Versions Compared

Version Old Version 5 New Version Current
Changes made by

Kristel Van Aken

Kristel Van Aken

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Note

Om review makkelijker te maken werden de wijzigingen tegenover ICRv2 als volgt in de tekst duidelijk gemaakt:

  • Nieuw toegevoegde tekst wordt overal in het rood weergegeven

4.7.2.1. Minimale algemene maatregelen

Het opmaken van release pakketten en de uitrol ervan omvat een aantal activiteiten die, afhankelijk van de klasse waartoe de betrokken informatie behoort, al dan niet verplicht uitgevoerd moeten worden. Deze activiteiten zijn (zie paragraaf https://vlaamseoverheid.atlassian.net/wiki/spaces/ICRDEV/pages/6425379609/4.7.3.+Aanvullende+informatie+over+de+maatregelen+release-+en+deployment+beheer#4.7.3.3.-De-bouwstenen-van-release-en-deployment-beheer):

...

                                                                  

Klasse-onafhankelijke maatregelen voor beschikbaarheid, integriteit, vertrouwelijkheid

IC klasse

 Minimale maatregelen 

PAS TOE

image-20241219-101811.png

Inrichten van een proces voor beheer van release en deployment:

  • Planning van de release: major release is een big bang, gefaseerde aanpak of gelimiteerde pull;

  • Bouw release pakket;

  • Opstellen documentatie: over de bouw, installatie, test plannen, procedures, scripts en fall back plan;

  • Test en acceptatie van het releasepakket vooraleer het uitgerold wordt in productie;

  • Verificatie, test en acceptatie van de informatieveiligheidsvereisten en maatregelen vooraleer uitrol in productie (CyFun ID.BE.5.1); 

  • Ontwikkel-, test- en acceptatie-omgeving moeten gescheiden zijn van productie omgeving;

  • Goedkeuring van de release;

  • Uitrol van het release pakket;

  • Overhandiging aan de beheersorganisatie;

  • Postverificatie.

Klasse-afhankelijke maatregelen voor beschikbaarheid, integriteit, vertrouwelijkheid

Vertrouwelijkheid en integriteit

IC klasse

 Minimale maatregelen 

PAS TOE

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

Alle maatregelen van Klasse 1 / Klasse 2 +

  • Planning van de release: big bang, gefaseerde aanpak of gelimiteerde pull toegestaan

  • Test en acceptatie van het releasepakket via vooraf bepaald testplan met validatie van de testresultaten voorafgaand aan elke volgende stap in de bouw;

  • Goedkeuring door de CAB (voor meer informatie zie pagina 4.4. Minimale maatregelen - Beheer van wijzigingen 3.0 );

  • Overhandiging aan de beheersorganisatie met formele notificatie aan alle belanghebbenden;

  • Lessons learned.

PAS TOE OF LEG UIT

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

  • Planning van de release: big bang of gefaseerde aanpak;

  • Controle op herkomst van software;

  • Ontwikkel-, test- en acceptatie-omgeving moeten voldoen aan dezelfde kwaliteitseisen als de productie omgeving

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Klasse 4 +

  • Planning van de release: enkel gefaseerde aanpak toegestaan;

  • Test en acceptatie van het release pakket via vooraf bepaald testplan met 4EYES validatie van de testresultaten voorafgaand aan elke volgende stap in de bouw;

  • Productiedata mogen niet gebruikt worden als test data;

  • Goedkeuring door de CAB (inclusief DPO) met scheiding van functies en 4EYES validatie (voor meer informatie zie zie pagina 4.4. Minimale maatregelen - Beheer van wijzigingen 3.0 );

  • Overhandiging aan de beheersorganisatie met formele notificatie aan alle belanghebbenden, inclusief DPO.

Beschikbaarheid

IC klasse

 Minimale maatregelen 

PAS TOE

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

Klasse 3, Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

  • 24x7 beschikbaarheid van het proces release en deployment beheer

4.7.2.2. Minimale specifieke (GDPR) maatregelen

De minimale algemene maatregelen moeten toegepast worden: per klasse zijn de overeenkomende maatregelen van toepassing (zie paragraaf https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR3/pages/7097288389/4.7.2.+Minimale+maatregelen+voor+release-+en+deployment+beheer+beheer#43.0#4.7.2.1.-Minimale-algemene-maatregelen )

Vertrouwelijkheid en integriteit

IC klasse

 Minimale maatregelen 

PAS TOE

Klasse 1, Klasse 2 en Klasse 3 kennen dezelfde maatregelen:

  • Planning van de release: big bang of gefaseerde aanpak;

  • Geanonimiseerde testdata (persoonsgegevens) ofwel moeten ontwikkel-, testen acceptatie-omgeving voldoen aan dezelfde kwaliteitseisen als de productie omgeving;

  • Goedkeuring door de CAB inclusief DPO (voor meer informatie zie pagina 4.4. Minimale maatregelen - Beheer van wijzigingen 3.0 );

  • Overhandiging aan de beheersorganisatie met formele notificatie aan alle belanghebbenden, inclusief DPO.

PAS TOE OF LEG UIT

Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

Alle maatregelen van Klasse 1 / Klasse 2 / Klasse 3 +

  • Test en acceptatie van het releasepakket via vooraf bepaald testplan met 4EYES validatie van de testresultaten voorafgaand aan elke volgende stap in de bouw;

  • Goedkeuring door de CAB inclusief DPO met scheiding van functies en 4EYES validatie (voor meer informatie zie pagina 4.4. Minimale maatregelen - Beheer van wijzigingen 3.0 ).

Beschikbaarheid

Er zijn geen GDPR specifieke maatregelen gedefinieerd in het kader van beschikbaarheid.

4.7.2.3. Minimale specifieke (NIS2) maatregelen

NIS2 is een Europese richtlijn  bedoeld om de cyberbeveiliging en weerbaarheid van kritieke diensten in EU-lidstaten te verbeteren. 

Alle minimale algemene maatregelen worden verplicht toegepast (geen ‘leg uit’).  

4.7.2.4. Minimale specifieke (KSZ) maatregelen

De Minimale Normen van de Kruispuntbank Sociale Zekerheid zijn van kracht op de verwerking van sociale gegevens van persoonlijke aard. De minimale normen informatieveiligheid en privacy moeten echter ook worden toegepast wanneer instellingen gemachtigd zijn om onder bepaalde voorwaarden toegang te hebben tot het Rijksregister en om het identificatienummer van het Rijksregister te gebruiken.

...

IC klasse

 Minimale maatregelen 

Klasse 1, t/m Klasse 5 kennen dezelfde maatregelen:

  • Elke organisatie moet zich ervan verzekeren dat er geen testen of ontwikkelingen plaatsvinden in de productieomgeving. In bepaalde uitzonderlijke gevallen kan voor testdoeleinden afgeweken worden van deze regel op voorwaarde dat gepaste maatregelen getroffen worden (Ref. KSZ 5.9.1). 

  • Elke organisatie moet:  

    • over procedures beschikken voor het in productie stellen van nieuwe toepassingen en het aanpassen van bestaande toepassingen  

    • voorkomen dat een enkele persoon alleen de controle zou verwerven over dit proces (Ref. KSZ. 5.9.2).