Turvallisen kehittämisen politiikka - SME

Turvallisen kehittämisen politiikka (P24S) on laadittu erityisesti pienille ja keskisuurille yrityksille (pk-yrityksille), ja se on mukautettu erityisesti organisaatioille, joilta puuttuvat erilliset IT- tai tietoturvatiimit. Pk-yritysten resurssirajoitteet huomioiden politiikka nimeää toimitusjohtajan (GM) keskeiseksi toimijaksi politiikan hyväksynnässä, käyttöönotossa, sopimusvalvonnassa ja vaatimustenmukaisuudessa, mikä virtaviivaistaa hallintotapaa ympäristöissä, joissa CISO- tai SOC-rooleja ei välttämättä ole. Tästä yksinkertaistuksesta huolimatta politiikka on täysin linjassa kansainvälisesti tunnustettujen tietoturvastandardien kanssa, erityisesti ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, EU NIS2, EU DORA, COBIT 2019 ja EU GDPR, varmistaen, että vaatimustenmukaisuusvelvoitteet täyttyvät käytännöllisyyttä heikentämättä. Tämän asiakirjan tarkoituksena on edellyttää perustason turvallisen ohjelmoinnin ja kehittämisen käytäntöjä kaikille ohjelmistoille, skripteille ja verkkopohjaisille työkaluille, joita organisaatio tai sen kumppanit luovat tai muokkaavat. Se asettaa kattavat tietoturvavaatimukset koko sisäisesti kehitetyn, ulkoistetun tai kolmannen osapuolen toimittaman koodin kenttään, mukaan lukien lisäosat, komponentit ja automaatiotyökalut. Politiikan määritelty soveltamisala kattaa kaikki kehitystoimintaan liittyvät ympäristöt: kehitys-, staging-, esituotanto- ja tuotantoympäristön, ja se ohjaa erityisesti sitä, miten arkaluonteista tai tuotantodataa käsitellään näissä ympäristöissä. Keskeisissä tavoitteissaan politiikka keskittyy tietoturvavirheiden ehkäisyyn ohjelmistokehityksen elinkaaren jokaisessa vaiheessa. Tämä sisältää pakotetun turvallisen ohjelmoinnin standardien käytön (kuten OWASP Top 10), muodollistetut koodikatselmointiprosessit, pakollisen tietoturvatestauksen ennen julkaisua sekä hallitun pääsyn kaikkiin kehitys- ja tuotantojärjestelmiin. Politiikka tuo selkeät vaatimukset toimittaja- ja kolmannen osapuolen hallintaan, mukaan lukien sopimukselliset tietoturvalausekkeet, kolmannen osapuolen komponenttien validoinnin haavoittuvuuksien ja lisensoinnin osalta sekä vaatimustenmukaisuuden säännöllisen seurannan tai auditoinnin säilytettävien artefaktien ja dokumentaation avulla. Päivittäisen vastuun varmistamiseksi määritellään virtaviivaistetut roolit ja vastuut: toimitusjohtaja valvoo ja hyväksyy kaikki kehityksen tietoturvatoimet, sisäiset kehittäjät ja sovellusomistajat noudattavat turvallisia käytäntöjä ja raportointia, ulkoiset toimittajat sidotaan sopimuksellisesti tietoturvasitoumuksiin ja vaadittuun testaukseen, ja IT-palveluntarjoajat tai järjestelmänvalvojat hallitsevat turvallista pääsyä ja käyttöönottoa sekä varmistavat ympäristöjen eriyttämisen. Tämän pk-yrityspolitiikan olennainen osa on jäsennelty riskien käsittely ja poikkeusprosessi. Kaikki poikkeamat turvallisista käytännöistä tai riskit, joita ei voida välittömästi korjata, on arvioitava muodollisesti ja hyväksytettävä toimitusjohtajalla, ja ne on arvioitava uudelleen säännöllisesti riskiaseman muutosten hallitsemiseksi. Politiikka määrittää myös vahvat täytäntöönpano- ja auditointivalmiuskontrollit, edellyttäen, että kaikki tarkistuslistat, katselmointihyväksynnät, testitulokset ja inventaariot säilytetään turvallisesti ja ovat viipymättä saatavilla ISO-auditointeja, sääntelytarkastelua tai asiakaspyyntöjä varten. Lopuksi katselmointi- ja päivitysvaatimukset varmistavat, että politiikka pysyy ajan tasalla kehittyvien kehitysteknologioiden, viitekehysten ja sääntelymuutosten kanssa, osoittaen ennakoivaa lähestymistapaa organisaation turvallisuuteen ja sääntelyvaatimusten noudattamiseen pk-yrityssektorilla.