Systeem-ontwikkelmethode

Versie 2.0 van 22 februari 2021 van de BIO Thema-uitwerking Applicatieontwikkeling is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.

Beveiligingsprincipe
ID:	APO_B.02
Versie:	2.4
Status:	Actueel
Indeling
Beveiligingsaspect:	Beleid
Invalshoek:	Intentie

Objectdefinitie

Gestructureerde manier van handelen voor het ontwikkelen van applicaties.

Objecttoelichting

Ontwikkel- en onderhoudsactiviteiten worden uitgevoerd met een systeem-ontwikkelmethode. Hierdoor wordt rekening gehouden met:

Vereisten uit wet- en regelgeving
Contractuele vereisten
Beveiligingsvereisten
Projectmatige aanpak

Criterium

Ontwikkelactiviteiten behoren te zijn gebaseerd op een gedocumenteerde systeem-ontwikkelmethode, waarin onder andere standaarden en procedures voor de applicatieontwikkeling, het toepassen van beleid en wet- en regelgeving en een projectmatige aanpak zijn geadresseerd.

Doelstelling

Ervoor zorgen dat applicaties die ontwikkeling worden, voldoen aan alle eisen/vereisten.

Risico

Als geen consistente en toegepaste systeem-ontwikkelmethode wordt gehanteerd, bestaat het risico dat tijdens de ontwikkeling relevante eisen uit wet- en regelgeving, beveiliging en business niet structureel worden meegenomen, waardoor applicaties in gebruik worden genomen die niet voldoen aan gestelde vereisten en achteraf moeten worden hersteld of beperkt inzetbaar zijn.

Indeling binnen ISOR

Dit beveiligingsprincipe:

is gericht op het Beveiligingsaspect Beleid;
valt binnen de Invalshoek Intentie.

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is The Standard of Good Practice for Information Security 2018 SD 1.1

Onderliggende normen

ID	Conformiteitsindicator	Stelling
APO_B.02.01	Systeem-ontwikkelmethode	Een formeel vastgestelde ontwikkelmethodologie wordt toegepast.
APO_B.02.02	Systeem-ontwikkelmethode	Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen.
APO_B.02.03	Systeem-ontwikkelmethode	Adoptie van ontwikkelmethodologie wordt gemonitord.
APO_B.02.04	Standaarden en procedures	Standaarden en procedures worden toegepast voor: het specificeren van requirements; het ontwikkelen, bouwen en testen; de overdracht van de ontwikkelde applicatie naar de productie-omgeving; de training van softwareontwikkelaars.
APO_B.02.05	Beleid en wet- en regelgeving	De systeem-ontwikkelmethode ondersteunt de vereiste dat te ontwikkelen applicaties voldoen aan: de eisen uit wet- en regelgeving inclusief privacy; de contactuele eisen; het informatiebeveiligingsbeleid van de organisatie; de specifieke beveiligingseisen vanuit de business; het classificatiemodel van de organisatie.
APO_B.02.06	Projectmatige aanpak	Het ontwikkelen van een applicatie wordt projectmatig aangepakt. Hierbij wordt onder andere aandacht besteed aan: het melden van de start van het project bij de verantwoordelijke voor de beveiligingsfunctie; het gebruik van een classificatiemodel; het toepassen van een assessment voor beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid; het creëren van een risicoregister; het registreren van belangrijke details in een bedrijfsapplicatieregister.