BIO Thema Applicatieontwikkeling
Dit Normenkader is deel van ISOR. |
Korte intro bij dit thema; volgt nog.
bijvoorbeeld: Een softwareapplicatie wordt ontwikkeld om een (bedrijfs)proces te ondersteunen en moet voldoen aan de behoeften van gebruikers en stakeholders.
Een applicatie kan worden verworven door interne ontwikkeling, uitbesteding of inkoop van een commercieel product.
Dit thema is opgesteld om zowel de interne als de externe leverancier over een instrument te laten beschikken voor de implementatie van applicaties in de technische omgeving van de leverancier of van de klant zelf.
We richten ons in dit thema voornamelijk op conditionele, beveiligings- en beheersingsaspecten die gerelateerd zijn aan het ontwikkelen van applicaties en beperken ons daarbij tot het inhouse ontwikkelen ervan.
Er zijn 2 manieren om direct bij de principes en normen voor Applicatieontwikkeling te komen:
1. Via de overzichtstabellen (leiden direct naar afzonderlijke principes of normen):
2. Via de domeinhoofdstukken (brengen je naar het begin van een domeinhoofdstuk):
Binnen dit normenkader
Inleidende teksten
Relatie tussen principes en onderliggende normen
Stel dat het thema Gezondheid onderdeel uitmaakte van de NORANederlandse Overheid Referentie Architectuur. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.
Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.
Indelingen binnen BIO Thema Applicatieontwikkeling
Alle onderdelen van BIO Thema Applicatieontwikkeling zijn ingedeeld volgens de SIVA-methode. Dat betekent dat alle principes en onderliggende normen zijn ingedeeld in één van drie aspecten: Beleid, Uitvoering of Control (B, U of C). Binnen normenkaders die geheel volgens de SIVA-methode zijn opgesteld herken je bovendien een tweede indeling, in de invalshoeken Intentie of Functie of Gedrag of Structuur (I, F, G of S). Deze indeling heeft binnen SIVA tot doel om lacunes te ontdekken in de objectanalyse die leidt tot normen. Voor de Privacy Baseline en de SSD-stukken geldt een uitzondering. Daar heeft IFGS geen rol gespeeld bij de samenstelling van het 'normenkader'.
De principes en onderliggende normen van BIO Thema Applicatieontwikkeling zijn op basis hiervan in een aantal overzichten gezet:
Principes uit BIO Thema Applicatieontwikkeling
Beleid (principes)
export principes Beleid als csv
ID | Principe | Criterium |
---|---|---|
AppO_B.01 | Beleid voor (beveiligd) ontwikkelen | Voor het ontwikkelen van software en systemen behoren regels te worden vastgesteld en op ontwikkelactiviteiten binnen de organisatie te worden toegepast. |
AppO_B.02 | Systeem ontwikkelmethode | Ontwikkel activiteiten behoren te zijn gebaseerd op gedocumenteerde systeem ontwikkelmethodes en waarin o.a. standaarden/procedures voor de applicatieontwikkeling, het toepassen van beleid en wet en regelgeving en een projectmatige aanpak zijn geadresseerd. |
AppO_B.03 | Classificatie van Informatie | InformatieBetekenisvolle gegevens. behoort te worden geclassificeerd met betrekking tot wettelijke eisen, waarde, belang en gevoeligheid voor onbevoegde bekendmaking of wijziging. |
AppO_B.04 | Engineeringprincipes beveiligde systemen | Principes voor de engineering van beveiligde systemen behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het implementeren van informatiesystemen. |
AppO_B.05 | Business Impact Analyse | De BIA behoort te worden uitgevoerd vanuit verschillende perspectieven, zich te richten op verschillende scenario’s en vast te stellen welke impact de aspecten beschikbaarheid, integriteit, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen en controleerbaarheid (BIVC) hebben op de organisatie. |
AppO_B.06 | Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse) | Bij het ontwikkelen van applicaties behoren privacy en bescherming van persoonsgegevens, voor zover van toepassing, te worden gewaarborgd in overeenstemming met relevante wet- en regelgeving. |
AppO_B.07 | Kwaliteitsmanagement systeem (KMS) | De doelorganisatie behoort conform uitgestippeld ontwikkel en onderhoudsbeleid een kwaliteitsmanagement systeem (KMS) in te richten, dat ervoor zorgt dat applicatieontwikkeling en -onderhoud wordt uitgevoerd en beheerst. |
AppO_B.08 | Toegangsbeveiliging op programmacode | Toegang tot de programmacode en broncode bibliotheken behoort te worden beperkt. |
AppO_B.09 | Projectorganisatie | Binnen de (project-)organisatie behoort een beveiligingsfunctionaris te zijn benoemd die het systeem ontwikkeltraject ondersteunt in de vorm van het bewaken van beveiligingsvoorschriften en die inzicht verschaft in de samenstelling van het applicatielandschap. |
Uitvoering (principes)
export principes Uitvoering als csv
ID | Principe | Criterium |
---|---|---|
AppO_U.01 | Procedures voor wijzigingsbeheer m.b.t. applicaties | Wijzigingen aan systemen binnen de levenscyclus van de ontwikkeling behoren te worden beheerst door het gebruik van formele procedures voor wijzigingsbeheer. |
AppO_U.02 | Beperkingen voor de installatie van software(richtlijnen) | Voor het door gebruikers/ontwikkelaars installeren van software behoren regels te worden vastgesteld en te worden geïmplementeerd. |
AppO_U.03 | Richtlijnen voor programmacode (best practices) | Voor het ontwikkelen van (programma)code behoren specifieke regels van toepassing te zijn en gebruik te worden gemaakt van specifieke best practices. |
