SD.02 Toegang tot de productieomgeving door ontwikkelaars
Medewerkers (ontwikkelaars) die betrokken zijn bij de ontwikkeling en implementatie van wijzigingen in applicaties en ondersteunende besturingssystemen en databases, hebben geen schrijftoegang tot de productieomgeving. Medewerkers (ontwikkelaars) die verantwoordelijk zijn voor het vrijgeven van de broncode voor productie hebben geen schrijftoegang tot de test of ontwikkelomgeving. Scheiding van taken tussen ontwikkelaars helpt bij het voorkomen van ongeoorloofde toegang tot of wijzigingen in programma’s en gegevens.
Toetsingskader
- Een samenhangend beleid is bepaald, geïmplementeerd en goedgekeurd door het bevoegd gezag.
- Er is beleid of een procesbeschrijving voor het beheer van speciale bevoegdheden.
- Ontwikkelaars hebben geen schrijftoegang tot productie, en systeembeheerders die software overzetten naar productie hebben geen schrijftoegang tot de ontwikkel-, test- en acceptatieomgeving.
- Er zijn functie- of rolbeschrijvingen van de beheerders van speciale bevoegdheden.
- Uitzonderingen op het beleid worden vooraf goedgekeurd door de systeem-/proceseigenaar en tijdens de tijdelijke schrijftoegang wordt gebruikgemaakt van logging en/of het vier-ogen-principe.
- Er is informatie uit systemen waaruit blijkt dat de technische of functioneel beheerders die speciale bevoegdheden hebben, ook een gewone gebruikers-ID hebben voor hun reguliere werkzaamheden.
- Mitigeren hoge risico's
- Systeemontwikkeling
- Dienst van derden
- Dienst van Heutink ICT
- De techniek op orde
- Leverancier & onderwijsorganisatie
Benieuwd naar onze visie op digitale veiligheid en privacy?
We hebben een bredere opvatting over digitale veiligheid en privacy die we samen met de door ons geïmplementeerde processen en systemen hebben beschreven in de beveiligingswijzer. Ben jij bestuurder of bovenschoolse ict'er en klant bij ons? Vraag dan onze beveiligingswijzer aan.
