Patchmanagement softwarepakketten
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 1.2 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
|
Objectdefinitie
Betreft een besturingsproces voor het verwerven, testen en installeren van patches voor softwarepakketten.
Objecttoelichting
Adequaat uitgevoerd patchmanagement draagt voor een heel groot deel bij aan de informatieveiligheid als het gaat om de weerbaarheid tegen aanvallen. Betrouwbare leveranciers monitoren voortdurend of hun producten in exploitatie kwetsbaar zijn en reageren op het bekend worden van geslaagde aanvallen door snel verbeterde code uit te brengen in de vorm van patches of compleet nieuwe releases.
Schaalgrootte
Elke schaalgrootte.
Voor wie
Klant en leverancier.
Criterium
Doelstelling
Risico
Indeling binnen ISOR
Dit beveiligingsprincipe:
- is gericht op het Beveiligingsaspect Control;
- valt binnen de Invalshoek Functie.
ℹ️(Klik om uitleg open/dicht te klappen)
Grondslag
De grondslag voor dit principe is ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen C.09
Onderliggende normen
ID | Conformiteitsindicator | Stelling |
---|---|---|
SWP_C.03.01 | Procesmatig en procedureel |
Het patchmanagementproces en de noodzakelijke patchmanagementprocedures zijn beschreven, vastgesteld door het management en bekendgemaakt aan de ontwikkelaars. |
SWP_C.03.02 | Technische kwetsbaarheden |
Het beheer van technische kwetsbaarheden in code omvat minimaal een risicoanalyse van de kwetsbaarheden en eventueel penetratietests en patching. |
SWP_C.03.03 | Zo snel mogelijk |
Actualisaties/patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is, worden zo snel mogelijk geïnstalleerd. |