführt und bei Änderungen des regulatorischen Umfelds überprüft.

4.6 Drittparteien-Gewährleistung

Sicherheitsgewährleistung durch Dritte: Wenn ein Projekt Dritte einbezieht (Lieferanten, Subunternehmer, Berater, Cloud-Dienstleister), wird der erforderliche Grad der Gewährleistung festgelegt, dass diese Dritten die Informationssicherheitsrichtlinie und die themenspezifischen Richtlinien der Organisation erfüllen. Dieser Gewährleistungsgrad treibt die Aufnahme spezifischer Sicherheitsklauseln in Vereinbarungen und Verträge, einschließlich des Auditrechts, der Anforderungen an Sicherheitszertifizierungen, der Pflichten zur Vorfallmeldung und der Regelungen zur Rückgabe oder sicheren Vernichtung von Informationen am Vertragsende. Die Einhaltung vertraglicher Sicherheitsanforderungen wird während des Projekts und bei der Übergabe verifiziert.

5. Projekt-Governance & Rollen

Die Angemessenheit von Informationssicherheitsaspekten und -aktivitäten wird in vordefinierten Phasen durch geeignete Personen oder Governance-Gremien nachverfolgt. Verantwortlichkeiten und Befugnisse für Informationssicherheit, die für jedes Projekt relevant sind, werden bei der Projektinitiierung definiert und bestimmten Rollen zugewiesen.

Informationssicherheit ist in alle Geschäftsprozesse und Projektaufgaben integriert. Dies gilt nicht nur für neue Projekte, sondern auch für laufende Aktivitäten. Die/der Informationssicherheitsbeauftragte wird in alle sicherheitsrelevanten Entscheidungen über den gesamten Projektlebenszyklus hinweg einbezogen und koordiniert mit anderen Risikomanagementfunktionen innerhalb der Organisation.

Security-Gate-Reviews: Vordefinierte Projektphasen — mindestens: Projektinitiierung, Ende der Design-/Planungsphase, Ende der Bau-/Entwicklungsphase und vor Go-Live — enthalten ein Security-Gate, in dem die/der Informationssicherheitsbeauftragte oder eine benannte Prüfinstanz bewertet, ob die Sicherheitsanforderungen erfüllt wurden, bevor das Projekt in die nächste Phase übergeht.
Zuweisung der Projektsicherheitsrolle: Bei der Projektinitiierung wird ein Projektsicherheitsverantwortlicher benannt. Für größere Projekte ist dies eine dedizierte Rolle; für kleinere Projekte wird sie dem Projektmanager oder einem benannten Teammitglied zugewiesen. Der Projektsicherheitsverantwortliche koordiniert mit der/dem Informationssicherheitsbeauftragten, stellt sicher, dass die Checkliste der Sicherheitsanforderungen ausgefüllt wird, verfolgt Sicherheitsfeststellungen und vertritt Sicherheitsinteressen in Projekt-Governance-Sitzungen.
Eskalationspfad: Sicherheitsprobleme, die im Projektteam nicht gelöst werden können, werden an die/den Informationssicherheitsbeauftragte/n und, falls erforderlich, an die Geschäftsleitung eskaliert. Nicht gelöste Sicherheitsfeststellungen, die eine Go-Live-Entscheidung blockieren, werden dokumentiert, und die Entscheidung, mit oder ohne Behebung fortzufahren, wird auf einer angemessenen Governance-Ebene getroffen, wobei Restrisiken formal akzeptiert werden.

