Wijzigingsbeheerprocedure voor applicaties en systemen

Uit NORA Online
ISOR:Procedures voor wijzigingsbeheer m.b.t. applicaties
Ga naar: navigatie, zoeken
Versie 2.0 van 22 februari 2021 van de BIO Thema-uitwerking Applicatieontwikkeling is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Let op! Versie 2.1 in pdf-formaat wordt pas op de website BIO-overheid/producten gepubliceerd, na de volledige invoer van alle updates van de BIO Thema-uitwerkingen in de ISOR.
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Beveiliging Principe)

Objectdefinitie

Omvat een vastgelegde manier van handelen voor de wijziging en instandhouding van applicaties en systemen.

Objecttoelichting

Wijzigingsbeheer heeft tot doel om wijzigingen binnen het traject van applicatieontwikkeling op een beheerste en geautoriseerde wijze te laten verlopen, zodat voorkomen wordt dat de doorgevoerde wijzigingen allerlei verstoringen veroorzaken.


Criterium

Wijzigingen aan systemen binnen de levenscyclus van de ontwikkeling behoren te worden beheerst door het gebruik van formele procedures voor wijzigingsbeheer.

Doelstelling

Het gecontroleerd laten verlopen van wijzigingen aan systemen binnen de levenscyclus van de ontwikkeling.

Risico

Doorgevoerde wijzigingen aan systemen zijn niet volledig en gecontroleerd.

Indeling binnen ISOR

Dit beveiligingsprincipe:

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is BIO (Baseline Informatiebeveiliging Overheid) 14.2.2

Onderliggende normen

IDConformiteitsindicatorStelling
APO_U.01.01 Levenscyclus

Wijzigingsbeheer vindt plaats op basis van algemeen geaccepteerde beheerframeworks, zoals Information Technology Infrastructure Library (ITIL), Application Services Library (ASL), Business Information Services Library (BiSL), Scrum, Software Improvement Group (SIG) en Secure Software Development (SSD).

APO_U.01.02 Levenscyclus

Het wijzigingsproces voor applicaties is zodanig ingericht dat medewerkers (programmeurs) de juiste autorisatie krijgen om hun werkzaamheden te kunnen uitvoeren.

APO_U.01.03 Formele procedures

Nieuwe systemen en belangrijke wijzigingen aan bestaande systemen volgen een formeel proces van indienen, prioriteren, besluiten, impactanalyse, vastleggen, specificeren, ontwikkelen, testen, kwaliteitscontrole en implementeren.

APO_U.01.04 Formele procedures

Enkele elementen van procedures voor wijzigingsbeheer zijn:

  • Alle wijzigingsverzoeken/Request for Changes (RFC’s) verlopen volgens een formele wijzigingsprocedure (ter voorkoming van ongeautoriseerde wijzigingsaanvragen).
  • Het generieke wijzigingsproces heeft aansluiting met functioneel beheer.
  • Wijzigingen worden doorgevoerd door bevoegde medewerkers.
  • Van elk wijzigingsverzoek wordt de impact op de geboden functionaliteit beoordeeld.
  • Uitvoering en bewaking van de verantwoordelijkheden/taken zijn juist belegd.
  • Aanvragers van wijzigingen worden periodiek geïnformeerd over de status van hun wijzigingsverzoek.