Die dimedis GmbH strebt eine ISO 27001 Zertifizierung an. Für den Bereich sichere Softwareentwicklung (SSDLC) gelten folgende Mindestanforderungen.

Zentrale ISO 27001 Anforderungen für SSDLC #

A.8.28 – Sichere Programmierung #

• Dokumentierte Richtlinien für sichere Softwareentwicklung
• Sichere Programmierstandards und verbindliche Richtlinien
• Regelmäßige Sicherheitsschulungen für alle Entwicklerinnen und Entwickler
• Code-Review-Prozesse mit explizitem Sicherheitsfokus

A.8.29 – Sicherheitstests während der Entwicklung #

• Sicherheitstests in allen Entwicklungsphasen
• Penetrationstests vor Produktivstellung
• Vulnerability-Scanning und Einsatz von SAST/DAST-Tools
• Lückenlose Dokumentation aller Sicherheitstests

A.8.30 – Ausgelagerte Softwareentwicklung #

• Sicherheitsanforderungen für externe Entwickler oder Lieferanten definieren
• Vertragliche Sicherheitsvereinbarungen abschließen und pflegen
• Sicherheitsmaßnahmen bei Dritten regelmäßig überwachen

Praktische Mindestumsetzung #

Dokumentation #

• SSDLC-Richtlinie mit definierten Sicherheitsphasen
• Sichere Coding-Standards (OWASP-basiert)
• Risk Assessment für Softwareprojekte
• Incident-Response-Prozess für Sicherheitslücken

Prozesse #

• Security-by-Design-Ansatz durchgängig implementieren
• Regelmäßige Sicherheitsschulungen (mindestens jährlich)
• Pflicht-Code-Reviews mit Sicherheitscheckliste
• Automatisierte Sicherheitstests in der CI/CD-Pipeline

Nachweise für Auditoren #

• Schulungsprotokolle der Entwicklerteams
• Code-Review-Dokumentation
• Ergebnisse der Sicherheitstools
• Behandlungsnachweise identifizierter Schwachstellen

Diese Mindestanforderungen bilden das Fundament. Je nach Geschäftsmodell und Risikoprofil können weitere Maßnahmen erforderlich sein.