A.14 Acquisitie, ontwikkeling en onderhoud van informatiesystemen
ISO 27001:2013 beheersdoelstellingen en beheersmaatregelen binnen de scope van eToegangsdiensten, - activiteiten, -objecten en -informatie
Norm | Titel | Doelstellingen en beheersmaatregelen | Deelnemer | BSNk | BO | Opmerkingen | Toelichting en referenties |
---|---|---|---|---|---|---|---|
A.14 | Acquisitie, ontwikkeling en onderhoud van informatiesystemen | ||||||
A.14.1 | Beveiligingseisen voor informatiesystemen | Waarborgen dat informatiebeveiliging integraal deel uitmaakt van informatiesystemen in de | |||||
A.14.1.1 | Analyse en specificatie van | De eisen die verband houden met informatiebeveiliging moeten worden opgenomen in de eisen voor nieuwe informatiesystemen of voor uitbreidingen van bestaande informatiesystemen. | Sv | Sv | Sv | Deelnemers, BSNk en BO vullen dit naar eigen inzicht in, maar moet wel in VvT. | |
A.14.1.2 | Toepassingsdiensten op openbare netwerken beveiligen | Informatie die deel uitmaakt van uitvoeringsdiensten en die via openbare netwerken wordt uitgewisseld, moet worden beschermd tegen frauduleuze activiteiten, geschillen over | Sv | Sv | S | BO is verantwoordelijk voor het beheer van de openbaar beschikbare informatie van het Stelsel. Van belang is bijv dat informatie over het stelsel juist is en consistent is met de informatie die deelnemers openbaar maken. | |
A.14.1.3 | Transacties van toepassingsdiensten | Informatie die deel uitmaakt van transacties van toepassingsdiensten moet worden beschermd ter | S | S | S | Implementatie conform de relevante koppelvlakspecificaties. | Conform Interface specifications, waarbij te allen tijde een of meerdere versies geïmplementeerd dienen te zijn die door het afsprakenstelsel zijn toegestaan. |
A.14.2 | Beveiliging in ontwikkelings- en ondersteunende processen | Bewerkstelligen dat informatiebeveiliging wordt ontworpen en geïmplementeerd binnen de ontwikkelingslevenscyclus van informatiesystemen. | |||||
A.14.2.1 | Beleid voor beveiligd ontwikkelen | Voor het ontwikkelen van software en systemen moeten regels worden vastgesteld en op ontwikkelactiviteiten binnen de organisatie worden toegepast. | Sv | Sv | Sv | Deelnemers, BSNk en BO vullen dit naar eigen inzicht in, maar moet wel in VvT. | |
A.14.2.2 | Procedures voor wijzigingsbeheer met betrekking tot systemen | Wijzigingen aan systemen binnen de levenscyclus van de ontwikkeling moeten worden beheerst door het gebruik van formele controleprocedures voor wijzigingsbeheer. | S | S | S | Conform Proces change en release. | |
A.14.2.3 | Technische beoordeling van toepassingen na wijzigingen bedieningsplatform | Als bedieningsplatforms zijn veranderd, moeten bedrijfskritische toepassingen worden beoordeeld en getest om te waarborgen dat er geen nadelige impact is op de activiteiten of de beveiliging van de organisatie. | Sv | Sv | Sv | Van belang voor betrouwbaarheid netwerk. Specifiek wordt van Deelnemers, BSNk en Beheerorganisatie een zorgvuldig proces verwacht ten aanzien van wijzigingen in relatie tot de andere partijen en adequaat patch- en updatebeleid. | Deelnemers, BSNk en BO vullen dit naar eigen inzicht in. |
A.14.2.4 | Beperkingen op wijzigingen aan softwarepakketten | Wijzigingen aan softwarepakketten moeten worden ontraden, beperkt tot noodzakelijke veranderingen en alle veranderingen moeten strikt worden gecontroleerd. | S | S | S | Conform Proces change en release. Restricties kunnen volgen uit de besluiten van het Tactisch Beraad. | |
A.14.2.5 | Principes voor engineering van beveiligde systemen | Principes voor de engineering van beveiligde systemen moeten worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het implementeren van informatiesystemen. | v | v | v | Deelnemers, BSNk en BO vullen dit naar eigen inzicht in. | |
A.14.2.6 | Beveiligde ontwikkelomgeving | Organisaties moeten beveiligde ontwikkelomgevingen vaststellen en passend beveiligen voor verrichtingen op het gebied van systeemontwikkeling en integratie die betrekking hebben op de gehele levenscyclus van de systeemontwikkeling. | v | v | v | Deelnemers, BSNk en BO vullen dit naar eigen inzicht in. | |
A.14.2.7 | Uitbestede softwareontwikkeling | Uitbestede systeemontwikkeling moet onder supervisie staan van en worden gemonitord door de organisatie. | Sv | Sv | Sv | Bij uitbesteding van ontwikkelwerkzaamheden aan een onderaannemer, dienen de stelselspecifieke eisen ten aanzien van het te ontwikkelen product doorvertaald te worden naar de onderaannemer. | Deelnemers, BSNk en BO vullen dit naar eigen inzicht in. |
A.14.2.8 | Testen van systeembeveiliging | Tijdens ontwikkelactiviteiten moet de | Sv | Sv | Sv | Bij uitbesteding van ontwikkelwerkzaamheden aan een onderaannemer, dienen de stelselspecifieke eisen ten aanzien van het te ontwikkelen product doorvertaald te worden naar de onderaannemer. | Deelnemers, BSNk en BO vullen dit naar eigen inzicht in. |
A.14.2.9 | Systeemacceptatietests | Voor nieuwe informatiesystemen, upgrades en nieuwe versies moeten programma’s voor het uitvoeren van acceptatietests en gerelateerde criteria worden vastgesteld. | S | S | S | Bij wijzigingen, onderhoud en verstoringen dienen stelselspecifieke afspraken gevolgd te worden. | Conform Operationeel handboek |
A.14.3 | Testgegevens | Bescherming waarborgen van gegevens die voor het testen zijn gebruikt. | |||||
A.14.3.1 | Bescherming van testgegevens | Testgegevens moeten zorgvuldig worden gekozen, beschermd en gecontroleerd. | Sv | Sv | S | Conform Testing. |