4.7 KiB
#iso27002/2022/NL
Standard: ISO 27002:2022 NL
+------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+ | Type | Informatie- | Cybersecurity- | Operationele | Beveiligings- | | | | | | | | beheersmaatregel | beveiligings- | concepten | capaciteiten | domeinen | | | | | | | | | eigenschappen | | | | +========================+====================================================+======================+================================================================+=====================+ | #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Toepassingsbeveili- ging #Systeem-_en_net- werkbeveiliging | #Bescherming | +------------------------+----------------------------------------------------+----------------------+----------------------------------------------------------------+---------------------+
Beheersmaatregel
Wijzigingen in informatieverwerkingsfaciliteiten en informatiesystemen behoren onderworpen te zijn aan procedures voor wijzigingsbeheer.
Doel
De informatiebeveiliging behouden tijdens het uitvoeren van wijzigingen.
Richtlijn
Nieuwe systemen en belangrijke wijzigingen aan bestaande systemen behoren volgens overeengekomen regels en een formeel proces van documentatie, specificatie, testen, kwaliteitscontrole en beheerde implementatie te worden geïntroduceerderantwoordelijkheden en procedures voor beheer behoren te worden vastgelegd om afdoende beheersing van alle veranderingen te waarborgen.
Procedures voor wijzigingsbeheer behoren te worden gedocumenteerd en gehandhaafd om de vertrouwelijkheid, integriteit en beschikbaarheid van informatie in informatieverwerkende faciliteiten en informatiesystemen te garanderen gedurende de gehele ontwikkelcyclus van systemen, vanaf het begin van de ontwerpfase tot en met alle daaropvolgende onderhoudsinspanningen.
Waar mogelijk behoren de procedures voor wijzigingsbeheer voor ICT-infrastructuur en -software te worden geïntegreerd.
De procedures voor wijzigingsbeheer behoren het volgende te omvatten:
a) het plannen en beoordelen van de potentiële impact van wijzigingen, waarbij alle afhankelijkheden
in aanmerking worden genomen;
b) autorisatie van veranderingen;
c) veranderingen aan relevante belanghebbenden communiceren;
d) tests en de aanvaarding van tests voor de veranderingen (zie 8.29);
e) implementatie van veranderingen met inbegrip van inzetplannen;
f) nood- en voorzorgsoverwegingen, met inbegrip van vangnetprocedures;
g) registraties onderhouden van veranderingen waarin alle bovenstaande punten worden
opgenomen;
h) waarborgen dat bedieningsdocumentatie (zie 5.37) en gebruikersprocedures indien nodig worden
gewijzigd om ze toepasbaar te houden;
i) bewerkstelligen dat de plannen voor ICT-continuïteit en de respons- en herstelprocedures (zie
- worden gewijzigd naarmate nodig is om passend te blijven.
Overige informatie
Onvoldoende beheersing van veranderingen aan informatieverwerkende faciliteiten en informatiesystemen is een algemene oorzaak van systeem- of beveiligingsfouteneranderingen aan de productieomgeving, in het bijzonder als software wordt gemuteerd van de ontwikkelings- naar de uitvoeringsomgeving, kunnen van invloed zijn op de integriteit en beschikbaarheid van toepassingen.
Het wijzigen van software kan van invloed zijn op de productieomgeving en vice versa.
Bij een goede werkwijze wordt het testen van ICT-componenten uitgevoerd in een omgeving die zowel gescheiden is van de productie- als van de ontwikkelomgevingen (zie 8.31). Hierdoor wordt het mogelijk om controle te hebben over nieuwe software en om extra bescherming te bieden voor uitvoeringsinformatie die wordt gebruikt voor testdoeleindenit behoort te gelden voor patches, servicepacks en andere updates.
De productieomgeving omvat besturingssystemen, databases en middlewareplatformse controle behoort te worden toegepast voor veranderingen van toepassingen en infrastructuren.