Ansvarsfordeling
Bouvet gjennomfører utviklingsprosjekter på mange ulike måter, der vi tar mer eller mindre ansvar for prosjektledelse, planlegging, utviklingsfasen, kvalitetssikring og ikke minst drift og forvaltning av løsningen. Vi har også ulike innslag av eget, kundens og tredjepartsutstyr, både under utvikling og forvaltning av løsningen.
Uavhengig av hvordan prosjektet gjennomføres er det viktig at vi har kontroll på ansvarsfordelingen. Denne skal være regulert i avtalen med kunden, og vi må sikre at vi
- Har kontroll på ansvar og rollefordeling
- At vi har kontaktpunkt hos alle involverte parter
- Kan følge opp avvik raskt slik at vi unngår misforståelser eller problemer senere i prosjektløpet
Rollen leveranseansvarlig har ansvar for sikkerheten i leveransen, og er ansvarlig for at dette følges opp.
Utvikling, Drift og forvaltning av løsning
Bouvet
Prosjektet kan også komme inn under våre ISO-sertifiseringer. Dette gjelder spesielt dersom vi benytter vårt utstyr eller infrastruktur til utvikling, drift eller forvaltning på vegne av kunden. Dersom dette er tilfelle medfører det at vi har et større helhetlig ansvar for sikkerheten rundt løsningen, og det er viktig at leveranseteamet er klar over dette.
Alle ressurser driftet av leveranseteamet må håndteres på linje med all annen infrastruktur, så teamet må ha rutiner for patching og vedlikehold eller sikre at dette blir håndtert. Vær obs på at kunderessurser og data håndteres med egne backuprutiner, slik at vi ikke blander på tvers av kunder eller med våre egne interne data. Sjekk gjerne med Intern-IT & Sikkerhet for å se hva de kan levere og bistå med for å forenkle leveranse og forvaltning.
Bouvets Statement of Applicability/Anvendelseserklæring (SOA) for henholdsvis ISO 27001 og ISO 42001 tar for seg ulike kontroller relatert til informasjonssikkerheten og hvordan vi skal forholde oss til disse. Dersom vi tar på oss denne rollen vil din regionale kvalitetsleder kunne bistå med råd og veiledning for å sikre at vårt ansvar er ivaretatt.
Kunde eller tredjepart
Dersom vi kun har ansvar for utvikling av løsningen, er det viktig at vi har gått opp grensesnittet mellom oss og organisasjonen som overtar og drifter løsningen videre:
- Hvordan skal handover skje
- Hvordan håndterer vi at nødvendig hardware og kapasitet er satt opp
- Hvordan sikrer vi at behov for deployments, driftshendelser, feilrettinger og liknende kommuniseres til begge parter?
Dokumenter ansvarsfordeling og annen relevant informasjon i kildekodesystemet sammen med resten av det som produseres i prosjektet. Det øker synligheten og alle vet til enhver tid hvor informasjonen finnes.
Bruk av KI
Dersom KI inngår i leveransen, må dere også gå opp hvordan dette reguleres i avtalen. KI åpner for mange muligheter, men introduserer også ny risiko i tillegg til å forsterke eksisterende risiko, spesielt knytttet til personvern. KI-loven er per nå ikke innført i Norge, men antagelsen er at denne kommer i nær fremtid, og prosjekter som bygger løsninger som omfattes av denne bør sikre at de er i samsvar med den foreslåtte KI-loven i Norge.
KI som verktøy
Dersom dere skal bruke KI-verktøy, må dere være sikre på at dette er avklart med kunden og at avtalen tar høyde for det. KI kan være et fantastisk verktøy, men det åpner også for noen scenarier der vi eller kunden kan bli skadelidende om ikke ansvar og bruk er avklart. Dersom vårt utstyr eller infrastruktur skal benyttes mot nye verktøy må dette klareres med IIT&S før prosjektet starter opp slik at lisenser og nødvendige risikovurderinger kan gjennomføres.
Veien videre
- Bouvet: Leveranseansvarlig (intern lenke)
- Bouvet: Statement of Applicability ISO 27001 (intern lenke)
- Bouvet: Statement of Applicability ISO 42001 (intern lenke)