policy Enterprise

Ulkoistetun kehityksen politiikka

Varmista turvallinen ja vaatimustenmukainen ulkoistettu kehitys vahvoilla hallintakeinoilla, toimittajahallinnalla ja SDLC-käytännöillä organisaatiosi ohjelmistojen suojaamiseksi.

Yleiskatsaus

Ulkoistetun kehityksen politiikka määrittelee pakolliset tietoturva-, hallintotapa- ja vaatimustenmukaisuushallintakeinot kolmannen osapuolen ohjelmistokehittäjien käyttämiseksi. Se varmistaa turvallisen ohjelmoinnin, asianmukaisen toimittajavalvonnan ja riskienhallinnan mukaisen ulkoistetun kehityksen koko organisaatiossa.

Toimittajien tietoturva päästä päähän

Edellyttää toimittajahuolellisuusarviointia, riskien arviointia ja turvallista ohjelmointia kaikilta kolmannen osapuolen kehityskumppaneilta.

Sopimuksenmukaisuus

Edellyttää oikeudellisesti sitovia tietoturvaa, IP-omistajuutta ja tarkastusoikeuksia koskevia ehtoja jokaisessa kehityssopimuksessa.

Kattava pääsynhallinta

Määrittelee tiukat pääsynhallinnan, seurannan ja poistumismenettelyn ulkoisille kehittäjille koodin ja järjestelmien suojaamiseksi.

Yhdenmukainen keskeisten standardien kanssa

Tukee ISO/IEC 27001-, NIST-, GDPR-, NIS2-, DORA- ja COBIT 2019 -vaatimustenmukaisuutta kolmannen osapuolen kehityksessä.

Lue koko yleiskatsaus
Ulkoistetun kehityksen politiikka (P28) luo kattavan viitekehyksen ohjelmisto- tai järjestelmäkehitysprojektien turvalliseen hallintaan, kun toteuttajina ovat ulkoiset toimittajat, urakoitsijat tai toimistot. Sen ensisijainen tarkoitus on sisällyttää tietoturvakontrollit ja hallintomekanismit koko kehityksen elinkaaren ajaksi suunnittelusta ja sopimusneuvotteluista toimitukseen, seurantaan ja toimeksiannon jälkeisiin toimiin. Edellyttämällä selkeästi määritellyt tietoturvavelvoitteet – toimittajahuolellisuusarvioinnista ja riskien arvioinnista aina pakotettuihin koodausstandardeihin ja sopimusvaatimukset-ehtoihin – politiikan tavoitteena on suojata organisaation kehittämän ohjelmiston luottamuksellisuus, eheys ja saatavuus. Politiikan soveltamisala kattaa kaikki yrityksen aloitteet, joihin sisältyy kolmannen osapuolen kehitystä, mukaan lukien verkko- ja mobiilisovellukset, sulautetut järjestelmät, ohjelmointirajapinnat, sisäiset ja kaupalliset alustat sekä automaatiotyönkulut. Lisäksi se hallinnoi kaikkia ulkoisia tahoja, jotka tarvitsevat pääsyn organisaation lähdekoodiin, testiympäristöihin tai CI/CD-putkiympäristöihin. Vaatimukset ovat voimassa riippumatta siitä, missä tai miten toimittaja toimii, jotta maantieteelliset tai sopimukselliset erot eivät synnytä tietoturva-aukkoja. Politiikan tavoitteet perustuvat toimitusketju-uhkien altistumisen minimointiin, vaatimustenvastaisuuden (esimerkiksi GDPR:n tai DORA:n osalta) vähentämiseen, immateriaalioikeuksien varkauden ehkäisyyn sekä turvattomien ohjelmointikäytäntöjen torjuntaan, jotka voisivat aiheuttaa haavoittuvuuksia tai sääntelyriskiä. Tämän saavuttamiseksi politiikka määrittää nimenomaiset vastuut johdolle, tietoturvajohtajalle (CISO), hankinnalle ja laki- ja vaatimustenmukaisuustoiminnoille, projekti- ja tuoteomistajille, tietoturvatiimille sekä ulkoisille toimittajille. Keskeinen osa lähestymistapaa on kolmannen osapuolen kehitysrekisteri, joka toimii ainoana totuuden lähteenä kaikille toimittajatoimeksiannoille, toimittajahuolellisuusarvioinnin havainnoille, poikkeuslokeille ja sopimusten tiloille. Hallintotapavaatimuksiin sisältyvät toimittajahuolellisuusarviointi, tietoturvariskien arviointi sekä vähimmäistasoiset sopimukselliset hallintakeinot, kuten turvallisen ohjelmoinnin viitekehysten noudattaminen, tietoturvatestaus, IP-omistajuuden määrittelyt, salassapitosopimuksen (NDA) allekirjoitukset sekä auditointioikeusehdot. Lähdekoodia hallitaan yksinomaan yrityksen hallinnoimilla alustoilla, joissa haarasuojaukset, vertaisarviointi ja tiukat poistumismenettelyt ehkäisevät koodin vuotamista tai luvatonta uudelleenkäyttöä. Kaikki kolmansien osapuolten pääsy myönnetään aikarajoitetun käyttöoikeuden ja vähimmän etuoikeuden periaatteen mukaisesti, sitä seurataan tarkastuslokitustietojen avulla ja se perutaan nopeasti toimeksiannon päättyessä. Toimittajarepositorioiden integrointi yrityksen tietoturvatyökaluihin koodianalyysiä, CI/CD-politiikan täytäntöönpanoa ja poikkeamien hallintaa varten on vaadittua aina, kun se on toteutettavissa. Poikkeuspyynnöt käsitellään muodollisen riskien käsittely- ja hyväksyntäprosessin kautta, jota johtaa tietoturvajohtaja (CISO), mukaan lukien perustelujen, riskien lieventämisen ja korjaavien toimenpiteiden aikataulujen dokumentointi. Tietoturvatiimi suorittaa jatkuvaa seurantaa ja vaatimustenmukaisuusauditointeja; rikkomukset voivat johtaa pääsyoikeuksien välittömään peruuttamiseen, projektin keskeyttämiseen, oikeudellisiin toimiin tai kurinpitotoimenpiteisiin tilanteen mukaan. Tämä politiikka katselmoidaan vähintään vuosittain tai sääntely-ympäristön muutosten, tietoturvapoikkeamiin reagoinnin havaintojen tai sisäisen tarkastuksen tulosten jälkeen. Kaikki muutokset ovat versionhallittuja, viestittyjä ja viitattuja menettelydokumentaatiossa. Näiden mekanismien sekä keskeisiin kansainvälisiin standardeihin ja oikeudellisiin velvoitteisiin tehdyn kartoituksen kautta ulkoistetun kehityksen politiikka varmistaa, että kolmannen osapuolen ohjelmistotoimitus pysyy turvallisena ja vaatimustenmukaisena ja suojaa organisaatiota ulkoistetun kehityksen kehittyviltä riskeiltä.

