Wijzigingsbeheerprocedure voor applicaties en systemen

Versie 2.0 van 22 februari 2021 van de BIO Thema-uitwerking Applicatieontwikkeling is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.

Beveiligingsprincipe
ID:	APO_U.01
Versie:	2.4
Status:	Actueel
Indeling
Beveiligingsaspect:	Uitvoering
Invalshoek:	Intentie

Objectdefinitie

Vastgelegde manier van handelen voor de wijziging en instandhouding van applicaties en systemen.

Objecttoelichting

Wijzigingsbeheer heeft tot doel om wijzigingen binnen het traject van applicatieontwikkeling op een beheerste en geautoriseerde wijze te laten verlopen, zodat voorkomen wordt dat de doorgevoerde wijzigingen allerlei verstoringen veroorzaken.

Criterium

Wijzigingen in informatieverwerkende faciliteiten en informatiesystemen behoren onderworpen te zijn aan procedures voor wijzigingsbeheer.

Doelstelling

Het gecontroleerd laten verlopen van wijzigingen aan systemen binnen de levenscyclus van de ontwikkeling.

Risico

Als wijzigingen aan applicaties en systemen niet volgens een vastgestelde en beheerst toegepaste wijzigingsbeheerprocedure worden doorgevoerd, bestaat het risico dat wijzigingen onvolledig, ongeautoriseerd of onvoldoende getest worden geïmplementeerd, waardoor verstoringen, beveiligingsincidenten of verminderde betrouwbaarheid van systemen ontstaan.

Indeling binnen ISOR

Dit beveiligingsprincipe:

is gericht op het Beveiligingsaspect Uitvoering;
valt binnen de Invalshoek Intentie.

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is BIO2 8.32ISO 27002 2022 8.32

Onderliggende normen

ID	Conformiteitsindicator	Stelling
APO_U.01.01	Procedures voor wijzigingsbeheer	Wijzigingsbeheer vindt plaats op basis van een algemeen geaccepteerd beheerraamwerk.
APO_U.01.02	Procedures voor wijzigingsbeheer	In het wijzigingsbeheerproces is minimaal aandacht besteed aan: het administreren van wijzigingen, met de resultaten van het testplan; een risicoafweging van mogelijke gevolgen van de wijzigingen, inclusief een beschreven rollbackplan; de goedkeuringsprocedure voor wijzigingen.
APO_U.01.03	Procedures voor wijzigingsbeheer	De procedure voor wijzigingsbeheer omvat onder meer: een formeel proces voor nieuwe systemen en belangrijke wijzigingen, inclusief documentatie, specificatie, impactbeoordeling, testen, kwaliteitscontrole en beheerde implementatie; toegewezen verantwoordelijkheden en handhaving om beschikbaarheid, integriteit en vertrouwelijkheid te waarborgen gedurende de gehele levenscyclus; integratie van wijzigingsbeheer voor ICT-infrastructuur en -software waar mogelijk; planning en beoordeling van impact (inclusief afhankelijkheden), autorisatie, communicatie naar belanghebbenden, testen en acceptatie, implementatie met inzet- en terugvalprocedures, registratie van wijzigingen, actualisatie van bedieningsdocumentatie, gebruikersprocedures en continuïteitsplannen.