SECURATECH
Så ser det ut i praktiken

En Golden Path är inte ett diagram.
Det är er hela leveransprocess — med styrning inbyggd.

De flesta organisationer har komplexa delivery-processer: från behov till release, genom kod, test, godkännande och produktion. Med roller, verktyg, miljöer och regler utspridda i Confluence-sidor, Jira-konfigurationer och muntliga överenskommelser. En Golden Path samlar allt i en enda exekverbar väg.

Flödet från behov till produktion

Golden Path: Software Delivery

Åtta steg från behov till produktion — med fyra styrningslager bäddade i varje steg.

Golden Path: Software Delivery

Hela leveransprocessen — med styrning inbyggd i varje steg

Styrningslager

ISMS · QMS · Riskregister · Intern revision · Operativ modell (DevSecOps / Agile / SRE)

Behov

PBI / User Story

Utveckling

Branch + kod

PR + Review

Kodgranskning

Bygge + Test

CI / auto-tester

Deploy test

Automatisk

E2E + Acc

Integrationstest

Godkännande

Change approval

Prod

Release

Inbyggda styrningskontroller i varje steg

Säkerhetskontroller
  • SAST / DAST / SCA i CI-pipeline
  • Sårbarhetsscanning före deploy
  • AI-kodgranskning: licens + kvalitet
  • Secret scanning + dependency check

Mappat mot ISMS Annex A (A.8) och NIS2 artikel 21

Kontroller körs automatiskt vid varje relevant steg.

Audit trail & spårbarhet
  • Vem, vad, när i varje steg
  • AI-genererad kod: modell + version
  • Mappat mot ISMS Annex A-kontroller
  • Exporterbart till revisionens format

Format anpassat för ISO 27001 clause 9.2 intern revision

Beslut, godkännanden och ändringar blir bevisbara.

RACI & operativ modell
  • Roller definierade per steg i pipeline
  • Godkännanden kopplade till teammodell
  • Anpassat: DevSecOps / Agile / SRE / SAFe
  • Eskalering + incidenthantering inbyggt

Kopplas till roller i ert organisationsschema och ISMS

Ansvar blir en aktiv del av flödet, inte ett dokument bredvid.

Compliance & rapportering
  • NIS2 / DORA-krav per automatik
  • Riskflöde till befintligt riskregister
  • Ledningsrapportering i befintligt format
  • Kvalitetsavvikelser → QMS-process

Kopplas till ert GRC-verktyg eller manuella process

Compliance-data skapas löpande när leveransen sker.

Kontrollfrågor per steg

Är behovet prioriterat och kopplat till risk?

Är kod, beroenden och AI-assistans spårade?

Är tester, godkännanden och roller verifierade?

Kan revisionen se bevisen utan manuell sammanställning?

  1. Steg 1

    Behov

    PBI / User Story

    Behovet skapas och prioriteras. Kopplat till backlog och roadmap i ert befintliga verktyg (Jira, Azure DevOps, etc).

  2. Steg 2

    Utveckling

    Branch + kod

    Utvecklaren skapar en branch och kodar — manuellt eller AI-assisterat. Golden Path säkerställer rätt branching-strategi och namngivning.

  3. Steg 3

    PR + Review

    Kodgranskning

    Pull Request skapas. Automatisk scanning körs. Kodgranskning med definierade krav. AI-genererad kod flaggas och spåras separat.

  4. Steg 4

    Bygge + Test

    CI / automatiserade tester

    Automatiserat bygge med kvalitetsgrindar: SAST, SCA, enhetstest, kodtäckning. Stoppar om tröskel inte nås.

  5. Steg 5

    Deploy test

    Automatisk

    Deployment till testmiljö sker automatiskt. Miljön provisioneras via Landing Zone med governance inbyggt.

  6. Steg 6

    E2E + Acceptans

    Integrationstest

    End-to-end-tester, säkerhetstester och prestandatester körs automatiskt. Resultat loggas i audit trail.

