Tuotantoon viennin vaatimusten pakottavuus ja poikkeusten dokumentointi
Ennen kuin kehitettävän toiminnallisuuden saa viedä tuotantoon, sen on täytettävä luvussa 6.3 määritellyt tuotantoon viennin vaatimukset.
Näistä vaatimuksista poikkeaminen on mahdollista vain tuoteomistajan tekemällä erillisellä päätöksellä perusteluineen.
Tuoteomistajan pitää dokumentoida tekemänsä päätös kirjallisesti.
Dokumentointi pitää toteuttaa tavalla, joka mahdollistaa päätöksen perusteiden löytämisen myöhemmin (esimerkiksi mahdollisen tietoturvapoikkeaman jälkihoidossa) ja ennen kaikkea niin, että vaatimuksista poikkeamisen mahdollinen jäännösriski otetaan huomioon myöhemmässä toiminnassa. Hyväksyttäviä dokumentointitapoja ovat esimerkiksi:
- Päätöksen kirjaus yleiseen riskirekisteriin, jolloin jäännösriskiä voidaan seurata osana riskienhallintaprosessia.
- Päätöksen kirjaus (tietoturva-)arkkitehtuuridokumentaatioon, jolloin poikkeaminen ja jäännösriski pysyvät näkyvissä ja ne voidaan huomioida jatkosuunnittelussa.
- Yksittäisissä tehtävissä päätöksen kirjaus työnohjausjärjestelmään esimerkiksi tekemällä asiasta tehtävä ja viemällä se työjonoon tulevaisuudessa toteutettavaksi.