richardk/iso27diy-corp
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
iso27diy-corp/Clients/Humankind/Uitfasering en contractbeëindiging HK.md

3 KiB
Raw Permalink Blame History

Uitfasering en contractbeëindiging

Doel Een overeengekomen niveau van informatiebeveiliging in stand houden gedurende het uitfaseren van een ICT oplossing.

Procedure Vanuit het PMO wordt een projectleider aangewezen om de uitfasering van de ICT oplossing projectmatig vorm te geven en te begeleiden.

Op dit project is ook de procedure Informatiebeveiliging in de projectfase van toepassing.

Wanneer medewerkers van de leverancier betrokken zijn, wordt bij beëindiging van dit project de procedure Offboarding ICT leveranciers geactiveerd.

In veel gevallen zal er sprake zijn van een migratie naar een nieuwe oplossing.

Stappen in een migratie:

  1. De projectleider stelt samen met de leverancier(s) een planning op voor de migratie van gegevens van de oude naar de nieuwe oplossing. Indien van dat laatste geen sprake is beperkt het project zich tot het veilig stellen danwel vernietigen van de historische gegevens.
  2. Er wordt een backup gemaakt van gegevens uit de oude applicatie om eventueel verlies of corruptie van gegevens te kunnen herstellen.
  3. De gegevens uit de oude applicatie worden opgeschoond als voorbereiding op de data-migratie.
  4. De nieuwe applicatie wordt geconfigureerd
  5. De data wordt gemigreerd van de oude naar de nieuwe oplossing
  6. Er worden tests uitgevoerd om te bepalen of de migratie correct is uitgevoerd
  7. medewerkers en beheerders krijgen instructie in het gebruik van de nieuwe applicatie
  8. De nieuwe applicatie wordt in productie genomen.

Aanvullende maatregelen

Aanvullend op de procedure Informatiebeveiliging in de projectfase kunnen op basis van de daarin genoemde risicoanalyses de volgende aanvullende maatregelen noodzakelijk zijn:

  1. Nalopen van de overeenkomsten met de leverancier om te verzekeren dat aan alle verplichtingen wordt voldaan, met specifieke aandacht voor verplichtingen rond de omgang met informatie, en vertrouwelijkheidsclausules na contractbeëindiging.
  2. Archivering van gegevens, in overeenstemming met het geldende retentiebeleid en wettelijke verplichtingen
  3. Verwijdering en vernietiging van gegevens aanwezig op de systemen van de leverancier
  4. Terugtrekken van toegangs- en beheersrechten voor alle gebruikers van het systeem
  5. Uitschakelen c.q. verwijderen van integraties en koppelvlakken met andere systemen
  6. Veiligstellen van relevante gegevens gerelateerd aan het systeem, zoals log files en incidentrapportages
  7. Identificeren en evalueren van security issues die zich tijdens de uitfasering hebben voorgedaan
  8. Documenteren van het uitfaseringsproces met het oog op toekomstige uitfaseringen en verantwoording aan toezichthouders
  9. Aanpassen van interne documentatie in lijn met het niet langer in gebruik zijn van het systeem
  10. Communicatie aan belanghebbenden over de uitfasering en de impact op bedrijfsprocessen en werkwijzen
  11. Instellen van monitoring van ongeautoriseerde of onbedoelde pogingen om toegang te krijgen tot het uitgefaseerde systeem.