nl
Webshop
nl
Webshop
Ga terug
De nieuwe gids is uit
Klaar om de digitale transitie gestructureerd aan te pakken en samen de digitale weg in te slaan?
Terug naar normen
normen SD.02 Toegang productieomgeving door ontwikkelaars
Naar de normenkaderwijzer >>

SD.02 Toegang productieomgeving door ontwikkelaars

Medewerkers en ontwikkelaars die betrokken zijn bij de ontwikkeling en implementatie van wijzigingen in applicaties en ondersteunende besturingssystemen en databases, hebben geen schrijftoegang tot de productieomgeving. Medewerkers en ontwikkelaars die verantwoordelijk zijn voor het vrijgeven van de broncode voor productie hebben geen schrijftoegang tot de test- of ontwikkelomgeving.

Volwassenheidsniveau 3 met betrekking tot norm SD.02

Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3. Norm SD.02 Toegang productieomgeving door ontwikkelaars beschrijft volwassenheidsniveau 3 als volgt:

  • Een samenhangend beleid is bepaald, ingevoerd en goedgekeurd door het schoolbestuur of de schoolleiding.
  • Ontwikkelaars hebben geen schrijftoegang tot productie, en systeembeheerders die software overzetten naar productie hebben geen schrijftoegang tot de ontwikkel-, test- en acceptatieomgeving.
  • Uitzonderingen op het beleid worden vooraf goedgekeurd door de systeem-/proceseigenaar en tijdens de tijdelijke schrijftoegang wordt gebruikgemaakt van logging en/of het vierogenprincipe.
Normbeschrijving Kennisnet

Hoe ga je aan de slag met Norm SD.02?

Wat doet Cloudwise?

Cloudwise zorgt voor een duidelijke scheiding tussen ontwikkelwerk en productie. Ontwikkelaars hebben schrijftoegang in de ontwikkel-, test- en acceptatieomgevingen, zodat zij hun werk kunnen uitvoeren, wijzigingen kunnen testen en problemen kunnen oplossen. Deze toegang is noodzakelijk om software te kunnen ontwikkelen en verbeteren.

Het overzetten naar productie wordt altijd gedaan door middel van het vier-ogenprincipe via verplichte code-reviews, zodat wijzigingen altijd door een tweede ontwikkelaar worden beoordeeld. Daarnaast worden alle wijzigingen ook nog handmatig en/of geautomatiseerd getest door een tester.

Door deze werkwijze zorgt Cloudwise voor een veilige en gecontroleerde productieomgeving, waarin ontwikkelaars wel de ruimte hebben om hun werk te doen, maar niet de mogelijkheid hebben om ongecontroleerde wijzigingen in productie door te voeren.

Het landschap is breder dan Cloudwise

Hoewel Cloudwise een cruciale partner is in uw IT-landschap, is het belangrijk om te beseffen dat de verantwoordelijkheid voor deze norm bij de onderwijsorganisatie zelf ligt voor alle gebruikte applicaties.

Als onderwijsorganisatie ontwikkelt u wellicht geen eigen software, maar u maakt wel gebruik van een breed scala aan externe platformen. Cloudwise legt uiteraard verantwoording af over de eigen software en beheerde systemen, maar de bewijslast voor norm SD.02 strekt zich uit over uw gehele applicatielandschap:

  • Hoe leggen uitgeverijen de scheiding tussen ontwikkeling en productie?
  • Welke garanties bieden Leerlingadministratie/-volgsystemen over de toegang van hun ontwikkelaars tot uw leerlingdata?
  • Hoe gaan HR-systemen om met wijzigingsbeheer in hun databases?

Zorg ervoor dat u per kritieke leverancier kunt aantonen dat zij voldoen aan de eisen van het normenkader. Alleen met een compleet overzicht van al uw ketenpartners bent u volledig "in control" en voldoet u aan de gestelde kaders.

Alle normen van Domein 8: Systeemontwikkeling


Fasering
  • Fase 5 - Optimaliseren
Domein
  • IB Domein 8 - Systeemontwikkeling
Dienst
  • Informatiebeveiliging
Normfocus
  • De techniek op orde
Verantwoordelijkheid
  • Leverancier & onderwijsorganisatie
Een compleet pakket aan dienstverlening

Cloudwise helpt het onderwijs vooruit

We spelen een belangrijke rol voor scholen om de digitale veiligheid te realiseren en bewaken, en bieden een reeks oplossingen die zowel op techniek als op de mens gericht zijn. Met de integrale aanpak van Cloudwise versterk je de digitale veiligheid op jouw school en realiseer je digitaal veilig onderwijs voor iedereen.

Visie, beleid en organisatie

Een veilige (ICT-)omgeving begint met een visie, passend beleid en het neerzetten van een juiste organisatie. Alle rollen (privacy officer, security officer en functionaris gegevensbescherming) moeten zijn belegd en afspraken moeten worden geborgd.

De menselijke factor

Hoe goed je de techniek ook voor elkaar hebt, uiteindelijk geeft de mens de doorslag. Het zijn vooral de gebruikers van ICT-oplossingen die de deur openzetten voor ransomware-aanvallen en andere cybercriminaliteit.

De techniek op orde

Met onze veilige ICT-oplossingen kunnen scholen direct veilig aan de slag. In onze standaardconfiguraties hebben we al een heleboel solide securityservices ingebouwd.

Uitgebreide beveiliging

Er zijn situaties – met name op bestuursniveau – waarin het raadzaam kan zijn om extra securitymaatregelen te treffen. Daarin bieden wij diverse opties.

Digitaal Veilig Onderwijs

Aan de slag met Privacy & Security?

Hoe krijg je grip op veilig digitaal onderwijs? En dat op zo’n manier dat je er zelf zo min mogelijk omkijken naar hebt? Plan direct een adviesgesprek in met onze Privacy Officers. Zij helpen op dagelijkse basis scholen verder vooruit met digitaal veilig onderwijs.

Plan een adviesgeprek

Wist u dat uw browser verouderd is?

Om de best mogelijke gebruikerservaring van onze website te krijgen raden wij u aan om uw browser te upgraden naar een nieuwere versie of een andere browser. Klik op de upgrade button om naar de download pagina te gaan.

Upgrade hier uw browser
Ga verder op eigen risico