Document toolboxDocument toolbox

(v3.0.1) A.12.1.2 (2) Wijzigingsbeheer


Norm

Rationale

Deze maatregel borgt dat er altijd twee medewerkers betrokken zijn bij werkzaamheden aan systemen (configuratiewijzigingen, onderhoud, installatie van updates) die direct impact (kunnen) hebben op de beschikbaarheid, integriteit of vertrouwelijkheid van de keten. De maatregel vermindert het risico op onbeschikbaarheid van of kwetsbaarheden binnen de keten.

Implementatie

Niet-standaard wijzigingen op de IT componenten die gebruikt worden binnen de scope van MedMij MOETEN op basis van het vier-ogen-principe worden uitgevoerd.

Toelichting

Het gaat hier niet om achterliggende systemen (zoals EPD) maar om de aansluitende systemen en netwerkcomponenten (zoals firewalls).

NEN 7510-1:2017A.12.1.2 Wijzigingsbeheer
NEN 7510:2011A.10.1.2 Wijzigingsbeheer

Beoordeling

Auditmethode

  • Stel vast dat een overzicht van standaard en niet-standaard wijzigingen is gedocumenteerd. Ga na of standaardwijzigingen geen midden/hoog risico hebben op op de beschikbaarheid, integriteit of vertrouwelijkheid van de keten.
  • Stel vast dat vier-ogen-principe is ingericht voor niet-standaard wijzigingen.
  • Stel door middel van interview met de betrokken medewerkers vast of de procedures worden nageleefd.

Verificatie

  • Welke procedures (incl. versienummers) zijn ingezien.
  • Met wie gesproken is ter bevestiging van de implementatie.

Rollen

DVP

(tick)

DVA

(tick)

BO

(tick)

DVP = Dienstverlener persoon, DVA = Dienstverlener aanbieder, BO = Beheerorganisatie