Politik for outsourced udvikling

Politik for outsourced udvikling (P28) etablerer et omfattende rammeværk for sikker styring af software- eller systemudviklingsprojekter udført af eksterne leverandører, kontrahenter eller bureauer. Dens primære formål er at indlejre sikkerhedskontroller og styringsmekanismer gennem hele udviklingslivscyklussen, fra planlægning og kontraktforhandling til levering, overvågning og aktiviteter efter engagement. Ved at pålægge et klart defineret sæt af sikkerhedsforpligtelser, fra leverandør-due diligence og risikovurderinger til håndhævede kodningsstandarder og kontraktlige krav, har politikken til formål at beskytte fortrolighed, integritet og tilgængelighed for al organisationsudviklet software. Politikkens omfang omfatter enhver virksomhedsinitiativer, der involverer tredjepartsudvikling, herunder web- og mobilapplikationer, indlejrede systemer, API'er, interne og kommercielle platforme samt automatiseringsarbejdsgange. Den regulerer også enhver ekstern enhed, der kræver adgang til organisationens kildekode, testmiljøer eller CI/CD-pipelines. Kravene gælder uanset hvor eller hvordan leverandøren opererer, så geografiske eller kontraktlige forskelle ikke skaber sikkerhedshuller. Politikkens mål er forankret i at minimere eksponering for trusler i forsyningskæden, manglende overholdelse af lovgivningen (fx GDPR eller DORA), tyveri af intellektuel ejendom og usikre kodningspraksisser, der kan introducere sårbarheder eller regulatorisk risiko. For at opnå dette tildeler den eksplicit ansvar til direktion, informationssikkerhedschef (CISO), indkøb og juridisk og compliance, projekt- og produktejere, informationssikkerhedsteam og eksterne leverandører. Centralt i denne tilgang er Tredjepartsudviklingsregisteret, en single source of truth for alle leverandørengagementer, due diligence-konstateringer, undtagelseslogs og kontraktstatusser. Styringskrav omfatter leverandør-due diligence, sikkerhedsrelateret risikovurdering og et sæt minimumskontraktkontroller, såsom overholdelse af rammer for sikker kodning, sikkerhedstestning, specifikationer for IP-ejerskab, udførelse af fortrolighedsaftale og vilkår for revisionsret. Kildekode håndteres udelukkende via virksomhedskontrollerede platforme, hvor branch protection, peerevaluering og strenge fratrædelsesprotokoller forhindrer kodelækage eller uautoriseret genbrug. Al tredjepartsadgang tildeles under tidsbegrænset adgang og mindst privilegieprincip, overvåges via revisionslogning og tilbagekaldes hurtigt ved afslutning af engagement. Integration af leverandørrepositories i virksomhedens sikkerhedsværktøjer til kodeanalyse, CI/CD-politikhåndhævelse og afvigelsesstyring kræves, når det er muligt. Undtagelsesanmodninger håndteres gennem en formel risikobehandling og godkendelsesproces ledet af informationssikkerhedschef (CISO), herunder dokumentation af begrundelse, risikoafbødning og afhjælpningsfrister. Informationssikkerhedsteam gennemfører løbende overvågning og compliance-audits, og overtrædelser kan medføre øjeblikkelig tilbagekaldelse af adgang, projektsuspendering, retlige skridt eller disciplinære foranstaltninger efter behov. Denne politik gennemgås mindst årligt eller efter ændringer i det regulatoriske landskab, konstateringer fra håndtering af sikkerhedshændelser eller output fra intern revision. Alle ændringer versionsstyres, kommunikeres og refereres i proceduredokumentation. Gennem disse mekanismer og dens tætte mapping til førende internationale standarder og retlige krav sikrer Politik for outsourced udvikling, at tredjeparts softwareleverancer forbliver sikre og compliant og beskytter organisationen mod de udviklende risici ved outsourced udvikling.