policy Enterprise

Polityka rozwoju oprogramowania w outsourcingu

Zapewnij bezpieczny, zgodny z wymaganiami rozwój w outsourcingu dzięki solidnym środkom kontrolnym, zarządzaniu dostawcami i praktykom cyklu życia rozwoju systemów, aby chronić oprogramowanie organizacji.

Przegląd

Polityka rozwoju oprogramowania w outsourcingu określa obowiązkowe zabezpieczenia, zarządzanie oraz zgodność dla angażowania dostawców usług stron trzecich w rozwój oprogramowania, zapewniając bezpieczne kodowanie, właściwy nadzór nad dostawcami oraz rozwój w outsourcingu zarządzany ryzykiem w całej organizacji.

Kompleksowe bezpieczeństwo dostawców

Wymaga due diligence dostawców, oceny ryzyka oraz bezpiecznego kodowania dla wszystkich dostawców usług stron trzecich realizujących rozwój.

Zgodność z wymaganiami umownymi

Wymaga prawnie wiążących zapisów dotyczących bezpieczeństwa, własności IP oraz prawa do audytu w każdej umowie rozwojowej.

Kompleksowa kontrola dostępu

Określa ścisłą kontrolę dostępu, monitorowanie oraz offboarding dla zewnętrznych programistów w celu ochrony kodu i systemów.

Zgodność z głównymi normami

Wspiera zgodność z ISO/IEC 27001, NIST, GDPR, NIS2, DORA oraz COBIT 2019 w zakresie rozwoju realizowanego przez strony trzecie.

Czytaj pełny przegląd
Polityka rozwoju oprogramowania w outsourcingu (P28) ustanawia kompleksowe ramy bezpiecznego zarządzania projektami rozwoju oprogramowania lub systemów realizowanymi przez zewnętrznych dostawców, wykonawców lub agencje. Jej głównym celem jest osadzenie środków kontrolnych bezpieczeństwa i mechanizmów zarządzania w całym cyklu życia rozwoju, od planowania i negocjacji umów po dostarczenie, monitorowanie oraz działania po zakończeniu współpracy. Poprzez wymaganie jasno zdefiniowanego zestawu obowiązków bezpieczeństwa — od due diligence dostawców i ocen ryzyka po wymuszone normy kodowania i wymogi umowne — polityka ma na celu ochronę poufności, integralności i dostępności wszystkich rozwiązań rozwijanych dla organizacji. Zakres polityki obejmuje każdą inicjatywę firmy, która wiąże się z rozwojem realizowanym przez strony trzecie, w tym aplikacje webowe i mobilne, systemy wbudowane, interfejsy API, platformy wewnętrzne i komercyjne oraz przepływy pracy automatyzacji. W szczególności reguluje również każdy podmiot zewnętrzny wymagający dostępu do kodu źródłowego organizacji, środowisk testowych lub potoków CI/CD. Wymagania obowiązują niezależnie od tego, gdzie i w jaki sposób działa dostawca, zapewniając, że różnice geograficzne lub umowne nie tworzą luk bezpieczeństwa. Cele polityki wynikają z minimalizacji ekspozycji na zagrożenia łańcucha dostaw, niezgodności regulacyjnej (np. GDPR lub DORA), kradzieży własności intelektualnej oraz niezabezpieczonych protokołów bezpiecznego kodowania, które mogłyby wprowadzać podatności lub ryzyko regulacyjne. Aby to osiągnąć, polityka przypisuje jednoznaczne obowiązki kierownictwu wykonawczemu, Dyrektorowi ds. bezpieczeństwa informacji (CISO), zakupom oraz prawu i zgodności, właścicielom projektów i produktów, zespołowi ds. bezpieczeństwa informacji oraz zewnętrznym dostawcom. Centralnym elementem podejścia jest Rejestr rozwoju przez strony trzecie jako jedno źródło prawdy dla wszystkich współprac z dostawcami, ustaleń due diligence, rejestru odstępstw od polityki oraz statusów umów. Wymagania zarządzania obejmują due diligence dostawców, ocenę ryzyka bezpieczeństwa oraz zestaw minimalnych środków kontrolnych umownych, takich jak przestrzeganie praktyk bezpiecznego kodowania, testy bezpieczeństwa, specyfikacje własności IP, realizacja umowy o zachowaniu poufności oraz postanowienia dotyczące prawa do audytu. Kod źródłowy jest zarządzany wyłącznie poprzez platformy kontrolowane przez przedsiębiorstwo, z ochroną gałęzi, oceną wzajemną oraz ścisłymi protokołami offboardingu zapobiegającymi wyciekowi kodu lub nieuprawnionemu ponownemu użyciu. Cały dostęp stron trzecich jest nadawany w ramach dostępu ograniczonego czasowo i zasady najmniejszych uprawnień, monitorowany poprzez rejestrowanie audytowe oraz szybko wycofywany po zakończeniu współpracy. Integracja repozytoriów dostawców z narzędziami ochrony punktów końcowych i narzędziami bezpieczeństwa przedsiębiorstwa do analizy kodu, wymuszenia polityk potoków CI/CD oraz zarządzania odstępstwami jest wymagana, gdy jest to wykonalne. Wnioski o odstępstwo są obsługiwane poprzez formalny proces postępowania z ryzykiem i zatwierdzania prowadzony przez Dyrektora ds. bezpieczeństwa informacji (CISO), w tym dokumentowanie uzasadnienia, ograniczanie ryzyka oraz terminów działań naprawczych. Zespół ds. bezpieczeństwa informacji prowadzi bieżące monitorowanie i audyty zgodności, a naruszenia skutkują natychmiastowym cofnięciem dostępu, zawieszeniem projektu, działaniami prawnymi lub środkami dyscyplinarnymi, stosownie do sytuacji. Polityka jest przeglądana co najmniej raz w roku lub po zmianach w otoczeniu regulacyjnym, ustaleniach z reagowania na incydenty lub wynikach audytu wewnętrznego. Wszystkie zmiany są objęte systemami kontroli wersji, komunikowane i przywoływane w dokumentacji proceduralnej. Dzięki tym mechanizmom oraz ścisłemu mapowaniu do wiodących norm międzynarodowych i wymogów prawnych Polityka rozwoju oprogramowania w outsourcingu zapewnia, że dostarczanie oprogramowania przez strony trzecie pozostaje bezpieczne i zgodne, chroniąc organizację przed zmieniającymi się ryzykami rozwoju w outsourcingu.