6. Rollen & Verantwortlichkeiten

Geschäftsleitung: Genehmigt diese Richtlinie, stellt sicher, dass ausreichende Ressourcen für Sicherheitsaktivitäten in Projekten bereitgestellt werden, und trifft endgültige Entscheidungen über aus der Projekt-Governance eskalierte Restrisiken.
Informationssicherheitsbeauftragte/r (ISB): Pflegt diese Richtlinie und den Rahmen der Projektsicherheitsanforderungen. Nimmt an Security-Gate-Reviews teil und berät Projektteams zu Sicherheitsanforderungen, Threat Modelling und Kontrollauswahl. Koordiniert mit anderen Risikomanagementfunktionen und wird in alle sicherheitsrelevanten Projektentscheidungen einbezogen. Verfolgt die Sicherheitsaspekte des Projektportfolios.
Projektsponsoren / Projekteigentümer: Stellen sicher, dass Projekte in ihrer Verantwortung gemäß dieser Richtlinie durchgeführt werden. Akzeptieren Informationssicherheits-Restrisiken auf Governance-Ebene und stellen ein angemessenes Budget für Sicherheitsaktivitäten im Projekt sicher.
Projektmanager: Integrieren Sicherheitsaktivitäten in den Projektplan und -zeitplan. Füllen die Checkliste der Sicherheitsanforderungen bei der Projektinitiierung aus. Benennen den Projektsicherheitsverantwortlichen. Eskalieren ungelöste Sicherheitsprobleme und stellen sicher, dass Sicherheitsfeststellungen bis zum Abschluss nachverfolgt werden.
Projektsicherheitsverantwortliche: Koordinieren Informationssicherheitsaktivitäten innerhalb des Projekts. Moderieren Threat Modelling und Schutzbedarfsbewertungen. Überprüfen Sicherheitsanforderungen mit der/dem Informationssicherheitsbeauftragten. Stellen sicher, dass Zugriffsbereitstellung und Nutzerbriefings abgeschlossen sind, bevor Zugriff gewährt wird.
IT & Systemarchitektur: Setzt Sicherheitsanforderungen im technischen Design um und stellt sicher, dass Schnittstellen zu Protokollierungs-, Überwachungs-, DLP- und IAM-Infrastruktur in die Lösung eingebaut werden. Nimmt an Sicherheitstests vor dem Go-Live teil.
Alle Projektbeteiligten: Befolgen das beim Projekt-Onboarding erhaltene Sicherheitsbriefing, handhaben Projektinformationen gemäß ihrer Klassifizierung, verwenden nur genehmigte Kommunikationskanäle und melden Sicherheitsvorfälle an den Projektsicherheitsverantwortlichen oder die/den Informationssicherheitsbeauftragte/n.

7. Überprüfung & Pflege

Diese Richtlinie und der zugehörige Rahmen der Projektsicherheitsanforderungen werden überprüft:

Mindestens jährlich, um zu verifizieren, dass die Anforderungen und Prozesse mit der aktuellen Bedrohungslage, dem organisatorischen Risikoprofil und den geltenden rechtlichen und regulatorischen Anforderungen im Einklang bleiben.
Nach jedem wesentlichen Sicherheitsvorfall, der aus einer Projektumgebung entsteht, um Lessons Learned zu identifizieren und den Anforderungsrahmen entsprechend zu aktualisieren.
Wenn wesentliche Änderungen an der Projektmanagement-Methodik, der IT-Landschaft der Organisation oder dem geltenden rechtlichen und regulatorischen Umfeld auftreten.
Wenn Aktualisierungen von ISO/IEC 27002, ISO 21500, ISO 21502 oder dem BSI IT-Grundschutz-Kompendium neue für die Informationssicherheit im Projektmanagement relevante Leitlinien einführen.

Die/der Informationssicherheitsbeauftragte koordiniert die Überprüfung und stellt sicher, dass etwaige Änderungen an Projektmanager kommuniziert und in die Projektmanagement-Methodik integriert werden.

Document control
Owner: [POLICY_OWNER_ROLE, e.g. Information Security Officer]
Approved by: [APPROVER_NAME_AND_ROLE]
Version: [VERSION]
Effective date: [EFFECTIVE_DATE]
Next review: [NEXT_REVIEW_DATE]

1. Legal/Regulatory Basis

ISO/IEC 27001:2022 / ISO/IEC 27002:2022, Annex A — Organisational Controls:

A 5.8 — Information Security in Project Management

BSI IT-Grundschutz:

ISMS.1.A9 (Integration of Information Security into Organisation-Wide Processes and Procedures)

Additional jurisdiction-specific laws — in particular data protection law (GDPR), sector-specific project compliance requirements, export control and cross-border data transfer restrictions — are listed in the Legal Register and incorporated by reference.

2. Purpose & Scope

This policy establishes how information security is integrated into project management at [YOUR_ORGANISATION_NAME]. It ensures that information security risks related to projects and their deliverables are effectively identified, assessed and treated throughout the project life cycle, in accordance with ISO/IEC 27002:2022, A 5.8.

The policy applies to all projects regardless of complexity, size, duration, discipline or application area — including projects for core business processes, ICT, facility management, product development and other supporting processes. It covers all personnel involved in project work, including employees, contractors, consultants and external suppliers acting in project roles.

Information security is not treated as a separate activity bolted on at the end of a project. It is part of the standard project management methodology from initiation through to closure, covering both new projects and ongoing activities.

3. Information Security in the Project Lifecycle (A 5.8)

Information security is integrated into project management to ensure that security risks are addressed as part of every project. The project management methodology in use requires that information security considerations are embedded from the earliest stages and maintained throughout the entire project life cycle — not only in ICT projects but in all project types. Project development approaches, whether waterfall or agile, support information security in a structured way adapted to the assessed severity of the risks. Early consideration at the planning and design stages leads to more effective and cost-efficient security outcomes.

