Objective: Information security is an integral part of the entire lifecycle of IT systems. This particularly includes consideration of information security requirements in the development or acquisition of IT systems.
Requirements (must): The information security requirements associated with the design and development of IT systems are determined and considered.
The information security requirements associated with the acquisition or extension of IT systems and IT components are determined and considered.
Information security requirements associated with changes to developed IT systems are considered.
System approval tests are carried out under consideration of the information security requirements.
Requirements (should): Requirement specifications are prepared. The following aspects are considered:
- The information security requirements.
- Vendor recommendations and best practices for secure configuration and implementation
- Best practices and security guidelines
- Fail safe (designed to return to a safe condition in the event of a failure or malfunction)
Requirement specifications are reviewed against the information security requirements.
The IT system is reviewed for compliance with specifications prior to productive use.
The use of productive data for testing purposes is avoided as far as possible (if applicable, anonymization or pseudonymization):
- Where productive data are used for testing purposes, it shall be ensured that the test system is provided with protective measures comparable to those on the operational system,
- Requirements for the lifecycle of test data (e.g. deletion, maximum lifetime on the IT system),
- Case-related specifications for the generation of test data are defined.
Aina hankittaessa uusia tietojärjestelmiä noudatetaan ennalta määriteltyä hankintaprosessia ja -sääntöjä. Sääntöjen avulla varmistetaan, että toimittaja pystyy takaamaan riittävän turvallisuustason järjestelmän tärkeys huomioiden.
Testaukseen käytettävät tieto- ja muut aineistot olisi valittava huolellisesti ja niitä olisi suojattava.
Tuotantotietoa, joka sisältää henkilötietoja tai muuta luottamuksellista tietoa, ei tulisi käyttää testaustarkoituksiin.
Riittämätön muutosten hallinta on yleinen syy tietojenkäsittelypalvelujen toiminta- ja turvallisuushäiriöille.
Organisaation on dokumentoitava muutostenhallintaprosessi, jota on noudatettava aina tehtäessä merkittäviä tietoturvallisuuten vaikuttavia muutoksia itse kehitettyihin digipalveluihin tai muihin tietojenkäsittelypalveluihin. Prosessi sisältää vaatimukset mm. seuraaville asioille:
Aina hankittaessa tai kehitettäessä uusia tietojärjestelmiä noudatetaan ennalta määritettyjä turvallisuussääntöjä huomioiden järjestelmän prioriteetti. Sääntöjen avulla varmistetaan, että tietojen käsittelyn turvallisuus järjestelmässä on varmistettu riittävin toimenpitein.
Organisaatio varmistaa, että uuden järjestelmän kehittämisen vaatimusmäärittelyt kattavat seuraavat näkökohdat:
Uudet kehitetyt järjestelmät tarkistetaan erittelyjen perusteella ennen tuotantokäyttöön siirtymistä.
Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.
.png)
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