Diagram polityki

Diagram Polityki rozwoju oprogramowania w outsourcingu pokazujący cykl życia: due diligence dostawców, środki kontrolne umowne, bezpieczny rozwój oprogramowania, zarządzanie dostępem użytkowników, monitorowanie, offboarding oraz obsługa wyjątków.

Kliknij diagram, aby wyświetlić w pełnym rozmiarze

Zawartość

Zakres i zasady rozwoju w outsourcingu

Wymagania dotyczące ryzyka strony trzeciej i due diligence dostawców

Obowiązkowe środki kontrolne umowne

Obowiązki w zakresie zarządzania kodem źródłowym

Proces obsługi wyjątków i postępowania z ryzykiem

Monitorowanie zgodności i egzekwowanie

Zgodność z frameworkiem

🛡️ Obsługiwane standardy i frameworki

Ten produkt jest zgodny z następującymi frameworkami zgodności, ze szczegółowym mapowaniem klauzul i kontroli.

Framework Objęte klauzule / Kontrole
ISO/IEC 27001:2022
8.1
ISO/IEC 27002:2022
5.195.205.218.27
NIST SP 800-53 Rev.5
SA-4SA-9SA-10
EU GDPR
2832
EU NIS2
21(2)(a)21(2)(h)23
EU DORA
28(1)28(2)
COBIT 2019
APO10BAI03DSS05

Powiązane polityki

Polityka audytu i monitorowania zgodności

Określa wymagania dotyczące przeglądu działań rozwoju w outsourcingu podczas audytów lub przeglądów zgodności.

