Document toolboxDocument toolbox

(MedMij Afsprakenstelsel 2.2.4) A.14.2.1 Beleid voor beveiligd ontwikkelen


Norm

RationaleDeze maatregel borgt dat deelnemers en beheerorganisatie beveiligingsstandaarden toepassen bij het ontwikkelen van software en systemen die aan het internet gekoppeld worden. Dit voorkomt dat bekende programmeerfouten worden gemaakt.
Implementatie

Bij het vaststellen voor het beleid voor beveiligd ontwikkelen MOETEN de ICT-beveiligingsrichtlijnen voor webapplicaties van het NCSC uit het "Uitvoeringsdomein" overwogen worden (https://www.ncsc.nl/documenten/publicaties/2019/mei/01/ict-beveiligingsrichtlijnen-voor-webapplicaties).

Voor mobiele applicaties MOETEN de Beveiligingsrichtlijnen voor mobiele applicaties van het NCSC overwogen worden (https://www.ncsc.nl/documenten/publicaties/2019/mei/01/beveiligingsrichtlijnen-voor-mobiele-apparaten).

NEN 7510:2011Deze maatregel bestond nog niet in NEN 7510:2011

Beoordeling

Auditmethode

  • Stel vast dat de organisatie in haar beleid met betrekking tot de ontwikkeling, de door NCSC gedefinieerde minimale beveiligingsstandaarden (‘Uitvoeringsdomein’) in overweging heeft genomen.
  • Stel vast dat deze zijn toegepast.

Verificatie

  • Welke procedures (incl. versienummers) zijn ingezien.
  • Met wie gesproken is ter bevestiging van de toepassing van de procedures.

Rollen

DVP

(tick)

DVA

(tick)

BO

(tick)

DVP = Dienstverlener persoon, DVA = Dienstverlener aanbieder, BO = Beheerorganisatie