SD.01 Methodiek voor veilige softwareontwikkeling en -implementatie
Er is een gestructureerde aanpak (levenscyclus voor veilige softwareontwikkeling) voor interne ontwikkeling en aanschaf van software geïmplementeerd, die ervoor zorgt dat potentiële risico’s voor bedrijfsvoering adequaat worden beoordeeld en beperkt, en dat de aspecten vertrouwelijkheid, integriteit en beschikbaarheid worden meegenomen. Voor elke nieuwe ontwikkeling of acquisitie is goedkeuring vereist door het juiste niveau van bedrijfs- en IT-management. Door een gestructureerde aanpak vinden softwareontwikkeling en -aanschaf plaats in lijn met de strategie van de organisatie en komen deze overeen met de functionele, technische en beveiligingseisen, goedkeuringsnormen en de informatiearchitectuur.
Toetsingskader
- De organisatie heeft een gestructureerde aanpak voor interne ontwikkeling en aanschaf van software geïmplementeerd.
- De methodiek voor assurance van softwarekwaliteit bevat verplichte “mijlpalen voor informatiebeveiliging” (met inbegrip van risicobeoordeling, broncodebeoordeling en tests) die niet kunnen worden omzeild en deze worden gedocumenteerd.
- Er zijn verplichte standaarden voor veilig coderen bepaald. Security by design, privacy by design en privacy by default worden door richtlijnen en standaarden afgedwongen.
- Awareness training voor beveiliging wordt op vrijwillige basis gevolgd.
- Voor elke nieuwe ontwikkeling of aanschaf is goedkeuring nodig van het juiste niveau van het business- of IT-management.
- Mitigeren hoge risico's
- Systeemontwikkeling
- Dienst van derden
- Dienst van Heutink ICT
- De techniek op orde
- Leverancier & onderwijsorganisatie
Benieuwd naar onze visie op digitale veiligheid en privacy?
We hebben een bredere opvatting over digitale veiligheid en privacy die we samen met de door ons geïmplementeerde processen en systemen hebben beschreven in de beveiligingswijzer. Ben jij bestuurder of bovenschoolse ict'er en klant bij ons? Vraag dan onze beveiligingswijzer aan.
