Beveiligde ontwikkel- (en test) omgeving

Uit NORA Online
ISOR:Beveiligde ontwikkel- (en test) omgeving
Ga naar: navigatie, zoeken
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Beveiliging Principe)

Verwante principes

BIO Thema Applicatieontwikkeling
Binnen dit normenkader èn beveiligingsaspect
Alle Normenkaders
Alle Beveiligingsprincipes
Alle Normen
Beveiligingsaspecten
ISOR

Het traject van ontwikkelen van een applicatie en het in productie nemen van de resultaten van dit ontwikkeltraject vindt gefaseerd plaats in specifieke omgevingen. Bij de ontwikkeling worden vier omgevingen onderscheiden:

  • ' Ontwikkelomgeving'

Hierin wordt de programmacode ontwikkeld. Om te voorkomen dat ontwikkelingen het productieproces kunnen beïnvloed is deze omgeving gescheiden van de productie omgeving.

  • 'Testomgeving'

Hierin worden de uit de ontwikkelomgeving afkomstige producten getest door professionele testteams. Aanwezige, in de testomgeving gesignaleerde, onvolkomenheden in de software worden weer via ontwikkelomgeving aangepast. Dit is een iteratief proces totdat uit de test naar voren komt dat het product geschikt is om in productie te nemen;

  • 'Acceptatieomgeving'

Hierin worden de softwareproducten (nog éénmaal grondig) getest en bij positief resultaat door de gebruikers en beheerders geaccepteerd. Bij eventuele onvolkomenheden worden de softwareproducten niet geaccepteerd (no-go) en terug gestuurd naar de testomgeving of ontwikkelomgeving;

  • 'Productieomgeving'

Hierin worden de nieuwe softwareproducten uitgerold. De Productie omgeving is de omgeving waarin de nieuwe softwareproducten functioneel en actief moeten zijn. De in de voorgaande omgevingen uitgevoerde stappen moeten zo veel mogelijk garanderen dat nieuw ontwikkelde software geen fouten bevat die de productiegegevens kunnen corrumperen.

In principe zijn alle omgevingen los van elkaar ingericht en vindt behalve via formele overdrachten geen contact plaats tussen de verschillende omgevingen.


Criterium

Organisaties behoren beveiligde ontwikkelomgevingen vast te stellen en passend te beveiligen voor verrichtingen op het gebied van systeemontwikkeling en integratie en die betrekking hebben op de gehele levenscyclus van de systeemontwikkeling.

Doelstelling

De reden waarom de norm gehanteerd wordt.

Risico

Indeling binnen ISOR

Dit beveiligingsprincipe:

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methode ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is NEN-ISO/IEC 27002 14.2.6

Onderliggende normen

IDConformiteitsindicatorStellingPagina
AppO_U.12.01beveiligde ontwikkelomgevingenUitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging. Deze afweging heeft zowel de ontwikkelomgeving als ook het te ontwikkelen systeem in scope.Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging
AppO_U.12.02beveiligde ontwikkelomgevingenDe organisatie heeft logische en/of fysieke scheidingen aangebracht tussen de Ontwikkel-, Test-, Acceptatie- en Productie-omgevingen, elk met een eigen autorisatiestructuur en werkwijze zodat sprake is van een beheerste ontwikkel- en onderhoudsproces.Logisch en/of fysiek gescheiden Ontwikkel, Test, Acceptatie en Productie omgevingen
AppO_U.12.03beveiligde ontwikkelomgevingenDe taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen in de Ontwikkel, Test, Acceptatie en Productie omgevingen worden uitgevoerd conform onderkende rollen.De taken, verantwoordelijkheden en bevoegdheden worden uitgevoerd conform de onderkende rollen
AppO_U.12.04beveiligde ontwikkelomgevingenVoor remote werkzaamheden is een werkwijze vastgelegd.Voor remote werkzaamheden is een werkwijze vastgelegd
AppO_U.12.05beveiligde ontwikkelomgevingenOntwikkelaars hebben geen toegang tot de Productie-omgeving.Ontwikkelaars hebben geen toegang tot productieomgeving
AppO_U.12.06beveiligde ontwikkelomgevingenT.a.v. het kopiëren/verplaatsen van configuratie items tussen de omgevingen gelden overdrachtsprocedures.Overdrachtsprocedures voor het kopiëren/verplaatsen van configuratie items tussen de omgevingen
AppO_U.12.07beveiligde ontwikkelomgevingenDe overdracht van Ontwikkel- naar de Test-omgeving vindt, in overeenstemming met het implementatieplan, gecontroleerd plaats.De overdracht van Ontwikkel- naar de Testomgeving vindt gecontroleerd plaats
AppO_U.12.08beveiligde ontwikkelomgevingenDe overdracht van de Test- naar de Acceptatieomgeving vindt procedureel door daartoe geautoriseerde personen plaats.De overdracht van de Test- naar de Acceptatieomgeving vindt procedureel plaats