AppO_U.04 | Analyse en specificatie van informatiesystemen | De functionele eisen die verband houden met nieuwe informatiesystemen of voor uitbreiding van bestaande informatiesystemen behoren te worden geanalyseerd en gespecificeerd. |
AppO_U.05 | Analyse en specificatie van informatiebeveiligingseisen | De beveiligingseisen die verband houden met informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. behoren te worden opgenomen in de eisen voor nieuwe informatiesystemen en voor uitbreiding van bestaande informatiesystemen. |
AppO_U.06 | Applicatie ontwerp | Het applicatie ontwerp behoort gebaseerd te zijn op informatie, welke is verkregen uit verschillende invalshoeken, zoals: Business vereisten en reviews, omgevingsanalyse en (specifieke) beveiliging. |
AppO_U.07 | Applicatie functionaliteiten | Informatiesystemen behoren zo te worden ontworpen, dat de invoer-, verwerking- en outputfuncties van gegevens (op het juiste moment) in het proces worden gevalideerd op juistheid, tijdigheid en volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld. om het businessproces optimaal te kunnen ondersteunen. |
AppO_U.08 | Applicatiebouw | De bouw van applicaties inclusief programmacode behoort te worden uitgevoerd op basis van (industrie) good practice en door ontwikkelaars die beschikken over de juiste skills/tools en de applicaties behoren te worden gereviewd. |
AppO_U.09 | Testen van systeembeveiliging | Tijdens ontwikkelactiviteiten behoren zowel bedrijfsfunctionaliteiten als de beveiligingsfunctionaliteiten te worden getest. |
AppO_U.10 | Systeem acceptatietests | Voor nieuwe informatiesystemen, upgrades en nieuwe versies behoren programma’s voor het uitvoeren van acceptatietests en gerelateerde criteria te worden vastgesteld. |
AppO_U.11 | Beschermen van testgegevens | Testgegevens behoren zorgvuldig te worden gekozen, beschermd en gecontroleerd. |
AppO_U.12 | Beveiligde ontwikkel- (en test) omgeving | Organisaties behoren beveiligde ontwikkelomgevingen vast te stellen en passend te beveiligen voor verrichtingen op het gebied van systeemontwikkeling en integratie en die betrekking hebben op de gehele levenscyclus van de systeemontwikkeling. |
AppO_U.13 | Applicatiekoppelingen | De koppelingen tussen applicaties behoren te worden uitgevoerd op basis geaccordeerde koppelingsrichtlijnen om de juiste services te kunnen leveren en de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. te kunnen waarborgen. |
AppO_U.15 | Applicatie architectuur | De functionele- en beveiligingseisen behoren in een applicatie-architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen., conform architectuurvoorschriften, in samenhang te zijn vastgelegd. |
AppO_U.16 | Tooling ontwikkelmethode | De ontwikkelmethode behoort te worden ondersteund door een tool dat de noodzakelijke faciliteiten biedt voor het effectief uitvoeren van de ontwikkelcyclus. |
Control (principes)
export principes Control als csv
ID | Principe | Criterium |
---|---|---|
AppO_C.01 | Richtlijnen evaluatie ontwikkelactiviteiten | De projectorganisatie behoort richtlijnen voor de controleactiviteiten en rapportages te hebben geformuleerd gericht op de evaluaties van ontwikkel activiteiten, zoals requirements, specificaties en programmacode. |
AppO_C.02 | Versie Management | De projectorganisatie behoort in het systeem ontwikkeltraject versiebeheer op procesmatige en op efficiënte wijze ingericht te hebben. |
AppO_C.03 | Patchmanagement van externe programmacode | Patchmanagement behoort procesmatig en procedureel zodanig uitgevoerd te worden, dat van de gebruikte code tijdig vanuit externe bibliotheken informatie wordt ingewonnen over technische kwetsbaarheden, zodat tijdig de laatste (beveiligings)patches kunnen worden geïnstalleerd. |
AppO_C.04 | (Software) configuratie management | De inrichting van het configuratiebeheer behoort waarborgen te bieden dat de vastgelegde gegevens van de software configuratie-items (SCI’s) in de configuratie-administratie (CMDB) juist en volledig zijn en blijven. |
AppO_C.05 | Compliance management | De projectorganisatie behoort een compliance management proces, ingericht te hebben, op basis waarvan zij de implicaties uit wet en regelgeving en verplichtingen voortvloeiend uit overeenkomsten en beleid kan vaststellen. |
AppO_C.06 | Quality assurance | De projectorganisatie behoort een Quality Assurance proces (QA) te hebben ingericht, op basis waarvan zij de betrouwbare werking van het ontwikkel en onderhoudproces voor de applicatieontwikkeling kan vaststellen. |
AppO_C.07 | Technische beoordeling van informatiesystemen na wijziging besturingsplatform | Bij veranderingen van/in besturingsplatforms behoren bedrijfskritische toepassingen te worden beoordeeld en getest om te waarborgen dat er geen nadelige impact ontstaan op de activiteiten of de beveiliging van de organisatie. |
AppO_C.08 | Beheersing van software ontwikkeling(sprojecten) | De project verantwoordelijke behoort voor de softwareontwikkelprojecten een beheersorganisatie te hebben ingericht waarin de structuur van de beheersprocessen, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld. |
Onderliggende normen
ℹ️Toon uitleg relaties themaprincipe, conformiteitindicator en norm
Stel dat het thema Gezondheid onderdeel uitmaakte van de NORANederlandse Overheid Referentie Architectuur. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.
Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.
