Řízení ostatních faktorů: Akvizice, vývoj a údržba

Akvizicí je ve smyslu paragrafu 13 Vyhlášky o kybernetické bezpečnosti nabytí aktiva, nebo proces jeho získávání. V oblasti vývoje informačních systémů je nezbytné, aby vývoj systémů, které spadají do regulace Zákona o kybernetické bezpečnosti, byl podpořen jasnými požadavky na zajištění jejich bezpečnosti.
Dále je nutné promítnout tyto požadavky do celého životního cyklu od vlastního vývoje až do provozu organizace. Ideální je, aby zaváděný systém byl od počátku navrhován jako bezpečný.

V souvislosti s plánovanou akvizicí, vývojem a údržbou informačního systému je potřeba řídit rizika a zvýznamné změny v souldu Vyhláškou o kybernetické bezpečnosti

Součástí těchto požadavků je provedení hodnocení rizik z důvodu nalezení možných negativních dopadů a navržení případných opatření ke zmírnění těchto dopadů. Je-li předmětem akvizice, vývoje a údržby významná změna, pak je nutné provést bezpečnostní testování před jejich nasazením.

Opatření:

• stanovit bezpečnostní požadavky,
• zahrnout bezpečnostní požadavky do projektu akvizice, vývoje a údržby,
• zajistit bezpečnost vývojového a testovacího prostředí a zajistí ochranu používaných testovacích dat,