Het logo van WILMAONLINE
Menu
  1. WILMA Online
  2. 14. Acquisitie, ontwikkeling en onderhoud van informatiesystemen

14. Acquisitie, ontwikkeling en onderhoud van informatiesystemen

Informatisering & automatisering is een ondersteunende bedrijfsfunctie. Hoofdstuk 14 “AQUISITIE, ONTWIKKELING EN ONDERHOUD VAN INFORMATIESYSTEMEN” van de BIO is van toepassing op deze bedrijfsfunctie.


AQUISITIE, ONTWIKKELING EN ONDERHOUD VAN INFORMATIESYSTEMEN.png


Doelstelling[bewerken]

Waarborgen dat informatiebeveiliging integraal deel uitmaakt van informatiesystemen in de gehele levenscyclus. Hiertoe behoren ook de eisen voor informatiesystemen die diensten verlenen via openbare netwerken.

14.1 Beveiligingseisen voor informatiesystemen[bewerken]
Artikel Verantwoordelijk Aanwezig Gebruikt Gestuurd
14.1.1 Analyse en specificatie van informatiebeveiligingseisen Proceseigenaar
De eisen die verband houden met informatiebeveiliging behoren te worden opgenomen in de eisen voor nieuwe informatiesystemen of voor uitbreidingen van bestaande informatiesystemen.
14.1.2 Toepassingen op openbare netwerken beveiligen Dienstverlener
Informatie die deel uitmaakt van uitvoeringsdiensten en die via openbare netwerken wordt uitgewisseld, behoort te worden beschermd tegen frauduleuze activiteiten, geschillen over contracten en onbevoegde openbaarmaking en wijziging.
14.1.3 Transacties van toepassingen beschermen Dienstverlener
Informatie die deel uitmaakt van transacties van toepassingen behoort te worden beschermd ter voorkoming van onvolledige overdracht, foutieve routering, onbevoegd wijzigen van berichten, onbevoegd openbaar maken, onbevoegd vermenigvuldigen of afspelen.


Doelstelling[bewerken]

Bewerkstelligen dat informatiebeveiliging wordt ontworpen en geïmplementeerd binnen de ontwikkelingslevenscyclus van informatiesystemen.

14.2 Beveiliging in ontwikkelings- en ondersteunende processen[bewerken]
Artikel Verantwoordelijk Aanwezig Gebruikt Gestuurd
14.2.1 Beleid voor beveiligd ontwikkelen Secretaris-directeur
Voor het ontwikkelen van software en systemen behoren regels te worden vastgesteld en op ontwikkelactiviteiten binnen de organisatie te worden toegepast.
14.2.2 Procedures voor wijzigingsbeheer met betrekking tot systemen Dienstverlener
Wijzigingen aan systemen binnen de levenscyclus van de ontwikkeling behoren te worden beheerst door het gebruik van formele procedures voor wijzigingsbeheer.
14.2.3 Technische beoordeling van toepassingen na wijzigingen besturingsplatform Dienstverlener
Als besturingsplatforms zijn veranderd, behoren bedrijfskritische toepassingen te worden beoordeeld en getest om te waarborgen dat er geen nadelige impact is op de activiteiten of de beveiliging van de organisatie.
14.2.5 Principes voor engineering van beveiligde systemen Dienstverlener
Principes voor de engineering van beveiligde systemen behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het implementeren van informatiesystemen.
14.2.6 Beveiligde ontwikkelomgeving Dienstverlener
Organisaties behoren beveiligde ontwikkelomgevingen vast te stellen en passend te beveiligen voor verrichtingen op het gebied van systeemontwikkeling en integratie, die betrekking hebben op de gehele levenscyclus van de systeemontwikkeling.
14.2.7 1 Uitbestede softwareontwikkeling Proceseigenaar
Uitbestede systeemontwikkeling behoort onder supervisie te staan van en te worden gemonitord door de organisatie.
14.2.8 1 Testen van systeembeveiliging Proceseigenaar
Tijdens ontwikkelactiviteiten behoort de beveiligingsfunctionaliteit te worden getest.
14.2.9 Systeemacceptatietests Dienstverlener
Voor nieuwe informatiesystemen, upgrades en nieuwe versies behoren programma’s voor het uitvoeren van acceptatietests en gerelateerde criteria te worden vastgesteld.


Doelstelling[bewerken]

Bescherming waarborgen van gegevens die voor het testen zijn gebruikt.

14.3 Testgegevens[bewerken]
Artikel Verantwoordelijk Aanwezig Gebruikt Gestuurd
14.3.1 Bescherming van testgegevens Proceseigenaar
Testgegevens behoren zorgvuldig te worden gekozen, beschermd en gecontroleerd.

Het basisnormenkader voor informatiebeveiliging binnen alle overheidslagen (Rijk, gemeenten, provincies en waterschappen).

Informatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve maatregelen alsmede procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie of een maatschappij garanderen, met als doel de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken.

Het hanteren van een samenhangend stelsel van maatregelen dat zich richt op het blijvend realiseren van een gewenst niveau van beschikbaarheid, integriteit en vertrouwelijkheid van (stuur-)informatie en informatiesystemen die gebruikt worden binnen een organisatie.

De eisen die verband houden met informatiebeveiliging behoren te worden opgenomen in de eisen voor nieuwe informatiesystemen of voor uitbreidingen van bestaande informatiesystemen.

Informatie die deel uitmaakt van uitvoeringsdiensten en die via openbare netwerken wordt uitgewisseld behoort te worden beschermd tegen frauduleuze activiteiten geschillen over contracten en onbevoegde openbaarmaking en wijziging.

Informatie die deel uitmaakt van transacties van toepassingen behoort te worden beschermd ter voorkoming van onvolledige overdracht foutieve routering onbevoegd wijzigen van berichten onbevoegd openbaar maken onbevoegd vermenigvuldigen of afspelen.

Voor het ontwikkelen van software en systemen behoren regels te worden vastgesteld en op ontwikkelactiviteiten binnen de organisatie te worden toegepast.

Een organisatie is een collectief van professionals dat samenwerkt aan hetzelfde doel.

Wijzigingen aan systemen binnen de levenscyclus van de ontwikkeling behoren te worden beheerst door het gebruik van formele procedures voor wijzigingsbeheer.

Als besturingsplatforms zijn veranderd behoren bedrijfskritische toepassingen te worden beoordeeld en getest om te waarborgen dat er geen nadelige impact is op de activiteiten of de beveiliging van de organisatie.

Principes voor de engineering van beveiligde systemen behoren te worden vastgesteld gedocumenteerd onderhouden en toegepast voor alle verrichtingen betreffende het implementeren van informatiesystemen.

Organisaties behoren beveiligde ontwikkelomgevingen vast te stellen en passend te beveiligen voor verrichtingen op het gebied van systeemontwikkeling en integratie die betrekking hebben op de gehele levenscyclus van de systeemontwikkeling.

Voor nieuwe informatiesystemen upgrades en nieuwe versies behoren programmarsquo;s voor het uitvoeren van acceptatietests en gerelateerde criteria te worden vastgesteld.

Een tijdelijk geheel van samenhangende projecten en activiteiten gericht op het bereiken van één of meer strategische doelstellingen.

Testgegevens behoren zorgvuldig te worden gekozen beschermd en gecontroleerd.

Overgenomen van "https://www.wilmaonline.nl/index.php?title=14._Acquisitie,_ontwikkeling_en_onderhoud_van_informatiesystemen&oldid=75898"