Beleid (normen)
ID | trefwoord | Stelling | Norm |
---|---|---|---|
AppO_B.01.01 | regels | De gangbare principes rondom Security by design zijn uitgangspunt voor de ontwikkeling van software en systemen is uitgangspunt voor de ontwikkeling van software en systemen. | De gangbare principes rondom Security by Design als uitgangspunt voor softwareontwikkeling |
AppO_B.01.02 | regels | De Handreiking: Grip op Secure Software Development (SSD) is uitgangspunt voor de ontwikkeling van software en systemen. | Grip op Secure Software Development' als uitgangspunt voor softwareontwikkeling |
AppO_B.01.03 | regels | In het beleid voor beveiligd ontwikkelen zijn de volgende aspecten in overweging genomen:
| Overwegingen bij het beleid voor beveiligd ontwikkelen van software |
AppO_B.01.04 | regels | Technieken voor beveiligd programmeren worden zowel gebruikt voor nieuwe ontwikkelingen als voor hergebruik van code uit andere bronnen. | Technieken voor beveiligd programmeren |
AppO_B.02.01 | systeem ontwikkelmethodes | Een formeel vastgestelde ontwikkelmethodologie wordt toegepast, bijvoorbeeld: Structured System Analyses and Design Method (SSADM) of Scrum (Agile ontwikkeling). | Software wordt ontwikkeld conform een formeel vastgestelde ontwikkelmethodologie |
AppO_B.02.02 | systeem ontwikkelmethodes | Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen. | Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen |
AppO_B.02.03 | systeem ontwikkelmethodes | Adoptie van ontwikkelmethodologie wordt gemonitord. | Adoptie van ontwikkelmethodologie wordt gemonitord |
AppO_B.02.04 | standaarden/procedures | Standaarden en procedures worden toegepast voor:
| Software wordt ontwikkelen conform standaarden en procedures |
AppO_B.02.05 | beleid en wet en regelgeving | De systeemontwikkelmethode ondersteunt de vereisten dat te ontwikkelen applicaties voldoen aan:
| De systeemontwikkelmethode ondersteunt dat de te ontwikkelen applicaties voldoen aan de vereisten |
AppO_B.02.06 | projectmatig | Het ontwikkelen van een applicatie wordt projectmatig aangepakt waarbij o.a. aandacht wordt besteed aan:
| Het softwareontwikkeling wordt projectmatig aangepakt |
AppO_B.03.01 | informatie | De Handreiking: BIO-Dataclassificatie is uitgangspunt voor de ontwikkeling van software en systemen. | Dataclassificatie' als uitgangspunt voor softwareontwikkeling |
AppO_B.03.02 | informatie | In alle informatiesystemen is de informatie door middel van een expliciete risicoafweging geclassificeerd, zodat duidelijk is welke bescherming nodig is. | Informatie in alle informatiesystemen is conform expliciete risicoafweging geclassificeerd |
AppO_B.03.03 | informatie | Bij het ontwikkelen van applicaties is informatie beschermd conform de vereisten uit het classificatieschema. | Bij applicatieontwikkeling is informatie beschermd conform de vereisten uit het classificatieschema |
AppO_B.03.04 | wettelijke eisen, waarde, belang, gevoeligheid | In het classificatieschema wordt rekening gehouden met de verplichtingen uit wet- en regelgevingen(o.a. privacy), organisatorische en technische requirements. | Verplichtingen uit wet en regelgeving en organisatorische en technische requirements |
AppO_B.04.01 | principes | De gangbare principes rondom Security by design zijn uitgangspunt voor de ontwikkeling van software en systemen. | Security by Design als uitgangspunt voor softwareontwikkeling |
AppO_B.04.02 | principes | Voor het beveiligen van informatiesystemen zijn de volgende principe van belang:
| Principes voor het beveiligen van informatiesystemen |
AppO_B.04.03 | principes | Beveiliging wordt als een integraal onderdeel van system ontwikkeling behandeld. | Beveiliging is integraal onderdeel van systeemontwikkeling |
AppO_B.04.04 | principes | Ontwikkelaars zijn getraind om veilige software te ontwikkelen. | Ontwikkelaars zijn getraind om veilige software te ontwikkelen |
AppO_B.05.01 | perspectieven | Bij de Business Impact Analyse worden o.a. de volgende perspectieven in beschouwing genomen:
| Perspectieven bij de Business Impact Analyse |
AppO_B.05.02 | scenario's | De business impact analyse richt zich op verschillende scenario’s met aandacht voor:
| Scenario's voor de Business Impact Analyse |
AppO_B.05.03 | BIVC-aspecten | Met de business impact analyse wordt vastgesteld op welke wijze een eventueel compromitteren van de aspecten beschikbaarheid, integriteit, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen- en controleerbaarheid invloed hebben op de financiën van de organisatie in termen van:
| Vaststelling op welke wijze een eventueel compromitteren invloed heeft op de financiën van de organisatie |
AppO_B.06.01 | privacy en bescherming van persoonsgegevens | Om privacy en gegevensbeschermingsmaatregelen vooraf in het ontwerp mee te nemen is een GEB-analyse uitgevoerd. | GEB om vooraf in het ontwerp de privacy en gegevensbeschermingsmaatregelen mee te nemen |
AppO_B.06.02 | privacy en bescherming van persoonsgegevens | Voor het uitvoeren van GEB's en voor het opvolgen van de uitkomsten is een procesbeschrijving aanwezig. | procesbeschrijving voor het uitvoeren van GEB's en voor het opvolgen van de uitkomsten |
AppO_B.06.03 | privacy en bescherming van persoonsgegevens | Een tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen. | Een tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen |
AppO_B.06.04 | privacy en bescherming van persoonsgegevens | Privacy by Design en de GEB maken onderdeel uit van een tot standaard verheven risicomanagement aanpak. | Privacy by Design en GEB als onderdeel van een tot standaard verheven risicomanagement aanpak |
AppO_B.06.05 | privacy en bescherming van persoonsgegevens | De risicomanagement aanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen. | Risicomanagement aanpak aantoonbaar toegepast |
