Document toolboxDocument toolbox

4.7.2. Minimale maatregelen voor release- en deployment beheer

4.7.2.1. Minimale algemene maatregelen

Het opmaken van release pakketten en de uitrol ervan omvat een aantal activiteiten die, afhankelijk van de klasse waartoe de betrokken informatie behoort, al dan niet verplicht uitgevoerd moeten worden. Deze activiteiten zijn (zie paragraaf 4.7.3. Aanvullende informatie over de maatregelen (release- en deployment beheer) | 4.7.3.3. De bouwstenen van release en deployment beheer):

  • Planning van de release;

  • Bouw release pakket;

  • Opstellen documentatie;

  • Test en acceptatie van het release pakket;

  • Ontwikkel-, test- en acceptatie omgeving en test data voorzien;

  • Goedkeuring via het proces wijzigingsbeheer;

  • Uitrol van het release pakket;

  • Overhandiging aan de beheersorganisatie;

  • Postverificatie;

  • Lessons learned.

De minimale beschikbaarheid van het proces zelf is eveneens afhankelijk van het type en klasse van de getroffen informatie. We onderscheiden beschikbaarheid tijdens kantooruren (10ux5dagen) en permanente beschikbaarheid (24ux7dagen).

                                                                  

Vertrouwelijkheid

IC klasse

 Minimale maatregelen 

IC klasse

 Minimale maatregelen 

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

 

  • Planning van de release:

  • Bouw release pakket;

  • Opstellen documentatie: over de bouw, installatie, test plannen, procedures, scripts en fall back plan;

  • Test en acceptatie van het releasepakket vooraleer het uitgerold wordt in productie;

  • Ontwikkel-, test- en acceptatie-omgeving moeten gescheiden zijn van productie omgeving;

  • Goedkeuring minstens door de toepassingseigenaar (voor meer informatie zie pagina 4.4. Minimale maatregelen - Beheer van wijzigingen );

  • Uitrol van het release pakket;

  • Overhandiging aan de beheersorganisatie;

  • Postverificatie.

Alle maatregelen van Klasse 1 / Klasse 2 +

 

  • Planning van de release: big bang, gefaseerde aanpak of gelimiteerde pull toegestaan

  • Test en acceptatie van het releasepakket via vooraf bepaald testplan met validatie van de testresultaten voorafgaand aan elke volgende stap in de bouw;

  • Goedkeuring door de CAB (voor meer informatie zie pagina 4.4. Minimale maatregelen - Beheer van wijzigingen );

  • Overhandiging aan de beheersorganisatie met formele notificatie aan alle belanghebbenden;

  • Lessons learned.

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

 

  • Planning van de release: big bang of gefaseerde aanpak;

  • Ontwikkel-, test- en acceptatie-omgeving moeten voldoen aan dezelfde kwaliteitseisen als de productie omgeving

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Klasse 4 +

 

  • Planning van de release: enkel gefaseerde aanpak toegestaan;

  • Test en acceptatie van het release pakket via vooraf bepaald testplan met 4EYES validatie van de testresultaten voorafgaand aan elke volgende stap in de bouw;

  • Productiedata mogen niet gebruikt worden als test data;

  • Goedkeuring door de CAB (inclusief DPO) met scheiding van functies en 4EYES validatie (voor meer informatie zie zie pagina 4.4. Minimale maatregelen - Beheer van wijzigingen );

  • Overhandiging aan de beheersorganisatie met formele notificatie aan alle belanghebbenden, inclusief DPO.

 

Integriteit

IC klasse

 Minimale maatregelen 

IC klasse

 Minimale maatregelen 

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

 

  • Planning van de release:

    • Voor een major release is een big bang, gefaseerde aanpak of gelimiteerde pull toegestaan;

    • Voor een minor release of sprint is een big bang, gefaseerde aanpak of pull toegestaan.

  • Bouw release pakket;

  • Opstellen documentatie: over de bouw, installatie, test plannen, procedures, scripts en fall back plan;

  • Test en acceptatie van het releasepakket vooraleer het uitgerold wordt in productie;

  • Ontwikkel-, test- en acceptatie-omgeving moeten gescheiden zijn van productie omgeving;

  • Goedkeuring minstens door de toepassingseigenaar (voor meer informatie zie pagina 4.4. Minimale maatregelen - Beheer van wijzigingen );

  • Uitrol van het release pakket;

  • Overhandiging aan de beheersorganisatie.

Alle maatregelen van Klasse 1 / Klasse 2 +

 

  • Planning van de release: big bang, gefaseerde aanpak of gelimiteerde pull toegestaan

  • Test en acceptatie van het releasepakket via vooraf bepaald testplan met validatie van de testresultaten voorafgaand aan elke volgende stap in de bouw;

  • Goedkeuring door de CAB (voor meer informatie zie pagina 4.4. Minimale maatregelen - Beheer van wijzigingen );

  • Overhandiging aan de beheersorganisatie met formele notificatie aan alle belanghebbenden;

  • Lessons learned

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

 

  • Planning van de release: big bang of gefaseerde aanpak;

  • Ontwikkel-, test- en acceptatie-omgeving moeten voldoen aan dezelfde kwaliteitseisen als de productie omgeving

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Klasse 4 +

 

  • Planning van de release: enkel gefaseerde aanpak toegestaan;

  • Test en acceptatie van het release pakket via vooraf bepaald testplan met 4EYES validatie van de testresultaten voorafgaand aan elke volgende stap in de bouw;

  • Productiedata mogen niet gebruikt worden als test data;

  • Goedkeuring door de CAB (inclusief DPO) met scheiding van functies en 4EYES validatie (voor meer informatie zie pagina 4.4. Minimale maatregelen - Beheer van wijzigingen );

  • Overhandiging aan de beheersorganisatie met formele notificatie aan alle belanghebbenden, inclusief DPO.

