Norm CH.04 Testomgeving
Er is een beveiligde testomgeving gedefinieerd en ingericht, die representatief is voor de geplande productieomgeving met betrekking tot beveiliging, interne controles, operationele procedures, gegevenskwaliteit, privacy vereisten en systeembelasting.
Waarom is dit nodig?
In een representatieve testomgeving kun je wijzigingen testen zonder dat het gevolgen heeft voor de productieomgeving. Je ziet wél wat het effect van de wijziging is in de productieomgeving.
Volwassenheidsniveaus
We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.
1 Ad hoc
- Er is geen beveiligde testomgeving gedefinieerd en ingericht voor het ontwikkelen en testen van wijzigingen.
- Er is geen beleid voor het gebruik van een testomgeving.
- Het is waarschijnlijk dat er door gebrekkig wijzigingsbeheer fouten ontstaan die leiden tot verstoringen in de productieomgeving.
2 Herhaalbaar
- Er is een informeel beleid voor het gebruik van een testomgeving voor het ontwikkelen en testen van wijzigingen.
- Wijzigingen worden buiten de productieomgeving ontwikkeld en getest.
- De testomgeving is voor de kritieke aspecten representatief voor de productieomgeving.
3 Bepaald (streefniveau)
- Formeel beleid is vastgesteld en ingevoerd voor de testomgeving.
- Er is een veilige testomgeving gedefinieerd en ingericht.
- De testomgeving representeert de productieomgeving en komt overeen in aspecten zoals workload of stress, besturingssystemen, applicatiesoftware, database, het management, netwerken en infrastructuur.
- De testomgeving staat volledig los van de productieomgeving.
- De testomgeving is beschermd tegen ongeautoriseerde toegang en gebruik.
- Het eigenaarschap van de test- en productieomgeving is duidelijk toegewezen.
- Er zijn richtlijnen voor het gebruik van data in de testomgeving, zodat aan privacywetgeving wordt voldaan.
4 Beheerst
Aanvullend op niveau 3:
- Er is een proces voor de bewaking van het gebruik van de testomgeving, en incidenten worden beoordeeld en opgelost.
- De test- en productieomgevingen worden periodiek geëvalueerd om te garanderen dat de testomgeving nog voldoende representatief is voor de productieomgeving.
- De beveiliging van de testomgeving en het testdatamanagement wordt periodiek geëvalueerd.
5 Continu verbeteren
Aanvullend op niveau 3 en 4:
- Beleid wordt voortdurend geëvalueerd en verbeterd.
- Rollen en verantwoordelijkheden worden voortdurend geëvalueerd.
- Er wordt regelmatig aan het management gerapporteerd. Dat levert input op voor verbeterplannen.
- De eisen voor rapportage worden regelmatig geëvalueerd en geactualiseerd.
- Er zijn tools ingevoerd voor het creëren van subsets en het anonimiserenAnonimiseren is een methode waarbij persoonsgegevens worden bewerkt zodat ze niet meer gebruikt kunnen worden om iemand mee te identificeren. Anonimiseren is onomkeerbaar. De gegevens kunnen dus nooit meer worden teruggeleid tot een persoon. Geanonimiseerde gegevens vallen niet onder de AVG. van data.
Aan de slag
Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Maar let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is natuurlijk maatwerk. De maatregelen die voor jouw organisatie nodig zijn, kunnen daardoor verschillen.
- Stel een procedure op voor changemanagementHet beheerst doorvoeren van wijzigingen in it.. Zorg dat hierin de processtappen, de rollen en verantwoordelijkheden, impactbeoordelingen, noodprocedures, testplannen en de promotie naar productie zijn benoemd.
- Stel de changemanagementprocedure vast.
- Bewaar de documentatie rondom wijzigingen, zodat herleidbaar is welk proces is gevolgd.
- Gebruik geen productiedata, zeker niet wanneer deze persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. bevat. Test met representatieve testdata.
Hulpmiddelen
Gerelateerde wetten en normen
Norm CH.04 Testomgeving is gerelateerd aan de ISO-standaard 27001/2:2022 en aan het certificeringsschema IBP ROSA.
ISO-standaard 27001/2:2022
- 8.1
- A8.4
- A8.31
- A8.33
Certificeringsschema IBP ROSA
- Vertrouwelijkheid/Scheiding omgevingen