policy Enterprise

Kiszervezett fejlesztési szabályzat

Biztosítsa a biztonságos, megfelelő kiszervezett fejlesztést robusztus kontrollokkal, beszállítókezeléssel és SDLC-gyakorlatokkal, hogy megvédje a szervezet szoftvereit.

Áttekintés

A kiszervezett fejlesztési szabályzat kötelező biztonsági, irányítási és megfelelési kontrollokat határoz meg harmadik fél szoftverfejlesztők bevonásához, biztosítva a biztonságos kódolás, a megfelelő beszállítói felügyelet és a kockázatkezelt kiszervezett fejlesztés megvalósítását a szervezet egészében.

Végponttól végpontig terjedő beszállítói biztonság

Előírja a beszállítói átvilágítás, a kockázatértékelés és a biztonságos kódolás alkalmazását valamennyi harmadik fél fejlesztési partner esetén.

Szerződéses megfelelés

Minden fejlesztési megállapodásban jogilag kötelező érvényű biztonsági követelményeket, IP-tulajdonjogot és az auditálási jog feltételeit írja elő.

Átfogó hozzáférés-ellenőrzés

Szigorú hozzáférés-ellenőrzést, monitorozást és kiléptetés meghatározását írja elő külső fejlesztők számára a kód és a rendszerek védelmére.

Összhangban a főbb szabványokkal

Támogatja az ISO/IEC 27001, NIST, GDPR, NIS2, DORA és COBIT 2019 megfelelést harmadik fél általi fejlesztés esetén.

Teljes áttekintés olvasása
A kiszervezett fejlesztési szabályzat (P28) átfogó keretrendszert hoz létre a külső beszállítók, vállalkozók vagy ügynökségek által végrehajtott szoftver- vagy rendszerfejlesztési projektek biztonságos kezelésére. Elsődleges célja, hogy a fejlesztési életciklus teljes egészében – a tervezéstől és szerződéses tárgyalástól a szállításon, monitorozáson és a bevonást követő tevékenységeken át – beágyazza a biztonsági kontrollokat és az irányítási mechanizmusokat. A beszállítói átvilágítás és a kockázatértékelés előírásától a kikényszerített biztonságos kódolás és szerződéses követelmények alkalmazásáig terjedő, egyértelműen meghatározott biztonsági kötelezettségek révén a szabályzat célja a szervezet által fejlesztett szoftverek bizalmasságának, sértetlenségének és rendelkezésre állásának védelme. A szabályzat hatóköre kiterjed minden olyan vállalati kezdeményezésre, amely harmadik fél általi fejlesztést foglal magában, beleértve a webes és mobilalkalmazásokat, beágyazott rendszereket, alkalmazásprogramozási interfészeket, belső és kereskedelmi platformokat, valamint automatizálási munkafolyamatokat. Különösen szabályozza továbbá minden olyan külső entitást, amely hozzáférést igényel a szervezet forráskódjához, tesztkörnyezetekhez vagy CI/CD pipeline-okhoz. A követelmények a beszállító működési helyétől és módjától függetlenül érvényesek, biztosítva, hogy a földrajzi vagy szerződéses különbségek ne hozzanak létre biztonsági réseket. A szabályzat célkitűzései a beszállítói lánc fenyegetéseinek, a jogszabályi meg nem felelésnek (például GDPR vagy DORA), a szellemi tulajdon eltulajdonításának, valamint a nem biztonságos fejlesztési gyakorlatoknak való kitettséget csökkentik, amelyek sérülékenységeket vagy szabályozási kockázatot okozhatnak. Ennek érdekében egyértelmű felelősségeket rendel a felső vezetés, a CISO, a beszerzés és a jogi és megfelelőségi terület, a projekt- és terméktulajdonosok, az információbiztonság, valamint a külső beszállítók számára. A megközelítés központi eleme a harmadik fél fejlesztési nyilvántartás, amely egységes nyilvántartásként szolgál minden beszállítói bevonásról, a beszállítói átvilágítás megállapításairól, a szabályzati kivételek naplójáról és a szerződéses státuszokról. Az irányítási követelmények magukban foglalják a beszállítói átvilágítás, a kockázatértékelés és a minimális szerződéses kontrollok készletét, például a biztonságos kódolás keretrendszerekhez való igazodást, a biztonsági tesztelést, az IP-tulajdonjogi specifikációkat, a titoktartási megállapodás megkötését, valamint az auditálási jog feltételeinek alkalmazását. A forráskód kizárólag vállalati kontroll alatt álló platformokon kezelhető, ágvédelemmel, társfelülvizsgálattal és szigorú kiléptetési protokollokkal, amelyek megakadályozzák a kódszivárgást vagy a jogosulatlan újrafelhasználást. Minden harmadik fél hozzáférése időkorlátozott hozzáférés és a legkisebb jogosultság elve szerinti hozzáférés-irányítás alatt kerül kiosztásra, auditnaplózás útján monitorozva, és a bevonás lezárásakor gyorsan visszavonva. A beszállítói tárolók vállalati biztonsági eszközökbe történő integrációja kódelemzéshez, CI/CD szabályzat-kikényszerítéshez és eltéréskezeléshez – ahol megvalósítható – kötelező. A kivételkérelmek kezelése formális kockázatkezelési és jóváhagyási folyamaton keresztül történik, amelyet a CISO vezet, beleértve az indoklás, a kockázatcsökkentő védelmi intézkedések és a korrekciós intézkedések határidőinek dokumentálását. Az információbiztonsági csapat folyamatos monitorozást és megfelelőségi auditokat végez; a szabálysértések azonnali hozzáférés-visszavonást, projektfelfüggesztést, jogi lépéseket vagy fegyelmi intézkedéseket vonhatnak maguk után, a helyzettől függően. A szabályzatot legalább évente, illetve a szabályozási környezet változását, az incidensreagálás megállapításait vagy a belső audit kimeneteit követően felül kell vizsgálni. Minden változtatás verziókezelő rendszerekben kerül nyilvántartásra, kommunikálásra és eljárásdokumentációban hivatkozásra. E mechanizmusok és a vezető nemzetközi szabványokhoz és jogi előírásokhoz való szoros illeszkedés révén a kiszervezett fejlesztési szabályzat biztosítja, hogy a harmadik fél általi szoftverszállítás biztonságos és megfelelő maradjon, megvédve a szervezetet a kiszervezett fejlesztés változó kockázataitól.