AppO_B.06.06 | wet- en regelgeving | Op basis van AVG worden bij het ontwerp/ontwikkelen van applicaties de principes Privacy by design and by default gehanteerd. | Op basis van de AVG worden de principes Privacy by Design en Privacy by Default gehanteerd |
AppO_B.07.01 | ontwikkel en onderhoudsbeleid | De doelorganisatie beschikt over een ontwikkel- en onderhoudsbeleid. | De doelorganisatie beschikt over een ontwikkel en onderhoudsbeleid |
AppO_B.07.02 | ontwikkel en onderhoudsbeleid | De doelorganisatie beschikt over Quality Assurance (QA) methodiek en Kwaliteit beheersysteem (KMS) methodiek. | De doelorganisatie beschikt over QA- en KMS-methodiek |
AppO_B.07.03 | kwaliteitsmanagement systeem | De ontwikkel- & onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd. | De ontwikkel en onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd |
AppO_B.07.04 | kwaliteitsmanagement systeem | Er zijn informatie- en communicatieprocessen ingericht. | Voor informatie- en communicatie zijn processen ingericht |
AppO_B.07.05 | kwaliteitsmanagement systeem | Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd | Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd |
AppO_B.07.06 | kwaliteitsmanagement systeem | Aan het management worden evaluatie rapportages verstrekt. | Aan het management worden evaluatierapportages verstrekt |
AppO_B.07.07 | kwaliteitsmanagement systeem | De processen voor de inrichting van de applicatieontwikkeling en -onderhoud (impact analyse, ontwerp, realisatie testen, beheer) zijn beschreven en maken onderdeel uit van het KMS. | applicatieontwikkeling- en onderhoudprocessen zijn beschreven en maken onderdeel uit van het KMS |
AppO_B.08.01 | programmabroncode en broncode bibliotheken | Om de toegang tot broncode bibliotheken te beheersen en zo de kans op het corrupt raken van computerprogramma’s te verkleinen worden de volgende richtlijnen in overweging genomen:
| Om de toegang tot broncode bibliotheken te beheersen worden richtlijnen in overweging genomen |
AppO_B.08.02 | programmabroncode en broncode bibliotheken | Als het de bedoeling is dat de programmacode wordt gepubliceerd zijn aanvullende beheersmaatregelen overwogen die bijdragen aan het waarborgen van de integriteit ervan (bijv. een digitale handtekening). | Aanvullende beheersmaatregelen wanneer programmabroncode wordt gepubliceerd |
AppO_B.09.01 | beveiligingsfunctionaris | De beveiligingsfunctionaris zorgt o.a. voor:
| Taken van de beveiligingsfunctionaris |
AppO_B.09.02 | beveiligingsvoorschriften | De beveiligingsfunctionaris geeft o.a. inzicht in:
| Inzicht gegeven door de beveiligingsfunctionaris |
Uitvoering (normen)
export normen Uitvoering als csv
ID | trefwoord | Stelling | Norm |
---|---|---|---|
AppO_U.01.01 | levenscyclus | Voor het wijzigingsbeheer gelden de algemeen geaccepteerde beheer frameworks, zoals ITIL, ASL, BiSL, Scrum, SIG en SSD. | Voor het wijzigingsbeheer gelden de algemeen geaccepteerde beheer frameworks |
AppO_U.01.02 | levenscyclus | Het wijzigingsproces voor applicaties is zodanig ingericht dat medewerkers (programmeurs) de juiste autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen krijgen om werkzaamheden te kunnen uitvoeren. | Medewerkers (programmeurs) krijgen de juiste autorisatie om werkzaamheden te kunnen uitvoeren |
AppO_U.01.03 | formele procedures | Nieuwe systemen en wijzigingen aan bestaande systemen volgen een formeel proces van indienen, prioriteren, besluiten, impactanalyse, vastleggen, specificeren, ontwikkelen, testen, kwaliteitscontrole en implementeren. | Nieuwe systemen en belangrijke wijzigingen aan bestaande systemen volgen een formeel wijzigingsproces |
AppO_U.01.04 | formele procedures | Enkele elementen van de procedures voor wijzigingsbeheer zijn:
| Elementen van de procedures voor wijzigingsbeheer |
AppO_U.02.01 | regels | De organisatie heeft een strikt beleid gedefinieerd ten aanzien van de -software die ontwikkelaars mogen installeren. | Beleid ten aanzien van het type software dat mag worden geïnstalleerd |
AppO_U.02.02 | regels | Het toekennen van rechten om software te installeren vindt plaats op basis van 'Least Privilege'. | Het toekennen van rechten om software te installeren vindt plaats op basis van 'Least Privilege' |
AppO_U.02.03 | regels | De rechten worden verleend op basis van de rollen van de type gebruikers en ontwikkelaars. | De rechten verleend op basis van de rollen van het type gebruikers en ontwikkelaars |
AppO_U.03.01 | regels | De programmacode voor functionele specificaties is reproduceerbaar, waarbij aandacht wordt besteed aan:
| De programmacode voor functionele specificaties is reproduceerbaar |
AppO_U.03.02 | regels | (Programma)code wordt aantoonbaar veilig gecreëerd. | programmacode wordt aantoonbaar veilig gecreëerd |
AppO_U.03.03 | regels | (Programma)code is effectief, veranderbaar en testbaar waarbij gedacht kan worden aan:
| programmacode is effectief, veranderbaar en testbaar |
AppO_U.03.04 | best practices | Over het gebruik van vocabulaire, applicatieframework en toolkits zijn afspraken gemaakt. | Over het gebruik van vocabulaire, applicatieframework en toolkits zijn afspraken gemaakt |
AppO_U.03.05 | best practices | Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire zoals ISO25010. | Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire |
AppO_U.03.06 | best practices | Ontwikkelaars hebben kennis van algemene beveiligingsfouten vastgelegd in een extern CVE (Common Vulnerability and Exposures) systeem. | Ontwikkelaars hebben kennis van algemene en vastgelegde beveiligingsfouten |
AppO_U.03.07 | best practices | Het gebruik van programmacode uit externe programmabibliotheken mag slechts na getest te zijn, worden gebruikt. | Gebruik van programmacode uit externe programmabibliotheken |
AppO_U.04.01 | functionele eisen | De functionele eisen van nieuwe informatiesystemen worden geanalyseerd en bepaald op basis van verschillende invalshoeken (zoals stakeholders, business, wet en regelgeving) en vastgelegd in een Functioneel Ontwerp (FO). | Functionele eisen van nieuwe informatiesystemen worden geanalyseerd en in Functioneel Ontwerp vastgelegd |
