Softwarepakketten Control: verschil tussen versies

Versie van 2 jul 2021 16:37

Versie 1.1 van 30 maart 2021 van de BIO Thema-uitwerking Softwarepakketten is vervangen door versie 1.2 van 26 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 1.2 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.

Deze informatie is onderdeel van Bio Thema Softwarepakketten.

Normenkader-aspect
ID:	SWP_C
Versie:	1.1
Status:	Concept
Publicatiedatum:	29-10-2021
Redactionele wijzigingsdatum:	30-11-2021
Indeling
Beveiligingsaspect:	Control
Invalshoek:

Meer lezen

→ Bio Thema Softwarepakketten

→ Alle normenkaders

→ Beveiligingsaspecten

→ Invalshoeken

→ ISOR (Information Security Object Repository)

Doelstelling[bewerken]

De doelstelling van het control-aspect is om vast te stellen of:

de criteria voldoende zijn ingericht en functioneren voor het garanderen van de beoogde beschikbaarheid, integriteit en vertrouwelijkheid van softwarepakketten;
softwarepakketten functioneel en technisch op het juiste niveau worden gehouden.

Dit houdt onder meer in dat binnen de organisatie een adequate beheersorganisatie moet zijn ingericht, waarin beheersprocessen zijn vormgegeven.

Risico's[bewerken]

Als de regie en control op noodzakelijke normen binnen de klant en de leverancier ontbreken, is het niet zeker of de bedrijfs- en technische functies aan de beoogde beveiligingsvoorwaarden voldoen en dat de governance van deze omgeving toereikend is ingericht. Ook kan niet vastgesteld worden of de gewenste normen worden nageleefd.

Beveiligingsprincipes, criteria en normen

Onderstaande afbeelding geeft de ordening van beveiligingsprincipes in het control-aspect weer met invalshoeken voor dit normenkader. Elk beveiligingsprincipeblok bevat de naam van het beveiligingsprincipe, het basiselement en het nummer van het beveiligingsprincipe. Blauwgekleurde beveiligingsprincipes zijn afgeleid van de BIO. De witte beveiligingsprincipes zijn afgeleid van overige best practices.

De beveiligingsprincipes zijn in de volgende paragrafen uitgewerkt. Echter niet elk beveiligingsprincipe is van toepassing voor elke softwarepakketselectie. Dit hangt af van verschillende factoren zoals: schaalgrootte, hostingslocatie, soort en integreerbaarheid met de bestaande IT. In tegenstelling tot andere normenkaders zijn aan de uitwerking toegevoegd:

Schaalgrootte, De schaalgrootte geeft een globale indicatie (klein, middel of groot) in hoeverre de schaalgrootte van softwarepakketten van invloed kan zijn op de relevantie van een beveiligingsprincipe. Met klein wordt bedoeld getalsmatig en/of bedrijfsmatige impactbeperkte toepassing. Middel is voor middelgrote bedrijfstoepassingen, zoals boekhouding- en officetoepassingen. De waarde groot is voor grootschalig gebruik, enerzijds in aantallen, anderzijds in omvang van het softwarepakket zoals Enterprise Resource Planning (ERP) en Enterprise Data Warehouses (EDW).
Voor wie het criterium van toepassing is, Het gaat om de klant en/of de leverancier. In veel gevallen is samenwerking tussen de klant en leverancier nodig om risico’s tijdens het gebruik van de softwarepakketten afdoende te beperken.

Principes uit de Bio Thema Softwarepakketten binnen dit aspect[bewerken]

Normen uit de Bio Thema Softwarepakketten binnen dit aspect[bewerken]

@@ Regel 7: / Regel 7: @@
 |Status actualiteit=Concept
 |Publicatiedatum=2021/04/19
-|Redactionele wijzigingsdatum=2021/03/30
+|Redactionele wijzigingsdatum=2021/07/02
 |Beschrijving===Beveiligingsprincipes, criteria en normen==
 Onderstaande afbeelding geeft de ordening van beveiligingsprincipes in het control-aspect weer met invalshoeken voor dit normenkader. Elk beveiligingsprincipeblok bevat de naam van het beveiligingsprincipe, het basiselement en het nummer van het beveiligingsprincipe. Blauwgekleurde beveiligingsprincipes zijn afgeleid van de BIO. De witte beveiligingsprincipes zijn afgeleid van overige best practices.
@@ Regel 15: / Regel 15: @@
-* Schaalgrootte
+* Schaalgrootte, De schaalgrootte geeft een globale indicatie (klein, middel of groot) in hoeverre de schaalgrootte van softwarepakketten van invloed kan zijn op de relevantie van een beveiligingsprincipe. Met klein wordt bedoeld getalsmatig en/of bedrijfsmatige impactbeperkte toepassing. Middel is voor middelgrote bedrijfstoepassingen, zoals boekhouding- en officetoepassingen. De waarde groot is voor grootschalig gebruik, enerzijds in aantallen, anderzijds in omvang van het softwarepakket zoals Enterprise Resource Planning (ERP) en Enterprise Data Warehouses (EDW).
-De schaalgrootte geeft een globale indicatie (klein, middel of groot) in hoeverre de schaalgrootte van softwarepakketten van invloed kan zijn op de relevantie van een beveiligingsprincipe. Met klein wordt bedoeld getalsmatig en/of bedrijfsmatige impactbeperkte toepassing. Middel is voor middelgrote bedrijfstoepassingen, zoals boekhouding- en officetoepassingen. De waarde groot is voor grootschalig gebruik, enerzijds in aantallen, anderzijds in omvang van het softwarepakket zoals ERP en EDW.
+* Voor wie het criterium van toepassing is, Het gaat om de klant en/of de leverancier. In veel gevallen is samenwerking tussen de klant en leverancier nodig om risico’s tijdens het gebruik van de softwarepakketten afdoende te beperken.
-* Voor wie het criterium van toepassing is
-Het gaat om de klant en/of de leverancier. In veel gevallen is samenwerking tussen de klant en leverancier nodig om risico’s tijdens het gebruik van de softwarepakketten afdoende te beperken.
 |Doelstelling=De doelstelling van het control-aspect is om vast te stellen of:
 # de criteria voldoende zijn ingericht en functioneren voor het garanderen van de beoogde beschikbaarheid, integriteit en vertrouwelijkheid van softwarepakketten;