Policy för utlagd utveckling

Policy för utlagd utveckling (P28) etablerar ett omfattande ramverk för att säkert hantera programvaru- eller systemutvecklingsprojekt som utförs av externa leverantörer, uppdragstagare eller byråer. Dess primära syfte är att integrera säkerhetskontroller och styrningsmekanismer genom hela utvecklingslivscykeln, från planering och avtalsförhandling till leverans, övervakning och aktiviteter efter avslutat engagemang. Genom att föreskriva en tydligt definierad uppsättning säkerhetsförpliktelser, från leverantörsgranskning och riskbedömningar till genomdrivna kodningsstandarder och avtalskrav, syftar policyn till att skydda konfidentialitet, riktighet och tillgänglighet för all programvara som utvecklas för organisationen. Policyns omfattning sträcker sig till alla företagsinitiativ som involverar tredjepartsutveckling, inklusive webb- och mobilapplikationer, inbäddade system, API:er, interna och kommersiella plattformar samt automatiseringsarbetsflöden. Den styr även varje extern entitet som behöver åtkomst till organisationens källkod, testmiljöer eller CI/CD-pipelines. Kraven gäller oavsett var eller hur leverantören arbetar, vilket säkerställer att geografiska eller avtalsmässiga skillnader inte skapar säkerhetsluckor. Policyns mål är att minimera exponering mot hot i leveranskedjan, bristande regelefterlevnad (t.ex. GDPR eller DORA), stöld av immateriella rättigheter och osäkra kodningspraxis som kan introducera sårbarheter eller regulatorisk risk. För att uppnå detta tilldelar den uttryckliga ansvar till Högsta ledningen, informationssäkerhetschef (CISO), upphandling och juridik, projekt- och produktägare, informationssäkerhetsteam samt externa leverantörer. Centralt i detta angreppssätt är tredjepartsutvecklingsregistret, en enda källa till sanning för alla leverantörsengagemang, resultat från leverantörsgranskning, undantagsloggar och avtalsstatus. Styrningskrav inkluderar leverantörsgranskning, säkerhetsrelaterad riskbedömning och en uppsättning minimikrav för avtalskontroller, såsom efterlevnad av ramverk för säker kodning, säkerhetstestning, specifikationer för ägande av immateriella rättigheter, genomförande av sekretessavtal (NDA) samt revisionsrättsvillkor. Källkod hanteras uteslutande via företagskontrollerade plattformar, med branch protection, kollegial granskning och strikta offboarding-protokoll som förhindrar kodläckage eller obehörig återanvändning. All tredjepartsåtkomst tilldelas under tidsbegränsad åtkomst och principen om minsta privilegium, övervakas via revisionsloggar och återkallas snabbt när engagemanget avslutas. Integrering av leverantörsrepositories i företagets säkerhetsverktyg för kodanalys, genomdrivande av CI/CD-policyer och avvikelsehantering krävs när det är genomförbart. Undantagsbegäran hanteras genom en formell riskbehandling och godkännandeprocess ledd av informationssäkerhetschef (CISO), inklusive dokumentation av motivering, riskreducering och tidslinjer för avhjälpande åtgärder. Informationssäkerhetsteam genomför löpande övervakning och säkerhetsrevisioner, där överträdelser kan leda till omedelbar återkallelse av åtkomst, projektstopp, rättsliga åtgärder eller disciplinära åtgärder efter behov. Policyn ses över minst årligen eller efter förändringar i det regulatoriska landskapet, resultat från incidentrespons eller utfall från internrevision. Alla ändringar versionshanteras, kommuniceras och refereras i procedurdokumentation. Genom dessa mekanismer och sin nära koppling till ledande internationella standarder och rättsliga krav säkerställer Policy för utlagd utveckling att tredjepartsleverans av programvara förblir säker och regelefterlevande och skyddar organisationen mot de föränderliga riskerna med utlagd utveckling.