Ontwikkel-, test- en acceptatie omgeving en test data voorzien;
Goedkeuring via het proces wijzigingsbeheer;
Uitrol van het release pakket;
Overhandiging aan de beheersorganisatie;
Postverificatie;
Lessons learned.
De minimale beschikbaarheid van het proces zelf is eveneens afhankelijk van het type en klasse van de getroffen informatie. We onderscheiden beschikbaarheid tijdens kantooruren (10ux5dagen) en permanente beschikbaarheid (24ux7dagen).
Planning van de release: big bang, gefaseerde aanpak of gelimiteerde pull toegestaan
Test en acceptatie van het releasepakket via vooraf bepaald testplan met validatie van de testresultaten voorafgaand aan elke volgende stap in de bouw;
Overhandiging aan de beheersorganisatie met formele notificatie aan alle belanghebbenden;
Lessons learned.
Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +
Planning van de release: big bang of gefaseerde aanpak;
Ontwikkel-, test- en acceptatie-omgeving moeten voldoen aan dezelfde kwaliteitseisen als de productie omgeving
Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Klasse 4 +
Planning van de release: enkel gefaseerde aanpak toegestaan;
Test en acceptatie van het release pakket via vooraf bepaald testplan met 4EYES validatie van de testresultaten voorafgaand aan elke volgende stap in de bouw;
Productiedata mogen niet gebruikt worden als test data;
Planning van de release: big bang, gefaseerde aanpak of gelimiteerde pull toegestaan
Test en acceptatie van het releasepakket via vooraf bepaald testplan met validatie van de testresultaten voorafgaand aan elke volgende stap in de bouw;
Overhandiging aan de beheersorganisatie met formele notificatie aan alle belanghebbenden;
Lessons learned
Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +
Planning van de release: big bang of gefaseerde aanpak;
Ontwikkel-, test- en acceptatie-omgeving moeten voldoen aan dezelfde kwaliteitseisen als de productie omgeving
Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Klasse 4 +
Planning van de release: enkel gefaseerde aanpak toegestaan;
Test en acceptatie van het release pakket via vooraf bepaald testplan met 4EYES validatie van de testresultaten voorafgaand aan elke volgende stap in de bouw;
Productiedata mogen niet gebruikt worden als test data;
Overhandiging aan de beheersorganisatie met formele notificatie aan alle belanghebbenden, inclusief DPO.
Klasse 4 en Klasse 5 kennen dezelfde maatregelen:
Alle maatregelen van Klasse 1 / Klasse 2 / Klasse 3 +
Test en acceptatie van het releasepakket via vooraf bepaald testplan met 4EYES validatie van de testresultaten voorafgaand aan elke volgende stap in de bouw;
Overhandiging aan de beheersorganisatie met formele notificatie aan alle belanghebbenden, inclusief DPO.
Klasse 4 en Klasse 5 kennen dezelfde maatregelen:
Alle maatregelen van Klasse 1 / Klasse 2 / Klasse 3 +
Test en acceptatie van het releasepakket via vooraf bepaald testplan met 4EYES validatie van de testresultaten voorafgaand aan elke volgende stap in de bouw;
Er zijn geen GDPR specifieke maatregelen gedefinieerd in het kader van beschikbaarheid.
4.7.2.3. Minimale specifieke (NISII) maatregelen
In afwachting van de goedkeuringen omtrent NISII is er in dit document alvast de nodige ruimte voorzien voor toekomstige minimale specifieke NISII maatregelen.
De Minimale Normen van de Kruispuntbank Sociale Zekerheid zijn van kracht op de verwerking van sociale gegevens van persoonlijke aard. De minimale normen informatieveiligheid en privacy moeten echter ook worden toegepast wanneer instellingen gemachtigd zijn om onder bepaalde voorwaarden toegang te hebben tot het Rijksregister en om het identificatienummer van het Rijksregister te gebruiken.
Volgens de Minimale Normen van de Kruispuntbank Sociale Zekerheid moeten volgende maatregelen in het kader van Release en Deployment beheer toegepast worden:
Elke organisatie moet zich ervan verzekeren dat er geen testen of ontwikkelingen plaatsvinden in de productieomgeving. In bepaalde uitzonderlijke gevallen kan voor testdoeleinden afgeweken worden van deze regel op voorwaarde dat gepaste maatregelen getroffen worden (Ref. KSZ 5.9.1).
Elke organisatie moet:
over procedures beschikken voor het in productie stellen van nieuwe toepassingen en het aanpassen van bestaande toepassingen
voorkomen dat een enkele persoon alleen de controle zou verwerven over dit proces (Ref. KSZ. 5.9.2).