Tietoturvavaatimusten näkyvyyden varmistaminen tuotteen tehtävälistallaTuoteomistajan on varmistettava, että tietoturvavaatimukset on tunnistettu. Vaatimuslähteet on lueteltu kappaleessa Vaatimustenmukaisuus. Tuoteomistaja varmistaa, että nämä vaatimukset on muutettu tuotteen tehtävälistalle tehtäviksi. Tehtävät voivat olla eri tasoisia (esimerkiksi kehitysaihio- (epic-) tai kertomustasoisia). Laeista ja asetuksista kumpuavat vaatimukset voivat olla haastavia, kun vaatimuksia muutetaan tehtäviksi. Tämän vuoksi tuotantoonvientivaatimukset ja yleiset tietoturvavaatimukset on määritetty kattamaan useimmat lainsäädännölliset vaatimukset. On kuitenkin erityistilanteita, joissa ne eivät välttämättä riitä, jolloin tilanteen analysointi yhdessä lain tulkitsijan – esimerkiksi organisaation juristin – kanssa on tarpeen. Joissakin tapauksissa pakollinen vaatimus ei välttämättä ole yksittäinen toiminnallisuus tai tehtävä, vaan esimerkiksi vaatimus tehdä ohjelmistokehitystä tietyllä tavalla, kuten esimerkiksi vaatimus tehdä jatkuvaa koodikatselmointia. Jatkuvia tai yhä uudelleen toistuvia tehtäviä ei voi järkevästi viedä tuotteen tehtävälistalle. Tällöin se voidaan muuttaa prosessikehitystehtäväksi esimerkiksi "kehittäjät määrittelevät koodikatselmointiperiaatteet ja kouluttavat sen kaikille tiimiläisille" tai portfoliotyössä mukaan otetaan tarvittavia sidosryhmiä, jotka muutoin eivät olisi olleet mukana. Käytännössä monien toiminnallisten vaatimusten vienti tehtävälistalle voidaan tehdä kertaluonteisesti merkittävän uuden kehityshankkeen alussa. Ylläpitovaiheessa tilanne voidaan katselmoida esimerkiksi vuosittain. Tuoteomistajan varmistettava, että tietoturvaan ja tietosuojaan liittyvät tehtävät on merkitty tikettipohjaisessa työnohjausjärjestelmässä erityisin luokituksin (label). Näin organisaation tietoturva- ja tietosuojaorganisaatiot voivat seurata näiden osa-alueiden etenemistä. Luokituksissa käytettävät avainsanat on kuvattu käsikirjan luvussa 8. Uuden tai muuttuneen toiminnallisuuden tietoturva- ja tietosuojatyön tarkastuslista (liite 3). Luokitukset on tarkoitettu ainoastaan auditoitavuus- ja seurantatarkoituksiin. Luokituksilla ei ole vaikutusta priorisointiin eikä työtehtävien elinkaaren vaiheisiin. Niitä ei myöskään käytetä ryhmittelemään työnohjaustikettejä.
|