diff --git a/Content/Bijlagen/Terminologie.md b/Content/Bijlagen/Terminologie.md index 8f4eff94..92872a0c 100644 --- a/Content/Bijlagen/Terminologie.md +++ b/Content/Bijlagen/Terminologie.md @@ -12,7 +12,7 @@ De onderstaande tabel bevat afkortingen en termen die voorkomen in de $KWALITEIT | **authenticatie** | het vaststellen van de identiteit van een **actor** | | **autorisatie** | aan een **actor** toegekende rechten | | **beheerorganisatie** | een (samenwerkingsverband van) organisatie(s) die in opdracht van een **opdrachtgevende organisatie** het **operationeel beheer**, applicatief beheer en/of functioneel beheer van **software** uitvoert | -| **BIA** | business impact analysis | +| **BIA** | $BIA$ | | **BIO** | Baseline Informatiebeveiliging Overheid | | **broncode** | **software** in een vorm die leesbaar is voor mensen en de intentie van een programmeur uitdrukt | | **deployment** | installatie van **software** op een systeem waardoor de software beschikbaar wordt gemaakt voor gebruik door **actor**en | @@ -21,10 +21,11 @@ De onderstaande tabel bevat afkortingen en termen die voorkomen in de $KWALITEIT | **DoD** | definition of done | | **DoR** | definition of ready | | **gebruikskwaliteit** | mate waarin een systeem, product of dienst kan worden gebruikt door gespecificeerde gebruikers, voor het bereiken van gespecificeerde doelen, met effectiviteit, efficiëntie en tevredenheid in een gespecificeerde gebruikscontext | -| **GFO** | globaal functioneel ontwerp | -| **IB-plan** | informatiebeveiligingsplan | +| **GFO** | $GFO$ | +| **IB-plan** | $IB$ | | **informatiesysteem** | een samenhangend geheel van gegevensverzamelingen en de daarbij behorende personen, procedures, processen en **programmatuur** alsmede de voor het informatiesysteem getroffen voorzieningen voor opslag, verwerking en communicatie [VIR 2007, NORA] | -| **infrastructuurarchitectuur** | een **architectuur** die vooral de hardwareonderdelen en -relaties (housing, hardware, virtuals, standaard software en middleware) van een systeem beschrijft | +| **infrastructuurarchitectuur** | $IA$ | +| **interactie-ontwerp** | $IO$ | | **IPO** | intern projectoverleg | | **ISD** | ICTU Software Diensten, afdeling van ICTU die **softwareontwikkelprojecten** ondersteunt met ontwikkel- en testomgevingen, tools en diensten | | **ISE** | ICTU Software Expertise, afdeling van ICTU die **softwareontwikkelprojecten** ondersteunt met expertise op het gebied van **softwareontwikkeling** en die de $KWALITEITSAANPAK$ onderhoudt | @@ -33,10 +34,10 @@ De onderstaande tabel bevat afkortingen en termen die voorkomen in de $KWALITEIT | **klantreis** | alle directe en indirecte interactie van een klant of gebruiker met een product of dienst | | **KPI** | key performance indicator | | **kwaliteitsmanager** | controleert en borgt de kwaliteit van **software** conform de vastgestelde eisen en de Kwaliteitsaanpak en rapporteert aan de **projectleider** | -| **minimum viable product** | de eerste versie van een product of dienst, die zo vroeg mogelijk wordt uitgerold naar de gebruikers; het bevat net voldoende functionaliteit om het gestelde doel te behalen, en niet meer dan dat | -| **MTP** | master testplan | +| **minimum viable product** | $MVP$ | +| **MTP** | $MTP$ | | **MVP** | **minimum viable product** | -| **NFE** | niet-functionele eis(en) | +| **NFE** | $NFE$ | | **NORA** | Nederlandse Overheidsreferentie-architectuur | | **NPR** | Nederlandse Praktijkrichtlijn | | **ontwikkelaars** | Ontwikkelaars (*developers* in de Scrumgids) zijn de mensen in het **Scrumteam** die iedere sprint gecommitteerd zijn aan het maken van elk aspect van een bruikbaar increment [Scrumgids] | @@ -45,21 +46,21 @@ De onderstaande tabel bevat afkortingen en termen die voorkomen in de $KWALITEIT | **operationeel beheer** | activiteiten die zorgen dat software operationeel is en blijft, zoals het oplossen van incidenten, het uitvoeren van onderhoud, het implementeren van upgrades en patches, het beheren van configuraties, en het monitoren van prestaties en beschikbaarheid | | **OTAP** | ontwikkel, test, acceptatie, productie; gebruikt om verschillende soorten omgevingen aan te duiden | | **persona** | een min of meer realistische beschrijving van een fictief persoon, veelal met naam, persoonskenmerken, drijfveren en behoeften, die een groep gebruikers representeert en gebruikt wordt om te redeneren over de gewenste functionele en niet-functionele eigenschappen van de **software** | -| **PIA** | privacy impact assessment | +| **PIA** | $PIA$ | | **PKI** | public key infrastructure | -| **PRA** | productrisicoanalyse | +| **PRA** | $PRA$ | | **Product owner** | De product owner is verantwoordelijk voor het maximaliseren van de waarde van het product, dat het resultaat is van het werk van het **Scrumteam** [Scrumgids] | | **programmatuur** | zie **software** | | **project** | een tijdelijke organisatie voor het realiseren van een resultaat - bij ICTU bestaat een **softwareontwikkelproject** uit medewerkers van ICTU, de **opdrachtgevende organisatie**, beheerorganisatie en eventueel andere partijen | | **projectleider** | medewerker eindverantwoordelijk voor het projectresultaat - bij ICTU-softwareontwikkelprojecten is de projectleider