Policy för säker utveckling – SME

Policy för säker utveckling (P24S) är särskilt utformad för små och medelstora företag (SME), med särskild anpassning för organisationer som saknar dedikerade IT- eller säkerhetsteam. Med hänsyn till SME:s resursbegränsningar tilldelar policyn verkställande direktör (GM) som central befogenhet för policygodkännande, införande, avtalsöversyn och regelefterlevnad, vilket effektiviserar styrning i miljöer där roller som informationssäkerhetschef (CISO) eller säkerhetsoperationscenter (SOC) kan saknas. Trots denna förenkling är policyn fullt anpassad till internationellt erkända säkerhetsstandarder, särskilt ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, EU NIS2, EU DORA, COBIT 2019 och EU GDPR, och säkerställer att krav på regelefterlevnad uppfylls utan att praktisk tillämpbarhet offras. Syftet med detta dokument är att föreskriva en kontrollbaslinje för säker kodning och utvecklingspraxis för all programvara, skript och webbaserade verktyg som skapas eller ändras av organisationen eller dess partners. Det tillämpar omfattande säkerhetskrav över hela spektrumet av internt utvecklad, utlagd eller tredjepartslevererad kod, inklusive pluginer, komponenter och automatiseringsverktyg. Policyns definierade omfattning täcker varje miljö som ingår i utvecklingsaktiviteter: utveckling, staging, förproduktionsmiljö och produktionsmiljö, och styr särskilt hur känsliga data eller produktionsdata hanteras i dessa sammanhang. Bland sina kärnmål fokuserar policyn på att förebygga säkerhetsbrister i varje steg av systemutvecklingslivscykeln. Detta inkluderar genomdriven användning av standarder för säker kodning (såsom OWASP Top 10), formaliserade processer för kodgranskning, obligatorisk säkerhetstestning före programvaruutgåvor samt kontrollerad åtkomst till alla utvecklings- och produktionssystem. Policyn inför uttryckliga krav för leverantörshantering och tredjepartshantering, inklusive avtalsmässiga säkerhetsklausuler, validering av tredjepartskomponenter avseende sårbarheter och licensiering samt regelbunden uppföljning eller revision av regelefterlevnad genom bevarade ISMS-artefakter och dokumentation. För att hantera dagligt ansvar definieras förenklade roller och ansvar: verkställande direktör övervakar och godkänner alla aktiviteter för säker utveckling, interna utvecklare och applikationsägare följer säkra arbetssätt och incidentrapportering, externa leverantörer binds avtalsmässigt till säkerhetsåtaganden och krav på testning, och IT-leverantörer eller IT-administratörer hanterar säker åtkomst och driftsättning samt genomdriver funktionsåtskillnad mellan miljöer. En inneboende del av denna SME-policy är den strukturerade processen för riskbehandling och hantering av undantag. Alla avvikelser från säkra arbetssätt, eller risker som inte omedelbart kan åtgärdas, måste formellt riskbedömas och godkännas av verkställande direktör, med periodisk omprövning för att hantera förändringar i riskläge. Policyn fastställer även starka kontroller för tillsyn och efterlevnad samt revisionsberedskap och kräver att alla checklistor, granskningsgodkännanden, testresultat och tillgångsförteckning bevaras säkert och snabbt kan tillhandahållas vid ISO-revisioner, regulatorisk översyn eller kundförfrågningar. Slutligen säkerställer krav på översyn och uppdatering att policyn förblir aktuell i takt med förändrade utvecklingstekniker, ramverk och regulatoriska förändringar, vilket visar ett proaktivt angreppssätt för organisatorisk säkerhet och regelefterlevnad för SME-sektorn.