Ohjeen kohdeyleisö -kappaleessa luetelluilla rooleilla on tarkasti määritellyt vastuualueet. Vastuu seuraa rooleja eikä henkilöitä; henkilöllä voi olla useita rooleja ja toisaalta rooli voi olla jaettu useammalle henkilölle. Jos rooli on jaettu useammalle henkilölle, näiden henkilöiden osalta on sovittava, kuka kantaa päävastuut seuraavassa luetelluista tietoturvavastuista. Jos päävastuullista henkilöä ei ole jaetun roolin tilanteessa määritelty, ohjelmistokehitysprosessi ei ole tämän tietoturvaohjeen mukainen. Vastuutus on viestittävä kohdeyleisötahoille




Eri roolien tietoturvavastuut


Palvelun liiketoiminnallisen omistajan vastuut

(palvelunomistaja, business owner)

  • Tietoturva- ja tietosuojatyön resursointi ja budjetointi
  • Palvelun kriittisyysluokittelu ja riskienhallinta
  • Lakien, hyvän tiedonhallintatavan, sekä organisaation politiikkojen ja ohjeiden noudattaminen


Lue lisää palvelunomistajan vastuista...




Tuoteomistajan vastuut

(product owner)

  • Vaatimuksista poikkeamisesta päättäminen (jäännösriskin hyväksyntä)
  • Tietoturvavaatimusten näkyvyyden varmistaminen tuotteen tehtävälistalla
  • Uuden ja muuttuvan toiminnallisuuden tietosuojavaikutusten arviointi
  • Tietoturva- ja tietosuojatyön priorisointi suhteessa muuhun työhön sekä tietoturvan/tietosuojan konsultointi tarvittaessa


Lue lisää tuoteomistajan vastuista...




Arkkitehdin vastuut

  • Yleisten ja läpileikkaavien tietoturvaperiaatteiden noudattaminen suunnittelussa
  • Yleisen tietoturva-arkkitehtuurin rakentaminen ja ylläpito


Lue lisää arkkitehdin vastuista...




Ohjelmistokehittäjän vastuut

(tuotetiimeissä)

  • Tietoturvatyön tiketöinti ja siirto tuotteen tehtävälistalle
  • Tietoturvatyön suorittaminen, mukaan lukien käytönaikaiset ei-rutiininomaiset tietoturvatehtävät
  • Rajatuissa tapauksissa vaatimuksista poikkeamisesta päättäminen ja täten jäännösriskin hyväksyminen (yleensä koko tuotetiimi yhdessä)


Lue lisää ohjelmistokehittäjien vastuista...




Tietoturva-asiantuntijan vastuut

  • Sovitun tietoturvatyön suorittaminen ja dokumentointi (siltä osin, kun sovittu ohjelmistokehittäjien kanssa)


Lue lisää tietoturva-asiantuntijan vastuista...




Pilvipalveluasiantuntijan vastuut

("pilvitiimi")

  • Tietoturvatyön koordinointi tuotetiimien välillä jaettujen palvelujen osalta
  • Pilvi-infrastruktuurin parhaiden käytänteiden levittäminen kaikille tiimeille
  • Jaettujen tietoturvaan liittyvien palveluiden tarjoaminen


Lue lisää pilvipalveluasiantuntijan vastuista...




Käyttöpalveluiden toimittajien vastuut

  • Sovitun tietoturvatyön suorittaminen ja dokumentointi


Lue lisää käyttöpalveluiden toimittajien vastuista...







< 3.1 Vaatimukset ohjelmistokehitysprosessille

3.2.1 Palvelunomistajan vastuut >