een medewerker van ICTU | -| **PSA** | De projectstartarchitectuur is een concreet en doelgericht ICT-architectuurkader waarbinnen het **project** moet worden uitgevoerd | +| **PSA** | $PSA$ | | **PvE** | programma van eisen | | **Quality-time** | een door ICTU ontwikkeld, open source, geautomatiseerd kwaliteitssysteem | | **realisatiefase** | fase van een **softwareontwikkelproject** waarin de **software** daadwerkelijk wordt gebouwd en onderhouden, en bij een **DevOps** werkwijze ook operationeel wordt beheerd | | **regressietest** | test die na een wijziging controleert of niet-gewijzigde delen van een systeem nog steeds correct functioneren | | **release notes** | een overzicht van de wijzigingen in een **release** | | **release** | een voor gebruik vrijgegeven versie van de **software** | -| **SAD** | software-architectuurdocument | +| **SAD** | $SAD$ | | **Scrum** | Scrum is een lichtgewicht raamwerk dat mensen, teams en organisaties helpt om waarde te creёren door middel van adaptieve oplossingen voor complexe problemen [Scrumgids] | | **Scrummaster** | De Scrummaster is verantwoordelijk voor het opzetten van **Scrum**, zoals staat beschreven in de Scrumgids [Scrumgids] | | **Scrumteam** | Een Scrumteam bestaat uit één **Scrummaster**, één **product owner** en **ontwikkelaars** (*developers* in de Scrumgids) [Scrumgids] | @@ -70,7 +71,7 @@ De onderstaande tabel bevat afkortingen en termen die voorkomen in de $KWALITEIT | **softwareontwikkelproject** | een **project** dat de oplevering van **software** als enige of voornaamste projectresultaat heeft | | **solution architectuur**| beschrijving van de gewenste oplossing van een specifiek probleem, of het eindresultaat van een **project** [NORA] | | **technische schuld** | eigenschappen van de **software** die de lange-termijninzetbaarheid en onderhoudbaarheid bedreigen | -| **TVA** | threat and vulnerability assessment | +| **TVA** | $TVA$ | | **usability** | gebruiksvriendelijkheid | | **use case** | een afgebakende eenheid van interactie tussen een **actor** en het systeem | | **UX** | user experience | diff --git a/Content/Maatregelen/M01/Maatregel.md b/Content/Maatregelen/M01/Maatregel.md index 1fdbfadf..c5e21c36 100644 --- a/Content/Maatregelen/M01/Maatregel.md +++ b/Content/Maatregelen/M01/Maatregel.md @@ -9,7 +9,7 @@ De onderstaande tabel bevat de in deze paragraaf beschreven producten. Het ✔ g | Product | Voor start | Voorfase | Realisatiefase | Verantwoordelijke organisatie | |-----------------------------------------------------|------------|----------|----------------|-------------------------------| | Projectstartarchitectuur | ✔ | | | opdrachtgever | -| Business impact analysis | ✔ | | | opdrachtgever | +| Business impact analyse | ✔ | | | opdrachtgever | | Privacy impact assessment | ✔ | | | opdrachtgever | | Plan van aanpak: voorfase | ✔ | | | ICTU | | Beschrijving van functionele eisen | | ✔ | ✔ | opdrachtgever | @@ -28,9 +28,9 @@ De onderstaande tabel bevat de in deze paragraaf beschreven producten. Het ✔ g | Release notes | | | ✔ | ICTU | | Vrijgaveadvies | | | ✔ | opdrachtgever | -### Projectstartarchitectuur, business impact analysis en privacy impact assessment +### Projectstartarchitectuur, business impact analyse en privacy impact assessment -De opdrachtgevende organisatie zorgt dat het project bij de start van de voorfase inzicht heeft in de informatie die typisch wordt vastgelegd in een projectstartarchitectuur, business impact analysis en privacy impact assessment. Zie [$M31$](#m31). +De opdrachtgevende organisatie zorgt dat het project bij de start van de voorfase inzicht heeft in de informatie die typisch wordt vastgelegd in een projectstartarchitectuur, business impact analyse en privacy impact assessment. Zie [$M31$](#m31). ### Plan van aanpak @@ -118,7 +118,7 @@ Beschikbare templates: ### Informatiebeveiligingsplan -Het informatiebeveiligingsplan vormt een praktisch toepasbaar document dat uitlegt binnen welke kaders bescherming geleverd wordt tegen welke dreigingen en met welke maatregelen die bescherming vorm krijgt. Mogelijke bronnen voor het informatiebeveiligingsplan zijn de business impact analysis (BIA), privacy impact assessment (PIA) en de threat and vulnerability assessment (TVA). +Het informatiebeveiligingsplan vormt een praktisch toepasbaar document dat uitlegt binnen welke kaders bescherming geleverd wordt tegen welke dreigingen en met welke maatregelen die bescherming vorm krijgt. Mogelijke bronnen voor het informatiebeveiligingsplan zijn de business impact analyse (BIA), privacy impact assessment (PIA) en de threat and vulnerability assessment (TVA). Het Besluit Voorschrift Informatiebeveiliging Rijksdienst 2007 (VIR 2007) bevat een methode om te komen tot een systematische aanpak van informatiebeveiliging. Eén van de vereisten van het VIR 2007 is dat voor elk informatiesysteem en voor elk verantwoordelijkheidsgebied een afhankelijkheids- en kwetsbaarheidsanalyse (A&K-analyse) wordt uitgevoerd. @@ -162,7 +162,7 @@ Het project levert bij elke release informatie aan de opdrachtgevende organisati ### Samenhang voorfaseproducten -![Projectstartarchitectuur (PSA), business impact analysis (BIA) en privacy impact assessment (PIA) zijn input voor de