AppO_U.04.02 | functionele eisen | Het Functioneel Ontwerp (FO) wordt gereviewd waarna verbeteringen en of aanvullingen op het FO plaatsvinden. | Het Functioneel Ontwerp wordt gereviewd waarna verbeteringen en/of aanvullingen plaatsvinden |
AppO_U.04.03 | functionele eisen | Op basis van een goedgekeurd Functioneel Ontwerp (FO) wordt een Technisch Ontwerp (TO) vervaardigd die ook ter review wordt aangeboden aan de functionaris 'Quality control' en aan de beveiligingsfunctionaris.. | Op basis van een goedgekeurd Functioneel Ontwerp wordt een Technisch Ontwerp vervaardigd |
AppO_U.04.04 | functionele eisen | Alle vereisten worden gevalideerd door peer review of prototyping (agile ontwikkelmethode). | Alle vereisten worden gevalideerd door peer review of prototyping |
AppO_U.04.05 | functionele eisen | Parallel aan het vervaardigen van het FO en TO worden acceptatie-eisen vastgelegd. | Acceptatie-eisen worden vastgelegd parallel aan het Functioneel Ontwerp en Technisch Ontwerp |
AppO_U.05.01 | beveiligingseisen | Bij nieuwe informatiesystemen en bij wijzigingen op bestaande informatiesystemen moet uitgaande van de BIO een expliciete risicoafweging worden uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen. | Een expliciete risicoafweging wordt uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen |
AppO_U.05.02 | beveiligingseisen | De Handreikingen: Risicoanalysemethode en Risicomanagement ISO-27005 zijn uitgangspunt voor de ontwikkeling van software en systemen. | De Handreikingen: "Risicoanalysemethode" en "Risicomanagement ISO-27005 |
AppO_U.05.03 | beveiligingseisen | Informatiebeveiligingseisen zijn al in het ontwerpstadium afgeleid uit:
| Informatiebeveiligingseisen |
AppO_U.05.04 | beveiligingseisen | Met betrekking tot informatiesystemen worden, onder andere, de volgende informatiebeveiligingseisen in overweging genomen:
| Overwogen informatiebeveiligingseisen |
AppO_U.06.01 | business vereisten en reviews | Het ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatie, zoals:
| Het ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatie |
AppO_U.06.02 | omgevingsanalyse | Bij het ontwerp van applicaties is informatie verkregen uit verschillende mogelijke connecties met de te ontwerpen applicatie, zoals
| Bij het ontwerp is informatie verkregen uit connecties met de te ontwerpen applicatie |
AppO_U.06.03 | (specifieke) beveiliging | Het ontwerp is mede gebaseerd op een beveiligingsarchitectuur, waarin aandacht is besteed aan: performance, capaciteit, continuïteit, schaalbaarheid, connectiviteit, comptabiliteit. | Het ontwerp is mede gebaseerd op een beveiligingsarchitectuur |
AppO_U.07.01 | invoerfuncties | Bereikcontroles worden toegepast en gegevens worden gevalideerd. | Bereikcontroles worden toegepast en gegevens worden gevalideerd |
AppO_U.07.02 | verwerkingsfuncties | Geprogrammeerde controles worden ondersteund. | Geprogrammeerde controles worden ondersteund |
AppO_U.07.03 | verwerkingsfuncties | Het uitvoeren van onopzettelijke mutaties wordt tegengegaan. | Het uitvoeren van onopzettelijke mutaties wordt tegengegaan |
AppO_U.07.04 | verwerkingsfuncties | Voorzieningen voor het genereren van fout- en uitzonderingsrapportage zijn beschikbaar. | Voorzieningen voor het genereren van fouten- en uitzonderingsrapportage zijn beschikbaar |
AppO_U.07.05 | verwerkingsfuncties | Voorzieningen voor het achteraf vaststellen van een betrouwbare verwerking (JVT) zijn beschikbaar (o.a. audit trail). | Voorzieningen voor het achteraf vaststellen van een betrouwbare verwerking zijn beschikbaar |
AppO_U.07.06 | verwerkingsfuncties | Opgeleverde/over te dragen gegevens worden gevalideerd. | Opgeleverde en over te dragen gegevens worden gevalideerd |
AppO_U.07.07 | verwerkingsfuncties | Controle op de juistheid, volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld. en tijdigheid van input (ontvangen gegevens) en op de verwerking en output van gegevens (versterkte gegevens) wordt uitgevoerd. | Controle op de juistheid, volledigheid en tijdigheid van input en op de verwerking en output van gegevens |
AppO_U.07.08 | verwerkingsfuncties | Op basis van vastgestelde en geautoriseerde procedures wordt voorkomen dat gegevens buiten de applicatie om (kunnen) worden benaderd. | Voorkomen wordt dat gegevens buiten de applicatie om (kunnen) worden benaderd |
AppO_U.07.09 | uitvoerfuncties | Gegevens worden conform vastgestelde beveiligingsklasse gevalideerd op plausibiliteit, volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld., bedrijfsgevoeligheid. | Gegevens worden conform vastgestelde beveiligingsklasse gevalideerd |
AppO_U.08.01 | (industrie) good practice | Gedocumenteerde standaarden en procedures worden beschikbaar gesteld voor het bouwen van programmacode die ook het volgende specificeren:
| Voor het bouwen van programmacode worden gedocumenteerde standaarden en procedures beschikbaar gesteld |
AppO_U.08.02 | (industrie) good practice | Veilige methodes worden toegepast om te voorkomen dat veranderingen kunnen worden aangebracht in basis programmacode of in softwarepackages. | Veilige methodes ter voorkoming van veranderingen in basis code of in software packages |
AppO_U.08.03 | (industrie) good practice | Voor het creëren van programmacode wordt gebruik gemaakt van good practices (gestructureerde programmering). | Voor het creëren van programma code wordt gebruik gemaakt van good practices |
AppO_U.08.04 | (industrie) good practice | Het gebruik van onveilig programmatechnieken is niet toegestaan. | Geen gebruik van onveilig programmatechnieken |
AppO_U.08.05 | (industrie) good practice | Programmacode is beschermd tegen ongeautoriseerde wijzigingen. | (Applicatie)code is beschermd tegen ongeautoriseerde wijzigingen |