3.1 Risk Assessment & Treatment in Projects

Integrated Risk Assessment: Information security risks are assessed and treated at an early stage and periodically throughout the project life cycle as an integrated part of overall project risk management. The project risk register includes information security risks alongside other project risks. Risk assessment is conducted at project initiation and repeated at defined milestones — as a minimum at the planning, execution and pre-closure stages.
Execution-Phase Communication Security: Information security risks associated with the execution of a project — including the security of internal and external communication channels, data sharing between project participants, and access to project environments — are identified and treated throughout the project life cycle. Secure communication channels are defined for the project. Rules for sharing project information with internal teams, external partners and customers are established at project initiation and enforced throughout execution.

3.2 Early Integration of Security Requirements

Security Requirements at Initiation: Information security requirements are addressed in the early stages of every project — before significant design decisions are made or external commitments entered into. This includes application security requirements, requirements for complying with intellectual property rights, data protection requirements, and requirements derived from other applicable IS controls. A security requirements checklist is completed as part of the project charter. The project does not proceed to the planning phase without documented security requirements sign-off by the Information Security Officer or a designated security reviewer.

3.3 Review & Effectiveness Testing

Progress Review & Effectiveness Testing: Progress on information security risk treatment is reviewed at predefined project milestones. The effectiveness of security measures is evaluated and, where feasible, tested — for example through security reviews, penetration testing or code reviews — before a project output goes live or is formally accepted. Findings are tracked to closure and reported to the project sponsor. Results are documented in the project file.

4. Information Security Requirements Determination (A 5.8)

Information security requirements for products or services delivered by a project are determined using multiple methods: deriving compliance requirements from this policy, topic-specific policies and regulations; and from activities such as threat modelling, incident reviews, use of vulnerability thresholds and contingency planning. This ensures that the architecture and design of information systems are protected against known threats based on the operational environment. The following points are considered when determining requirements for all types of projects:

4.1 Information Classification & Protection Needs

Information Inventory & Business Impact: At project initiation, the information that will be generated, processed, stored or transmitted by the project is identified. Each information type is classified in accordance with the Information Classification & Labelling Policy and the potential negative business impact of inadequate security is assessed — covering scenarios such as unauthorised disclosure, incorrect modification or unavailability. The classification and impact assessment drive the selection of security controls for the project.
Confidentiality, Integrity & Availability Requirements: The required protection levels for each identified information type and associated asset are determined in terms of confidentiality (C), integrity (I) and availability (A). A standardised protection needs assessment matrix maps the classification level and CIA requirements to specific security controls. These requirements are documented in the project requirements specification before the design phase begins.

4.2 Authentication & Access Control

Authentication Requirements: The level of identity assurance required for each category of entity interacting with the project output — users, systems and services — is determined. Authentication requirements are derived from this assurance level: low-assurance interactions use password-based authentication, medium-assurance interactions require multi-factor authentication, and high-assurance interactions require certificate-based or hardware token authentication. These requirements are documented in the project requirements specification and are consistent with the access control policy.
Access Provisioning & Authorisation: Access provisioning and authorisation processes are defined for all user types involved with the project and its outputs: customers and business end-users, privileged and technical users, project team members, operations staff taking over after project completion, and external suppliers. For each user type, the provisioning workflow, approval authority, access review cycle and deprovisioning trigger are specified. Access to project environments follows the principle of least privilege and is removed when no longer required.

4.3 User Duties & Responsibilities

User Security Briefing: All individuals joining a project — employees, contractors and external parties — are informed of their information security duties and responsibilities relevant to the project before being granted access to project resources. This includes acceptable use of project systems and data, incident reporting procedures, data handling rules based on classification, and the consequences of policy violations. Briefings are documented and acknowledgement is recorded.

4.4 Business Process Requirements

Transaction Logging, Monitoring & Non-Repudiation: Requirements derived from the business processes supported by the project are identified and incorporated into the project requirements. This includes transaction logging requirements (what events are logged, log retention periods), monitoring requirements (real-time or periodic), and non-repudiation requirements (where proof of the occurrence or non-occurrence of an action is preserved). Monitoring integration points with the organisation's central logging and SIEM infrastructure are specified at the design stage.
Integration with IS Control Infrastructure: Requirements mandated by other information security controls are identified and incorporated into the project. This includes interface requirements for logging and monitoring systems, data loss prevention (DLP) systems, identity and access management systems, vulnerability management feeds, and incident management tools. The project architecture is designed to support these integration points and is validated against them during the review stages.