voorfase. Functionele eisen (FE), niet-functionele eisen (NFE), informatiebeveiligingsplan (IB), backlog (BL), ontwerp en architectuur (O&A), kwaliteitsplan (KP) en testplannen (TP) zijn de output van de voorfase. De relaties tussen de verschillende producten zijn als volgt. De projectstartarchitectuur vormt input voor functionele eisen en niet-functionele eisen. De business impact analyse vormt input voor de niet-functionele eisen en informatiebeveiligingsplan. De privacy impact analyse vormt input voor de niet-functionele eisen en het informatiebeveiligingsplan. De functionele eisen vormen input voor de backlog en voor ontwerp en architectuur. De niet-functionele eisen vormen input voor backlog, ontwerp en architectuur en kwaliteitsplan. Het informatiebeveiligingsplan vormt input voor ontwerp en architectuur en kwaliteitsplan. De backlog en ontwerp en architectuur, tenslotte, zijn input voor de testplannen.](relaties-tussen-producten.png "Relaties tussen producten") +![Projectstartarchitectuur (PSA), business impact analyse (BIA) en privacy impact assessment (PIA) zijn input voor de voorfase. Functionele eisen (FE), niet-functionele eisen (NFE), informatiebeveiligingsplan (IB), backlog (BL), ontwerp en architectuur (O&A), kwaliteitsplan (KP) en testplannen (TP) zijn de output van de voorfase. De relaties tussen de verschillende producten zijn als volgt. De projectstartarchitectuur vormt input voor functionele eisen en niet-functionele eisen. De business impact analyse vormt input voor de niet-functionele eisen en informatiebeveiligingsplan. De privacy impact analyse vormt input voor de niet-functionele eisen en het informatiebeveiligingsplan. De functionele eisen vormen input voor de backlog en voor ontwerp en architectuur. De niet-functionele eisen vormen input voor backlog, ontwerp en architectuur en kwaliteitsplan. Het informatiebeveiligingsplan vormt input voor ontwerp en architectuur en kwaliteitsplan. De backlog en ontwerp en architectuur, tenslotte, zijn input voor de testplannen.](relaties-tussen-producten.png "Relaties tussen producten") Bovenstaande figuur laat de belangrijkste relaties zien tussen de verschillende producten die de input en output van de voorfase vormen. Naast de informatiestromen zoals door de pijlen weergegeven zijn er in de praktijk nog meer verbanden tussen de producten. Zo kan de gekozen oplossing in de architectuur van invloed zijn op de maatregelen in het informatiebeveiligingsplan of leiden niet-functionele eisen tot extra functionele eisen. diff --git a/Content/Maatregelen/M31/Definitie.md b/Content/Maatregelen/M31/Definitie.md index 8080f30d..19974b4c 100644 --- a/Content/Maatregelen/M31/Definitie.md +++ b/Content/Maatregelen/M31/Definitie.md @@ -1,4 +1,4 @@ **$M31$** - Voor een goede uitvoering van het project is specifieke informatie nodig. De opdrachtgevende organisatie zorgt dat het project bij de start van de voorfase inzicht heeft in de informatie die typisch wordt vastgelegd in een projectstartarchitectuur, business impact analysis en privacy impact assessment. Waar nodig werkt de opdrachtgevende organisatie de informatie bij tijdens de voorfase en realisatiefase. + Voor een goede uitvoering van het project is specifieke informatie nodig. De opdrachtgevende organisatie zorgt dat het project bij de start van de voorfase inzicht heeft in de informatie die typisch wordt vastgelegd in een projectstartarchitectuur, business impact analyse en privacy impact assessment. Waar nodig werkt de opdrachtgevende organisatie de informatie bij tijdens de voorfase en realisatiefase. diff --git a/Content/Maatregelen/M31/Maatregel.md b/Content/Maatregelen/M31/Maatregel.md index f823914e..37671c9e 100644 --- a/Content/Maatregelen/M31/Maatregel.md +++ b/Content/Maatregelen/M31/Maatregel.md @@ -5,7 +5,7 @@ De opdrachtgevende organisatie zorgt dat het project vanaf de start van de voorfase beschikt over: 1. Projectstartarchitectuur, -2. Business impact analysis, +2. Business impact analyse, 3. Privacy impact assessment, 4. Afspraken tussen opdrachtgevende organisatie en beheerorganisatie. @@ -29,9 +29,9 @@ Conform NORA werkt de opdrachtgevende organisatie na de start van het project de Zie [https://www.noraonline.nl/wiki/Solution-architectuur](https://www.noraonline.nl/wiki/Solution-architectuur). -### Business impact analysis +### Business impact analyse -In een business impact analysis (BIA) legt de opdrachtgevende organisatie vast hoe belangrijk informatiebeveiliging is voor de eigen bedrijfsvoering/processen. Naast de gevoeligheid voor incidenten komt hierin ook de 'risk appetite' van de organisatie tot uiting: de risico’s die een organisatie bereid is te accepteren. Alleen de opdrachtgevende organisatie zelf kan hierover een uitspraak doen. +In een business impact analyse (BIA) legt de opdrachtgevende organisatie vast hoe belangrijk informatiebeveiliging is voor de eigen bedrijfsvoering/processen. Naast de gevoeligheid voor incidenten komt hierin ook de 'risk appetite' van de organisatie tot uiting: de risico’s die een organisatie bereid is te accepteren. Alleen de opdrachtgevende organisatie zelf kan hierover een uitspraak doen. ### Privacy impact assessment diff --git a/Content/Templates/Kwaliteitsplan/Template-Inhoud.md