Käytäntökaavio

Ulkoistetun kehityksen politiikan kaavio, joka esittää elinkaaren: toimittajahuolellisuusarviointi, sopimuskontrollit, turvallinen kehittäminen, käyttäjien käyttöoikeuksien hallinta, seuranta, poistumismenettely ja poikkeusten käsittelyn vaiheet.

Napsauta kaaviota nähdäksesi sen täydessä koossa

Sisältö

Ulkoistetun kehityksen soveltamisala ja säännöt

Kolmannen osapuolen riskin ja toimittajahuolellisuusarvioinnin vaatimukset

Pakolliset sopimukselliset hallintakeinot

Lähdekoodin hallinnan velvoitteet

Poikkeusten ja riskien käsittelyn prosessi

Vaatimustenmukaisuuden seuranta ja täytäntöönpano

Kehysmääräysten noudattaminen

🛡️ Tuetut standardit ja kehykset

Tämä tuote on linjassa seuraavien vaatimustenmukaisuuskehysten kanssa, yksityiskohtaisilla lauseke- ja valvontamappingeillä.

Kehys Katetut lausekkeet / Kontrollit
ISO/IEC 27001:2022
8.1
ISO/IEC 27002:2022
5.195.205.218.27
NIST SP 800-53 Rev.5
SA-4SA-9SA-10
EU GDPR
2832
EU NIS2
21(2)(a)21(2)(h)23
EU DORA
28(1)28(2)
COBIT 2019
APO10BAI03DSS05

Liittyvät käytännöt

Auditointi- ja vaatimustenmukaisuuden seurantapolitiikka

Määrittää vaatimukset ulkoistetun kehityksen toimien tarkastelulle auditoinneissa tai vaatimustenmukaisuuskatselmuksissa.

