Informationssäkerhet och säker utveckling — Säker kod från första commit
C7 är säkerheten i bygg-processen — den uppsättning aktiviteter och kontroller som Digitalist bygger in i alla C-block-leveransprojekt (C1–C6) för att säkerställa att lösningen redan vid go-live uppfyller kundens säkerhets-, integritets- och efterlevnadskrav. C7 är inte en standalone-konsulttjänst i normalfallet, utan en obligatorisk komponent i C-block-leveranser, jämförbart med hur tillgänglighet (B4) både är en specialisttjänst och ett inbyggt kvalitetskrav i all utveckling.
Säkerhet kan inte läggas till efteråt. C7 är aktiviteterna som byggs in i alla C-block-leveranser (C1–C6) för att säkerställa att lösningen redan vid go-live uppfyller säkerhets-, integritets- och efterlevnadskrav. Det är jämförbart med hur tillgänglighet (B4) både är en specialisttjänst och ett inbyggt kvalitetskrav.
Leveransformer
| Form | Innehåll |
|---|---|
| Inbyggt i C-block (standard) | C7-aktiviteter ingår i C1–C6-leveranser enligt KLASSA-klassning. Ingen separat avtalspost. |
| Säkerhetsdesign-workshop (1–2 v) | Hotmodellering och säkerhetsarkitektur inför eller parallellt med C-block. |
| Inbyggd specialistroll | Säkerhetsansvarig som dedikerad roll i kundens team för längre uppdrag. |
Vad ingår
- Hotmodellering enligt STRIDE eller motsvarande
- Säkerhetsarkitektur — autentisering, behörighet, kryptering, loggning, audit trail
- Secure coding review — SAST, beroendegranskning, hemligheter i kod
- SBOM-generering enligt CycloneDX eller SPDX (CRA-krav)
- Kryptografisk signering av artefakter (sigstore/Cosign)
- Säkerhetsdokumentation som följer leveransen och blir kundens egen vid handover
- KLASSA-klassning som styr nivå av kontroll per uppdrag
Vad det inte är
- AI governance och informationssäkerhet på lednings- och policynivå — se A4
- Operativa standalone-uppdrag (pentesting, sårbarhetsskanning, SIEM) — se C8
- Drift- och plattformssäkerhet — se E1 och E2
- Formell certifieringsrevision
För vem
CTO, säkerhetsansvariga, utvecklingsledare i organisationer där lösningens säkerhet är icke-förhandlingsbar — offentlig sektor, vård, finans, samhällsviktig verksamhet. Också alla som ska efterleva CRA (Cyber Resilience Act) som tillämpas från 11 december 2027.
De vanligaste frågorna
Vad är KLASSA-klassning? KLASSA är SKR:s ramverk för säkerhetsklassning av information i offentlig sektor. C7 använder KLASSA-resultatet för att kalibrera nivå av kontroll per uppdrag — högre klassning, fler granskningspunkter, mer dokumentation.
Vad är SBOM och varför behövs det? Software Bill of Materials — en strukturerad lista av alla mjukvaru komponenter i en applikation. CRA kräver SBOM för programvara med digitala element från 11 december 2027 (förordningen trädde i kraft 12 november 2024). Vi genererar SBOM automatiskt i bygg- pipelinen så den följer varje release. Läs /kunskap/sbom-vad-och-varfor.
Är C7 alltid med? Ja, i C-block-leveranser. Nivån av kontroll skalar med KLASSA-klassning och kontraktskrav — för en intern blogg är det lättare, för en e-tjänst i offentlig sektor mer omfattande. Säkerhetsarbetet är aldrig på/av, bara skalat.
Relaterat
- Erbjudande: Verksamhetskritiska system
- Erbjudande: Säkra molntjänster
- Tjänst: A4 Governance
- Tjänst: C8 Cybersäkerhetstjänster
- Kunskap: CRA, SBOM, NIS2