b/Content/Templates/Kwaliteitsplan/Template-Inhoud.md index 330904eb..7c312aaa 100644 --- a/Content/Templates/Kwaliteitsplan/Template-Inhoud.md +++ b/Content/Templates/Kwaliteitsplan/Template-Inhoud.md @@ -56,7 +56,7 @@ De opstellers verwerken het commentaar. Vervolgens sturen de opstellers een toel Het doel van de voorfase is tweeledig: het voorbereiden van de realisatiefase, zodat ICTU verantwoord een projectovereenkomst kan opstellen voor de realisatiefase, en het identificeren van risico’s die van toepassing zijn op de realisatiefase en het verdere verloop van het project. -{opdrachtgevende organisatie} zorgt dat het project bij de start van de voorfase inzicht heeft in de informatie die typisch wordt vastgelegd in een projectstartarchitectuur, business impact analysis en privacy impact assessment. Waar nodig werkt {opdrachtgevende organisatie} de informatie bij tijdens de voorfase en realisatiefase. +{opdrachtgevende organisatie} zorgt dat het project bij de start van de voorfase inzicht heeft in de informatie die typisch wordt vastgelegd in een projectstartarchitectuur, business impact analyse en privacy impact assessment. Waar nodig werkt {opdrachtgevende organisatie} de informatie bij tijdens de voorfase en realisatiefase. Dit kwaliteitsplan wordt opgesteld tijdens de voorfase, maar is tevens al deels van toepassing, in ieder geval aan het eind van de voorfase. Voor de voorfase gelden de onderstaande kwaliteitsmaatregelen. diff --git a/Content/Templates/MTP/Relatie-documenten.md b/Content/Templates/MTP/Relatie-documenten.md index a5649c16..c7187c28 100644 --- a/Content/Templates/MTP/Relatie-documenten.md +++ b/Content/Templates/MTP/Relatie-documenten.md @@ -3,7 +3,7 @@ Het mastertestplan is gebaseerd op de volgende documenten, die beschrijven welke eisen en wensen aan de oplossing zijn gesteld en hoe de oplossing werkt {Selecteer de van toepassing zijnde documenten}: * Projectstartarchitectuur (PSA), {documentreferentie}, -* Business impact analysis (BIA), {documentreferentie}, +* Business impact analyse (BIA), {documentreferentie}, * Privacy impact assessment (PIA), {documentreferentie}, * Softwarearchitectuurdocument (SAD), {documentreferentie}, * Infrastructuurarchitectuur (IA), {documentreferentie}, diff --git a/Content/Templates/NFE/Relatie-documenten.md b/Content/Templates/NFE/Relatie-documenten.md index 9bd89fa9..f863b9e7 100644 --- a/Content/Templates/NFE/Relatie-documenten.md +++ b/Content/Templates/NFE/Relatie-documenten.md @@ -2,7 +2,7 @@ De volgende documenten waren input voor de niet-functionele eisen: -* Business impact analysis (BIA), +* Business impact analyse (BIA), * Privacy impact assessment (PIA), * Projectstartarchitectuur (PSA) en referentiearchitecturen, * {En verder, bijvoorbeeld protocollen en samenwerkingsafspraken}. diff --git a/Content/Templates/PvA-Realisatiefase/Relatie-documenten.md b/Content/Templates/PvA-Realisatiefase/Relatie-documenten.md index db0c67cd..44ef290a 100644 --- a/Content/Templates/PvA-Realisatiefase/Relatie-documenten.md +++ b/Content/Templates/PvA-Realisatiefase/Relatie-documenten.md @@ -3,7 +3,7 @@ De realisatiefase is een vervolg op de voorfase van {het project}. De documenten die in die voorfase zijn gerealiseerd en die uitgangspunt zijn voor dit plan van aanpak zijn: * Projectstartarchitectuur (PSA), versie {versie}, -* Business impact analysis (BIA), versie {versie}, +* Business impact analyse (BIA), versie {versie}, * Privacy impact assessment (PIA), versie {versie}, * Softwarearchitectuurdocument (SAD), versie {versie}, * Infrastructuurarchitectuur (IA), versie {versie}, diff --git a/Content/Templates/PvA-Voorfase-Producten/Template-Inhoud.md b/Content/Templates/PvA-Voorfase-Producten/Template-Inhoud.md new file mode 100644 index 00000000..107275f1 --- /dev/null +++ b/Content/Templates/PvA-Voorfase-Producten/Template-Inhoud.md @@ -0,0 +1,22 @@ +| Onderdeel voorfase | Definitie | Input voor | Inhoudelijk verantwoordelijk | Penvoerder | Review en meewerken aan | Week 1 | Week 2 | Week 3 | Week 4 | +| :-------------------------------------- | :------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | :---------------------------------------------------------------- | :--------------------------- | :----------- | :---------------------- | :----- | :----- | :----- | :----- | +| Projectstartarchitectuur (PSA) | $PSA$ | Backlog en Niet-functionele eisen | {verantwoordelijke} | {penvoerder} | ICTU, {reviewers} | | | | | +| Business impact analyse (BIA) | $BIA$ | IB-plan | {verantwoordelijke} | {penvoerder} | ICTU, {reviewers} | | | | | +| Privacy impact assessment (PIA) | $PIA$ | IB-plan en Niet-functionele eisen | {verantwoordelijke} | {penvoerder} | ICTU, {reviewers} | | | | | +| Globaal functioneel ontwerp (GFO) | $GFO$ | Detailtestplan softwarerealisatie | ICTU | {reviewers} | | | | | +| Interactie-ontwerp (UX) | $IO$ | MVP | {verantwoordelijke} | ICTU | {reviewers} | | | | | +| Softwarearchitectuurdocument (SAD) | $SAD$ | Detailtestplan softwarerealisatie, Plan van aanpak realisatiefase | {verantwoordelijke} | ICTU | {reviewers} | | | | | +| Infrastructuurarchitectuur (IA) | $IA$ | SAD | {verantwoordelijke} | {penvoerder} | ICTU, {reviewers} | | | | | +| Product risico analyse (PRA) | $PRA$ | MTP | {verantwoordelijke} | {penvoerder} | ICTU, {reviewers} | | | | | +| Mastertestplan (MTP) | $MTP$ | Detailtestplan softwarerealisatie | {verantwoordelijke} | {penvoerder} | ICTU, {reviewers} | | | | | +| Detailtestplan softwarerealisatie | $DTPSR$ | | {verantwoordelijke} | ICTU | {reviewers} | | | | | +| Threat & vulnerability assessment (TVA) | $TVA$ | IB-plan | {verantwoordelijke} | {penvoerder} | ICTU, {reviewers} | | | | | +| Informatiebeveiligingsplan (IB-plan) | $IB$ | SAD, GFO, Kwaliteitsplan | {verantwoordelijke} | {penvoerder} | ICTU, {reviewers} | | | | | +| Niet-functionele eisen (NFE) | $NFE$ | Backlog, SAD, GFO, Kwaliteitsplan | {verantwoordelijke} | {penvoerder} | ICTU, {reviewers} | | | | | +| Kwaliteitsplan | $KP$ | | {verantwoordelijke} | ICTU | {reviewers} | | | | | +| Geprioriteerde backlog met user stories | Een geprioriteerd overzicht van alle nog te realiseren functionele en niet-functionele eigenschappen van de software | Plan van aanpak realisatiefase | {verantwoordelijke} | {penvoerder} | ICTU, {reviewers} | | | | | +| Vastgesteld minimal viable product | $MVP$ | Plan van aanpak realisatiefase | {verantwoordelijke} | {penvoerder} | ICTU, {reviewers} | | | | | +| Wireframe, mockup, prototype, animatie | Vroege weergaven/schetsen van hoe het eindresultaat er uit komt te zien | | {verantwoordelijke} | ICTU | {reviewers} | | | | | +| Voorstel realisatiefase | Aanbieding van ICTU voor de uitvoering van de realisatie, rekening houdende met de specifieke behoeften, wensen en voorwaarden van de opdrachtgever | | ICTU | ICTU | {reviewers} | | | | | +| Plan van aanpak realisatiefase | Beschrijft de in de realisatiefase te realiseren producten en diensten, en de planning, werkwijze en verantwoordelijkheden voor de totstandkoming van die producten en diensten | | ICTU | ICTU | {reviewers} | | | | | +| Rapportage t.b.v. go/no-go besluit | Het go/no-go besluit betreft een go/no-go voor de realisatiefase op basis van de resultaten uit de voorfase | | {verantwoordelijke} | ICTU | {reviewers} | | | | | diff --git a/Content/Templates/PvA-Voorfase/Relatie-documenten.md b/Content/Templates/PvA-Voorfase/Relatie-documenten.md index f578fad7..fdd19bca 100644 --- a/Content/Templates/PvA-Voorfase/Relatie-documenten.md +++ b/Content/Templates/PvA-Voorfase/Relatie-documenten.md @@ -3,5 +3,5 @@ Dit plan van aanpak is gebaseerd op de volgende documenten {pas aan en breid uit waar nodig}: * Projectstartarchitectuur (PSA), versie {versie}, -* Business impact analysis (BIA), versie {versie}, +* Business impact analyse (BIA), versie {versie}, * Privacy impact assessment (PIA), versie {versie}. diff --git a/Content/Templates/PvA-Voorfase/Template-Inhoud.md b/Content/Templates/PvA-Voorfase/Template-Inhoud.md index 11040dc8..9c7480e2 100644 --- a/Content/Templates/PvA-Voorfase/Template-Inhoud.md +++ b/Content/Templates/PvA-Voorfase/Template-Inhoud.md @@ -8,34 +8,34 @@ In de voorfase worden de volgende producten gerealiseerd op basis van {bronnen, {Onderstaande tabel geeft de gangbare producten weer, verwijder of vul aan wat er voor de situatie van toepassing is.} -| Onderdeel voorfase | Inhoudelijk verantwoordelijk | Penvoerder | Review en meewerken aan | -|:------------------------------------------------|:-----------------------------|:-------------|:------------------------| -| Projectstartarchitectuur (PSA) | {verantwoordelijke} | {penvoerder} | ICTU, {reviewers} | -| Business impact analysis (BIA) | {verantwoordelijke} | {penvoerder} | ICTU, {reviewers} | -| Privacy impact assessment (PIA) | {verantwoordelijke} | {penvoerder} | ICTU, {reviewers} | -| Globaal functioneel ontwerp (GFO) | {verantwoordelijke} | ICTU | {reviewers} | -| Interactie-ontwerp (UX) | {verantwoordelijke} | ICTU | {reviewers} | -| Softwarearchitectuurdocument (SAD) | {verantwoordelijke} | ICTU | {reviewers} | -| Infrastructuurarchitectuur (IA) | {verantwoordelijke} | {penvoerder} | ICTU, {reviewers} | -| Product risico analyse (PRA) | {verantwoordelijke} | {penvoerder} | ICTU, {reviewers} | -| Mastertestplan (op basis van PRA) | {verantwoordelijke} | {penvoerder} | ICTU, {reviewers} | -| Detailtestplan softwarerealisatie | {verantwoordelijke} | ICTU | {reviewers} | -| Threat & vulnerability assessment (TVA) | {verantwoordelijke} | {penvoerder} | ICTU, {reviewers} | -| Informatiebeveiligingsplan (IB-plan) | {verantwoordelijke} | {penvoerder} | ICTU, {reviewers} | -| Niet-functionele eisen (NFE) | {verantwoordelijke} | {penvoerder} | ICTU, {reviewers} | -| Kwaliteitsplan | {verantwoordelijke} | ICTU | {reviewers} | -| Geprioriteerde backlog met user stories | {verantwoordelijke} | {penvoerder} | ICTU, {reviewers} | -| Vastgesteld minimal viable product | {verantwoordelijke} | {penvoerder} | ICTU, {reviewers} | -| Wireframe, mockup, prototype, animatie | {verantwoordelijke} | ICTU | {reviewers} | -| Voorstel realisatiefase | ICTU | ICTU | {reviewers} | -| Plan van aanpak realisatiefase | ICTU | ICTU | {reviewers} | -| Tussentijdse rapportage t.b.v. go/no-go besluit | {verantwoordelijke} | ICTU | {reviewers} | +| Onderdeel voorfase | Inhoudelijk verantwoordelijk | Penvoerder | Review en meewerken aan | +| :-------------------------------------- | :--------------------------- | :----------- | :---------------------- | +| Projectstartarchitectuur (PSA) | {verantwoordelijke} | {penvoerder} | ICTU, {reviewers} | +| Business impact analyse (BIA) | {verantwoordelijke} | {penvoerder} | ICTU, {reviewers} | +| Privacy impact assessment (PIA) | {verantwoordelijke} | {penvoerder} | ICTU, {reviewers} | +| Globaal functioneel ontwerp (GFO) | {verantwoordelijke} | ICTU | {reviewers} | +| Interactie-ontwerp (UX) | {verantwoordelijke} | ICTU | {reviewers} | +| Softwarearchitectuurdocument (SAD) | {verantwoordelijke} | ICTU | {reviewers} | +| Infrastructuurarchitectuur (IA) | {verantwoordelijke} | {penvoerder} | ICTU, {reviewers} | +| Product risico analyse (PRA) | {verantwoordelijke} | {penvoerder} | ICTU, {reviewers} | +| Mastertestplan (op basis van PRA) | {verantwoordelijke} | {penvoerder} | ICTU, {reviewers} | +| Detailtestplan softwarerealisatie | {verantwoordelijke} | ICTU | {reviewers} | +| Threat & vulnerability assessment (TVA) | {verantwoordelijke} | {penvoerder} | ICTU, {reviewers} | +| Informatiebeveiligingsplan (IB-plan) | {verantwoordelijke} | {penvoerder} | ICTU, {reviewers} | +| Niet-functionele eisen (NFE) | {verantwoordelijke} | {penvoerder} | ICTU, {reviewers} | +| Kwaliteitsplan | {verantwoordelijke} | ICTU | {reviewers} | +| Geprioriteerde backlog met user stories | {verantwoordelijke} | {penvoerder} | ICTU, {reviewers} | +| Vastgesteld minimal viable product | {verantwoordelijke} | {penvoerder} | ICTU, {reviewers} | +| Wireframe, mockup, prototype, animatie | {verantwoordelijke} | ICTU | {reviewers} | +| Voorstel realisatiefase | ICTU | ICTU | {reviewers} | +| Plan van aanpak realisatiefase | ICTU | ICTU | {reviewers} | +| Rapportage t.b.v. go/no-go besluit | {verantwoordelijke} | ICTU | {reviewers} | De penvoerder van het product is de uitvoerende partij die verantwoordelijk is voor het opleveren van het product tijdens de voorfase; de inhoudelijk verantwoordelijke bepaalt de uiteindelijke inhoud. Zie de $KWALITEITSAANPAK$ voor een nadere toelichting op de documentatie. {Een aantal documenten is bij voorkeur al beschikbaar bij de start van de voorfase. De andere documentatie is afhankelijk van deze documenten, dus mochten de benodigde documenten niet aanwezig zijn, dan heeft dat impact op de planning. Controleer de bovenstaande tabel en de planning.} -{Tip: Neem bovenstaand overzicht op in een separaat document en gebruik dat in de sprints van de voorfase om bij elke sprintafsluiting de status van de te realiseren producten vast te stellen.} +{Tip: Gebruik bovenstaand overzicht in de sprints van de voorfase om de voortgang van de te realiseren producten te bewaken. Zie [Template plan van aanpak voorfase producten]($BASE_URL$/$VERSIE$/ICTU-Template-Plan-van-Aanpak-Voorfase-Producten.xlsx).} ## Scope @@ -68,6 +68,7 @@ Voor een goede start wordt er, bij aanvang van de voorfase, een kick-off georgan {opdrachtgevende organisatie} en {partijen} en ICTU werken gezamenlijk aan de op te leveren documenten in een Scrumteam. Voor een goed resultaat is het van belang dat er minimaal {aantal} {dagen/dagdelen} per week door alle partijen wordt samengewerkt. {partij} stelt hiervoor {fysieke en/of online} ruimte en samenwerkhulpmiddelen beschikbaar; projectmedewerkers zorgen zelf voor een laptop. {Als met hulpmiddelen van ICTU wordt gewerkt: Om deze bij ICTU te gebruiken moeten de laptops voldoen aan de bij ICTU geldende beveiligingsnormen, welke zijn opgenomen in het ICTU-voorschrift Zakelijk gebruik ICT-diensten en voorzieningen.} Vertegenwoordigers van het project nemen deel aan de volgende overleggen met vertegenwoordigers van {opdrachtgevende organisatie} en de beheerorganisatie: + * het architectuuroverleg, * het informatiebeveiligingsoverleg, * het beheeroverleg, @@ -105,7 +106,7 @@ Onderstaand is de verwachte inzet per rol van {opdrachtgevende organisatie} en { {Selecteer de juiste rollen en vul aan, vul ook de juiste verantwoordelijkheden in, onderstaande is een eerste opzet met zoveel mogelijk rollen} | Rollen | Verwachte inzet per week | Verantwoordelijkheden | -|:----------------------------------------------|:-------------------------|:-----------------------------------------------------------------------------------------------------------------------------------------------| +| :-------------------------------------------- | :----------------------- | :--------------------------------------------------------------------------------------------------------------------------------------------- | | Expert informatiebeveiliging | {aantal} dagen | Uitvoeren TVA, opstellen BIA en IB-plan, reviewen {documenten} | | Privacy-expert | {aantal} dagen | Opstellen PIA, reviewen {documenten} | | Infrastructuurarchitect | {aantal} dagen | Opstellen infrastructuurarchitectuur, reviewen SAD, NFE en IB-plan | @@ -133,15 +134,15 @@ Met een eventuele vakantieperiode is nog geen rekening gehouden, dit zal direct {Hieronder een voorbeeld van een planning} -| Onderdeel/week | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | -|:---------------------------------|:--|:--|:--|:--|:--|:--|:--|:--|:--|:---| -| Bemensen project | X | X | X | | | | | | | | -| Voorbereiden en plannen kick-off | | X | X | | | | | | | | -| Kick-off | | | | X | | | | | | | -| Realisatie