A.8 Technologische Maßnahmen
Ausgelagerte Entwicklung
Die Organisation muss ausgelagerte Systementwicklungsaktivitäten steuern, überwachen und überprüfen.
Was fordert dieses Control?
Die Organisation muss ausgelagerte Systementwicklungsaktivitäten steuern, überwachen und überprüfen.
Warum ist das wichtig?
Bei externer Entwicklung gibt man Kontrolle ab. Klare Sicherheitsanforderungen und Überwachung stellen sicher, dass auch zugelieferter Code sicher ist.
Cross-Standard-Mapping
| Standard | Control-ID | Relevanz |
|---|---|---|
| TISAX | 6.1.1 | Direkt |
| BSI | CON.8 | Direkt |
| DORA | Art. 28 | Indirekt |
Was der Auditor erwartet
- 1Sicherheitsanforderungen an externe Entwickler
- 2Überwachung und Abnahme der Ergebnisse
- 3Vertragliche Regelung von Sicherheit und Rechten
Audit-Checkliste
Dokumente
Anforderungen an Entwicklungsdienstleister
Sicherheits-, Test- und Abnahmevorgaben
Nachweise
Abnahme-/Prüfnachweise
Überprüfung extern entwickelter Software
Praxis-Tipps zur Umsetzung
Anforderungen vertraglich
Secure-Coding-, Test- und Eigentumsregeln im Vertrag festschreiben.
Ergebnisse prüfen
Zugelieferten Code wie eigenen sicherheitsprüfen, nicht blind übernehmen.
Lieferkette beachten
Auch Subunternehmer des Dienstleisters berücksichtigen (A.5.21).
Häufige Fehler
Blind vertraut
Extern entwickelter Code wird ohne Sicherheitsprüfung übernommen.
Keine Vorgaben
Der Dienstleister erhält keine Sicherheitsanforderungen.
Häufig gestellte Fragen
Wie prüft man extern entwickelten Code?
Über Sicherheitsanforderungen im Vertrag, Code-Reviews, Tests und definierte Abnahmekriterien.
Wem gehört der Code?
Das sollte vertraglich klar geregelt sein, inklusive Nutzungs- und Eigentumsrechten.
Gilt das auch für Freelancer?
Ja, jede ausgelagerte Entwicklung fällt darunter, unabhängig von der Größe des Dienstleisters.
So hilft CompliantDesk bei A.8.30
Steuern Sie Entwicklungsdienstleister im Lieferanten-Modul mit Sicherheitsanforderungen und verknüpfen Sie Abnahmenachweise mit Ihren Kontrollen.