Skip to content

IMP-018 Security by design

Beschrijving

Er is een cybersecurity architectuur welke een stappenplan bevat (links Bluedolphin) om ‘security by design’ in iedere verandering (change, project of programma) toe te passen.

  1. Iedere gelegenheid voor nieuwbouw of renovatie, grijpt PNH aan om CS naar een hoger niveau te tillen.
  2. De PNH opdrachtgever meldt zich bij de Informatiemanager (IM).
  3. Doel is om bij aanvang, samen met de Business Case (BC) en Project Start Architectuur (PSA) de CS requirements te bepalen.
  4. De IM zal een BIA uitvoeren met de opdrachtgever. De BIA is een risicoanalyse op ‘beschikbaarheid, integriteit, vertrouwelijkheid, privacy en archivering’.
  5. De uitkomst is een BBN score volgens de BIO van 1, 2 of 3; of volgens de CSIR van 1, 2 of 3.
  6. De opdrachtnemer ontvangt de CS requirements volgens het BBN niveau van een CS architect of mag deze zelf via de ICO wizard downloaden.
  7. De opdrachtnemer geeft een “in control verklaring” af op deze CS eisen. In plaats daarvan mag ook een NEN-ISO27001 certificaat of ISAE3402 verklaring worden verstrekt.
  8. De CISO toetst een “in control verklaring” op explains en geeft een advies aan de opdrachtgever of het geheel ‘cybersecure is’ om in productie te gaan.
  9. De CISO zal periodiek een audit, kwetsbaarheden scan of PEN test (laten) uitvoeren om te toetsen of de opdrachtnemer cybersecure blijft. In plaats daarvan is een geldig NEN-ISO27001 certificaat of ISAE3402 verklaring voldoende.
  10. We leggen bij changes, IT projecten, OT projecten en CS verificatie in Bluedolphin verwijzigingen met als doel een checklist van deze activiteiten.

Rationale

De BIO en AVG vragen om security bij iedere verandering mee te nemen.

Realiseert Architectuurprincipe: AP-08 Veilig

Vindt grondslag in:

Hoort bij NOVIUS kolom: Processen & Organisatie

Hoort bij EIRA Laag: 3 - Informatielaag, 4 - Applicatielaag

Geassocieerd met NORA Implicatie:

Heeft Eigenaar:

Zie aanvullende voorschriften: Doelarchitectuur Cybersecurity (BlueDolphin)