Vaatimuksista poikkeamisesta päättäminen (jäännösriskin hyväksyntä)
Mikäli ohjelmistotuotantoprosessissa on tarve poiketa tietoturva- tai tietosuojavaatimuksista, tuoteomistajan tai joissakin rajatuissa tapauksissa tuotetiimin on tehtävä päätös tästä aiheutuvan riskin hyväksynnästä. Koska tietosuojavaatimukset perustuvat lähtökohtaisesti aina lakiin, niistä ei voi poiketa. Päätös on dokumentoitava (esimerkiksi huomioimalla riskin mahdollisuus tietoturva-arkkitehtuuridokumentissa tai yksittäisten teknisten vaatimusten osalta tiketin kommenteissa). Päätäntävalta on kuvattu tarkemmin kappaleessa Vaatimustenmukaisuus.
Tietoturvavaatimusten näkyvyyden varmistaminen tuotteen tehtävälistalla
Tuoteomistajan on varmistettava, että tietoturvavaatimukset on tunnistettu. Vaatimuslähteet on lueteltu kappaleessa Vaatimustenmukaisuus. Tuoteomistaja varmistaa, että nämä vaatimukset on muutettu tuotteen tehtävälistalle tehtäviksi. Tehtävät voivat olla eri tasoisia (esimerkiksi kehitysaihio- (epic-) tai kertomustasoisia).
Laeista ja asetuksista kumpuavat vaatimukset voivat olla haastavia, kun vaatimuksia muutetaan tehtäviksi. Tämän vuoksi tuotantoonvientivaatimukset ja yleiset tietoturvavaatimukset on määritetty kattamaan useimmat lainsäädännölliset vaatimukset. On kuitenkin erityistilanteita, joissa ne eivät välttämättä riitä, jolloin tilanteen analysointi yhdessä lain tulkitsijan – esimerkiksi organisaation juristin – kanssa on tarpeen.
Joissakin tapauksissa pakollinen vaatimus ei välttämättä ole yksittäinen toiminnallisuus tai tehtävä, vaan esimerkiksi vaatimus tehdä ohjelmistokehitystä tietyllä tavalla, kuten esimerkiksi vaatimus tehdä jatkuvaa koodikatselmointia. Jatkuvia tai yhä uudelleen toistuvia tehtäviä ei voi järkevästi viedä tuotteen tehtävälistalle. Tällöin se voidaan muuttaa prosessikehitystehtäväksi esimerkiksi "kehittäjät määrittelevät koodikatselmointiperiaatteet ja kouluttavat sen kaikille tiimiläisille" tai portfoliotyössä mukaan otetaan tarvittavia sidosryhmiä, jotka muutoin eivät olisi olleet mukana.
Käytännössä monien toiminnallisten vaatimusten vienti tehtävälistalle voidaan tehdä kertaluonteisesti merkittävän uuden kehityshankkeen alussa. Ylläpitovaiheessa tilanne voidaan katselmoida esimerkiksi vuosittain.
Tuoteomistajan varmistettava, että tietoturvaan ja tietosuojaan liittyvät tehtävät on merkitty tikettipohjaisessa työnohjausjärjestelmässä erityisin luokituksin (label). Näin organisaation tietoturva- ja tietosuojaorganisaatiot voivat seurata näiden osa-alueiden etenemistä.
Luokituksissa käytettävät avainsanat on kuvattu käsikirjan luvussa 8. Uuden tai muuttuneen toiminnallisuuden tietoturva- ja tietosuojatyön tarkastuslista (liite 3).
Luokitukset on tarkoitettu ainoastaan auditoitavuus- ja seurantatarkoituksiin. Luokituksilla ei ole vaikutusta priorisointiin eikä työtehtävien elinkaaren vaiheisiin. Niitä ei myöskään käytetä ryhmittelemään työnohjaustikettejä.
Uuden ja muuttuvan toiminnallisuuden tietoturvavaikutusten arviointi
Tuoteomistajan on vaadittava toteutuksen hyväksyntäkriteereinä tietoturvariskien selvitys ("uhkamallinnus") sekä mahdollisesti soveltuvan tasoinen tietoturvatarkistus. Uhkamallinnustehtävä on näkyvissä tuotteen tehtävälistalla.
Mikäli on selvää, että toteutuksessa ei ole tietoturvariskejä, uhkamallinnus voidaan jättää tekemättä. Käytännössä tuoteomistajalla on käytössään lyhyt ja korkealla tasolla kirjoitettu tarkastuslista (Liite 3: Uuden tai muuttuneen toiminnallisuuden tietoturva- ja tietosuojatyön tarkastuslista), jonka perusteella riskialttiit toiminnot voidaan tunnistaa.
Yleensä tuoteomistajan on helpointa tehdä tämä uhkamallinnustarpeen arviointi osana tuotteen tehtävälistan parannustyötä (backlog maintenance, backlog grooming).
Uuden ja muuttuvan toiminnallisuuden tietosuojavaikutusten arviointi
Vastaavasti kuin edellä tietoturvan osalta, myös tietosuojaan vaikuttava uusi tai muuttunut toiminnallisuus on tunnistettava. Tämä tehdään samalla tavalla kuin tietoturvan osalta, mutta tietoturvauhkamallinnuksen sijaan tai lisäksi tuoteomistaja luo tuotteen tehtävälistalle vaatimuksen tietosuojavaikutusten arvioinnista (DPIA, data protection impact assessment). Käsitteellisesti kyse on saman tyyppisestä työstä. Ohje on dokumentissa 11. Tietosuojan toteutumisen varmistaminen (liite 6). Katso myös Tietosuojavaltuutetun toimiston Tietosuojan vaikutustenarvioinnin ohje.
Tietoturva- ja tietosuojatyön priorisointi suhteessa muuhun työhön
Tuoteomistaja määrittelee tuotteen tehtävälistalla olevien tehtävien keskinäisen prioriteetin. Käytännössä tämä tarkoittaa, että tuoteomistaja määrittelee tehtäviin käytettävissä olevan ajan.
Koska tietoturva- ja tietosuojatyö on näkyvissä tuotteen tehtävälistalla, tämä tarkoittaa sitä, että tuoteomistaja päättää myös tämän työn prioriteeteista ja sitä kautta hyväksyy jäännösriskin, jos tietoturvatehtävät väistyvät muiden (toteutus)tehtävien tieltä.