Ohjelmiston palvelusopimuksen elinkaari – mitä tulee huomioida eri vaiheissa? | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Ohjelmiston palvelusopimuksen elinkaari – mitä tulee huomioida eri vaiheissa?

Kuvittele, että teollisuuslaitos hankkii tuotannonohjausjärjestelmän, mutta muutaman vuoden kuluttua ilmenee ongelmia: järjestelmä ei ole yhteensopiva uusien laitteiden kanssa tai tietoturvapäivitysten puuttuessa järjestelmä altistuu kyberuhkille. Ilman sopimuksen elinkaariajattelua tällaiset ongelmat voivat yllättää ja aiheuttaa merkittäviä kustannuksia.

Hyvä ohjelmistosopimus turvaa järjestelmän koko elinkaaren

Ohjelmiston palvelusopimus ei ole vain muodollisuus – se on keskeinen työkalu, jolla varmistetaan ohjelmiston turvallisuus ja toimivuus koko sen elinkaaren ajan. Hyvin laadittu sopimus määrittää selkeät vastuut ja velvoitteet, sekä varmistaa, että ohjelmisto tukee liiketoiminnan tavoitteita pitkällä aikavälillä. 
Esimerkiksi teollisuuslaitoksen automaatiojärjestelmä pysyy turvallisena ja toimintavarmana sopimuksen elinkaariajattelulla, joka varmistaa järjestelmän päivitysten saatavuuden, yhteensopivuuden ja tietoturvan. Näin ohjelmisto pysyy ajan tasalla, tukipalvelut ovat saatavilla ja järjestelmä skaalautuu tuotannon tarpeiden mukaan koko käyttöiän ajan.

Sopimus määrittää selkeät pelisäännöt yhteistyölle

Ohjelmiston turvallisuus ja toimivuus eivät synny pelkällä sopimuksen allekirjoituksella – ne vaativat jatkuvaa hallintaa koko elinkaaren ajan. Kun sopimuksessa huomioidaan ohjelmiston koko elinkaari hankinnasta alasajoon, voidaan ennakoida muutoksia, varmistaa päivitysten ja tuen saatavuus sekä ylläpitää yhteensopivuutta ja tietoturvaa. Näin vältetään yllätyksiä ja turhia kustannuksia.

1. Tarpeiden ja vaatimusten määrittely

Sopimusprosessin ensimmäinen vaihe on varmistaa, että hankittava ohjelmisto vastaa liiketoiminnan ja turvallisuuden tarpeisiin. Selkeät vaatimukset estävät kalliit yllätykset myöhemmin.

  • Varmista, että hankintaprosessissa on mukana riittävästi asiantuntemusta tieto- ja ohjelmistoturvallisuudesta.
  • Määrittele liiketoimintakriittiset vaatimukset ja turvallisuusvaatimukset, jotka ohjelmiston on täytettävä.
  • Selvitä sovellettavat sääntelyvaatimukset (esim. NIS2, GDPR, CRA) ja varmista, että ohjelmisto täyttää ne.
  • Varmista, että ohjelmistotoimittaja täyttää tarvittavat tietoturva- ja riskienhallintakriteerit, kuten haavoittuvuuksien hallinnan vaatimukset ja tietosuojavelvoitteet. 

2. Sopimuksen laatiminen ja neuvottelut

Hyvin laadittu sopimus määrittää vastuut ja velvoitteet sekä varmistaa ohjelmiston ylläpidon, turvallisuuden ja elinkaaren hallinnan. Selkeät sopimusehdot auttavat hallitsemaan riskejä ja ehkäisemään väärinkäsityksiä osapuolten välillä.

  • Sovi palvelutasot ja määritä päivityskäytännöt, jotta ohjelmisto pysyy ajan tasalla ja turvallisena koko sen elinkaaren ajan.
  • Sovi tietoturva- ja tietosuojavelvoitteista, mukaan lukien haavoittuvuuksien hallinnan ja tietojen käsittelyn vastuista.
  • Selvitä kuka omistaa ohjelmiston ja mitä oikeuksia käyttäjällä on sen käyttöön, muokkaukseen ja jakeluun.
  • Varmista ohjelmiston siirrettävyys, jotta se voidaan tarvittaessa siirtää esteittä toiseen ympäristöön tai järjestelmään.
  • Varmista, että sopimus sisältää riittävän joustavuuden mahdollisten muutosten ja laajennusten osalta.
  • Varmista, että sopimuksessa on huomioitu koko ohjelmiston elinkaari käyttöönotosta poistoon asti. 
  • Sovi sanktioista ja vastuista, jos toimittaja ei täytä sovittuja velvoitteita (esim. tietoturvapäivitykset, haavoittuvuuksien korjaaminen) tai vaihtoehtoisesti mahdollisista palkkioista tai kannustimista, jos toimittaja täyttää vaatimukset erinomaisesti tai ylittää odotukset. 

