Det är vid upphandling och utveckling av IT-system (eller IT-tjänster) som förutsättningarna för informationssäkerheten avgörs. Trots det "kastas" informationssäkerheten allt för ofta in efter att IT-lösningen är ett faktum. Det ökar påtagligt kostnaderna för säkerheten. Vidare är det inte praktiskt möjligt att i efterhand granska säkerheten i alla de steg som har lett fram till levererad IT-lösning. Kontentan är att informationssäkerheten vilar på okänd grund. Förtroendet för säkerheten är i grunden rubbat.
InformationsSäkerhetsDeklartionen (ISD) ger parterna (kund, upphandlande organisation, leverantörer och eventuella konsulter) i anskaffningen och utvecklingen av IT-lösningar förtroende för varandras förmåga att leverera lösningar som svarar mot kundens informationssäkerhetskrav. "Chain of Trust" uppnås mellan parterna.
ISD utgörs av en process bestående av följande steg:
Granskningsprotokoll
ISD-plan
Säkerhetstekniskt ackrediteringsunderlag
IT-Säkerhetsutlåtandeplan
IT-Säkerhetsutlåtande
Granskningsrapport
Informationssäkerhetsdeklaration
ISD-processen säkerställer alla aktiviteter ("Chain of Trust") fram till och med det slutgiltiga dokumentet som är Informationssäkerhetsdeklarationen. Deklarationen ska vara granskad och klargöra hur säkerhetskraven har omsatts från kundens krav till färdig IT-lösning. Informationssäkerhetsdeklarationen överlämnas slutligen till kunden.
ISD-processen ger förutsättningarna för att skapa förtroende mellan parterna. Förtroendet skapas framför allt genom:
Vidimering av att kundens säkerhetskrav är implementerade
Spårbarhet i IT-lösningen från säkerhetskrav till färdiga säkerhetsfunktioner
Ökad effektivitet i informationssäkerhetsarbetet
Ökad kompetensuppbyggnad mellan parterna
ISD-processen reducerar också påtagligt risken för personberoenden över tid genom att relevant data aggregeras i processtegen. Det är således bara för en nytillträdd befattningshavare att påbörja där tidigare befattningshavare slutade. Därmed bidrar ISD till att ge kontinuitet i upphandlings- och utvecklingsprocesserna.