OhjeetTietoturva- ja tietosuojatyö tulee kohdentaa oikein, jotta resursseja ei tuhlata kohteisiin, joissa ei ole merkittäviä tietoturvariskejä. Tätä tarkastuslistaa voidaan käyttää sen määrittämiseen, mitä tietoturva- ja tietosuojatyötä toiminnallisuudelle on tarpeen tehdä. Tarkastuslistat eivät kata kaikkia tietoturva- tai tietosuoja-aktiviteetteja vaan ainoastaan ne tehtävät, joiden avulla loput aktiviteetit voidaan löytää. Tietoturvan osalta tyypillisimmin olennaisin tehtävä on uhkamallinnus, ja tietosuojan osalta tietosuojan riskiarviointi. Uhkamallinnuksen suorittaminen paljastaa muut tietoturvatarpeet. Tarkastuslistoja voidaan käyttää eri tasoisille työlistan tehtäville. Yleisimmin kohteena on käyttäjäkertomustasoinen (user story) tehtävä, mutta erityisesti tietosuojakysymyksiin voidaan usein vastata korkeammalla tasolla (epic). Joskus taas tarkastuslistan läpikäyminen voi olla tarpeen myös hyvin matalan tason tehtävillekin - esimerkiksi jos todennusmekanismissa suoritetaan bugikorjaus. Tarkastuslistoja käytetään vastaamalla vasemman sarakkeen kysymyksiin. Jos vastaus on myöntävä, varmistetaan, että tehtävälistalla on oikeassa sarakkeessa merkitty tehtävä. Syvällisempää analyysiä ei välttämättä tässä vaiheessa tarvita; listan lopussa on esitetty mallitekstejä, jotka voi yleisimmin leikata ja liimata. Tehtävät luokitellaan käyttäen työnohjausjärjestelmän leimoja (label tai tag), jotta tietoturva- ja tietosuojatyön seuraaminen on mahdollista.
|