Informatiebeveiliging in projectmangement

Versie 2.0 van 22 februari 2021 van de BIO Thema-uitwerking Applicatieontwikkeling is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.

Beveiligingsprincipe
ID:	APO_U.05
Versie:	2.4
Status:	Actueel
Indeling
Beveiligingsaspect:	Uitvoering
Invalshoek:	Functie

Objectdefinitie

Informatiebeveiliging maakt integraal onderdeel uit van het management van alle projecten, ongeacht type, omvang, duur of discipline, zodat informatiebeveiligingsrisico’s effectief worden beheerd gedurende de gehele projectlevenscyclus

Objecttoelichting

Met het object Informatiebeveiliging in projectmangement wordt gewaarborgd dat de eisen op het gebied van informatiebeveiliging in kaart worden gebracht en als onderdeel van de non-functionele eisen niet worden vergeten bij de ontwikkeling van de applicatie.

Criterium

Informatiebeveiliging behoort te worden geïntegreerd in projectmanagement.

Doelstelling

Het zorgen dat informatiebeveiligingsrisico's binnen projecten en te leveren producten en diensten

gedurende de gehele levenscyclus van het project op doeltreffende wijze binnen het

projectmanagement worden aangepakt..

Risico

Als informatiebeveiliging niet integraal en structureel wordt meegenomen binnen het projectmanagement gedurende de gehele projectlevenscyclus, bestaat het risico dat informatiebeveiligingseisen onvoldoende worden geïdentificeerd, vastgelegd of bewaakt, waardoor nieuwe of gewijzigde informatiesystemen worden gerealiseerd zonder passende beheersing van informatiebeveiligingsrisico’s.

Indeling binnen ISOR

Dit beveiligingsprincipe:

is gericht op het Beveiligingsaspect Uitvoering;
valt binnen de Invalshoek Functie.

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is BIO (Baseline Informatiebeveiliging Overheid) 5.8

Onderliggende normen

ID	Conformiteitsindicator	Stelling
APO_U.05.01	Informatiebeveiliging	Informatiebeveiliging is een integraal onderdeel van projectmanagement bij alle projecten (ongeacht complexiteit, omvang of discipline) en omvat onder meer: beoordeling en behandeling van informatiebeveiligingsrisico’s in een vroeg stadium en periodiek gedurende de gehele projectlevenscyclus, als onderdeel van het projectrisicobeheer; vaststelling van informatiebeveiligingseisen voor door het project te leveren producten of diensten, gebaseerd op nalevingseisen uit informatiebeveiligingsbeleid, onderwerpspecifieke beleidsregels, regelgeving en andere methoden; beheersing van informatiebeveiligingsrisico’s gerelateerd aan de projectuitvoering, waaronder interne en externe communicatie; periodieke beoordeling van de voortgang en effectiviteit van de risicobehandeling door geschikte personen of de projectstuurgroep; definitie en toewijzing van verantwoordelijkheden en bevoegdheden voor informatiebeveiliging aan gespecificeerde projectrollen.
APO_U.05.02	Informatiebeveiliging	Bij alle projecten worden informatiebeveiligingseisen vastgesteld, waarbij wordt gehouden met: welke informatie het betreft (vaststelling en classificatie), de bijbehorende beveiligingsbehoeften en mogelijke bedrijfsimpact bij ontoereikende beveiliging; bescherming van beschikbaarheid, integriteit en vertrouwlijkheid van informatie en gerelateerde bedrijfsmiddelen; authenticatie-eisen op basis van vereiste betrouwbaarheid van identiteiten; processen voor toegangsverlening en autorisatie voor klanten, gebruikers, technische gebruikers en externe leveranciers; informeren van gebruikers over hun plichten en verantwoordelijkheden; eisen afgeleid uit bedrijfsprocessen; eisen vanuit andere informatiebeveiligingsbeheersmaatregelen; naleving van wettelijke, regelgevende en contractuele verplichtingen; het vereiste niveau van vertrouwen dat derden zullen voldoen aan de beleidsregels, met inbegrip van relevante beveiligingsclausules in overeenkomsten of contracten.
APO_U.05.03	Informatiebeveiliging	Bij nieuwe informatiesystemen en bij significante wijzigingen op bestaande informatiesystemen moet een expliciete risicoafweging op basis van de door de organisatie vastgestelde risicomanagementmethodiek worden uitgevoerd, om risico's te identificeren en in voldoende mate te beheersen en ook voor het vaststellen van de beveiligingseisen.