Levenscyclusmanagement softwarepakketten
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 1.2 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
|
Objectdefinitie
Betreft de besturing en het beheer van de opeenvolgende fases van de initiële installatie tot en met de uitfasering van een softwarepakket.
Objecttoelichting
Verwerving van software is geen enkelvoudige gebeurtenis. Na het verwerven van een softwarepakket blijft de klant tijdens de levenscyclus afhankelijk van de leverancier en heeft verschillende contactmomenten. Interactie met de leverancier blijft nodig tijdens de levensduur van het product, voor ingebruikname, actualisaties, innovaties en het uitfaseren.
De klant dient inzicht en overzicht te verschaffen aan de leverancier over de technische omgeving, de technische stack en de gewenste interoperabiliteit tussen de diverse softwarecomponenten behorende tot het softwarepakket. Het doel daarvan is de continuïteit van de beschikbaarheid van de bedrijfsfuncties zeker te stellen. Cruciaal daarbij is het tijdig upgraden van de software tijdens de levensduur van het product. Wanneer het softwarepakket niet langer door de leverancier wordt ondersteund, kan dit beveiligingsrisico’s voor de klant opleveren.
De ISO 27034-5 ‘Protocols and application security controls data structure’ uit 2017 beschrijft onderstaand referentiemodel, waarin de levenscyclus van software is gedefinieerd, vanaf de voorbereiding van de verwerving tot en met de uitfasering van het product. Het is een model dat verschillende aspecten in beeld brengt. In deze BIO Thema-uitwerking ligt de focus op het verwervingsproces en de fase van een software die equivalent is aan het verwerven van een softwarepakket.
Schaalgrootte
Middel en groot.
Voor wie
Klant en leverancier.
Criterium
Doelstelling
Risico
Indeling binnen ISOR
Dit beveiligingsprincipe:
- is gericht op het Beveiligingsaspect Uitvoering;
- valt binnen de Invalshoek Intentie.
ℹ️(Klik om uitleg open/dicht te klappen)
Grondslag
De grondslag voor dit principe is CIP-netwerk
Onderliggende normen
ID | Conformiteitsindicator | Stelling |
---|---|---|
SWP_U.01.01 | Adviseren |
Tussen de leverancier en klant is een procedure afgesproken voor het tijdig actualiseren/opwaarderen van verouderde softwarepakketten uit de technische stack. |
SWP_U.01.02 | Strategische ontwikkeling |
De leverancier onderhoudt een registratie van de gebruikte softwarestack. Hierin is de vermelding van de uiterste datum dat ondersteuning plaatsvindt opgenomen, waardoor inzicht bestaat in de door de leverancier ondersteunde versies van de software. |
SWP_U.01.03 | Innovatieve |
Technologische innovaties van softwarepakketten worden aan de klant gecommuniceerd en de toepassing daarvan wordt afgestemd met de klant voor implementatie. |