Levenscyclusmanagement softwarepakketten: verschil tussen versies
k (enter toegevoegd tussen alinea's) |
k (grondslag hersteld, hyperlink voorbereid) |
||
Regel 15: | Regel 15: | ||
De ISO 27034-5 ‘Protocols and application security controls data structure’ uit 2017 beschrijft onderstaand referentiemodel, waarin de levenscyclus van software is gedefinieerd, vanaf de voorbereiding van de verwerving tot en met de uitfasering van het product. Het is een model dat verschillende aspecten in beeld brengt. In dit thema ligt de focus op het verwervingsproces en de fase van een software die equivalent is aan het verwerven van een softwarepakket. | De [[ISO 27034-5 ‘Protocols and application security controls data structure’]] uit 2017 beschrijft onderstaand referentiemodel, waarin de levenscyclus van software is gedefinieerd, vanaf de voorbereiding van de verwerving tot en met de uitfasering van het product. Het is een model dat verschillende aspecten in beeld brengt. In dit thema ligt de focus op het verwervingsproces en de fase van een software die equivalent is aan het verwerven van een softwarepakket. | ||
===Schaalgrootte=== | ===Schaalgrootte=== | ||
Regel 27: | Regel 27: | ||
|Beveiligingsaspect=Beleid | |Beveiligingsaspect=Beleid | ||
|Invalshoek=Intentie | |Invalshoek=Intentie | ||
|Grondslag=CIP- | |Grondslag=CIP-netwerk | ||
|Heeft bron=Bio Thema Softwarepakketten | |Heeft bron=Bio Thema Softwarepakketten | ||
}} | }} |
Versie van 12 apr 2021 09:05
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 1.2 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Verwante principes |
Toelichting
Verwerving van software is geen enkelvoudige gebeurtenis. Na het verwerven van een softwarepakket blijft de klant tijdens de levenscyclus afhankelijk van de leverancier en heeft verschillende contactmomenten. Interactie met de leverancier blijft nodig tijdens de levensduur van het product, voor ingebruikname, actualisaties, innovaties en het uitfaseren.
De klant dient inzicht en overzicht te verschaffen aan de leverancier over de technische omgeving, de technische stack en de gewenste interoperabiliteit tussen de diverse softwarecomponenten behorende tot het softwarepakket. Het doel daarvan is de continuïteit van de beschikbaarheid van de bedrijfsfuncties zeker te stellen. Cruciaal daarbij is het tijdig upgraden van de software tijdens de levensduur van het product. Wanneer het softwarepakket niet langer door de leverancier wordt ondersteund, kan dit beveiligingsrisico’s voor de klant opleveren.
De ISO 27034-5 ‘Protocols and application security controls data structure’ uit 2017 beschrijft onderstaand referentiemodel, waarin de levenscyclus van software is gedefinieerd, vanaf de voorbereiding van de verwerving tot en met de uitfasering van het product. Het is een model dat verschillende aspecten in beeld brengt. In dit thema ligt de focus op het verwervingsproces en de fase van een software die equivalent is aan het verwerven van een softwarepakket.
Schaalgrootte
Middel en groot.
Voor wie
Klant en leverancier.
Criterium
Doelstelling
Risico
Indeling binnen ISOR
Dit beveiligingsprincipe:
- is gericht op het Beveiligingsaspect Beleid;
- valt binnen de Invalshoek Intentie.
ℹ️(Klik om uitleg open/dicht te klappen)
Grondslag
De grondslag voor dit principe is CIP-netwerk
Onderliggende normen
ID | Conformiteitsindicator | Stelling |
---|---|---|
SWP_U.01.01 | Adviseren |
Tussen de leverancier en klant is een procedure afgesproken voor het tijdig actualiseren/opwaarderen van verouderde softwarepakketten uit de technische stack. |
SWP_U.01.02 | Strategische ontwikkeling |
De leverancier onderhoudt een registratie van de gebruikte softwarestack. Hierin is de vermelding van de uiterste datum dat ondersteuning plaatsvindt opgenomen, waardoor inzicht bestaat in de door de leverancier ondersteunde versies van de software. |
SWP_U.01.03 | Innovatieve |
Technologische innovaties van softwarepakketten worden aan de klant gecommuniceerd en de toepassing daarvan wordt afgestemd met de klant voor implementatie. |