Norm CH.05 Testen van wijzigingen
Waarom is dit nodig?
Met zorgvuldig testen kun je fouten ontdekken voordat je de wijzigingen in de productieomgeving doorvoert. Dit draagt bij aan het borgen van de continuïteit van de bedrijfsvoering en de betrouwbaarheid van de gegevensverwerking.
Volwassenheidsniveaus
We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.
1 Ad hoc
- Er is geen beleid voor het testen van wijzigingen.
- Rollen en verantwoordelijkheden voor het testen van wijzigingen zijn niet vastgelegd.
- Testen wordt individueel/ad hoc gedaan.
- Er worden geen testplannen gemaakt voordat het testen plaatsvindt.
2 Herhaalbaar
- Er is een informele procedure voor het testen van wijzigingen ingevoerd.
- Rollen en verantwoordelijkheden zijn gedeeltelijk vastgesteld.
- Er zijn testplannen gemaakt, maar er zijn geen formele criteria voor de inhoud van testplannen.
- Er zijn gedeeltelijk maatregelen ingevoerd om ervoor te zorgen dat wijzigingen volgens het testplan getest worden.
- Testresultaten worden gedeeltelijk gedocumenteerd.
- Er zijn geen criteria voor het bewaren of verwijderen van testresultaten.
3 Bepaald (streefniveau)
- Formeel beleid voor het testen van wijzigingen is gedocumenteerd en gecommuniceerd.
- Rollen en verantwoordelijkheden zijn vastgesteld en toegewezen.
- Er worden testplannen gemaakt voordat de tests worden uitgevoerd.
- Er zijn criteria vastgesteld om te zorgen dat belangrijke elementen, zoals beveiliging en prestatie, opgenomen zijn in het testplan.
- Wijzigingen worden onafhankelijk volgens de testplannen getest.
- Er is een beheerprocedure ingevoerd voor het bewaren en verwijderen van testresultaten.
- Fallback– of backoutplannen worden voorbereid en getest voordat wijzigingen in productie worden genomen.
4 Beheerst
Aanvullend op niveau 3:
- Alle wijzigingen van essentiële applicaties worden geëvalueerd en getest zodat er geen negatieve gevolgen zijn voor de bedrijfsvoering of de beveiliging.
- Wijzigingen worden alleen getest in de testomgeving.
- Prestatie- en beveiligingseisen zijn gevalideerd.
- De testprocedures, testplannen en uitvoering van testprocedures worden periodiek geëvalueerd.
5 Continu verbeteren
Aanvullend op niveau 3 en 4:
- Beleid wordt voortdurend geëvalueerd en verbeterd.
- Rollen en verantwoordelijkheden worden voortdurend geëvalueerd.
- Alle incidenten met wijzigingsbeheer/testprocessen worden geëvalueerd en opgelost.
- Er wordt regelmatig aan het management gerapporteerd. Dat levert input op voor verbeterplannen.
- De eisen aan de rapportages worden regelmatig geëvalueerd en geactualiseerd.
Aan de slag
Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Maar let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is natuurlijk maatwerk. De maatregelen die voor jouw organisatie nodig zijn, kunnen daardoor verschillen.
- Stel een procedure op voor changemanagementHet beheerst doorvoeren van wijzigingen in it.. Zorg dat hierin de processtappen, de rollen en verantwoordelijkheden, impactbeoordelingen, noodprocedures, testplannen en de promotie naar productie zijn benoemd.
- Stel de changemanagementprocedure vast.
- Bewaar de documentatie rondom wijzigingen, zodat herleidbaar is welk proces is gevolgd.
- Maak per wijziging een testplan of zorg dat een standaardtestaanpak is opgenomen in je changemanagementprocedure en gebruik dit bij het testen van de wijziging.
- Zorg ervoor dat de tester niet betrokken is geweest bij de ontwikkeling van de softwarewijziging.
Hulpmiddelen
Gerelateerde wetten en normen
Norm CH.05 Testen van wijzigingen is gerelateerd aan de ISO-standaard 27001/2:2022 en het certificeringsschema IBP ROSA.
ISO 27001/2:2022
- 8.1
- A8.4
- A8.29
- A8.32
- A8.33
Certificeringsschema IBP ROSA
- Vertrouwelijkheid/Scheiding omgevingen
- Beschikbaarheid/Testen