Verwervingsbeleid softwarepakketten

Uit NORA Online
Ga naar: navigatie, zoeken
Versie 1.1 van 30 maart 2021 van de BIO Thema-uitwerking Softwarepakketten is vervangen door versie 1.2 van 26 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 1.2 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Beveiliging Principe)

Objectdefinitie

Betreft het resultaat van een besluitvorming, in welk tijdbestek en met welke middelen de verwervingsdoelstellingen voor softwarepakketten bereikt moeten worden.

Objecttoelichting

Een randvoorwaarde voor een succesvolle implementatie van informatievoorzieningen is inzicht hebben in de businessrisico’s en het regelmatig beoordelen van businessrisico’s gerelateerd aan applicatiesoftware zoals een softwarepakket. De business case onderzoekt de kosten en de baten.


De context- en risicoanalyse 1 onderzoekt informatieveiligheid, bedrijfscontinuïteit en privacybescherming. Beveiligingsrisico’s hebben zowel betrekking op de kennis van medewerkers als op de match van de software of IT-diensten met de bestaande bedrijfsprocessen en voldoende kennis van de techniek. Beleid is nodig om deze risico’s in kaart te brengen en mee te nemen in de besluitvorming voor de wijze van uitvoering.

Schaalgrootte

Elke schaalgrootte.

Voor wie

Klant.


Criterium

Voor het verwerven van software behoren regels te worden vastgesteld en op verwervingsactiviteiten binnen de organisatie te worden toegepast.

Doelstelling

Het beheersen van het verwerven van softwarepakketten.

Risico

Onvoldoende mogelijkheid om sturing te geven aan het verwerven van softwarepakketten.

Indeling binnen ISOR

Dit beveiligingsprincipe:

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is BIO (Baseline Informatiebeveiliging Overheid) 14.2.1

Onderliggende normen

IDConformiteitsindicatorStelling
SWP_B.01.01 Regels

In het verwervingsbeleid voor softwarepakketten zijn regels vastgesteld die bij de verwerving van softwarepakketten in acht dienen te worden genomen. De regels kunnen onder andere betrekking hebben op:

  • analyse van de context waarin het softwarepakket moet functioneren;
  • mobiliseren van kennis die bij het verwerven van belang is;
  • vaststelling van de eigenaarschap van data;
  • tijdige scholing van de betrokken medewerkers;
  • naleven van contractuele verplichtingen.
SWP_B.01.02 Regels

De verwerving van een softwarepakket vindt plaats met een business case, waarbij verschillende toepassingsscenario’s worden overwogen:

  • bedrijfsfuncties vanuit een softwarepakket in een eigen rekencentrum;
  • bedrijfsfuncties als Software as a Service (SaaS) aangeboden;
  • hybridevorm van IT-dienstverlening, waarbij SaaS-dienstverlening wordt aangevuld door diensten vanuit het eigen rekencentrum.
SWP_B.01.03 Regels

Verwerving van een softwarepakket vindt plaats met een functioneel ontwerp, waarin de beoogde functionele en niet-functionele requirements zijn uitgewerkt in een op te stellen softwarepakket van eisen en wensen.

SWP_B.01.04 Regels

Leveranciers zijn ISO 27001-gecertificeerd.

  1. Onderzoek Beoordelen veiligheid (web)applicaties (en IT-organisaties) door Gerard Bottemanne van Onderzoeksbureau GBNED, versie 2020, onder andere te vinden op: https://www.softwarepakketten.nl.