Organisaation on luotava toimintamallit, joiden avulla tietoturvallisuus ja turvallisuusvaatimusten huomiointi on oletusarviosesti mukana uusien järjestelmien, digipalvelujen tai toimintaproessien suunnittelussa ja kehittämisessä niiden ensihetkistä alkaen.

Tätä kutsutaan sisäänrakennetun ja oletusarvoisen tietoturvan periatteeksi (security by design). Tämän toimintatavan yhtenä tuloksena suunnitteluun liittyvästä dokumentaatiosta tulisi käydä selkeästi ilmi, millä toimenpiteillä tietoturvallisuudesta huolehditaan.

Aina hankittaessa tai kehitettäessä uusia tietojärjestelmiä noudatetaan ennalta määritettyjä turvallisuussääntöjä huomioiden järjestelmän prioriteetti. Sääntöjen avulla varmistetaan, että tietojen käsittelyn turvallisuus järjestelmässä on varmistettu riittävin toimenpitein.

Kehitystyötä koskevat yleiset pelisäännöt on laadittu ja ne on hyväksytty kehitystyön johtohenkilöiden toimesta. Sääntöjen toteutumista valvotaan kaikessa organisaatiossa tehtävässä kehityksessä ja ne katselmoidaan vähintään vuosittain.

Turvallisen kehittämisen politiikka voi sisältää mm. seuraavia asioita:

• kehitysympäristön turvallisuusvaatimukset
• käytettyjen ohjelmointikielien turvallisen koodaamisen ohjeet
• turvallisuusvaatimukset ominaisuuksien tai projektien suunnitteluvaiheessa
• turvalliset ohjelmistovarastot
• versionhallinnan turvallisuusvaatimukset
• kehittäjältä vaaditut kyvyt välttää, löytää ja korjata haavoittuvuuksia
• turvallisten koodausstandardien noudattaminen

Turvallisen kehittämisen sääntöjen noudattamista voidaan vaatia myös avainkumppaneilta.

Koodin katselmointia, hyväksymistä ja julkaisua varten on määritelty yleiset säännöt ja niiden noudattamista valvotaan.

Säännöt voivat sisältää mm. seuraavia asioita:

• luotu koodi on tarkistettu vasten OWASP-frameworkin yleisiä turvallisen kehittämisen ohjeita
• koodi on katselmoitu vähintään kahden henkilön silmin
• nimetty, valtuutettu käyttäjä on hyväksynyt muutokset ennen julkaisua
• järjestelmän dokumentointi on päivitetty ennen julkaisua
• muutosten julkaisuajankohta on valittu annettujen ohjeiden mukaisesti, jotta häiriötä liiketoimintaprosesseille syntyy mahdollisimman vähän
• käyttäjien tarvitsemat ohjeistukset on päivitetty ennen koodin julkaisua

Säännöillä pyritään hallitsemaan uuden ohjelmakoodin julkaisemiseen liittyviä riskejä.

Organisaatio varmistaa, että uuden järjestelmän kehittämisen vaatimusmäärittelyt kattavat seuraavat näkökohdat:

• tietoturvavaatimukset
• Toimittajan suositukset ja parhaat käytännöt turvallista konfigurointia ja toteutusta varten.
• Yleiset parhaat käytännöt ja tietoturvaohjeet
• Vikasietoiset mekanismit (suunniteltu palaamaan turvalliseen tilaan vian tai toimintahäiriön sattuessa).

Uudet kehitetyt järjestelmät tarkistetaan erittelyjen perusteella ennen tuotantokäyttöön siirtymistä.