Systeem-ontwikkelmethode

Exporteer naar RDF

Versie 2.0 van 22 februari 2021 van de BIO Thema-uitwerking Applicatieontwikkeling is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.

Beveiligingsprincipe
ID:	APO_B.02
Versie:	2.0
Status:	Actueel
Publicatiedatum:	29-10-2021
Redactionele wijzigingsdatum:	29-10-2021
Indeling
Beveiligingsaspect:	Beleid
Invalshoek:	Intentie

Verwante principes

→ BIO Thema-uitwerking Applicatieontwikkeling

→ Binnen dit normenkader èn beveiligingsaspect

→ Alle Normenkaders

→ Alle Beveiligingsprincipes

→ Alle Normen

→ Beveiligingsaspecten

→ ISOR

Ontwikkel- en onderhoudsactiviteiten moeten worden uitgevoerd op basis van een systeem ontwikkelmethode, hierdoor wordt rekening gehouden met:

de vereisten uit wet en regelgeving;
de contractuele vereisten;
de beveiligingsvereisten;
een projectmatige aanpak.

Criterium

Ontwikkelactiviteiten behoren te zijn gebaseerd op een gedocumenteerde systeem-ontwikkelmethode, waarin onder andere standaarden en procedures voor de applicatieontwikkeling, het toepassen van beleid en wet- en regelgeving en een projectmatige aanpak zijn geadresseerd.

Doelstelling

Ervoor zorgen dat applicaties die ontwikkeling worden, voldoen aan alle eisen/vereisten.

Risico

De in gebruik genomen applicatie voldoet niet aan de eisen en wensen van de business, vereiste uit wet- en regelgeving, beveiligingsvereisten etc.

Indeling binnen ISOR

Dit beveiligingsprincipe:

is gericht op het Beveiligingsaspect Beleid;
valt binnen de Invalshoek Intentie.

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De eigenschap “Aanroep” (als paginatype) met de invoerwaarde “The Standard of Good Practice for Information Security 2018|SoGP 2018]]: SD 1.1” bevat ongeldige tekens of is onvolledig en kan daarom onverwachte resultaten veroorzaken tijdens een opvraag- of annotatieproces.De eigenschap “Is uitwerking van” (als paginatype) met de invoerwaarde “The Standard of Good Practice for Information Security 2018|SoGP 2018” bevat ongeldige tekens of is onvolledig en kan daarom onverwachte resultaten veroorzaken tijdens een opvraag- of annotatieproces. De grondslag voor dit principe is The Standard of Good Practice for Information Security 2018 SD 1.1

Onderliggende normen

ID	Conformiteitsindicator	Stelling
APO_B.02.01	Systeem-ontwikkelmethode	Een formeel vastgestelde ontwikkelmethodologie wordt toegepast, zoals Structured System Analyses and Design Method (SSADM) of Scrum (Agile-ontwikkeling).
APO_B.02.02	Systeem-ontwikkelmethode	Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen.
APO_B.02.03	Systeem-ontwikkelmethode	Adoptie van ontwikkelmethodologie wordt gemonitord.
APO_B.02.04	Standaarden en procedures	Standaarden en procedures worden toegepast voor: het specificeren van requirements; het ontwikkelen, bouwen en testen; de overdracht van de ontwikkelde applicatie naar de productie-omgeving; de training van softwareontwikkelaars.
APO_B.02.05	Beleid en wet- en regelgeving	De systeem-ontwikkelmethode ondersteunt de vereiste dat te ontwikkelen applicaties voldoen aan: de eisen uit wet- en regelgeving inclusief privacy; de contactuele eisen; het informatiebeveiligingsbeleid van de organisatie; de specifieke beveiligingseisen vanuit de business; het classificatiemodel van de organisatie.
APO_B.02.06	Projectmatige aanpak	Het ontwikkelen van een applicatie wordt projectmatig aangepakt. Hierbij wordt onder andere aandacht besteed aan: het melden van de start van het project bij de verantwoordelijke voor de beveiligingsfunctie; het gebruik van een classificatiemodel; het toepassen van een assessment voor beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid; het creëren van een risicoregister; het registreren van belangrijke details in een bedrijfsapplicatieregister.