  7. Steg 7

    Godkännande

    Change approval

    Riskbedömning och godkännande enligt er operativa modell. RACI-roller tillämpas automatiskt. Kopplas till change management.

  8. Steg 8

    Produktion

    Deploy + release

    Deployment till produktion med automatisk verifiering. Rollback-plan inbyggd. Release noteras i audit trail.

Lager 1

Säkerhetskontroller

Säkerhet i varje steg — inte som en grind i slutet

  • SAST (Static Application Security Testing) i CI-pipeline
  • DAST (Dynamic Application Security Testing) i testmiljö
  • SCA (Software Composition Analysis) — tredjepartsberoenden
  • AI-kodgranskning: licensrisker, kvalitetsavvikelser, modellspårning
  • Secret scanning och dependency vulnerability check
  • Säkerhetstester (penetrationstest, fuzzing) i acceptansmiljö

Mappat mot ISMS Annex A (A.8 Tekniska kontroller) och NIS2 artikel 21

Lager 2

Audit trail & spårbarhet

Vem, vad, när — i varje steg, automatiskt

  • Fullständig logg: vem ändrade vad, när, varför
  • AI-genererad kod: vilken modell, vilken version, vem godkände
  • Beslutspunkter: vem godkände deploy, baserat på vilken riskbedömning
  • Mappning mot ISMS Annex A-kontroller (A.5, A.8)
  • Exporterbart i format som intern revision behöver
  • DORA-kompatibel incidentspårning från deploy till produktion

Audit trail levereras i format anpassat för ISO 27001 clause 9.2 intern revision

Lager 3

RACI & operativ modell

Rätt person, rätt ansvar, rätt steg

  • Roller definierade per steg i pipeline: vem granskar, godkänner, deployer
  • Anpassat efter er operativa modell: DevSecOps, Agile/Scrum, SRE, SAFe
  • Godkännanden kopplade till er teamstruktur — inte plattformens default
  • Eskalering och incidenthantering inbyggt i flödet
  • Product Owner, Change Manager, Security Tester, Developer — från ert RACI
  • Separation of duties säkerställd automatiskt

RACI kopplas till roller i ert befintliga organisationsschema och ISMS

Lager 4

Compliance & rapportering

Bevisbarhet som lever — inte som skapas inför revision

  • NIS2 artikel 21-krav implementerade som kontroller i pipeline
  • DORA-krav: incidentrapportering, tredjepartsövervakning, resiliens-testning
  • Risker flödar till befintligt riskregister — stannar inte i plattformen
  • Ledningsrapportering i befintligt format — compliance-status, riskexponering
  • Kvalitetsavvikelser flödar till QMS-process (ISO 9001)
  • Continuous compliance — inte punkt-insatser inför revision

Kopplas till ert GRC-verktyg eller manuella process

Utan Golden PathMed Golden Path
Processbeskrivning i Confluence som ingen läserProcessen ÄR plattformen — följs per automatik
Säkerhetstester körs manuellt iblandSäkerhetstester körs automatiskt i varje pipeline
Audit trail skapas manuellt inför revisionAudit trail genereras automatiskt i varje steg
RACI finns i ett dokument någonstansRACI tillämpas automatiskt i varje godkännandesteg
NIS2-compliance bevisas med excelfilerNIS2-kontroller verifieras kontinuerligt i plattformen
AI-genererad kod granskas inte annorlundaAI-kod flaggas, spåras och granskas med extra rigor
Riskbedömning görs ad hocRiskbedömning är ett automatiskt steg i flödet
Intern revision ber om data — utvecklare tar framIntern revision har realtidsåtkomst till data
"En Golden Path är inte en processkarta som hänger på väggen. Det är en levande process som körs varje gång kod rör sig mot produktion — med säkerhet, spårbarhet, roller och compliance inbyggt i varje steg."
Nästa: Landing Zones ← Plattformsöversikt
Nästa steg

Redo att accelerera — säkert?

Boka en Discovery Workshop. 90 minuter. Fastpris. Ni får en handlingsplan med ROI-prognos och en ärlig rekommendation.

info@securatech.se