AppO_U.08.06 | (industrie) good practice | Activiteiten van applicatiebouw worden gereviewd. | Activiteiten van applicatiebouw worden gereviewd |
AppO_U.08.07 | juiste skills/tools | De ontwikkelaars zijn adequaat opgeleid en zijn in staat om binnen het project de noodzakelijke en in gebruik zijnde tools te hanteren. | De ontwikkelaars zijn adequaat opgeleid en in staat de noodzakelijke en gebruikte tools te hanteren |
AppO_U.09.01 | bedrijfsfunctionaliteiten | Vanuit interne optiek van de organisatie richten bepaalde type functionarissen zich tijdens de ontwikkelactiviteiten en in relatie tot de beveiligingseisen op het testen van functionele requirements (o.a. business rules). | Functionarissen testen functionele requirements |
AppO_U.09.02 | beveiligingsfunctionaliteiten | De functionaliteiten worden na integratie van de ontwikkelde software (nogmaals) specifiek vanuit beveiligingsoptiek getest in de infrastructuur. | In de infrastructuur wordt specifiek getest vanuit beveiligingsoptiek |
AppO_U.10.01 | acceptatietests | Voor (systeem)acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruikt, welke bij voorkeur geautomatiseerd worden uitgevoerd. | Voor acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruikt |
AppO_U.10.02 | acceptatietests | Van de resultaten van de testen wordt een verslag gemaakt. | Van de resultaten van de testen wordt een verslag gemaakt |
AppO_U.10.03 | acceptatietests | Testresultaten worden formeel geëvalueerd en door de betrokken informatiesysteemeigenaar beoordeeld, waarna - na te zijn goedgekeurd - overgegaan wordt naar de volgende fase. | Testresultaten worden formeel geëvalueerd en beoordeeld |
AppO_U.10.04 | acceptatietests | (Systeem)acceptatietesten worden uitgevoerd in een representatieve acceptatietest omgeving; deze omgeving is vergelijkbaar met de toekomstige productieomgeving. | Acceptatietesten worden uitgevoerd in een representatieve acceptatietest omgeving |
AppO_U.10.05 | acceptatietests | Voordat tot acceptatie in de productieomgeving wordt overgegaan worden acceptatiecriteria vastgesteld en passende testen uitgevoerd. | Vastgestelde acceptatiecriteria en passend uitgevoerde tests voorafgaand aan acceptatieproductie overgang |
AppO_U.10.06 | acceptatietests | Tenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevens. | Tenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevens |
AppO_U.10.07 | acceptatietests | Bij acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken. Hierbij is de testfocus o.a. gericht is op:
| Bij acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken |
AppO_U.11.01 | testgegevens | De volgende richtlijnen worden toegepast om operationele gegevens die voor testdoeleinden worden gebruikt te beschermen:
| Richtlijnen worden toegepast om operationele gegevens die voor testdoeleinden worden gebruikt te beschermen |
AppO_U.12.01 | beveiligde ontwikkelomgevingen | Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging. Deze afweging heeft zowel de ontwikkelomgeving als ook het te ontwikkelen systeem in scope. | Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging |
AppO_U.12.02 | beveiligde ontwikkelomgevingen | De organisatie heeft logische en/of fysieke scheidingen aangebracht tussen de Ontwikkel-, Test-, Acceptatie- en Productie-omgevingen, elk met een eigen autorisatiestructuur en werkwijze zodat sprake is van een beheerste ontwikkel- en onderhoudsproces. | Logisch en/of fysiek gescheiden Ontwikkel, Test, Acceptatie en Productie omgevingen |
AppO_U.12.03 | beveiligde ontwikkelomgevingen | De taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen in de Ontwikkel, Test, Acceptatie en Productie omgevingen worden uitgevoerd conform onderkende rollen. | De taken, verantwoordelijkheden en bevoegdheden worden uitgevoerd conform de onderkende rollen |
AppO_U.12.04 | beveiligde ontwikkelomgevingen | Voor remote werkzaamheden is een werkwijze vastgelegd. | Voor remote werkzaamheden is een werkwijze vastgelegd |
AppO_U.12.05 | beveiligde ontwikkelomgevingen | Ontwikkelaars hebben geen toegang tot de Productie-omgeving. | Ontwikkelaars hebben geen toegang tot productieomgeving |
AppO_U.12.06 | beveiligde ontwikkelomgevingen | T.a.v. het kopiëren/verplaatsen van configuratie items tussen de omgevingen gelden overdrachtsprocedures. | Overdrachtsprocedures voor het kopiëren/verplaatsen van configuratie items tussen de omgevingen |
AppO_U.12.07 | beveiligde ontwikkelomgevingen | De overdracht van Ontwikkel- naar de Test-omgeving vindt, in overeenstemming met het implementatieplan, gecontroleerd plaats. | De overdracht van Ontwikkel- naar de Testomgeving vindt gecontroleerd plaats |
AppO_U.12.08 | beveiligde ontwikkelomgevingen | De overdracht van de Test- naar de Acceptatieomgeving vindt procedureel door daartoe geautoriseerde personen plaats. | De overdracht van de Test- naar de Acceptatieomgeving vindt procedureel plaats |
AppO_U.12.09 | beveiligde ontwikkelomgevingen | De overdracht (van de Acceptatie-) naar de Productie-omgeving vindt procedureel plaats door daartoe geautoriseerde personen. | De overdracht naar de Productieomgeving vindt gecontroleerd plaats |
AppO_U.13.01 | koppelingsrichtlijnen | Koppelingen tussen applicaties worden uitgevoerd volgens vastgestelde procedures en richtlijnen. | Koppelingen tussen applicaties worden uitgevoerd volgens vastgestelde procedures en richtlijnen |
AppO_U.13.02 | koppelingsrichtlijnen | Van het type koppelingen is een overzicht aanwezig. | Van het type koppelingen is een overzicht aanwezig |
AppO_U.13.03 | koppelingsrichtlijnen | Koppelingen worden uitgevoerd o.b.v. geautoriseerde opdrachten. | Koppelingen worden uitgevoerd op basis van geautoriseerde opdrachten |
AppO_U.13.04 | koppelingsrichtlijnen | De uitgevoerde koppelingen worden geregistreerd. | De uitgevoerde koppelingen worden geregistreerd |
AppO_U.14.01 | logging | Welke ongeoorloofde en onjuiste activiteiten gelogd moeten worden is vastgelegd. | Vastgelegd is welke ongeoorloofde en onjuiste activiteiten gelogd moeten worden |
