Polityka rozwoju oprogramowania w outsourcingu - SME

Ta Polityka rozwoju oprogramowania w outsourcingu (numer dokumentu P28S) została zaprojektowana specjalnie dla małych i średnich przedsiębiorstw (MŚP), zapewniając pragmatyczne ramy dla bezpiecznego, zgodnego i dobrze zarządzanego rozwoju oprogramowania w outsourcingu. Jest w pełni zgodna z ISO/IEC 27001:2022, zapewniając, że nawet organizacje bez dedykowanych zespołów IT lub bezpieczeństwa mogą stosować najlepsze praktyki branżowe i obowiązki prawne podczas angażowania zewnętrznych programistów, freelancerów lub zewnętrznych dostawców. Polityka ustanawia jasne role i odpowiedzialności dla Dyrektora generalnego (GM), który pełni rolę głównego organu w zakresie zatwierdzania dostawców, nadzoru umownego i działań naprawczych, oraz Właściciela projektu, który odpowiada za bieżącą koordynację, walidację funkcjonalną i bezpieczne przekazanie. Poprzez podkreślenie potrzeby egzekwowalnych umów, umów o zachowaniu poufności oraz udokumentowanych uzgodnień dotyczących własności aktywów i przeniesienia praw, polityka chroni organizacje przed ryzykami takimi jak niezabezpieczony kod, niewłaściwe ponowne wykorzystanie aktywów zastrzeżonych, ekspozycja danych, uzależnienie od dostawcy oraz niezgodność z regulacjami (w tym GDPR, NIS2 i DORA). Określono obowiązkowe zabezpieczenia organizacyjne, wymagające, aby umowy precyzowały zobowiązania w zakresie bezpiecznego rozwoju, regularne oceny ryzyka przez GM oraz właściwe zarządzanie wszystkimi danymi uwierzytelniającymi i dostępem do systemów. Oczekiwania bezpieczeństwa obejmują obowiązki programistów w zakresie stosowania technik bezpiecznego kodowania (z odniesieniem do norm takich jak OWASP Top 10), kompletnej dokumentacji, starannego doboru bibliotek oraz ścisłego zakazu utrzymywania dostępu lub danych korporacyjnych po zamknięciu projektu. Kompleksowe procedury zapewniają, że każdy projekt w outsourcingu jest poprzedzony due diligence dostawców, zwalidowany poprzez testy funkcjonalne i testy bezpieczeństwa (preferencyjnie przez osobę inną niż programista) oraz zakończony dopiero po pełnym dostarczeniu kodu źródłowego, instrukcji budowania i przekazaniu wszystkich poświadczeń. Polityka jest specyficzna dla MŚP, wykorzystując uproszczone role, takie jak Dyrektor generalny i Właściciel projektu, zamiast tradycyjnych stanowisk CISO lub centrum operacji bezpieczeństwa (SOC). Oznacza to, że zapewnia instrukcje krok po kroku możliwe do wykonania przez menedżerów biznesowych lub operacyjnych oraz obejmuje procedury oceny ryzyka, śledzenie wyjątków i wytyczne reagowania na incydenty dostrojone do organizacji bez rozbudowanych zasobów technicznych. Każde zaangażowanie musi być poparte udokumentowanymi uzgodnieniami, a ścieżka audytu jest obowiązkowa, wspierając obowiązki sprawozdawcze regulacyjne i przeglądy wewnętrzne. Coroczne i okresowe przeglądy polityki muszą być przeprowadzane przez GM, zapewniając, że środki kontrolne pozostają aktualne wobec ryzyk charakterystycznych dla MŚP i ewoluujących norm zgodności. Polityka rozwoju oprogramowania w outsourcingu jest częścią zestawu środków kontrolnych ukierunkowanych na MŚP i ma być wdrażana łącznie z powiązanymi politykami, takimi jak role zarządzania, kontrola dostępu, szkolenie z zakresu świadomości bezpieczeństwa, ochrona danych, bezpieczny rozwój oprogramowania oraz reagowanie na incydenty, aby całościowo zarządzać ryzykami rozwoju w outsourcingu, zgodnie z normami takimi jak ISO/IEC 27001:2022, ISO 27002:2022, GDPR i innymi.