Home » Informatiebeveiliging » Domein 7: Changemanagement » Norm CH.06

Norm CH.06 Overzetten naar productieomgeving

Na het testen wordt het gewijzigde systeem op gecontroleerde wijze en volgens het implementatieplan overgezet naar de productieomgeving. Goedkeuring wordt verkregen van belangrijke stakeholders, zoals gebruikers, systeemeigenaar en operationeel management. Waar nodig wordt het gewijzigde systeem enige tijd naast het oude systeem gebruikt en worden gedrag en resultaten vergeleken.

Waarom is dit nodig?

Als je een toepassing volgens het implementatieplan gecontroleerd overzet naar de productieomgeving, verminder of voorkom je verstoringen van de bedrijfsvoering. Ook voorkom je hiermee ongeautoriseerde wijzigingen. Als je het gewijzigde systeem een tijdje gebruikt naast het oude, kun je zien of het nieuwe systeem goed functioneert. Bij problemen kun je altijd terugvallen op het oude systeem.

Volwassenheidsniveaus

We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.

1 Ad hoc

Er is geen beleid voor de overdracht van gewijzigde systemen naar productie.
De implementatieplannen worden ad hoc ontworpen.
Er zijn geen rollen of verantwoordelijkheden gedefinieerd.

2 Herhaalbaar

Er is een informeel beleid voor de overdracht van gewijzigde systemen dat essentiële aspecten, zoals goedkeuring van het proces, bevat.
Rollen en verantwoordelijkheden zijn gedeeltelijk gedefinieerd.
Er worden implementatieplannen gemaakt, maar er zijn geen formele criteria voor de inhoud.
Om overdracht volgens het gedefinieerde implementatieplan te laten verlopen zijn er gedeeltelijk beheersmaatregelen ingevoerd.
Doorgaans worden acceptatietests uitgevoerd.

3 Bepaald (streefniveau)

Formeel beleid voor de overdracht van gewijzigde systemen is gedocumenteerd en gecommuniceerd.
Er zijn procedures voor het gebruik van OTAPEen OTAP-straat is een begrip uit de it dat de fases van software-ontwikkeling aangeeft: Ontwikkeling, Test, Acceptatie en Productie. Voor de verschillende fases zijn verschillende omgevingen beschikbaar. Er wordt gestart met de ontwikkeling van iets nieuws. Dit wordt vervolgens getest. Dan wordt het opgeleverd aan acceptatie. Acceptatie is een omgeving die zoveel mogelijk gelijk is aan productie. Als de gebruikers en verantwoordelijke akkoord zijn, kan het over naar productie. Dit is de “normale” omgeving waar gebruikers gebruikmaken van de software. (Ontwikkeling, Test, Acceptatie en Productie)-omgevingen. Er zijn ook goedkeuringsprocessen.
Het goedkeuringsproces bevat een formeel vastgelegde sign-off door belangrijke stakeholders.
Rollen en verantwoordelijkheden zijn gedefinieerd en toegewezen.
Toegangsregels voor de verschillende (OTAP-)omgevingen zijn gedefinieerd om functiescheiding te bewerkstellen.
Voor overdracht worden implementatieplannen gemaakt, en overdracht vindt plaats volgens deze plannen.
Waar nodig (op basis van impactanalyse) wordt het veranderde systeem enige tijd parallel aan het oude systeem gedraaid, waarbij gedrag en resultaat worden vergeleken.
Acceptatiecriteria worden bepaald en acceptatietests worden uitgevoerd en gelogd.
Er zijn beheersmaatregelen om te garanderen dat geaccepteerde wijzigingen daadwerkelijk onderdeel zijn van de overdracht naar productie (volledig).

4 Beheerst

Aanvullend op niveau 3:

Er is een procedure voor het updaten van systeemdocumentatie, relevante calamiteitenplannen, etc.
Het overdrachtsbeleid wordt consequent ingevoerd.
Een wijziging wordt pas afgesloten als alle activiteiten en registraties zijn ingevoerd en geëvalueerd.
De overdracht van in productie te nemen systemen wordt regelmatig geëvalueerd.

5 Continu verbeteren

Aanvullend op niveau 3 en 4:

Beleid, rollen en verantwoordelijkheden worden voortdurend geëvalueerd en verbeterd.
Alle incidenten tijdens testen en implementatie worden geëvalueerd en opgelost.
Er wordt regelmatig aan het management gerapporteerd. Dat levert input op voor verbeteringsplannen.
Rapportage-eisen worden regelmatig geëvalueerd en geactualiseerd.

Aan de slag

Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Maar let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is natuurlijk maatwerk. De maatregelen die voor jouw organisatie nodig zijn, kunnen daardoor verschillen.

Stel een procedure op voor changemanagementHet beheerst doorvoeren van wijzigingen in it.. Zorg dat hierin de processtappen, de rollen en verantwoordelijkheden, impactbeoordelingen, noodprocedures, testplannen en de promotie naar productie zijn benoemd.
Stel de changemanagementprocedure vast.
Bewaar de documentatie rondom wijzigingen, zodat herleidbaar is welk proces is gevolgd. Bepaal voorafgaand aan het overbrengen van de wijziging acceptatiecriteria en toets hierop.

Hulpmiddelen

Inrichten van changemanagement (Aanpak IBP)

Gerelateerde wetten en normen

Norm CH.06 Overzetten naar productieomgeving is gerelateerd aan de ISO-standaard 27001/2:2022 en het certificeringsschema IBP ROSA.

ISO 27001/2:2022

A8.29
A8.32

Certificeringsschema IBP ROSA

Vertrouwelijkheid/Scheiding omgevingen

Afdrukken