14. Acquisitie, ontwikkeling en onderhoud van informatiesystemen
Informatisering & automatisering is een ondersteunende bedrijfsfunctie. Hoofdstuk 14 “AQUISITIE, ONTWIKKELING EN ONDERHOUD VAN INFORMATIESYSTEMEN” van de BIO is van toepassing op deze bedrijfsfunctie.
Doelstelling[bewerken]
Waarborgen dat informatiebeveiliging integraal deel uitmaakt van informatiesystemen in de gehele levenscyclus. Hiertoe behoren ook de eisen voor informatiesystemen die diensten verlenen via openbare netwerken.
14.1 Beveiligingseisen voor informatiesystemen[bewerken]
Artikel | Verantwoordelijk | Aanwezig | Gebruikt | Gestuurd |
---|---|---|---|---|
14.1.1 Analyse en specificatie van informatiebeveiligingseisen | Proceseigenaar | |||
De eisen die verband houden met informatiebeveiliging behoren te worden opgenomen in de eisen voor nieuwe informatiesystemen of voor uitbreidingen van bestaande informatiesystemen. | ||||
14.1.2 Toepassingen op openbare netwerken beveiligen | Dienstverlener | |||
Informatie die deel uitmaakt van uitvoeringsdiensten en die via openbare netwerken wordt uitgewisseld, behoort te worden beschermd tegen frauduleuze activiteiten, geschillen over contracten en onbevoegde openbaarmaking en wijziging. | ||||
14.1.3 Transacties van toepassingen beschermen | Dienstverlener | |||
Informatie die deel uitmaakt van transacties van toepassingen behoort te worden beschermd ter voorkoming van onvolledige overdracht, foutieve routering, onbevoegd wijzigen van berichten, onbevoegd openbaar maken, onbevoegd vermenigvuldigen of afspelen. |
Doelstelling[bewerken]
Bewerkstelligen dat informatiebeveiliging wordt ontworpen en geïmplementeerd binnen de ontwikkelingslevenscyclus van informatiesystemen.
14.2 Beveiliging in ontwikkelings- en ondersteunende processen[bewerken]
Artikel | Verantwoordelijk | Aanwezig | Gebruikt | Gestuurd |
---|---|---|---|---|
14.2.1 Beleid voor beveiligd ontwikkelen | Secretaris-directeur | |||
Voor het ontwikkelen van software en systemen behoren regels te worden vastgesteld en op ontwikkelactiviteiten binnen de organisatie te worden toegepast. | ||||
14.2.2 Procedures voor wijzigingsbeheer met betrekking tot systemen | Dienstverlener | |||
Wijzigingen aan systemen binnen de levenscyclus van de ontwikkeling behoren te worden beheerst door het gebruik van formele procedures voor wijzigingsbeheer. | ||||
14.2.3 Technische beoordeling van toepassingen na wijzigingen besturingsplatform | Dienstverlener | |||
Als besturingsplatforms zijn veranderd, behoren bedrijfskritische toepassingen te worden beoordeeld en getest om te waarborgen dat er geen nadelige impact is op de activiteiten of de beveiliging van de organisatie. | ||||
14.2.5 Principes voor engineering van beveiligde systemen | Dienstverlener | |||
Principes voor de engineering van beveiligde systemen behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het implementeren van informatiesystemen. | ||||
14.2.6 Beveiligde ontwikkelomgeving | Dienstverlener | |||
Organisaties behoren beveiligde ontwikkelomgevingen vast te stellen en passend te beveiligen voor verrichtingen op het gebied van systeemontwikkeling en integratie, die betrekking hebben op de gehele levenscyclus van de systeemontwikkeling. | ||||
14.2.7 1 Uitbestede softwareontwikkeling | Proceseigenaar | |||
Uitbestede systeemontwikkeling behoort onder supervisie te staan van en te worden gemonitord door de organisatie. | ||||
14.2.8 1 Testen van systeembeveiliging | Proceseigenaar | |||
Tijdens ontwikkelactiviteiten behoort de beveiligingsfunctionaliteit te worden getest. | ||||
14.2.9 Systeemacceptatietests | Dienstverlener | |||
Voor nieuwe informatiesystemen, upgrades en nieuwe versies behoren programma’s voor het uitvoeren van acceptatietests en gerelateerde criteria te worden vastgesteld. |
Doelstelling[bewerken]
Bescherming waarborgen van gegevens die voor het testen zijn gebruikt.
14.3 Testgegevens[bewerken]
Artikel | Verantwoordelijk | Aanwezig | Gebruikt | Gestuurd |
---|---|---|---|---|
14.3.1 Bescherming van testgegevens | Proceseigenaar | |||
Testgegevens behoren zorgvuldig te worden gekozen, beschermd en gecontroleerd. |