Download original attachment
(PDF file)
This is an HTML version of an attachment to the Official Information request 'Otter AI transcripts and recordings'.


Software Evaluation Process 
Step by Step 
Appendix A
Software Evaluation If you want to use a new piece of software, but are unable to
request it or download it yourself, you can either search Atea for it, or contact the Service Desk 
team to request it  be whitelisted for use inside the Parliamentary Service environment. 
However before any new software is whitelisted, the IST Delivery and Cyber Security teams need to 
run  thorough  checks  to  ensure  the  new  software  will  not  pose  any  threats  to  the 
Parliamentary network by enabling malicious activity or introducing vulnerabilities.  
Below are the steps to follow to complete an evaluation of the software including whitelisting it. 
1. Service Desk receive a request via email or phone call from customer requesting to
whitelist a specific software. You, as the customer, can request an evaluation here.
2. Service Desk will create a new ticket within ServiceNow with details of the software
requested and assign the ticket to the IST Delivery team for further assessment.
3. IST  Delivery  team  will  perform  an  initial  assessment  of  the  software  including
identifying if an already approved software has a similar functionality (and will offer
this  to  the  user  in  the  first  instance).  They  will  also  investigate  software  versions,
latest releases, company distributing software, CVES and known vulnerabilities,  do
Virus Total and Meta scans, and any other necessary checks.
4. IST Delivery team attaches the Software Security Evaluation form to the ServiceNow
under the Official 
ticket  and  assigns  it  to  the  Cyber  Security  team.  They  can  also  email  the  Cyber
Security team to inform them of the pending assessment.
5. Cyber  Security  team  reviews  and  validate  the  findings  within  the  Software
Evaluation form.
6. Cyber Security team conducts further malware checks (automatic and manual) by
running  the  software  in  a  malware  sandbox  to  assess static  analysis,  behavioural
analysis,  network  analysis  etc.  They  then  generate  a  report  which  outlines  if  the
software is genuine or malicious.
7. If the software does not pass, Cyber Security will contact the user informing them
the software will not be installed, and will discuss with them other options to meet
Released 
Information Act 1982
their needs.
8. If  the  software  has  passed  this  process,  the  ticket  is  assigned  to  IST  Operations
team to build a whitelisting rule for the new software.
9. Once this is completed, the ticket is sent back to ServiceDesk to contact the customer
and assist with installation.