P01 Tietoturvapolitiikka

Määrittää yritystason tietoturvaperiaatteet, joita sovelletaan sekä sisäisessä että kolmannen osapuolen kehityksessä.

P05 Muutoksenhallintapolitiikka

Varmistaa, että kaikki ulkoistetuista koodipohjista johtuvat käyttöönottoon liittyvät muutokset katselmoidaan ja hyväksytään ennen toteutusta.

Tietojen luokittelu- ja merkintäpolitiikka

Määrittää, miten arkaluonteiset tiedot tunnistetaan ennen kuin ne altistuvat kehitystoimittajille tai repositorioille.

Kryptografisten hallintakeinojen politiikka

Ohjaa, miten avaimia, salaisuuksia ja arkaluonteisia todennustietoja on käsiteltävä kehityksen ja toimituksen aikana.

Turvallisen kehittämisen politiikka

Määrittää perustason vaatimukset sisäisille ja ulkoisille ohjelmistokehityskäytännöille.

Tietoturvapoikkeamiin reagoinnin politiikka (P30)

Määrittää, miten ulkoistettuun kehitykseen liittyvät tietoturvaloukkaukset tai tietoturvaongelmat eskaloidaan, tutkitaan ja ratkaistaan.

Tietoa Clarysecin käytännöistä - Ulkoistetun kehityksen politiikka

Tehokas tietoturvan hallintotapa edellyttää enemmän kuin pelkkiä kirjauksia; se vaatii selkeyttä, vastuuvelvollisuutta ja rakenteen, joka skaalautuu organisaatiosi mukana. Yleiset mallipohjat epäonnistuvat usein ja luovat epäselvyyttä pitkien kappaleiden ja määrittelemättömien roolien vuoksi. Tämä politiikka on suunniteltu tietoturvaohjelmasi operatiiviseksi selkärangaksi. Määritämme vastuut nykyaikaisessa organisaatiossa esiintyville rooleille, mukaan lukien tietoturvajohtaja (CISO), IT- ja tietoturvatiimit sekä asiaankuuluvat ohjausryhmät, varmistaen selkeän vastuunjaon. Jokainen vaatimus on yksilöllisesti numeroitu lauseke (esim. 5.1.1, 5.1.2). Tämä atominen rakenne tekee politiikasta helpon ottaa käyttöön, auditoida yksittäisiä hallintakeinoja vasten ja räätälöidä turvallisesti vaikuttamatta asiakirjan eheyteen, muuttaen sen staattisesta dokumentista dynaamiseksi, toimeenpantavaksi viitekehykseksi.

Keskitetty kolmannen osapuolen rekisteri

Edellyttää, että kaikki ulkoistetun kehityksen projektit kirjataan ja niitä seurataan auditointia, valvontaa ja vaatimustenmukaisuutta varten.

Määritetty roolipohjainen vastuunjako

Määrittää selkeät vastuut johdolle, tietoturvajohtajalle (CISO), hankinnalle ja tietoturvatiimeille jokaisessa toimeksiannossa.

Integroitu seuranta ja työkalusto

Edellyttää tietoturvatyökalujen integrointia toimittajakoodiin, automatisoituja vaatimustenmukaisuusportteja ja aktiivista hälytysten eskalointia.

Usein kysytyt kysymykset

Suunniteltu johtajille, johtajien toimesta

Tämän käytännön on laatinut tietoturvajohtaja, jolla on yli 25 vuoden kokemus ISMS-viitekehysten käyttöönotosta ja auditoinnista globaaleissa organisaatioissa. Se ei ole pelkkä asiakirja, vaan puolustettava viitekehys, joka kestää auditorin tarkastelun.

Laatinut asiantuntija, jolla on seuraavat pätevyydet:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Kattavuus & Aiheet

🏢 Kohdeosastot

IT tietoturva vaatimustenmukaisuus hankinta toimittajahallinta

🏷️ Aiheen kattavuus

ulkoistettu kehitys turvallinen kehityksen elinkaari toimittajahallinta verkkopalveluiden turvallisuus politiikkojen elinkaaren hallinta
€59

Kertaosto

Välitön lataus
Elinikäiset päivitykset
Outsourced Development Policy

Tuotetiedot

Tyyppi: policy
Luokka: Enterprise
Standardit: 7