Beschermen van testgegevens

Uit NORA Online
ISOR:Beschermen van testgegevens
Ga naar: navigatie, zoeken
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Beveiliging Principe)

Voor het testen van informatiesystemen worden gebruik gemaakt van verschillende soorten gegevens. Het gebruik van operationele databases met persoonsgegevens of enige andere vertrouwelijke informatie moet worden vermeden of anders moeten de persoonsgegevens worden geanonimiseerd. Testgegevens dienen zorgvuldig te worden gekozen, beschermd en gecontroleerd.

NB: Onderscheid moet worden gemaakt tussen a( testen en b) meten. Metingen mogen uitgevoerd worden met behulp van persoonsgegevens voor zover het technisch zodanig is ingeregend dat geen enkel systeem en geen enkele persoon toegang heef tot de inhoudelijkheid van de gegevens; denk aan performance metingen. Acceptatietests mogen worden uitgevoerd door personeel dat uit hoofde van reguliere werkzaamheden toegang hebben tot deze gegevens.


Criterium

Testgegevens behoren zorgvuldig te worden gekozen, beschermd en gecontroleerd.

Doelstelling

De reden waarom de norm gehanteerd wordt.

Risico

Indeling binnen ISOR

Dit beveiligingsprincipe:

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methode ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is NEN-ISO/IEC 27002 14.3.1

Onderliggende normen

IDConformiteitsindicatorStellingPagina
AppO_U.11.01testgegevensDe volgende richtlijnen worden toegepast om operationele gegevens die voor testdoeleinden worden gebruikt te beschermen:
  • de toegangsbeveiligingsprocedures die gelden voor besturingssystemen gelden ook voor testsystemen;
  • voor elke keer dat besturingsinformatie naar een testomgeving wordt gekopieerd, wordt een afzonderlijke autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen verkregen;
  • besturingsinformatie wordt onmiddellijk na voltooiing van het testen uit een testomgeving verwijderd;
  • van het kopiëren en gebruiken van besturingsinformatie wordt verslaglegging bijgehouden om in een audittraject te voorzien.
Richtlijnen worden toegepast om operationele gegevens die voor testdoeleinden worden gebruikt te beschermen