Politika outsourcingu vývoje – SME

Tato politika outsourcingu vývoje (číslo dokumentu P28S) je navržena specificky pro malé a střední podniky (SME) a poskytuje pragmatický rámec pro bezpečný, vyhovující a dobře řízený outsourcing vývoje softwaru. Je plně sladěna s ISO/IEC 27001:2022 a zajišťuje, že i organizace bez vyhrazených týmů IT nebo bezpečnosti mohou při zapojení externích vývojářů, freelancerů nebo agentur třetích stran dodržovat mezinárodní osvědčené postupy v odvětví a právní povinnosti. Politika stanovuje jasné role a odpovědnosti pro generálního ředitele (GM), který je hlavní autoritou pro schvalování dodavatelů, smluvní dohled a nápravná opatření, a pro vlastníka projektu, který odpovídá za každodenní koordinaci, funkční validaci a bezpečné předání. Důrazem na vymahatelné smlouvy, dohodu o mlčenlivosti a dokumentované dohody o vlastnictví aktiv a převodu práv politika chrání organizaci před riziky, jako jsou nezabezpečený kód, nevhodné opětovné použití proprietárních aktiv, externí expozice dat, závislosti na třetích stranách, uzamčení u dodavatele a nesoulad s regulacemi (včetně GDPR, NIS2 a DORA). Jsou stanovena povinná řídicí opatření, která vyžadují, aby smlouvy specifikovaly povinnosti bezpečného vývoje, pravidelná posouzení rizik prováděná GM a řádnou správu všech autentizačních údajů a přístupů do systémů. Bezpečnostní očekávání pokrývají povinnosti vývojářů používat techniky bezpečného kódování (s odkazem na normy jako OWASP Top 10), důkladnou dokumentaci, pečlivý výběr knihoven a přísný zákaz ponechání přístupu nebo podnikových dat po uzavření projektu. Komplexní postupy zajišťují, že každý outsourcingový projekt je předem podpořen prověrkou dodavatelů, ověřen funkčním a bezpečnostním testováním (ideálně někým jiným než vývojářem) a uzavřen až po úplném dodání zdrojového kódu, instrukcí pro sestavení a předání všech přihlašovacích údajů. Politika je specifická pro SME a používá zjednodušené role, jako je generální ředitel a vlastník projektu, namísto tradičních pozic CISO nebo SOC. To znamená, že poskytuje krokové instrukce proveditelné obchodními nebo provozními manažery a zahrnuje postupy posouzení rizik, sledování výjimek a pokyny pro reakci na incidenty přizpůsobené organizacím bez rozsáhlých technických zdrojů. Každé zapojení musí být podloženo dokumentovanými dohodami a auditovatelné stopy jsou povinné, což podporuje oznamovací povinnosti a interní přezkumy. Každoroční a průběžné přezkumy politiky musí provádět GM, aby opatření zůstala aktuální vůči rizikům pro SME a vyvíjejícím se standardům souladu. Politika outsourcingu vývoje je součástí sady opatření orientovaných na SME a má být implementována společně se souvisejícími politikami, jako jsou správa rolí, řízení přístupu, školení povědomí o bezpečnosti informací, ochrana údajů, bezpečný vývoj a reakce na incidenty, aby byla rizika outsourcingu vývoje řízena komplexně a v souladu s normami jako ISO/IEC 27001:2022, ISO 27002:2022, GDPR a dalšími.