 

Beschikbaarheid

IC klasse

 Minimale maatregelen 

IC klasse

 Minimale maatregelen 

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

 

Klasse 3, Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

Alle maatregelen van Klasse 1 / Klasse 2 +

 

  • 24x7 beschikbaarheid van het proces release en deployment beheer

 

4.7.2.2. Minimale specifieke (GDPR) maatregelen

De minimale algemene maatregelen moeten toegepast worden: per klasse zijn de overeenkomende maatregelen van toepassing (zie paragraaf 4.7.2. Minimale maatregelen voor release- en deployment beheer | 4.7.2.1. Minimale algemene maatregelen )

 

Vertrouwelijkheid

IC klasse

 Minimale maatregelen 

IC klasse

 Minimale maatregelen 

Klasse 1, Klasse 2 en Klasse 3 kennen dezelfde maatregelen:

 

  • Planning van de release: big bang of gefaseerde aanpak;

  • Geanonimiseerde testdata (persoonsgegevens) ofwel moeten ontwikkel-, testen acceptatie-omgeving voldoen aan dezelfde kwaliteitseisen als de productie omgeving;

  • Goedkeuring door de CAB inclusief DPO (voor meer informatie zie pagina 4.4. Minimale maatregelen - Beheer van wijzigingen );

  • Overhandiging aan de beheersorganisatie met formele notificatie aan alle belanghebbenden, inclusief DPO.

Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

Alle maatregelen van Klasse 1 / Klasse 2 / Klasse 3 +

 

  • Test en acceptatie van het releasepakket via vooraf bepaald testplan met 4EYES validatie van de testresultaten voorafgaand aan elke volgende stap in de bouw;

  • Goedkeuring door de CAB inclusief DPO met scheiding van functies en 4EYES validatie (voor meer informatie zie pagina 4.4. Minimale maatregelen - Beheer van wijzigingen ).

 

Integriteit

IC klasse

 Minimale maatregelen 

IC klasse

 Minimale maatregelen 

Klasse 1, Klasse 2 en Klasse 3  kennen dezelfde maatregelen:

 

  • Planning van de release: big bang of gefaseerde aanpak;

  • Geanonimiseerde testdata (persoonsgegevens) ofwel moeten ontwikkel-, testen acceptatie-omgeving voldoen aan dezelfde kwaliteitseisen als de productie omgeving;

  • Goedkeuring door de CAB inclusief DPO (voor meer informatie zie pagina 4.4. Minimale maatregelen - Beheer van wijzigingen );

  • Overhandiging aan de beheersorganisatie met formele notificatie aan alle belanghebbenden, inclusief DPO.

Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

Alle maatregelen van Klasse 1 / Klasse 2 / Klasse 3 +

 

  • Test en acceptatie van het releasepakket via vooraf bepaald testplan met 4EYES validatie van de testresultaten voorafgaand aan elke volgende stap in de bouw;

  • Goedkeuring door de CAB inclusief DPO met scheiding van functies en 4EYES validatie (voor meer informatie zie pagina 4.4. Minimale maatregelen - Beheer van wijzigingen ).

 

Beschikbaarheid

Er zijn geen GDPR specifieke maatregelen gedefinieerd in het kader van beschikbaarheid.

4.7.2.3. Minimale specifieke (NISII) maatregelen

In afwachting van de goedkeuringen omtrent NISII is er in dit document alvast de nodige ruimte voorzien voor toekomstige minimale specifieke NISII maatregelen.

4.7.2.4. Minimale specifieke (KSZ) maatregelen

De Minimale Normen van de Kruispuntbank Sociale Zekerheid zijn van kracht op de verwerking van sociale gegevens van persoonlijke aard. De minimale normen informatieveiligheid en privacy moeten echter ook worden toegepast wanneer instellingen gemachtigd zijn om onder bepaalde voorwaarden toegang te hebben tot het Rijksregister en om het identificatienummer van het Rijksregister te gebruiken.

Volgens de Minimale Normen van de Kruispuntbank Sociale Zekerheid moeten volgende maatregelen in het kader van Release en Deployment beheer toegepast worden:  

Beschikbaarheid, Integriteit & Vertrouwelijkheid 

IC klasse

 Minimale maatregelen 

IC klasse

 Minimale maatregelen 

 

 

Klasse 1, t/m Klasse 5 kennen dezelfde maatregelen:

  • Elke organisatie moet zich ervan verzekeren dat er geen testen of ontwikkelingen plaatsvinden in de productieomgeving. In bepaalde uitzonderlijke gevallen kan voor testdoeleinden afgeweken worden van deze regel op voorwaarde dat gepaste maatregelen getroffen worden (Ref. KSZ 5.9.1). 

  • Elke organisatie moet:  

    • over procedures beschikken voor het in productie stellen van nieuwe toepassingen en het aanpassen van bestaande toepassingen  

    • voorkomen dat een enkele persoon alleen de controle zou verwerven over dit proces (Ref. KSZ. 5.9.2).