Een veilige (ICT-)omgeving begint met een visie, passend beleid en het neerzetten van een juiste organisatie. Alle rollen (privacy officer, security officer en functionaris gegevensbescherming) moeten zijn belegd en afspraken moeten worden geborgd.
Terug naar normen
Naar de normenkaderwijzer >>
Normbeschrijving Kennisnet
CH.05 Testen van wijzigingen
Voorafgaand aan migratie naar de productieomgeving worden wijzigingen op onafhankelijke wijze getest in overeenstemming met het gedefinieerde testplan. Het plan houdt rekening met beveiliging en prestaties.
Volwassenheidsniveau 3 met betrekking tot norm CH.05
Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3. Norm CH.05 Testen van wijzigingen beschrijft volwassenheidsniveau 3 als volgt:
- Formeel beleid voor het testen van wijzigingen is gedocumenteerd en gecommuniceerd.
- Rollen en verantwoordelijkheden zijn vastgesteld en toegewezen.
- Er worden testplannen gemaakt voordat de tests worden uitgevoerd.
- Er zijn criteria vastgesteld om te zorgen dat belangrijke elementen, zoals beveiliging en prestatie, opgenomen zijn in het testplan.
- Wijzigingen worden onafhankelijk volgens de testplannen getest.
- Er is een beheerprocedure ingevoerd voor het bewaren en verwijderen van testresultaten.
- Fallback– of backoutplannen worden voorbereid en getest voordat wijzigingen in productie worden genomen.
Hoe ga je aan de slag met Norm CH.O5?
Wat doet Cloudwise?
Het vaststellen van beleid en procedures voor wijzigingen ligt bij het schoolbestuur. Om dit goed te kunnen doen, moet de school een volledig overzicht hebben van het eigen IT-landschap, inclusief alle systemen, applicaties, processen en data. Alleen met deze informatie kan het schoolbestuur bepalen welke wijzigingen noodzakelijk zijn, welke impact deze hebben, wie verantwoordelijk is voor goedkeuring en besluitvorming, en hoe nood- of spoedwijzigingen worden behandeld.
Bij Cloudwise onderscheiden wij binnen het changemanagement verschillende typen wijzigingen:
- Standaard changes: vooraf beoordeeld en goedgekeurd, met een laag risico en een vast uitvoeringsproces. Deze wijzigingen volgen een gestroomlijnd traject en worden niet altijd apart getest.
- Niet-standaard changes: eerst wordt een impactanalyse uitgevoerd, daarna wordt de wijziging gepland en geformaliseerd. Vervolgens wordt de wijziging gebouwd en getest in een gescheiden ontwikkel- of testomgeving voordat deze in productie gaat.
Alle details over de behandeling van deze wijzigingen, inclusief rollen, verantwoordelijkheden en procedures, zijn terug te vinden in het Dossier Afspraken en Procedures (DAP) op Cloudwise | Voorwaarden.
Cloudwise zal bij elke significante wijziging in de status van een standaard changes informeren over de voortgang. Deze zullen in lijn zijn met het SLA vastgestelde oplostijden, ook terug te vinden op Cloudwise | Voorwaarden. Niet-standaard changes worden in overleg met de school gepland uitgevoerd en vallen daarom buiten de vaste SLA-voorwaarden.
Voor niet-standaard changes geldt dat Cloudwise zorgvuldig test voordat wijzigingen in productie gaan. Deze worden door het betreffende team en de betrokken product owner gerevieuwd. Na implementatie wordt elke wijziging in de code eerst door een collega ontwikkelaar gecontroleerd.
Ondertussen wordt er door een tester een testplan gemaakt waarin staat wat we gaan testen, waar we op moeten letten en welke risico’s we willen uitsluiten. Daarbij kijken we altijd naar veiligheid, prestaties en of alles blijft werken zoals bedoeld.
De rollen zijn duidelijk verdeeld: degene die de wijziging maakt, is niet dezelfde persoon die de test uitvoert. Zo houden we de controle eerlijk en onafhankelijk. Alle testresultaten worden netjes opgeslagen zodat we later kunnen terugkijken wat er gedaan en gecontroleerd is.
Voordat de wijziging in productie gaat, worden er regressietesten uitgevoerd om zeker te zijn dat deze wijziging geen ongewenste gevolgen heeft op andere delen van de software.
Mocht ondanks bovenstaande er toch nog iets niet goed gaan op productie dan is er een roll-back scenario waarmee wij snel een wijziging ongedaan kunnen maken.
Door deze manier van werken zorgt Cloudwise ervoor dat wijzigingen veilig en gecontroleerd in productie terechtkomen, zonder onverwachte problemen voor klanten.
Alle normen van Domein 7: Changemanagement
Fasering
- Fase 4 - Verfijnen
Domein
- IB Domein 7 - Change Management
Dienst
- Informatiebeveiliging
Normfocus
- Visie, beleid en organisatie
Verantwoordelijkheid
- Leverancier & onderwijsorganisatie
Een compleet pakket aan dienstverlening
Cloudwise helpt het onderwijs vooruit
We spelen een belangrijke rol voor scholen om de digitale veiligheid te realiseren en bewaken, en bieden een reeks oplossingen die zowel op techniek als op de mens gericht zijn. Met de integrale aanpak van Cloudwise versterk je de digitale veiligheid op jouw school en realiseer je digitaal veilig onderwijs voor iedereen.
Visie, beleid en organisatie
De menselijke factor
Hoe goed je de techniek ook voor elkaar hebt, uiteindelijk geeft de mens de doorslag. Het zijn vooral de gebruikers van ICT-oplossingen die de deur openzetten voor ransomware-aanvallen en andere cybercriminaliteit.
De techniek op orde
Met onze veilige ICT-oplossingen kunnen scholen direct veilig aan de slag. In onze standaardconfiguraties hebben we al een heleboel solide securityservices ingebouwd.
Uitgebreide beveiliging
Er zijn situaties – met name op bestuursniveau – waarin het raadzaam kan zijn om extra securitymaatregelen te treffen. Daarin bieden wij diverse opties.
Digitaal Veilig Onderwijs
Aan de slag met Privacy & Security?
Hoe krijg je grip op veilig digitaal onderwijs? En dat op zo’n manier dat je er zelf zo min mogelijk omkijken naar hebt? Plan direct een adviesgesprek in met onze Privacy Officers. Zij helpen op dagelijkse basis scholen verder vooruit met digitaal veilig onderwijs.
