Politik for udliciteret udvikling - SMV

Denne politik for udliciteret udvikling (dokumentnummer P28S) er specifikt designet til små og mellemstore virksomheder (SMV'er) og giver et pragmatisk rammeværk for sikker, compliant og velstyret udliciteret softwareudvikling. Den er fuldt tilpasset ISO/IEC 27001:2022, så selv organisationer uden dedikerede IT- og sikkerhedsteams kan følge internationale bedste praksisser og retlige forpligtelser ved brug af eksterne udviklere, freelancere eller tredjepartstjenesteudbydere. Politikken fastlægger klare roller og ansvar for den administrerende direktør (GM), som fungerer som den primære myndighed for leverandørgodkendelse, kontraktligt tilsyn og afhjælpende foranstaltninger, samt projektejeren, der har ansvar for daglig koordinering, funktionel validering og sikker overdragelse. Ved at understrege behovet for håndhævelige kontrakter, fortrolighedsaftaler og dokumenterede aftaler om aktivejer og overdragelse af rettigheder beskytter politikken organisationer mod risici som usikker kode, ukorrekt genbrug af proprietære aktiver, dataeksponering, leverandørlåsning og manglende overholdelse af regulering (herunder GDPR, NIS2 og DORA). Obligatoriske styringskontroller fastsættes, herunder krav om at kontrakter specificerer forpligtelser til sikker udvikling, regelmæssige risikovurderinger udført af GM samt korrekt håndtering af alle systemlegitimationsoplysninger og adgang. Sikkerhedsforventninger omfatter udviklerforpligtelser til at anvende sikker kodning (med reference til standarder som OWASP Top 10), grundig dokumentation, omhyggelig biblioteksudvælgelse samt et strengt forbud mod at bevare adgang eller virksomhedens data efter projektlukning. Omfattende procedurer sikrer, at hvert udliciteret projekt forudgås af leverandør-due diligence, valideres gennem funktionel test og sikkerhedstestning (helst af en anden end udvikleren) og afsluttes først efter fuld levering af kildekode, build-instruktioner og overdragelse af alle legitimationsoplysninger. Politikken er SMV-specifik og anvender forenklede roller som GM og projektejer i stedet for traditionelle CISO- eller SOC-positioner. Det betyder, at den giver trin-for-trin-instruktioner, der kan udføres af forretnings- eller driftsledere, og inkluderer procedurer for risikovurdering, undtagelseshåndtering, undtagelsessporing og vejledning til håndtering af sikkerhedshændelser tilpasset organisationer uden omfattende tekniske ressourcer. Hvert engagement skal understøttes af dokumenterede aftaler, og revisionsspor er obligatoriske, hvilket understøtter regulatorisk rapportering og interne gennemgange. Årlige og løbende politikgennemgange skal gennemføres af GM for at sikre, at kontrollerne forbliver aktuelle i forhold til SMV-rettede risici og udviklende compliance-standarder. Politik for udliciteret udvikling er en del af en pakke af SMV-orienterede kontroller og er tiltænkt implementeret sammen med relaterede politikker, såsom styringsroller, adgangskontrol, sikkerhedsbevidsthedstræning, databeskyttelse, sikker udvikling og håndtering af sikkerhedshændelser, for at håndtere risici ved udliciteret udvikling holistisk og overholde standarder som ISO/IEC 27001:2022, ISO 27002:2022, GDPR og flere.