4.5 Legal & Regulatory Compliance

Compliance with Legal & Regulatory Environment: Applicable legal, statutory, regulatory and contractual requirements relevant to the project are identified at initiation and documented as security requirements. This includes data protection legislation (including GDPR where applicable), sector-specific regulations, contractual security obligations and any export control or cross-border data transfer restrictions. Legal counsel is involved in validating the compliance requirements. The compliance mapping is maintained in the project documentation and reviewed when the regulatory environment changes.

4.6 Third-Party Assurance

Third-Party Security Assurance: When a project involves third parties (suppliers, subcontractors, consultants, cloud service providers), the required level of assurance that those third parties meet the organisation's information security policy and topic-specific policies is determined. This assurance level drives the inclusion of specific security clauses in agreements and contracts, including the right to audit, requirements for security certifications, incident notification obligations and provisions for the return or secure destruction of information at contract end. Compliance with contractual security requirements is verified during the project and at handover.

5. Project Governance & Roles

The appropriateness of information security considerations and activities is followed up at predefined stages by suitable persons or governance bodies. Responsibilities and authorities for information security relevant to each project are defined and allocated to specified roles at project initiation.

Information security is integrated into all business processes and project tasks. This applies not only to new projects but also to ongoing activities. The Information Security Officer is involved in all security-relevant decisions throughout the project life cycle and coordinates with other risk management functions within the organisation.

Security Gate Reviews: Predefined project stages — at a minimum: project initiation, end of design/planning, end of build/development, and pre-go-live — include a security gate where the Information Security Officer or a designated reviewer assesses whether security requirements have been met before the project advances to the next stage.
Project Security Role Assignment: At project initiation, a project security lead is designated. For larger projects this is a dedicated role; for smaller projects it is assigned to the project manager or a named team member. The project security lead coordinates with the Information Security Officer, ensures the security requirements checklist is completed, tracks security findings and represents security interests in project governance meetings.
Escalation Path: Security issues that cannot be resolved within the project team are escalated to the Information Security Officer and, where necessary, to top management. Unresolved security findings blocking a go-live decision are documented and the decision to proceed with or without remediation is taken at an appropriate governance level, with residual risks formally accepted.

6. Roles & Responsibilities

Top Management: Approves this policy, ensures adequate resources are allocated for security activities in projects, and takes final decisions on residual risks escalated from project governance.
Information Security Officer (ISO): Maintains this policy and the project security requirements framework. Participates in security gate reviews and advises project teams on security requirements, threat modelling and control selection. Coordinates with other risk management functions and is involved in all security-relevant project decisions. Tracks the security aspects of the project portfolio.
Project Sponsors / Project Owners: Ensure that projects under their sponsorship are conducted in accordance with this policy. Accept residual information security risks at the governance level and ensure adequate budget for security activities within the project.
Project Managers: Integrate security activities into the project plan and schedule. Complete the security requirements checklist at project initiation. Designate the project security lead. Escalate unresolved security issues and ensure security findings are tracked to closure.
Project Security Lead: Coordinates information security activities within the project. Facilitates threat modelling and protection needs assessments. Reviews security requirements with the Information Security Officer. Ensures access provisioning and user briefings are completed before access is granted.
IT & System Architecture: Implements security requirements in the technical design and ensures that interfaces to logging, monitoring, DLP and IAM infrastructure are built into the solution. Participates in security testing before go-live.
All Project Participants: Follow the security briefing received at project onboarding, handle project information in accordance with its classification, use only approved communication channels and report security incidents to the project security lead or the Information Security Officer.

7. Review & Maintenance

This policy and the associated project security requirements framework are reviewed:

At least annually, to verify that the requirements and processes remain aligned with the current threat landscape, organisational risk profile and applicable legal and regulatory requirements.
After any significant security incident arising from a project environment, to identify lessons learned and update the requirements framework accordingly.
When significant changes occur to the project management methodology, the organisation's IT landscape, or the applicable legal and regulatory environment.
When updates to ISO/IEC 27002, ISO 21500, ISO 21502 or the BSI IT-Grundschutz Kompendium introduce new guidance relevant to information security in project management.

The Information Security Officer coordinates the review and ensures that any changes are communicated to project managers and integrated into the project management methodology.

Quellen

ISO/IEC 27002:2022 Abschnitt 5.8 — Information security in project management
BSI IT-Grundschutz ISMS.1.A9 — Integration der Informationssicherheit in organisationsweite Abläufe und Verfahren
ISO 21502:2020 — Guidance on project management
NIS2-Richtlinie (EU 2022/2555) — Art. 21 Risikomanagementmaßnahmen