richardk/iso27diy-corp
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
iso27diy-corp/Clients/Humankind/Specificatie van eisen HK.md

2.4 KiB
Raw Permalink Blame History

Specificatie van eisen en wensen m.b.t. informatieveiligheid

Doel Het bepalen van de eisen en wensen m.b.t. informatiebeveiliging die gesteld worden aan een nieuw aan te schaffen oplossing of dienst.

Procedure Het bepalen van de eisen en wensen wordt projectmatig aangepakt. Vanuit het PMO wordt hiervoor een projectleider aangewezen en beschikbaar gesteld. Hij/zij is niet verantwoordelijk voor de inhoud van de eisen- en wensenlijst, maar ziet er op toe dat de hier beschreven procedure wordt gevolgd, en rapporteert hierover aan het Directieteam.

De basis voor de eisen- en wensenlijst voor een nieuw aan te schaffen oplossing of dienst is de Basislijst Eisen en Wensen ICT oplossingen. Deze lijst bevat generieke eisen en wensen die van toepassing zijn op alle oplossingen en diensten die door Humankind worden aangeschaft en afgenomen.

De Eisen zijn zogenaamde 'knock-out criteria' waaraan de oplossing of dienst minimaal moet voldoen om in aanmerking te komen.

De Basislijst wordt per geval uitgebreid met aanvullende eisen en wensen vanuit de volgende rollen:

  1. door het Privacyteam, op basis van een door hen uitgevoerde DPIA (Data Protection Impact Assessment) dit is een verplichting vanuit de AVG.
  2. door de Manager Informatiemanagement, voortkomend uit zijn/haar verantwoordelijkheden voor het beheer van de oplossing, de implementatie, en koppelingen.
  3. het Architectuurboard, vanwege de verantwoordelijkheid voor naleving van de architectuurprincipes.
  4. De Bestuurssecretaris (?), vanwege de verplichting te voldoen aan overige wettelijke eisen, intern beleid en branche specifieke reguleringen en gedragscodes.

Het specificeren van functionele eisen en wensen aan de oplossing of dienst is de verantwoordelijkheid van de Proceseigenaar dit valt buiten de scope van dit document.

Afwijkingen Van gestelde eisen kan alleen worden afgeweken na goedkeuring van het Directieteam. Voorafgaand aan dit besluit wordt in opdracht van het Directieteam een Risicoanalyse uitgevoerd door een ICT Consultant, volgens een daarvoor (nog op te stellen) vastgestelde procedure. Het directieteam neemt de resultaten hiervan mee in haar besluitvorming en documenteert de redenen voor het besluit.

Goedkeuring Het Directieteam dient de definitieve eisen- en wensenlijst goed te keuren, voordat deze in een uitvraag gestuurd wordt aan marktpartijen.