Irányelv-diagram

Kiszervezett fejlesztési szabályzat diagram, amely az életciklust mutatja: beszállítói átvilágítás, szerződéses kontrollok, biztonságos fejlesztés, hozzáférés-kezelés, monitorozás, kiléptetés és kivételkezelés lépések.

Kattintson a diagramra a teljes méret megtekintéséhez

Tartalom

A kiszervezett fejlesztés hatóköre és szabályai

Harmadik fél kockázati és beszállítói átvilágítási követelmények

Kötelező szerződéses kontrollok

Forráskódkezelési kötelezettségek

Kivételkezelés és kockázatkezelés folyamata

Megfelelés-monitorozás és érvényesítés

Keretrendszer-megfelelőség

🛡️ Támogatott szabványok és keretrendszerek

Ez a termék a következő megfelelőségi keretrendszerekhez igazodik, részletes záradék- és vezérlőleképezésekkel.

Keretrendszer Lefedett záradékok / Vezérlők
ISO/IEC 27001:2022
8.1
ISO/IEC 27002:2022
5.195.205.218.27
NIST SP 800-53 Rev.5
SA-4SA-9SA-10
EU GDPR
2832
EU NIS2
21(2)(a)21(2)(h)23
EU DORA
28(1)28(2)
COBIT 2019
APO10BAI03DSS05

Kapcsolódó irányelvek

Audit és megfelelés-monitorozási szabályzat

Követelményeket ad a kiszervezett fejlesztési tevékenységek felülvizsgálatához auditok vagy megfelelőségi felülvizsgálatok során.