producten sprint 1 | | | | X | X | | | | | | -| Realisatie producten sprint 2 | | | | | | X | X | | | | -| Realisatie producten sprint 3 | | | | | | | | X | X | | -| Afronden en afsluiten voorfase | | | | | | | | | | X | +| Onderdeel/week | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | +| :------------------------------- | :-- | :-- | :-- | :-- | :-- | :-- | :-- | :-- | :-- | :-- | +| Bemensen project | X | X | X | | | | | | | | +| Voorbereiden en plannen kick-off | | X | X | | | | | | | | +| Kick-off | | | | X | | | | | | | +| Realisatie producten sprint 1 | | | | X | X | | | | | | +| Realisatie producten sprint 2 | | | | | | X | X | | | | +| Realisatie producten sprint 3 | | | | | | | | X | X | | +| Afronden en afsluiten voorfase | | | | | | | | | | X | NB: Onderdeel van het afronden en afsluiten van de voorfase is een GO/NO GO voor de realisatiefase op basis van de resultaten uit de voorfase. @@ -150,8 +151,8 @@ NB: Onderdeel van het afronden en afsluiten van de voorfase is een GO/NO GO voor Voor de uitvoering van de voorfase gelden de volgende randvoorwaarden: | Nr | Randvoorwaarde | -|:-------------|:------------------------------------------------------------------------------------------------------------------------------------------------------------| -| R01 | De vereiste inzet van betrokkenen van {opdrachtgevende organisatie} en {partijen} is georganiseerd en gegarandeerd. | +| :----------- | :---------------------------------------------------------------------------------------------------------------------------------------------------------- | +| R01 | De vereiste inzet van betrokkenen van {opdrachtgevende organisatie} en {partijen} is georganiseerd en gegarandeerd. | | R02 | De product owner is gemandateerd om zelfstandig besluiten te nemen over de inhoud van de producten. | | R03 | Er is een afgestemde en afgesproken werkwijze tussen {opdrachtgevende organisatie}, {beheerorganisatie} en ICTU. Deze is in lijn met de $KWALITEITSAANPAK$. | | R04 | De producten {producten} zijn beschikbaar voor aanvang van de voorfase. | @@ -165,7 +166,7 @@ De onderstaande projectrisico’s, die het succes van de voorfase kunnen belemme {Deze tabel dient op basis van het concrete project en voorstel aangepast te worden.} | Projectrisico | Maatregel | -|:---------------------------------------------------------------------------------------------------------------------------------------------|:-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------| +| :------------------------------------------------------------------------------------------------------------------------------------------- | :--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | Verwachtingen over dit project tussen verschillende partijen ({partijen}, ICTU) kunnen niet waargemaakt worden, waardoor vertraging ontstaat | Wekelijks projectoverleg, samenwerken door middel van werkgroepen en fysiek bij elkaar komen, kick-off met alle betrokkenen waarbij de opdrachtgever het doel van de voorfase uiteenzet. | | Scope-uitbreiding, gebrek aan focus | Scope voorfase bewaken, alleen de scope uitbreiden als dit noodzakelijk is voor {doel} | | Onvoldoende bemensing door vakanties | Rekening houden met langere doorlooptijd dan de (te) eenvoudige rekensom suggereert. | @@ -178,7 +179,7 @@ Onderstaand is de verwachte inzet per rol van ICTU voor de uitvoering van dit pl {Selecteer de rollen die nodig zijn en vul ze aan. Vul de juiste verantwoordelijkheden in. De onderstaande tabel is een eerste opzet met veel voorkomende rollen.} | Rol | Verwachte inzet | Verantwoordelijkheden | -|:---------------------------------------|:----------------|:-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------| +| :------------------------------------- | :-------------- | :----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | Software-architect/senior ontwikkelaar | {x} uur | Penvoerder SAD, reviewen {documenten} | | Functioneel ontwerper | {x} uur | Penvoerder GFO, reviewen {documenten} | | Database administrator | {x} uur | Opstellen logisch datamodel en fysiek database ontwerp, reviewen {documenten} | diff --git a/Content/Wijzigingsgeschiedenis.md b/Content/Wijzigingsgeschiedenis.md index 47c25142..4f633f89 100644 --- a/Content/Wijzigingsgeschiedenis.md +++ b/Content/Wijzigingsgeschiedenis.md @@ -4,10 +4,18 @@ * Toegevoegd in paragraaf 8.1, eis 17 dat de software alleen producten gebruikt of ondersteunt waarvoor de leverancier security patches uitbrengt. +## Template Plan van Aanpak Voorfase + +* Genereer de tabel met voorfaseproducten ook in Excel-formaat. + ## Template Plan van Aanpak Realisatiefase * In de paragraaf "Oplevering software" afspraken toegevoegd over het controleren van opgeleverde software op beveiligingskwetsbaarheden. +## Alle documenten + +* De spelling van business impact analysis veranderd in business impact analyse, conform NORA. + # Versie 4.0.4, 16 december 2024 ## Alle Word-documenten diff --git a/DocumentDefinitions/Shared/variables.json b/DocumentDefinitions/Shared/variables.json index acebb039..06b2d13d 100644 --- a/DocumentDefinitions/Shared/variables.json +++ b/DocumentDefinitions/Shared/variables.json @@ -27,5 +27,20 @@ "M32": "M32: Het project onderzoekt