AppO_U.14.02 | logging | InformatieBetekenisvolle gegevens. ten aanzien van autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen(s) wordt vastgelegd. | Informatie ten aanzien van autorisatie(s) wordt vastgelegd |
AppO_U.14.03 | logging | De loggegevens zijn beveiligd. | De loggegevens zijn beveiligd |
AppO_U.14.04 | logging | De locatie van de vastlegging van de loggegevens is vastgesteld. | De locatie van de vastlegging van de loggegevens is vastgesteld |
AppO_U.14.05 | monitoring | De applicatie geeft signalen aan beveiligingsfunctionarissen dat loggegevens periodiek geëvalueerd en geanalyseerd moeten worden. | De applicatie geeft signalen dat loggegevens periodiek geëvalueerd en geanalyseerd moet worden |
AppO_U.14.06 | monitoring | De frequentie (wanneer) van monitoring en het rapporteren hierover (aan wie wat) is vastgelegd. | De frequentie (wanneer) van monitoring en het rapporteren hierover is vastgelegd |
AppO_U.15.01 | applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. | De architect heeft een actueel document van het te ontwikkelen informatie systeem opgesteld. Het document:
| De architect heeft een actueel document van het te ontwikkelen informatie systeem opgesteld |
AppO_U.15.02 | applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. | Het architectuurdocument wordt actief onderhouden. | Het architectuur document wordt actief onderhouden |
AppO_U.15.03 | applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. | De voorschriften en de methoden en technieken ten aanzien van applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. worden toegepast. | De voorschriften en de methoden en technieken ten aanzien van applicatie architectuur worden toegepast |
AppO_U.15.04 | samenhang | Tussen in- en uitstroom van gegevens en de inhoud van de gegevensberichten bestaat een aantoonbare samenhang. | Samenhang tussen in- en uitstroom van gegevens en de inhoud van gegevensberichten |
AppO_U.15.05 | samenhang | Het is aantoonbaar dat de onderliggende infrastructuur componenten beveiligd zijn op basis van security baselines (o.a. uitschakeling van overbodige functionaliteiten). | Dat de onderliggende infrastructuurcomponenten beveiligd zijn op basis van security baselines aantoonbaar |
AppO_U.15.06 | samenhang | De relatie tussen de persoonsgegevens die gebruikt worden binnen de applicatie en de persoonsgegevens van interne en externe ontvangers van de door de applicatie opgeleverde gegevens is inzichtelijk. | De relatie tussen de persoonsgegevens is inzichtelijk |
AppO_U.16.01 | faciliteiten | Het tool ondersteunt alle fasen van het ontwikkelproces ten behoeve van het documenteren van analyses, specificaties, programmatuur, testen en rapportages. | Het tool ondersteunt alle fasen van het ontwikkelproces |
AppO_U.16.02 | faciliteiten | Het tool biedt bepaalde frameworks ten behoeve van het structureren van de ontwikkelfasen en het bewaken van afhankelijkheden. | Framework voor het structuren van de ontwikkelfasen en het bewaken van afhankelijkheden |
AppO_U.16.03 | faciliteiten | Het tool beschikt over faciliteiten voor versie- en releasebeheer. | Het tool beschikt over faciliteiten voor versie- en releasebeheer |
AppO_U.16.04 | faciliteiten | Het tool beschikt over faciliteiten voor:
| Faciliteiten van het tool |
AppO_U.16.05 | faciliteiten | Het tool beschikt over faciliteiten voor de koppelingen met externe bronnen. | Het tool beschikt over faciliteiten voor de koppelingen met externe bronnen |
Control (normen)
ID | trefwoord | Stelling | Norm |
---|---|---|---|
AppO_C.01.01 | richtlijnen | De projectorganisatie beschikt over controlerichtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voortvloeien: zoals requirement analyse en specificatie van software. | Controle richtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voorvloeien |
AppO_C.01.02 | richtlijnen | De projectorganisatie beschikt over evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code welke is opgeleverd tijdens de ontwikkelfasen: requirement analyse, specificatie en programmacode. | Evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code |
AppO_C.01.03 | richtlijnen | De projectorganisatie beschikt over controlerichtlijnen die binnen de relevante beheerprocessen (Versiebeheer, Quality Control en Quality Assurance) worden toegepast voor het evalueren van de ontwikkel activiteiten. | Controle richtlijnen die binnen de relevante beheerprocessen worden toegepast |
AppO_C.01.04 | richtlijnen | De projectorganisatie heeft de beschikking over een kwaliteitshandboek waarin procedures zijn opgenomen voor het toepassen van Quality Control (QC) en Quality Assurance (QA) methodiek en reviewrichtlijnen voor de ontwikkelde producten. | Het kwaliteitshandboek bevat procedures voor Quality Control en Quality Assurance methodiek en reviewrichtlijnen |
AppO_C.01.05 | richtlijnen | De QA methodiek wordt conform de richtlijnen nageleefd. | De Quality Assurance methodiek wordt conform de richtlijnen nageleefd |
AppO_C.01.06 | controleactiviteiten en rapportages | De projectorganisatie voert controleactiviteiten uit over de ontwikkelactiviteiten en beheerprocessen gerelateerd aan het ontwikkelproces en stelt hierover rapportages op. | Controleactiviteiten en rapportages over de ontwikkelactiviteiten en bijbehorende beheerprocessen |
AppO_C.01.07 | ontwikkelactiviteiten | Periodiek worden het applicatieontwikkeling proces, de testcycli en de kwaliteit van de programmacode beoordeeld conform de opgestelde richtlijn. | Het applicatieontwikkelproces, de testcyclus en programmacodekwaliteit worden periodiek beoordeeld |
AppO_C.02.01 | procesmatig | Het versiebeheerproces is beschreven, vastgesteld door het management en toegekend aan een verantwoordelijke functionaris. | Versiemanagement is beschreven, vastgesteld en toegekend aan een verantwoordelijke functionaris |
