Beheersmaatregeltests

    Uitvoeren, reviewen en onderbouwen van beheersmaatregeltests

    Hoe testen werkt

    Een beheersmaatregeltest is een uitvoering van de testprocedure van een beheersmaatregel. De tester volgt de gedocumenteerde stappen, legt bevindingen vast en dient een resultaat in. Elke test ontvangt een sequentieel testnummer (TST-0001, TST-0002, enzovoort).

    Teststatussen en planning

    Een test bevindt zich in een van drie statussen:

    • Ingepland - automatisch aangemaakt door het systeem op basis van de testfrequentie van de beheersmaatregel (dagelijks, wekelijks, maandelijks, per kwartaal of jaarlijks). Voor elke komende periode wordt een ingeplande test aangemaakt en toegewezen aan een tester. Beheersmaatregelen zonder frequentie blijven ad-hoc en leveren geen ingeplande testen op.
    • Te laat - een ingeplande test waarvan de vervaldatum is verstreken zonder dat er een resultaat is vastgelegd. De test blijft toegewezen totdat de tester deze afrondt.
    • Afgerond - een tester heeft een resultaat vastgelegd en de test is opgenomen in de historie.

    Op de detailpagina van een beheersmaatregel toont het tabblad Testen elke test voor die beheersmaatregel in alle statussen, met één regel per test met de status, het resultaat, de tester, de geteste periode, de vervaldatum en de reviewstatus. Gebruik het selectievakje "toon alleen testen aan mij toegewezen" om de lijst te beperken tot je eigen werk.

    Wat een test vastlegt

    Elke test legt de volgende informatie vast:

    • Resultaat - de uitkomst: geslaagd, gefaald of niet van toepassing.
    • Bewijs - een tekstbeschrijving van wat is waargenomen tijdens het testen.
    • Notities - aanvullende notities of context van de tester.
    • Tester - de gebruiker die de test heeft uitgevoerd (automatisch ingesteld op de huidige gebruiker).
    • Testdatum - het tijdstempel van wanneer de test is uitgevoerd.

    Bewijsbijlagen

    Testers kunnen bestandsbijlagen uploaden als bewijs ter ondersteuning van hun testresultaat. Deze bijlagen worden opgeslagen bij het testrecord en zijn toegankelijk vanuit de testdetailweergave. Veelvoorkomend bewijs omvat screenshots, logexports, configuratiedumps of compliancescanrapporten. De maximale bestandsgrootte is <strong>50 MB</strong>. Zie <a href="/docs/tickets">Tickets</a> voor een volledige lijst van ondersteunde bestandstypen - dezelfde typen worden geaccepteerd voor beheersmaatregeltestbewijs.

    Reviewworkflow

    Als de bovenliggende beheersmaatregel review vereist, doorloopt elke test na indiening een reviewworkflow:

    1. De tester dient de test in. De reviewstatus wordt ingesteld op In Afwachting.
    2. Een reviewer (die een andere gebruiker moet zijn dan de tester) beoordeelt het resultaat en het bewijs.
    3. De reviewer keurt de test goed of wijst deze af, optioneel met reviewnotities.
    4. De reviewer en het reviewtijdstempel worden vastgelegd.

    Het goedgekeurde of afgewezen resultaat wordt het gezaghebbende resultaat. Als de beheersmaatregel geen review vereist, is het testresultaat direct gezaghebbend - er is geen reviewstap nodig.

    Automatische aanmaak van bevindingen

    Wanneer een testresultaat een faling is, maakt Anzen automatisch een bevinding aan met de volgende standaardwaarden:

    • Titel: “Falen beheersmaatregel: [titel beheersmaatregel]”
    • Ernst: medium
    • Status: Open
    • Entiteit: geërfd van de eigenaar-entiteit van de beheersmaatregel
    • Koppelingen: de bevinding verwijst naar zowel de beheersmaatregel als de specifieke test die deze heeft veroorzaakt

    Een systeemopmerking wordt toegevoegd aan de automatisch aangemaakte bevinding waarin wordt vermeld welke test deze heeft veroorzaakt. Deze bevinding wordt vervolgens opgenomen in het risicorapport, waardoor gefaalde beheersmaatregelen worden verbonden met risicoblootstelling.