Risico
Indien een formeel wijzigingenproces ontbreekt bestaat het risico van ongeautoriseerde toegang, wijziging of beschadiging van de code.
Onderzoeksvraag
Worden codewijzigingen via een formeel wijzigingenproces uitgevoerd?
Beheersmaatregelen
Codewijzigingen vinden via een formeel wijzigingenproces plaats.
Inspectiestappen
Algemeen
- Vraag een overzicht op van wijzigingen die zijn uitgevoerd in de toetsperiode (afgelopen jaar) voor het IT component in scope
- Ga voor een wijziging na hoe deze wijziging is uitgevoerd (door wie, hoe gecontroleerd/accordeerd/geimplementeerd/ in productie gegaan).
- Vervolg met opvragen opzet stap: vastgelegde procedure/beleid
- Vervolg met bestaan-stap (stel vast dat de wijziging volgens beleid is gegaan).
Opzet
- Stel vast dat beschreven is op welke wijze codewijzigingen plaats dienen te vinden.
Mogelijke bronnen: (code)wijzigingsproces.
Bestaan
- Stel vast dat wijzigingen in de code conform het formele wijzigingenproces zijn doorgevoerd.
Mogelijke bronnen: wijzigingenregistraties, loggings, code repositories.