Politik for sikker udvikling - SMV

Politik for sikker udvikling (P24S) er specifikt udarbejdet til små og mellemstore virksomheder (SMV'er) med særlig tilpasning til organisationer, der mangler dedikerede IT- eller sikkerhedsteams. Med anerkendelse af SMV'ers særlige ressourcebegrænsninger udpeger politikken administrerende direktør (GM) som central myndighed for godkendelse af politik, implementering, kontrakttilsyn og compliance, hvilket strømliner styring i miljøer, hvor CISO- eller SOC-roller muligvis ikke findes. På trods af denne forenkling er politikken fortsat fuldt ud i overensstemmelse med internationalt anerkendte sikkerhedsstandarder, herunder ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, EU NIS2, EU DORA, COBIT 2019 og EU GDPR, og sikrer, at compliance-forpligtelser opfyldes uden at gå på kompromis med praktisk anvendelighed. Formålet med dette dokument er at pålægge et kontrolgrundlag for sikker kodning og udviklingspraksis for al software, scripts og webbaserede værktøjer, der oprettes eller ændres af organisationen eller dens partnere. Det anvender omfattende sikkerhedskrav på tværs af hele spektret af internt udviklet, udliciteret eller tredjepartsleveret kode, herunder plugins, komponenter og automatiseringsværktøjer. Politikkens definerede ISMS-omfang dækker alle miljøer, der indgår i udviklingsaktiviteter – udvikling, staging, præproduktionsmiljø og produktionsmiljø – og regulerer specifikt, hvordan følsomme eller produktionsdata håndteres i disse sammenhænge. Blandt sine kerneformål fokuserer politikken på forebyggelse af sikkerhedsfejl i alle faser af systemudviklingslivscyklusser. Dette omfatter håndhævet brug af standarder for sikker kodning (såsom OWASP Top 10), formaliserede processer for kodegennemgang, påkrævet sikkerhedstestning før frigivelse samt kontrolleret adgang til alle udviklings- og produktionssystemer. Politikken indfører eksplicitte krav til leverandørstyring og tredjepartsstyring, herunder kontraktlige sikkerhedsklausuler, validering af tredjepartskomponenter for sårbarheder og licensering samt regelmæssig sporing eller revision af overholdelse via opbevarede artefakter og dokumentation. For at understøtte daglig ansvarlighed defineres strømlinede roller og ansvar: Administrerende direktør fører tilsyn med og godkender alle udviklingssikkerhedsaktiviteter; udviklere og applikationsejere følger sikre praksisser og rapportering; eksterne leverandører er kontraktligt bundet til sikkerhedsforpligtelser og påkrævet testning; og IT-udbydere eller IT-administratorer håndterer sikker adgang og udrulning og håndhæver adskillelse af miljøer. En integreret del af denne SMV-politik er den strukturerede risikobehandling og undtagelseshåndtering. Enhver afvigelse fra sikre praksisser eller risici, der ikke kan afhjælpes straks, skal formelt vurderes og godkendes af administrerende direktør med periodisk revurdering for at håndtere ændringer i risikoprofil. Politikken etablerer også stærke kontroller for håndhævelse og efterlevelse samt revisionsparathed og kræver, at alle tjeklister, godkendelser af gennemgange, testresultater og fortegnelser opbevares sikkert og er hurtigt tilgængelige til ISO-revisioner, regulatorisk gennemgang eller kunders anmodninger. Endelig sikrer krav til gennemgang og opdatering, at politikken forbliver ajour med udviklende udviklingsteknologier, rammeværk og regulatoriske ændringer og demonstrerer en proaktiv tilgang til organisatorisk sikkerhed og overholdelse af lovgivningen for SMV-sektoren.