Norm SD.01 Methodiek veilige softwareontwikkeling en -implementatie

Er is een gestructureerde aanpak voor de interne ontwikkeling en aanschaf van software ingevoerd, in de vorm van een levenscyclus voor veilige softwareontwikkeling. Deze aanpak zorgt ervoor dat potentiële risico’s voor bedrijfsvoering adequaat worden beoordeeld en beperkt, en dat de aspecten vertrouwelijkheid, integriteit en beschikbaarheid worden meegenomen. Voor elke nieuwe ontwikkeling of acquisitie is goedkeuring vereist door het juiste niveau van school- en it-management.

Waarom is dit nodig?

Een gestructureerde aanpak zorgt ervoor dat de ontwikkeling en aanschaf van software gebeurt in lijn met de strategie van de organisatie. Dit draagt eraan bij dat software op een veilige manier wordt ontwikkeld en voldoet aan de functionele, technische en beveiligingseisen, goedkeuringsnormen en de informatiearchitectuur. Daarmee voorkom je digitaal onveilige situaties.

Volwassenheidsniveaus

We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.

1 Ad hoc
  • Er is geen gestructureerde aanpak.
  • Systeem- en softwareontwikkeling gebeuren ad hoc.
2 Herhaalbaar
  • Er zijn richtlijnen voor veilig coderen, maar die worden niet altijd toegepast.
  • Evaluatie van beveiligingseisen en broncodes vindt plaats op individueel initiatief.
  • Er zijn geen formele beveiligingsmijlpalen ingevoerd in projectmanagementmethodiek en beveiligingstesten.
3 Bepaald (streefniveau)
  • De organisatie heeft een gestructureerde aanpak voor interne ontwikkeling en aanschaf van software ingevoerd.
  • Er zijn verplichte standaarden voor veilig coderen bepaald. Security by design, privacy by design en privacy by default worden geborgd door richtlijnen en standaarden.
  • Voor elke nieuwe ontwikkeling of aanschaf is goedkeuring nodig van het juiste niveau van het school- of it-management.
  • De methodiek voor toetsing van softwarekwaliteit bevat verplichte ‘mijlpalen voor informatiebeveiliging’ (met inbegrip van risicobeoordeling, broncodebeoordeling en tests) die niet kunnen worden omzeild. Deze worden gedocumenteerd.
  • Bewustwordingstraining voor beveiliging wordt op vrijwillige basis gevolgd.
4 Beheerst

Aanvullend op niveau 3:

  • De effectiviteit van een formele en gestructureerde aanpak wordt periodiek geëvalueerd en indien nodig herzien.
  • Er is een verplicht beveiligings- en risicotrainingsprogramma voor ontwikkelaars.
5 Continu verbeteren

Aanvullend op niveau 3 en 4:

  • Op basis van ontwikkelingen in dreigingen worden periodiek risicoanalyses uitgevoerd. De scope van deze analyses omvat de ingevoerde softwareproducten en de ontwikkelingsmethodiek zelf.
  • Restrisico’s worden gerapporteerd aan het verantwoordelijke (senior) it-management.

Aan de slag

Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is maatwerk. Voor jouw school kunnen extra of andere maatregelen nodig zijn.

  • Stel een procedure op voor de ontwikkeling van nieuwe software. Zorg dat binnen deze procedure de verantwoordelijkheden zijn belegd en standaarden voor veilig coderen en secure code review zijn opgenomen.
  • Besteed periodiek binnen het ontwikkelteam aandacht aan training voor veilige softwareontwikkeling.
  • Zorg dat informatiebeveiligingseisen voor softwareontwikkeling deel uitmaken van een aanbesteding.

Gerelateerde wetten en normen

Norm SD.01 Methodiek veilige softwareontwikkeling en -implementatie is gerelateerd aan de ISO-standaard 27001/2:2022, het certificeringsschema ROSA en privacynormen.

ISO 27001/2:2022

  • 8.1
  • A5.8
  • A8.25
  • A8.26
  • A8.27
  • A8.28
  • A8.29
  • A8.30
  • A8.31
  • A8.32

Certificeringsschema ROSA

  • Beschikbaarheid/Ontwerp
  • Integriteit van de gegevens/Application controls
  • Integriteit van de toepassing/Controle integriteit

Privacynormen

Afdrukken

Op deze pagina