Skip to main content
Skip table of contents

A.14 Acquisitie, ontwikkeling en onderhoud van informatiesystemen

ISO 27001:2013 beheersdoelstellingen en beheersmaatregelen binnen de scope van eToegangsdiensten, - activiteiten, -objecten en -informatie

Norm

Titel

Doelstellingen en beheersmaatregelen

Deelnemer

BSNk

BO

Opmerkingen

Toelichting en referenties

A.14

Acquisitie, ontwikkeling en onderhoud van informatiesystemen 

A.14.1

Beveiligingseisen voor informatiesystemen 

Waarborgen dat informatiebeveiliging integraal deel uitmaakt van informatiesystemen in de
gehele levenscyclus. Hiertoe behoren ook de eisen voor informatiesystemen die diensten verlenen via openbare netwerken. 

A.14.1.1

Analyse en specificatie van
informatiebeveiligingseisen 

De eisen die verband houden met informatiebeveiliging moeten worden opgenomen in de eisen voor nieuwe informatiesystemen of voor uitbreidingen van bestaande informatiesystemen. 

Sv

Sv

Sv

Deelnemers, BSNk en BO vullen dit naar eigen inzicht in, maar moet wel in VvT.

A.14.1.2

Toepassingsdiensten op openbare netwerken beveiligen 

Informatie die deel uitmaakt van uitvoeringsdiensten en die via openbare netwerken wordt uitgewisseld, moet worden beschermd tegen frauduleuze activiteiten, geschillen over
contracten en onbevoegde openbaarmaking en wijziging. 

Sv

Sv

S

BO is verantwoordelijk voor het beheer van de openbaar beschikbare informatie van het Stelsel. Van belang is bijv dat informatie over het stelsel juist is en consistent is met de informatie die deelnemers openbaar maken.

A.14.1.3

Transacties van toepassingsdiensten
beschermen 

Informatie die deel uitmaakt van transacties van toepassingsdiensten moet worden beschermd ter
voorkoming van onvolledige overdracht, foutieve routering, onbevoegd wijzigen van berichten, onbevoegd openbaar maken, onbevoegd vermenigvuldigen of afspelen. 

S

S

S

Implementatie conform de relevante koppelvlakspecificaties.

Conform Interface specifications, waarbij te allen tijde een of meerdere versies geïmplementeerd dienen te zijn die door het afsprakenstelsel zijn toegestaan.

A.14.2

Beveiliging in ontwikkelings- en ondersteunende processen 

Bewerkstelligen dat informatiebeveiliging wordt ontworpen en geïmplementeerd binnen de ontwikkelingslevenscyclus van informatiesystemen. 

A.14.2.1

Beleid voor beveiligd ontwikkelen

Voor het ontwikkelen van software en systemen moeten regels worden vastgesteld en op ontwikkelactiviteiten binnen de organisatie worden toegepast. 

Sv

Sv

Sv

Deelnemers, BSNk en BO vullen dit naar eigen inzicht in, maar moet wel in VvT.

A.14.2.2

Procedures voor wijzigingsbeheer met betrekking tot systemen 

Wijzigingen aan systemen binnen de levenscyclus van de ontwikkeling moeten worden beheerst door het gebruik van formele controleprocedures voor wijzigingsbeheer. 

S

S

S

Conform Proces change en release.

A.14.2.3

Technische beoordeling van toepassingen na wijzigingen bedieningsplatform 

Als bedieningsplatforms zijn veranderd, moeten bedrijfskritische toepassingen worden beoordeeld en getest om te waarborgen dat er geen nadelige impact is op de activiteiten of de beveiliging van de organisatie. 

Sv

Sv

Sv

Van belang voor betrouwbaarheid netwerk. Specifiek wordt van Deelnemers, BSNk en Beheerorganisatie een zorgvuldig proces verwacht ten aanzien van wijzigingen in relatie tot de andere partijen en adequaat patch- en updatebeleid.

Deelnemers, BSNk en BO vullen dit naar eigen inzicht in.

A.14.2.4

Beperkingen op wijzigingen aan softwarepakketten 

Wijzigingen aan softwarepakketten moeten worden ontraden, beperkt tot noodzakelijke veranderingen en alle veranderingen moeten strikt worden gecontroleerd.

S

S

S

Conform Proces change en release. Restricties kunnen volgen uit de besluiten van het Tactisch Beraad.

A.14.2.5

Principes voor engineering van beveiligde systemen

Principes voor de engineering van beveiligde systemen moeten worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het implementeren van informatiesystemen. 

v

v

v

Deelnemers, BSNk en BO vullen dit naar eigen inzicht in.

A.14.2.6

Beveiligde ontwikkelomgeving 

Organisaties moeten beveiligde ontwikkelomgevingen vaststellen en passend beveiligen voor verrichtingen op het gebied van systeemontwikkeling en integratie die betrekking hebben op de gehele levenscyclus van de systeemontwikkeling. 

v

v

v

Deelnemers, BSNk en BO vullen dit naar eigen inzicht in.

A.14.2.7

Uitbestede softwareontwikkeling 

Uitbestede systeemontwikkeling moet onder supervisie staan van en worden gemonitord door de organisatie. 

Sv

Sv

Sv

Bij uitbesteding van ontwikkelwerkzaamheden aan een onderaannemer, dienen de stelselspecifieke eisen ten aanzien van het te ontwikkelen product doorvertaald te worden naar de onderaannemer.

Deelnemers, BSNk en BO vullen dit naar eigen inzicht in.

A.14.2.8

Testen van systeembeveiliging 

Tijdens ontwikkelactiviteiten moet de
beveiligingsfunctionaliteit worden getest. 

Sv

Sv

Sv

Bij uitbesteding van ontwikkelwerkzaamheden aan een onderaannemer, dienen de stelselspecifieke eisen ten aanzien van het te ontwikkelen product doorvertaald te worden naar de onderaannemer.

Deelnemers, BSNk en BO vullen dit naar eigen inzicht in.

A.14.2.9

Systeemacceptatietests 

Voor nieuwe informatiesystemen, upgrades en nieuwe versies moeten programma’s voor het uitvoeren van acceptatietests en gerelateerde criteria worden vastgesteld. 

S

S

S

Bij wijzigingen, onderhoud en verstoringen dienen stelselspecifieke afspraken gevolgd te worden.

Conform Operationeel handboek

A.14.3

Testgegevens 

Bescherming waarborgen van gegevens die voor het testen zijn gebruikt. 

A.14.3.1

Bescherming van testgegevens 

Testgegevens moeten zorgvuldig worden gekozen, beschermd en gecontroleerd. 

Sv

Sv

S

Conform Testing.

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.