Systeem-ontwikkelmethode

Uit NORA Online
ISOR:Systeem ontwikkelmethode
Naar navigatie springen Naar zoeken springen
Versie 2.0 van 22 februari 2021 van de BIO Thema-uitwerking Applicatieontwikkeling is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Beveiliging Principe)

Objectdefinitie

Betreft een gestructureerde manier van handelen voor het ontwikkelen van applicaties.

Objecttoelichting

Ontwikkel- en onderhoudsactiviteiten worden uitgevoerd met een systeem-ontwikkelmethode. Hierdoor wordt rekening gehouden met:

  • Vereisten uit wet- en regelgeving
  • Contractuele vereisten
  • Beveiligingsvereisten
  • Projectmatige aanpak


Criterium

Ontwikkelactiviteiten behoren te zijn gebaseerd op een gedocumenteerde systeem-ontwikkelmethode, waarin onder andere standaarden en procedures voor de applicatieontwikkeling, het toepassen van beleid en wet- en regelgeving en een projectmatige aanpak zijn geadresseerd.

Doelstelling

Ervoor zorgen dat applicaties die ontwikkeling worden, voldoen aan alle eisen/vereisten.

Risico

De in gebruik genomen applicatie voldoet niet aan de eisen en wensen van de business, vereiste uit wet- en regelgeving, beveiligingsvereisten etc.

Indeling binnen ISOR

Dit beveiligingsprincipe:

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is The Standard of Good Practice for Information Security 2018 SD 1.1

Onderliggende normen

IDConformiteitsindicatorStelling
APO_B.02.01 Systeem-ontwikkelmethode

Een formeel vastgestelde ontwikkelmethodologie wordt toegepast, zoals Structured System Analyses and Design Method (SSADM) of Scrum (Agile-ontwikkeling).

APO_B.02.02 Systeem-ontwikkelmethode

Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen.

APO_B.02.03 Systeem-ontwikkelmethode

Adoptie van ontwikkelmethodologie wordt gemonitord.

APO_B.02.04 Standaarden en procedures

Standaarden en procedures worden toegepast voor:

  • het specificeren van requirements;
  • het ontwikkelen, bouwen en testen;
  • de overdracht van de ontwikkelde applicatie naar de productie-omgeving;
  • de training van softwareontwikkelaars.
APO_B.02.05 Beleid en wet- en regelgeving

De systeem-ontwikkelmethode ondersteunt de vereiste dat te ontwikkelen applicaties voldoen aan:

  • de eisen uit wet- en regelgeving inclusief privacy;
  • de contactuele eisen;
  • het informatiebeveiligingsbeleid van de organisatie;
  • de specifieke beveiligingseisen vanuit de business;
  • het classificatiemodel van de organisatie.
APO_B.02.06 Projectmatige aanpak

Het ontwikkelen van een applicatie wordt projectmatig aangepakt. Hierbij wordt onder andere aandacht besteed aan:

  • het melden van de start van het project bij de verantwoordelijke voor de beveiligingsfunctie;
  • het gebruik van een classificatiemodel;
  • het toepassen van een assessment voor beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid;
  • het creëren van een risicoregister;
  • het registreren van belangrijke details in een bedrijfsapplicatieregister.