Przejdź do treści

UK Government Secure by Design

Status: Deferred (Plan 101).

Zakres

Secure by Design to brytyjski rządowy program osadzania cyber security w cyklu życia każdej usługi cyfrowej zamawianej lub budowanej przez central government. Departamenty oraz arm's-length bodies są zobowiązane do udowodnienia adherence Secure by Design jako warunku zatwierdzenia usługi cyfrowej.

Secure by Design jest strukturalnie różny od pozostałych czterech frameworków, które Secruna wspiera. EU AI Act, RICS, UK Defence AI Playbook i 05-138 są wszystkie rule bookami — zestawami warunków, które system AI albo spełnia, albo narusza. Secure by Design to checklist plus maturity assessment:

  • Zestaw zasad (principles), które usługa musi zademonstrować.
  • Confidence Profile punktujący dowody zespołu wobec każdej zasady jako LOW, MEDIUM lub HIGH dojrzałość.
  • Iteracja po checkliście przez cały cykl życia usługi, a nie pojedyncze przejście pass-or-fail.

Dlaczego deferred

Secure by Design jest istotne tylko dla klientów licytujących w przetargach UK central government digital. Pierwszy płacący klient (Plan 102 RLB pilot) to firma chartered surveying i dostawca obronny, nie licytujący w central government. Zasady są dobrze udokumentowane, a model dojrzałości jest stabilny, więc koszt implementacji jest ograniczony — ale dopóki klient nie poprosi, praca nie zarabia swojego miejsca przed pilniejszymi pozycjami w backlogu.

Jak to wyglądałoby w produkcie

Po zaimplementowaniu Secure by Design będzie pierwszym non-rule-book frameworkiem w platformie i to jest test architektoniczny, który nakłada:

  • Zasady mapują się na taksonomię kategorii Plan 96 WI-3 jako nową gałąź enuma (secure_by_design_principle).
  • Punktacja Confidence Profile to nowa encja — nie werdykt, nie artefakt, ale jawny maturity assessment, który członek tenanta edytuje i dowodzi w czasie.
  • Panel dodaje powierzchnię Secure by Design obok inwentarza: lista zasad, obecna dojrzałość, dołączone dowody, data następnego przeglądu.

Praca jest sized na trzy do czterech tygodni full-time inżynierii po starcie.

Dziesięć zasad

Secure by Design definiuje dziesięć zasad, które usługa musi zademonstrować. Pakiet pokaże każdą jako własną stronę w panelu, z punktacją dojrzałości i slotem na dołączenie dowodu.

Zasady są udokumentowane w materiałach programu UK Government Secure by Design.

Reference

UK Government, Secure by Design programme.

Plan reference

Plan 101 — captured 2026-05-09 ze statusem deferred. Praca zostanie podjęta, gdy klient z zakresem zamówieniowym UK central government podpisze.

Analysis (po angielsku)

Pełna analiza (Scope, Key obligations, Our coverage approach, Gaps, Customer impact) jest w angielskiej wersji tej strony — terminologia programu rządowego pozostaje w angielskim oryginale. Zobacz Secure by Design (EN). Krótkie streszczenie po polsku: adherence Secure by Design to brama zatwierdzenia usługi w przetargach UK central government digital. Praktyczny wpływ niezgodności to: dyskwalifikacja zamówieniowa (brak Confidence Profile screenuje ofertę), wstrzymanie kolejnej tranzy finansowania (istniejące usługi nieprzeszłe okresowego przeglądu czekają na remediation), brak bezpośrednich kar finansowych, ale konsekwencje komercyjne (stracone przetargi, wstrzymane fundusze) i reputacyjne (widoczność wewnątrz cross-government CDDO). Dla bazy klientów Secruny wpływ jest ograniczony: tylko klienci licytujący w UK central government digital są eksponowani, dlatego Plan 101 jest deferred.