AppO_C.02.02 | procesmatig | In het versiebeheerproces is vastgelegd welke applicatie objecten in het ondersteunend tool, zoals Functioneel Ontwerp (FO) en Technisch Ontwerp (TO) en resultaten van sprints bij Agile ontwikkeling, worden vastgelegd. | Versiemanagement beschrijft welke applicatieobjecten in het ondersteunend tool worden vastgelegd |
AppO_C.02.03 | procesmatig | Het versiebeheerproces wordt ondersteund met procedures en werkinstructies. | Versiemanagement wordt ondersteund met procedures en werkinstructies |
AppO_C.02.04 | efficiënte wijze | Een versiebeheertool wordt toegepast die onder andere:
| Ondersteuning vanuit het toegepaste versiebeheertool |
AppO_C.03.01 | procesmatig en procedureel | Het patchmanagement proces en de noodzakelijke patchmanagement zijn beschreven, vastgesteld door het management en bekendgemaakt aan de ontwikkelaars. | Patchmanagement en noodzakelijke patchmanagement procedures zijn beschreven, vastgesteld en bekendgemaakt |
AppO_C.03.02 | procesmatig en procedureel | De ontwikkelaars zijn bekend met hun formeel vastgelegde verantwoordelijkheden wat betreft patchmanagement. | Ontwikkelaars zijn wat betreft patchmanagement bekend met hun formeel vastgelegde verantwoordelijkheden |
AppO_C.03.03 | procesmatig en procedureel | Het al dan niet uitvoeren van de patches voor programmacode is geregistreerd. | Het al dan niet uitvoeren van de verworven patches voor programmacode is geregistreerd |
AppO_C.03.04 | technische kwetsbaarheden | Het beheer van technische kwetsbaarheden in code uit externe bibliotheken omvat minimaal een risicoanalyse van de kwetsbaarheden en eventueel penetratietests en patching. | Het beheer van technische kwetsbaarheden in code uit externe bibliotheken |
AppO_C.03.05 | technische kwetsbaarheden | Bij het ontwikkelen van code installeert de ontwikkelaar - tenzij risicoanalyses anders uitwijzen - alle noodzakelijke patches en fixes die door fabrikanten beschikbaar worden gesteld. | Installeren van alle noodzakelijke door de leveranciers beschikbaar patches en fixes |
AppO_C.03.06 | tijdig | Updates/patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is worden zo spoedig mogelijk doorgevoerd. | Updates en patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is |
AppO_C.04.01 | configuratie-administratie | Software configuratiecomponenten worden conform procedures en met behulp van hulpmiddelen vastgelegd. | Software configuratiescomponenten worden conform procedures vastgelegd |
AppO_C.04.02 | configuratie-administratie | De configuratie-administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel. | De configuratie administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel |
AppO_C.04.03 | configuratie-administratie | Wijzigingen in software configuratie-items worden volgens een gestandaardiseerd proces vastgelegd in de CMDB. | Wijzigingen in softwareconfiguratie conform gestandaardiseerd proces vastgelegd in de CMDB |
AppO_C.05.01 | compliance management proces | Het compliance management proces, bestaande uit de subprocessen planning, evaluatie, rapportering en correctie/implementatie, is gedocumenteerd en vastgesteld door het management. | Het compliance management proces is gedocumenteerd en vastgesteld |
AppO_C.05.02 | compliance management proces | Ten behoeve van het compliance proces hebben de desbetreffende stakeholders de noodzakelijke eisen uit de verschillende bronnen samengevat en vastgelegd. Hierbij is aandacht geschonken aan:
| De noodzakelijke eisen voor het compliance proces samengevat en vastgelegd |
AppO_C.06.01 | quality assurance proces | De projectorganisatie beschikt over een QA methodiek voor de ontwikkelde softwareproducten en ziet toe op de naleving van deze QA methodiek. | De Quality Assurancemethodiek voor de ontwikkelde software producten wordt nageleefd |
AppO_C.06.02 | quality assurance proces | Conform de QA methodiek is een QA proces ingericht voor het uitvoeren van QA activiteiten gedurende alle fasen van de ontwikkel cyclus waarbij aandacht wordt besteed aan:
| Gedurende alle fasen van het ontwikkelcyclus worden Quality Assurance activiteiten uitgevoerd |
AppO_C.06.03 | quality assurance proces | De resultaten uit de QA-onderzoeken worden geapporteerd aan de verantwoordelijken die verbetermaatregelen initiëren. | Rapportage van de resultaten uit de QA-onderzoeken aan verbetermaatregelen initiërende verantwoordelijken |
AppO_C.06.04 | quality assurance proces | Afspraken en resultaten m.b.t. toetsing zijn beknopt en SMART vastgelegd. | Toetsingsafspraken en resultaten zijn beknopt en SMART vastgelegd |
AppO_C.07.01 | verandering van besturingsplatforms | Bij veranderingen van besturingssystemen wordt onder andere het volgende getest:
| Testen bij verandering van besturingssystemen |
AppO_C.08.01 | structuur van de beheersprocessen | De samenhang van de beheersprocessen wordt door middel van een processtructuur vastgelegd. | De samenhang van de beheersprocessen wordt door middel van een processtructuur vastgelegd |
AppO_C.08.02 | functionarissen | De belangrijkste functionarissen (stakeholders) voor de beheerorganisatie zijn benoemd en de onderlinge relaties zijn door middel van een organisatieschema inzichtelijk gemaakt. | De belangrijkste functionarissen en hun onderlinge relaties zijn inzichtelijk |
AppO_C.08.03 | taken, verantwoordelijkheden en bevoegdheden | De verantwoordelijkheden voor de beheersprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd. | De verantwoordelijkheden zijn aan een specifieke functionaris toegewezen en vastgelegd |
AppO_C.08.04 | taken, verantwoordelijkheden en bevoegdheden | De projectorganisatie heeft de taken en verantwoordelijkheden voor het uitvoeren van de evaluatie- en beheerwerkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix. | De taken, verantwoordelijkheden en bevoegdheden voor de evaluatie- en beheerwerkzaamheden zijn beschreven |