| Note |
|---|
Om review makkelijker te maken werden de wijzigingen tegenover ICRv2 als volgt in de tekst duidelijk gemaakt:
|
5.3.3.1. De stappen in de Software Development Lifecycle
...
| Info |
|---|
Opmerking Binnen datzelfde proces stelt het Security Office ook tooling ter beschikking (zie pagina 8. Tools en de website http://vlaanderen.be/informatieveiligheid) die rekening houdt met alle requirements uit het gevalideerde proces. |
...
Dit is gelinkt aan het proces Risicobeheer (zie 5.5. Minimale maatregelen - proces risicobeheer 3.0 ). Het proces en de tools om hiermee aan de slag te kunnen staan hier beschreven.
...
Voor de specifieke eisen rond het testen van de veiligheid van een toepassing tijdens de ontwikkeling ervan, raadpleeg je de pagina 5.6. Minimale maatregelen - Veiligheidtesten. Hierin zit ook een rechtstreekse link met de informatieclassificatie van een toepassing. Hoe hoger de klasse, hoe strenger het controleniveau.
...
Via security monitoring: je definieert welke evenementen je wilt loggen en monitoren. Meer details hierover vind je op pagina 5.2. Minimale maatregelen - logging en monitoring (SIEM) 3.0;
Via penetratietests: je bepaalt de scope van de test en laat die regelmatig uitvoeren op je productie-omgeving;
Via bug bounty of responsible disclosure programma’s: je nodigt zogenaamde white hat hackers uit om kwetsbaarheden op je toepassingen te melden en beloont hen hiervoor.
Dit staat beschreven op pagina 5.6. Minimale maatregelen - Veiligheidtesten.
(Extended) support
Eenmaal een toepassing in productie staat, moet je als beheerder ervoor zorgen dat je deze voldoende kunt ondersteunen. Dit geldt voor de gebruikers en voor de infrastructuur – en zeker ook voor de diensten die afhangen van leveranciers. Het is aan de beheerder van de toepassing om ervoor te zorgen dat de toepassing altijd een gepaste ondersteuning geniet.