Page Comparison

PAS TOE

Inrichten, documenteren, valideren en regelmatig reviewen van een van het proces wijzigingsbeheer (CyFun PR.IP-3):

• Alle wijzigingen worden beheerd volgens het proces wijzigingsbeheer, met in begrip wijzigingen in de supply chain (opnemen in nieuw doc leveranciersrelaties);

• Registratie van de wijzigingsaanvraag in een logboek;

• Impact van de wijziging bepalen;

• Urgentie van de wijziging bepalen;

• Goedkeuring van de wijzigingsaanvraag;

• Inplannen van de wijziging;

• Uitvoeren van de wijziging;

• Validatie van de wijziging voorafgaand aan in productie name

• Evaluatie van de wijziging (lessons learned)

• Afsluiten van de wijziging.

PAS TOE

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

• De informatie in het logboek krijgt minimaal vertrouwelijkheidsklasse 2 toegewezen;

• Minstens goedkeuring van de wijzigingsaanvraag door de toepassingseigenaar;

• Validatie van de wijziging voorafgaand aan in productie name is verplicht voor architecturale en functionele wijzigingen;

• Evaluatie van de wijziging (lessons learned) voor P1 wijzigingen (als gevolg van incidenten of noodwijzigingen);

• Afsluiten van de wijziging.

Alle maatregelen van Klasse 1 / Klasse 2 +

• Opzetten rol wijzigingsbeheerder;

• Registratie van de wijzigingsaanvraag in een logboek onder beheer van een wijzigingsbeheerder;

• Impact van de wijziging is minstens medium;

• Goedkeuring van de wijzigingsaanvraag via CAB;

• Validatie van de wijziging voorafgaand aan in productie name is altijd verplicht;

• Evaluatie van de wijziging (lessons learned) vanaf P2 wijzigingen. 

PAS TOE OF LEG UIT

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

• Impact van de wijziging is altijd hoog;

• Testen en validatie van de wijziging voorafgaand aan in productie name en post-validatie (CyFun PR.IP-3.1);

• Altijd evaluatie van de wijziging (lessons learned).

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Klasse 4 +

• Registratie van de wijzigingsaanvraag in een centraal logboek onder beheer van een wijzigingsbeheerder;

• De informatie in het logboek krijgt minimaal vertrouwelijkheidsklasse 3 toegewezen;

• Goedkeuring van de wijzigingsaanvraag via CAB en DPO met in acht name van scheiding van functies en 4EYES validatie

PAS TOE

Klasse 2 en Klasse 3 kennen dezelfde maatregelen:

• Goedkeuring van de wijzigingsaanvraag via CAB inclusief DPO;

• Validatie van de wijziging voorafgaand aan in productie name en post-validatie altijd verplicht.

• Altijd evaluatie van de wijziging (lessons learned)

PAS TOE OF LEG UIT

Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

Alle maatregelen van Klasse 1 / Klasse 2 / Klasse 3 + 

• Goedkeuring van de wijzigingsaanvraag via CAB en DPO met in acht name van scheiding van functies en 4EYES validatie.

PAS TOE

Maatregelen voor Klasse 5:

• Geplande wijzigingen aan kritieke systemen moeten voorafgegaan worden door een veiligheid impactanalyse in een aparte testomgeving (CyFun PR.IP-3.2).

• Wijzigingen aan onderhoudsgereedschap met kritieke systeeminformatie worden beheerd in het proces wijzigingsbeheer.

• Niet-geautoriseerde wijzigingen moeten worden gemonitored en behandeld als een incident, zie ook 5.2. Minimale maatregelen - logging en monitoring (SIEM) 3.0 en 4.5. Minimale maatregelen - Incidentbeheer 3.0 .