Levenscyclusmanagement softwarepakketten

De printervriendelijke versie wordt niet langer ondersteund en kan weergavefouten bevatten. Werk uw browserbladwijzers bij en gebruik de gewone afdrukfunctie van de browser.

Exporteer naar RDF

Versie 1.1 van 30 maart 2021 van de BIO Thema-uitwerking Softwarepakketten is vervangen door versie 1.2 van 26 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 1.2 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.

Beveiligingsprincipe
ID:	SWP_U.01
Versie:	1.2
Status:	Actueel
Publicatiedatum:	29-10-2021
Redactionele wijzigingsdatum:	19-11-2021
Indeling
Beveiligingsaspect:	Uitvoering
Invalshoek:	Intentie

Verwante principes

→ BIO Thema-uitwerking Softwarepakketten

→ Binnen dit normenkader èn beveiligingsaspect

→ Alle Normenkaders

→ Alle Beveiligingsprincipes

→ Alle Normen

→ Beveiligingsaspecten

→ ISOR

Objectdefinitie

Betreft de besturing en het beheer van de opeenvolgende fases van de initiële installatie tot en met de uitfasering van een softwarepakket.

Objecttoelichting

Verwerving van software is geen enkelvoudige gebeurtenis. Na het verwerven van een softwarepakket blijft de klant tijdens de levenscyclus afhankelijk van de leverancier en heeft verschillende contactmomenten. Interactie met de leverancier blijft nodig tijdens de levensduur van het product, voor ingebruikname, actualisaties, innovaties en het uitfaseren.

De klant dient inzicht en overzicht te verschaffen aan de leverancier over de technische omgeving, de technische stack en de gewenste interoperabiliteit tussen de diverse softwarecomponenten behorende tot het softwarepakket. Het doel daarvan is de continuïteit van de beschikbaarheid van de bedrijfsfuncties zeker te stellen. Cruciaal daarbij is het tijdig upgraden van de software tijdens de levensduur van het product. Wanneer het softwarepakket niet langer door de leverancier wordt ondersteund, kan dit beveiligingsrisico’s voor de klant opleveren.

De ISO 27034-5 ‘Protocols and application security controls data structure’ uit 2017 beschrijft onderstaand referentiemodel, waarin de levenscyclus van software is gedefinieerd, vanaf de voorbereiding van de verwerving tot en met de uitfasering van het product. Het is een model dat verschillende aspecten in beeld brengt. In deze BIO Thema-uitwerking ligt de focus op het verwervingsproces en de fase van een software die equivalent is aan het verwerven van een softwarepakket.

Referentiemodel levenscyclus softwarebeveiliging

Schaalgrootte

Middel en groot.

Voor wie

Klant en leverancier.

Criterium

De leverancier behoort de klant te adviseren met marktontwikkelingen en kennis van (de leeftijd van) applicaties en technische softwarestack over strategische ontwikkeling en innovatieve keuzes voor het ontwikkelen en onderhouden van informatiesystemen in het applicatielandschap.

Doelstelling

Het zorgen dat informatiebeveiliging deel uitmaakt van de levenscyclus van software.

Risico

De continuïteit van de bedrijfsprocessen kan niet gewaarborgd worden.

Indeling binnen ISOR

Dit beveiligingsprincipe:

is gericht op het Beveiligingsaspect Uitvoering;
valt binnen de Invalshoek Intentie.

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is CIP-netwerk

Onderliggende normen

ID	Conformiteitsindicator	Stelling
SWP_U.01.01	Adviseren	Tussen de leverancier en klant is een procedure afgesproken voor het tijdig actualiseren/opwaarderen van verouderde softwarepakketten uit de technische stack.
SWP_U.01.02	Strategische ontwikkeling	De leverancier onderhoudt een registratie van de gebruikte softwarestack. Hierin is de vermelding van de uiterste datum dat ondersteuning plaatsvindt opgenomen, waardoor inzicht bestaat in de door de leverancier ondersteunde versies van de software.
SWP_U.01.03	Innovatieve	Technologische innovaties van softwarepakketten worden aan de klant gecommuniceerd en de toepassing daarvan wordt afgestemd met de klant voor implementatie.