P01 Információbiztonsági szabályzat

Vállalati szintű biztonsági elveket határoz meg, amelyek belső és harmadik fél általi fejlesztési környezetekben egyaránt alkalmazandók.

P05 Változáskezelési szabályzat

Biztosítja, hogy a kiszervezett kódbázisokból származó, telepítéssel kapcsolatos változtatások bevezetés előtt felülvizsgálatra és jóváhagyásra kerüljenek.

Adatosztályozási és címkézési szabályzat

Meghatározza, hogyan kell az érzékeny adatokat azonosítani, mielőtt fejlesztési beszállítók vagy tárolók számára elérhetővé válnának.

Kriptográfiai kontrollok szabályzata

Útmutatást ad arra, hogyan kell a kulcsokat, titkokat és érzékeny hitelesítő adatokat kezelni a fejlesztés és a szállítás során.

Biztonságos fejlesztési szabályzat

Alapkövetelményeket határoz meg a belső és külső szoftverfejlesztési gyakorlatokhoz.

Incidensreagálási szabályzat

Szabályozza, hogyan kell a kiszervezett fejlesztést érintő bejelentésköteles incidensek vagy biztonsági problémák eszkalációját, vizsgálatát és megoldását kezelni.

A Clarysec irányelveiről - Kiszervezett fejlesztési szabályzat

A hatékony biztonsági irányítás több mint puszta megfogalmazás; egyértelműséget, elszámoltathatóságot és a szervezettel együtt skálázódó struktúrát igényel. Az általános sablonok gyakran kudarcot vallanak, mert kétértelműséget teremtenek hosszú bekezdésekkel és nem definiált szerepkörökkel. Ez a szabályzat úgy készült, hogy a biztonsági program operatív gerince legyen. A felelősségeket a modern vállalatokban ténylegesen meglévő szerepkörökhöz rendeljük, beleértve a CISO-t, az IT- és információbiztonsági csapatokat és a releváns bizottságokat, biztosítva az egyértelmű elszámoltathatóságot. Minden követelmény egyedi sorszámozású záradék (pl. 5.1.1, 5.1.2). Ez az atomi struktúra megkönnyíti a bevezetést, az auditálást konkrét kontrollok mentén, és a biztonságos testreszabást a dokumentum integritásának sérülése nélkül, így a szabályzat statikus dokumentumból dinamikus, végrehajtható keretrendszerré válik.

Központosított harmadik fél nyilvántartás

Előírja, hogy minden kiszervezett fejlesztési projektet naplózni és nyomon követni kell audit, felügyelet és megfelelés céljából.

Meghatározott szerepköralapú elszámoltathatóság

Egyértelmű felelősségeket határoz meg a vezetőség, a CISO, a beszerzés és a biztonsági csapatok számára minden bevonás során.

Integrált monitorozás és eszközök

Előírja a biztonsági eszközök integrációját a beszállítói kóddal, automatizált megfelelőségi kapukkal és aktív riasztási eszkalációval.

Gyakran ismételt kérdések

Vezetőknek, vezetők által

Ez az irányelv egy biztonsági vezető által készült, aki több mint 25 éves tapasztalattal rendelkezik ISMS keretrendszerek bevezetésében és auditálásában globális vállalatoknál. Nem csupán dokumentumként készült, hanem olyan védhető keretrendszerként, amely megfelel az auditorok vizsgálatának.

Az alábbi képesítésekkel rendelkező szakértő készítette:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Lefedettség és témák

🏢 Célterületek

IT Biztonság Megfelelés Beszerzés beszállító-kezelés

🏷️ Témafedezet

Kiszervezett fejlesztés Biztonságos fejlesztési életciklus beszállító-kezelés Hálózati szolgáltatások biztonsága Szabályzatkezelés
€59

Egyszeri vásárlás

Azonnali letöltés
Élethosszig tartó frissítések
Outsourced Development Policy

Termék részletei

Típus: policy
Kategória: Enterprise
Szabványok: 7