Norm

Rationale	Deze maatregel borgt dat Aangeslotenen en Softwareleveranciers bij de ontwikkeling van software en applicaties standaarden toepassen voor beveiliging in plaats van eigen oplossingen te implementeren met het risico afwijkende werking.
Implementatie	Bij het vaststellen voor het beleid voor beveiligd ontwikkelen moeten de ICT-beveiligingsrichtlijnen voor webapplicaties van het NCSC uit het "Uitvoeringsdomein" overwogen worden (ICT-beveiligingsrichtlijnen voor webapplicaties ). Voor mobiele applicaties moeten de Beveiligingsrichtlijnen voor mobiele applicaties van het NCSC overwogen worden (Beveiligingsrichtlijnen voor mobiele apparaten ).
Toelichting
ISO 27001	A.14.2.1 Beleid voor beveiligd ontwikkelen

Beoordeling

Auditmethode	Stel vast dat de organisatie in haar beleid met betrekking tot de ontwikkeling, de door NCSC gedefinieerde minimale beveiligingsstandaarden (‘Uitvoeringsdomein’) in overweging heeft genomen. Stel vast dat deze zijn toegepast.
Verificatie	Welke informatie / procedures (incl. versienummers) zijn ingezien. Met wie gesproken is ter bevestiging van de toepassing van de procedures.

SLD

SLD = Softwareleverancier Dienstverlener, SLC = Softwareleverancier Consument, BH = Bronhouder, BO = Beheerorganisatie