Ulkoistetun kehityksen politiikka – pk-yritykset

Tämä ulkoistetun kehityksen politiikka (asiakirjanumero P28S) on suunniteltu erityisesti pienille ja keskisuurille yrityksille (pk-yrityksille), ja se tarjoaa käytännöllisen viitekehyksen turvalliseen, vaatimustenmukaiseen ja hyvin hallittuun ulkoistettuun ohjelmistokehitykseen. Se on täysin linjassa ISO/IEC 27001:2022 -standardin kanssa, varmistaen, että myös organisaatiot ilman omistautuneita IT- tai tietoturvatiimejä voivat noudattaa kansainvälisiä parhaita käytäntöjä ja lakisääteisiä velvoitteita, kun ne käyttävät ulkoisia kehittäjiä, freelancereita tai kolmannen osapuolen palveluntarjoajia. Politiikka määrittää selkeät roolit ja vastuut toimitusjohtajalle (GM), joka toimii ensisijaisena toimivaltana toimittajien hyväksynnässä, sopimusten valvonnassa ja korjaavien toimenpiteiden päätöksissä, sekä projektinomistajalle, joka vastaa päivittäisestä koordinoinnista, toiminnallisesta validoinnista ja turvallisesta luovutuksesta. Korostamalla täytäntöönpantavien sopimusten, salassapitosopimus (NDA) -järjestelyjen sekä dokumentoitujen sopimusten tarvetta omaisuuden omistajuudesta ja oikeuksien siirrosta politiikka suojaa organisaatioita riskeiltä, kuten turvattomalta koodilta, omistusoikeudellisten omaisuuserien virheelliseltä uudelleenkäytöltä, tietojen altistumiselta, toimittajalukkiutumiselta ja sääntelyn vaatimustenvastaisuudelta (mukaan lukien GDPR, NIS2 ja DORA). Pakolliset hallintotavan hallintakeinot määritellään, ja ne edellyttävät, että sopimuksissa täsmennetään turvallisen kehittämisen velvoitteet, toimitusjohtajan (GM) tekemät säännölliset riskien arvioinnit sekä kaikkien järjestelmätunnistetietojen ja käyttöoikeuksien asianmukainen hallinta. Tietoturvaodotukset kattavat kehittäjien velvoitteet käyttää turvallisen ohjelmoinnin tekniikoita (viitaten standardeihin kuten OWASP Top 10), tuottaa kattavaa dokumentaatiota, valita kirjastot huolellisesti sekä noudattaa tiukkaa kieltoa säilyttää pääsy tai yrityksen dataa projektin päättymisen jälkeen. Kattavat menettelyt varmistavat, että jokaista ulkoistettua projektia edeltää toimittajahuolellisuusarviointi, se validoidaan toiminnallisella ja tietoturvatestauksella (mieluiten jonkun muun kuin kehittäjän toimesta), ja se päätetään vasta, kun lähdekoodi, build-ohjeet ja kaikkien tunnistetietojen siirto on toimitettu kokonaisuudessaan. Politiikka on pk-yrityskohtainen ja käyttää yksinkertaistettuja rooleja, kuten toimitusjohtaja ja projektinomistaja, perinteisten CISO- tai tietoturvaoperaatiokeskus (SOC) -roolien sijaan. Tämä tarkoittaa, että se tarjoaa vaiheittaiset ohjeet, jotka ovat toteutettavissa liiketoiminta- tai operatiivisten esihenkilöiden toimesta, ja sisältää riskien arviointi -menettelyt, poikkeusten seurannan sekä tietoturvapoikkeamiin reagointi -ohjeistuksen organisaatioille, joilla ei ole laajoja teknisiä resursseja. Jokaisen toimeksiannon on perustuttava dokumentoituihin sopimuksiin, ja auditoitavat jäljet ovat pakollisia, tukien sääntelyraportointia ja sisäisiä katselmointeja. Toimitusjohtajan (GM) on tehtävä vuosittaiset ja väliaikaiset politiikkakatselmoinnit, varmistaen, että hallintakeinot pysyvät ajan tasalla pk-yrityksiin kohdistuvien riskien ja kehittyvien vaatimustenmukaisuusstandardien kanssa. Ulkoistetun kehityksen politiikka on osa pk-yrityksille suunnattua hallintakeinojen kokonaisuutta, ja se on tarkoitettu toteutettavaksi yhdessä siihen liittyvien politiikkojen kanssa, kuten hallintotavan roolit, pääsynhallinta, tietoturvatietoisuuskoulutus, tietosuoja, turvallinen kehittäminen ja tietoturvapoikkeamiin reagointi, jotta ulkoistetun kehityksen riskit hallitaan kokonaisvaltaisesti ISO/IEC 27001:2022-, ISO 27002:2022-, GDPR- ja muiden vaatimusten mukaisesti.