NPR 5326 richtlijn voor risicobeheersing bij ontwikkeling en onderhoud van maatwerksoftware gepubliceerd

Op 1 oktober 2019 publiceerde de NEN de NPR 5326 richtlijn. Dit is de Nederlandse praktijkrichtlijn voor ‘Risicobeheersing bij de ontwikkeling en het onderhoud van maatwerksoftware’. In eerste instantie is dit een informatief document (geen norm), geboren in een overheidscontext (zie Commissie Elias en het bureau ICT-toetsing – hier gaat dit artikel verder niet op in). De praktijkrichtlijn is echter zeer geslaagd en ook nuttig voor kleine(re) bedrijven. En – ook prettig voor bedrijven die op de kosten letten – het is gratis downloadbaar bij de NEN. CISO, IT-manager, IT-inkoper, product owner, SCRUM master, DevOps engineer? Lees in dit artikel wat je moet weten.

In de NPR 5326 richtlijn vind je:

Het document bevat goede, goed leesbare definities (risicobehandeling, technische schuld) en praktijkvoorbeelden. Zo goed zelfs, dat je als IT-leverancier de richtlijn kan gebruiken om je klant ‘op te voeden’ indien dat nodig is. Of natuurlijk vice versa, wanneer je als IT-manager een aantal (audit)vragen gaat stellen aan je leverancier!
Als je primaire proces de ontwikkeling en het onderhoud (en wellicht het leveren en implementeren van ‘het productiesysteem’) van maatwerksoftware is, dan is het goed om jezelf eens langs deze lat te leggen.

De genoemde risico’s en maatregelen integreren ook goed met, of geven verdieping aan, je kwaliteits- of informatiebeveiligingsmanagementsysteem. Als je IT-dienstverlener bent, al gecertificeerd bent en agile werkt, dan kunnen wij samen met jou snel aantonen hoe je aan deze praktijkrichtlijn voldoet.
Ben je nog niet zo ver? Dan kan CertificeringsAdvies Nederland met je ook beginnen met de implementatie van deze NPR 5326 richtlijn. Later kun je dan eventueel ‘opschalen’ naar ISO 27001.

Laten we als voorbeeld daarvan één (relatief eenvoudig) risico uit de praktijkrichtlijn bekijken. Het risico van ‘gebrekkige aansturing van het werk waardoor het product niet de juiste functionaliteit biedt’.

De praktijkrichtlijn NPR 5326 benoemt duidelijke maatregelen voor dit risico, maar koppelt deze niet aan ISO 9001 of 27001 (Annex A) paragrafen. Voor de ISO-denkers doen we dat in de volgende tekst wel, om de praktische integratie aan te geven:

Wil je aan de slag met de praktijkrichtlijn NPR 5326, ISO 27001, of op een andere wijze risicomanagement toepassen bij je werk? De praktijkrichtlijn is een mooie, aanvullende keuze om hieraan te werken, of kan toegepast worden om de interne discussie over risico’s tot het juiste detailniveau te brengen. Bij CertificeringsAdvies Nederland helpen wij je graag verder. Wil je meer informatie? Neem dan gerust eens contact met ons op. Onze adviseurs staan je graag te woord!