P01 Polityka bezpieczeństwa informacji

Ustanawia zasady bezpieczeństwa na poziomie przedsiębiorstwa, które mają zastosowanie w kontekstach rozwoju wewnętrznego i realizowanego przez strony trzecie.

P05 Polityka zarządzania zmianą

Zapewnia, że wszystkie zmiany związane z wdrożeniem pochodzące z baz kodu w outsourcingu są przeglądane i zatwierdzane przed implementacją.

Polityka klasyfikacji danych i etykietowania

Określa, w jaki sposób dane wrażliwe są identyfikowane przed udostępnieniem dostawcom rozwoju lub repozytoriom.

Polityka kontroli kryptograficznych

Wskazuje, jak klucze, sekrety i wrażliwe dane uwierzytelniające muszą być obsługiwane podczas rozwoju i dostarczania.

Polityka bezpiecznego rozwoju oprogramowania

Definiuje bazowe wymagania dla praktyk rozwoju oprogramowania wewnętrznego i realizowanego przez strony trzecie.

Polityka reagowania na incydenty (P30)

Reguluje, w jaki sposób naruszenia lub kwestie bezpieczeństwa związane z rozwojem w outsourcingu są eskalowane, badane i rozwiązywane.

O politykach Clarysec - Polityka rozwoju oprogramowania w outsourcingu

Skuteczne zarządzanie bezpieczeństwem wymaga czegoś więcej niż samych zapisów; wymaga jasności, rozliczalności i struktury, która skaluje się wraz z organizacją. Ogólne szablony często zawodzą, tworząc niejednoznaczność poprzez długie akapity i nieokreślone role. Ta polityka została zaprojektowana jako operacyjny fundament programu bezpieczeństwa. Przypisujemy odpowiedzialności do konkretnych ról występujących w nowoczesnym przedsiębiorstwie, w tym Dyrektora ds. bezpieczeństwa informacji (CISO), zespołów IT i bezpieczeństwa informacji oraz właściwych komitetów, zapewniając jednoznaczną rozliczalność. Każde wymaganie jest unikalnie ponumerowaną klauzulą (np. 5.1.1, 5.1.2). Taka atomowa struktura ułatwia wdrożenie, audytowanie względem konkretnych środków kontrolnych oraz bezpieczne dostosowanie bez naruszania integralności dokumentu, przekształcając go ze statycznego dokumentu w dynamiczne, wykonalne ramy.

Scentralizowany rejestr stron trzecich

Wymaga, aby wszystkie projekty rozwoju w outsourcingu były rejestrowane i śledzone na potrzeby audytu, nadzoru i zgodności.

Zdefiniowana rozliczalność oparta na rolach

Określa jasne odpowiedzialności dla kierownictwa, Dyrektora ds. bezpieczeństwa informacji (CISO), zakupów oraz zespołów ds. bezpieczeństwa w każdej współpracy.

Zintegrowane monitorowanie i integracja narzędzi i automatyzacji

Wymaga integracji narzędzi bezpieczeństwa z kodem dostawcy, z automatycznymi bramkami zgodności i eskalacją automatycznych alertów w ramach aktywnego monitorowania.

Często zadawane pytania

Stworzone dla liderów, przez liderów

Niniejsza polityka została opracowana przez lidera ds. bezpieczeństwa z ponad 25-letnim doświadczeniem w zakresie wdrażania i audytowania systemów ISMS w globalnych organizacjach. Została zaprojektowana nie tylko jako dokument, lecz jako obronne ramy, które wytrzymują kontrolę audytora.

Opracowane przez eksperta posiadającego:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Zasięg i tematy

🏢 Docelowe działy

IT Bezpieczeństwo Zgodność Zakupy Zarządzanie dostawcami

🏷️ Zakres tematyczny

Rozwój w outsourcingu cykle życia rozwoju systemów Zarządzanie dostawcami Bezpieczeństwo usług sieciowych zarządzanie cyklem życia polityk i procedur
€59

Jednorazowy zakup

Natychmiastowe pobieranie
Dożywotnie aktualizacje
Outsourced Development Policy

Szczegóły produktu

Typ: policy
Kategoria: Enterprise
Standardy: 7