Policy för utlagd utveckling – SME

Denna policy för utlagd utveckling (dokumentnummer P28S) är särskilt utformad för små och medelstora företag (SME) och tillhandahåller ett pragmatiskt ramverk för säker, regelefterlevande och välstyrd utlagd programvaruutveckling. Den är fullt anpassad till ISO/IEC 27001:2022 och säkerställer att även organisationer utan dedikerade IT- eller säkerhetsteam kan följa internationell bästa branschpraxis och rättsliga skyldigheter när de anlitar externa utvecklare, frilansare eller tredjepartsbyråer. Policyn fastställer tydliga roller och ansvar för verkställande direktör, som fungerar som huvudsaklig befogenhet för leverantörsgodkännande, avtalsmässig tillsyn och avhjälpande åtgärder, samt projektägare, som ansvarar för daglig samordning, funktionsvalidering och säker överlämning. Genom att betona behovet av genomdrivbara avtal, sekretessavtal (NDA) och dokumenterade överenskommelser om ägande av tillgångar och överföring av rättigheter skyddar policyn organisationer mot risker såsom osäker kod, felaktig återanvändning av proprietära tillgångar, dataexponering, leverantörsinlåsning och bristande regelefterlevnad (inklusive GDPR, NIS2 och DORA). Obligatoriska styrningskontroller fastställs och kräver att avtal specificerar skyldigheter för säker utveckling, regelbundna riskbedömningar av verkställande direktör samt korrekt hantering av alla systemautentiseringsuppgifter och åtkomst. Säkerhetsförväntningar omfattar utvecklarens skyldigheter att använda tekniker för säker kodning (med hänvisning till standarder som OWASP Top 10), grundlig dokumentation, noggrant val av bibliotek samt ett strikt förbud mot att behålla åtkomst eller företagsdata efter projektavslut. Omfattande förfaranden säkerställer att varje utlagt projekt föregås av leverantörsgranskning, valideras genom funktions- och säkerhetstestning (helst av någon annan än utvecklaren) och avslutas först efter fullständig leverans av källkod, bygginstruktioner och överföring av alla autentiseringsuppgifter. Policyn är SME-specifik och använder förenklade roller såsom verkställande direktör och projektägare i stället för traditionella CISO- eller SOC-funktioner. Det innebär att den ger steg-för-steg-instruktioner som kan utföras av affärs- eller driftchefer och inkluderar riskbedömningsförfaranden, statusuppföljning av undantag och vägledning för incidentrespons anpassad för organisationer utan omfattande tekniska resurser. Varje uppdrag måste stödjas av dokumenterade överenskommelser och revisionsspår är obligatoriska, vilket stödjer regulatorisk rapportering och interna granskningar. Årlig och interimistisk policyöversyn ska genomföras av verkställande direktör för att säkerställa att kontrollerna förblir aktuella i förhållande till SME-risker och föränderliga efterlevnadsstandarder. Policyn för utlagd utveckling ingår i en uppsättning SME-orienterade kontroller och är avsedd att implementeras tillsammans med relaterade policyer, såsom styrningsroller, åtkomstkontroll, säkerhetsmedvetenhetsutbildning, dataskydd, säker utveckling och incidentrespons, för att hantera risker vid utlagd utveckling holistiskt och uppfylla standarder som ISO/IEC 27001:2022, ISO 27002:2022, GDPR med flera.