Het ervoor zorgen dat IT-projecten en ondersteunende activiteiten op een veilige manier worden uitgevoerd.

De toegang tot systeembestanden dient te worden beheerst en gecontroleerd.

Binnen het netwerk van de GSD wordt uitsluitend beheerste programmatuur geïnstalleerd.

• Nieuwe programmatuur, waaronder software van derden, wordt van tevoren getest en gecertificeerd, alvorens het op het netwerk c.q. Suwinetwerk wordt geïnstalleerd (BXIV 10.5, CBP 4.9);
• Wijzigingen in bestaande, gecertificeerde programmatuur worden alleen doorgevoerd nadat daartoe expliciet toestemming is verleend; deze wijzigingen zullen geen afbreuk doen aan de oorspronkelijke certificeringeisen;
• De GSD zal middels audits periodiek (laten) beoordelen of de programmatuur aan de in Beveiliging Suwinet gestelde normen t.a.v. de beheersing van operationele software voldoet.

De gegevens die door testen worden gegenereerd, danwel voor testen worden gebruikt, dienen te zijn beveiligd.

• Tests van programmatuur, die persoonsgegevens verwerkt, wordt uitgevoerd met reële, maar fictieve of geanonimiseerde persoonsgegevens
  (BXIV 10.4, CBP 4.6);
• Indien toch reële persoonsgegevens voor testwerkzaamheden nodig zijn, moeten deze worden afgeschermd tegen onbevoegde toegang met behulp van autorisaties (BXIV 10.4, CBP 4.6);
• De testmedewerkers moeten zich bewust zijn van de risico’s tijdens de testwerkzaamheden en moeten op de hoogte worden gesteld van de hieraan gekoppelde beveiligingseisen (BXIV 10.4, CBP 4.6).

De toegang tot softwarebibliotheken c.q. bronnen van de programmatuur is strikt beperkt tot de gemachtigde functionarissen.

De GSD zal middels audits periodiek (laten) beoordelen of de toegang tot softwarebibliotheken aan de in Beveiliging Suwinet gestelde normen t.a.v. de toegangsbeveiliging voor softwarebibliotheken voldoet.