4.8 KiB
#iso27002/2022/NL
Standard: ISO 27002:2022 NL
+------------------------+----------------------------------------------------+------------------------------------------+-----------------------------------------------------------------------------------------------------+--------------------------------------------+ | Type | Informatie- | Cybersecurity- | Operationele | Beveiligings- | | | | | | | | beheersmaatregel | beveiligings- | concepten | capaciteiten | domeinen | | | | | | | | | eigenschappen | | | | +========================+====================================================+==========================================+=====================================================================================================+============================================+ | #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren #Beschermen #Detecteren | #Systeem-_en_netwerk- beveiliging #Toepassingsbeveiliging #Beveiliging_in_leveran- ciersrelaties | #Governance_en_ Ecosysteem #Bescherming | | | | | | | | #Detectief | | | | | +------------------------+----------------------------------------------------+------------------------------------------+-----------------------------------------------------------------------------------------------------+--------------------------------------------+
Beheersmaatregel
De organisatie behoort de activiteiten in verband met uitbestede systeemontwikkeling te sturen, bewaken en beoordelen.
Doel
Garanderen dat de door de organisatie vereiste informatiebeveiligingsmaatregelen bij uitbestede systeemontwikkeling worden geïmplementeerd.
Richtlijn
Als systeemontwikkeling wordt uitbesteed, behoort de organisatie eisen en verwachtingen te communiceren en overeen te komen en voortdurend te monitoren, en te beoordelen of de levering van uitbesteed werk aan deze verwachtingen voldoete volgende punten behoren in de gehele externe toeleveringsketen van de organisatie in overweging te worden genomen:
a) licentieovereenkomsten, eigendom van de broncode en intellectuele-eigendomsrechten in verband met de uitbestede inhoud (zie 5.32);
b) contractuele eisen voor beveiligde ontwikkel-, coderings- en testpraktijken (zie 8.25 t/m 8.29);
c) het door externe ontwikkelaars in aanmerking te nemen dreigingsmodel aanleveren;
d) acceptatietests voor de kwaliteit en nauwkeurigheid van de leveringen (zie 8.29);
e) bewijs leveren dat de beveiligings- en privacycapaciteiten aan een minimaal aanvaardbaar niveau voldoen (bijvorgingsverslagen);
f) bewijs leveren dat voldoende tests zijn uitgevoerd om te waken voor de (zowel opzettelijke als onbedoelde) aanwezigheid van kwaadaardige inhoud op het tijdstip van levering;
g) bewijs leveren dat voldoende tests zijn uitgevoerd om te waken voor de aanwezigheid van bekende kwetsbaarheden;
h) escrowovereenkomsten voor de broncode van het systeem (bijvndien de leverancier failliet gaat);
i) contractueel recht om ontwikkelprocessen en beheersmaatregelen te auditen;
j) beveiligingseisen voor de ontwikkelomgeving (zie 8.31);
k) rekening houden met toepasselijke wetgeving (bijvnzake de bescherming van persoonsgegevens).
Overige informatie
Verdere informatie over leveranciersrelaties is te vinden in de ISO/IEC 27036-reeks.