3. Sopimuksen voimaantulo ja käyttöönotto

Määrittele sopimuksessa selkeästi käyttöönoton edellytykset, vastuut ja tuen saatavuus. Huolellinen käyttöönotto ja käyttäjien koulutus varmistavat, että ohjelmisto toimii turvallisesti ja tehokkaasti osana organisaation järjestelmiä.

  • Määrittele menettelyt, kuten testaus ja hyväksyntäprosessi, joilla varmistetaan, että ohjelmisto täyttää sovitut vaatimukset ennen sen käyttöönottoa.
  • Sovi tarvittaessa, että käyttäjille järjestetään koulutus tietoturvakäytännöistä ja ohjelmiston oikeasta käytöstä ennen tuotantokäyttöä.
  • Edellytä sopimuksessa, että toimittaja tarjoaa riittävän tuen ja selkeät ohjeet mahdollisiin ongelmatilanteisiin käyttöönoton aikana.
  • Määrittele sopimuksessa, miten mahdolliset siirtymävaiheen häiriöt tai viivästykset hallitaan ja kuka vastaa niiden vaikutuksista liiketoiminnalle.
  • Varmista, että myös käyttöönotossa käytettävän testidatan käsittely ja tietoturva on huomioitu sopimuksessa.

4. Käyttövaihe ja ylläpito

Määrittele sopimuksessa valvontakäytännöt ja toimintamallit, jotka mahdollistavat säännöllisen seurannan ja varmistavat, että tietoturva, päivitykset ja vaatimustenmukaisuus toteutuvat jatkuvasti myös hankinnan jälkeen.

  • Seuraa palvelutasosopimuksen (SLA) toteutumista ja varmista, että toimittaja noudattaa sovittuja vasteaikoja.
  • Sovi sopimuksessa haavoittuvuuksien hallinnan ja tietoturvapäivitysten aikatauluista, vastuista ja toteutustavoista. 
  • Tarkasta säännöllisesti, että toimittaja noudattaa sopimuksessa määriteltyjä tietosuoja- ja turvallisuusvaatimuksia. 
  • Seuraa, että toimittaja täyttää sovitut vaatimukset ja ylläpitää jatkuvaa yhteensopivuutta sovittujen säädösten kanssa. 
  • Määrittele sopimuksessa menettelytavat muutosten hallintaan ja hyväksyntään.

5. Sopimuksen päättäminen ja siirtymävaihe

Ohjelmiston käytön päättyessä on varmistettava, että tiedot siirretään tai poistetaan turvallisesti ja liiketoiminta voi jatkua häiriöttä. Hyvin laadittu sopimus luo selkeät säännöt alasajolle, tietojen käsittelylle ja toimittajan vastuulle siirtymävaiheessa.

  • Ohjelmiston käytön päättyessä sopimuksen tulee mahdollistaa hallittu alasajo tai siirtymävaihe ilman liiketoimintahäiriöitä.
  • Varmista sopimuksella toimittajan vastuut ohjelmiston käytön päättyessä, ja että organisaation tiedot poistetaan tai siirretään uusiin järjestelmiin turvallisesti. 
  • Sovi toimittajan vastuista sopimuksen päättymisen jälkeen, kuten mahdollisesta tuesta tai tietojen säilytyksestä.
  • Tarkista, ettei sopimus sisällä ehtoja, jotka vaikeuttavat siirtymää uuteen ratkaisuun tai aiheuttavat liiketoiminnalle odottamattomia lisäkustannuksia.

Ohjelmiston turvallisuus ei pääty sopimukseen – se alkaa siitä

Hyvin laadittu sopimus ei siis ole vain lista velvoitteista, vaan keskeinen väline, joka varmistaa ohjelmiston turvallisuuden ja toimivuuden koko sen elinkaaren ajan. Kun tietoturvavaatimukset, vastuut ja hallintamekanismit on määritelty selkeästi jo sopimusvaiheessa, organisaatio voi välttää turhat riskit ja varmistaa, että ohjelmisto tukee liiketoimintaa pitkäkestoisesti. Tarkista, täyttääkö organisaatiosi ohjelmistosopimus nykypäivän tietoturvavaatimukset, ja päivitä se tarvittaessa tukemaan liiketoimintaa myös tulevaisuudessa.

Sivu on viimeksi päivitetty