de kwaliteit van over te nemen software", "M33": "M33: ICTU organiseert periodiek een gezamenlijke self-assessment ten aanzien van de Kwaliteitsaanpak", "M34": "M34: Het project draagt software beheerst over", - "M35": "M35: Het project hanteert een agile architectuuraanpak" + "M35": "M35: Het project hanteert een agile architectuuraanpak", + "BIA": "Een business impact analyse is een methode om de mogelijke bedrijfsimpact te bepalen die een organisatie zou kunnen ervaren door een incident, dat de functionaliteit van of de informatie in een applicatie in gevaar brengt [NORA]", + "DTPSR": "Een detailtestplan softwarerealisatie beschrijft welke testen en testsoorten ICTU gebruikt om de kwaliteit van de projectresultaten te testen gedurende de realisatiefase van het project", + "GFO": "Een globaal functioneel ontwerp beschrijft de functionele werking van een product op hoofdlijnen, voor specifieke use cases", + "IA": "De infrastructuurarchitectuur beschrijft de technische infrastructuur van een product op hoofdlijnen, in termen van hardwareonderdelen en -relaties (housing, hardware, virtuals, standaard software en middleware)", + "IB": "Een informatiebeveiligingsplan beschrijft binnen welke kaders bescherming geleverd wordt tegen welke dreigingen en met welke maatregelen die bescherming vorm krijgt", + "IO": "Een interactie-ontwerp beschrijft de interacties tussen gebruikers en het systeem en de user experience daarbij", + "KP": "Een kwaliteitsplan beschrijft de kwaliteitsmaatregelen die een project treft om een product te realiseren dat voldoet aan de kwaliteitseisen van de opdrachtgever en andere belanghebbenden en aan de kwaliteitsnormen van ICTU", + "MTP": "Een mastertestplan beschrijft de aanpak van het testen van een product op hoofdlijnen, in termen van strategie, activiteiten, afhankelijkheden en de op te leveren resultaten", + "MVP": "Een minimum viable product is een eerste versie van een product, die zo vroeg mogelijk wordt uitgerold naar de gebruikers, met net voldoende functionaliteit om het gestelde doel te behalen en niet meer dan dat", + "NFE": "Niet-functionele eisen specificeren criteria om de kwaliteit van de software te beoordelen", + "PIA": "Een privacy impact assessment geeft bij een wet of project, waar persoonsgegevens van toepassing zijn, aan wat de gevolgen voor de privacy van de getroffen personen zijn [NORA]", + "PRA": "Een productrisicoanalyse is een analyse van het te testen product die resulteert in een overzicht van wat de meer of minder risicovolle kenmerken en delen van het te testen product zijn, zodat de grondigheid van testen hieraan gerelateerd kan worden", + "PSA": "De projectstartarchitectuur is een concreet en doelgericht ICT-architectuurkader waarbinnen het **project** moet worden uitgevoerd [NORA]", + "SAD": "Een software-architectuurdocument beschrijft de technische werking van een product op hoofdlijnen, in termen van softwarecomponenten, hun functies en hun onderlinge interacties en samenhang voor specifieke use cases", + "TVA": "Een threat and vulnerability assessment inventariseert de betrouwbaarheidseisen die aan de bedrijfsprocessen en dientengevolge aan het product worden gesteld, gevolgd door identificatie en analyse van bedreigingen" } diff --git a/DocumentDefinitions/Templates/spreadsheet-template.md b/DocumentDefinitions/Templates/spreadsheet-template.md new file mode 100644 index 00000000..64268636 --- /dev/null +++ b/DocumentDefinitions/Templates/spreadsheet-template.md @@ -0,0 +1 @@ +#include "Content/Templates/{{DOCUMENT-FOLDER}}/Template-Inhoud.md" diff --git a/DocumentDefinitions/plan-van-aanpak-voorfase-producten.json b/DocumentDefinitions/plan-van-aanpak-voorfase-producten.json new file mode 100644 index 00000000..b1ecf449 --- /dev/null +++ b/DocumentDefinitions/plan-van-aanpak-voorfase-producten.json @@ -0,0 +1,22 @@ +{ + "InputFile": "DocumentDefinitions/Templates/spreadsheet-template.md", + "BuildPath": "build/Templates/PvA-Voorfase-Producten/", + "Title": "Voorfase Producten", + "Subtitle": "{Projectnaam}", + "DocumentType": "Template", + "DocumentFolder": "PvA-Voorfase-Producten", + "FrontPage": "ICTU", + "IncludeTableOfContents": false, + "OutputFormats": { + "xlsx": { + "BuilderClass": "TableXlsxBuilder", + "OutputFile": "ICTU-Template-Plan-van-Aanpak-Voorfase-Producten.xlsx", + "OutputPaths": [ + "docs/$VERSIE$" + ] + } + }, + "VariablesFiles": [ + "DocumentDefinitions/Shared/variables.json" + ] +} diff --git a/DocumentDefinitions/plan-van-aanpak-voorfase.json b/DocumentDefinitions/plan-van-aanpak-voorfase.json index 56e39550..f3c61d19 100644 --- a/DocumentDefinitions/plan-van-aanpak-voorfase.json +++ b/DocumentDefinitions/plan-van-aanpak-voorfase.json @@ -19,4 +19,4 @@ "VariablesFiles": [ "DocumentDefinitions/Shared/variables.json" ] -} \ No newline at end of file +} diff --git a/docs/index.html b/docs/index.html index 39b20554..bafa3f02 100644 --- a/docs/index.html +++ b/docs/index.html @@ -41,6 +41,7 @@

Onderhanden werk

  • ICTU Kwaliteitsaanpak samenvatting in HTML-formaat
  • ICTU Kwaliteitsaanpak self-assessment Excel-spreadsheet
  • ICTU template plan van aanpak voorfase
  • +
  • ICTU template plan van aanpak voorfase producten
  • ICTU template plan van aanpak realisatiefase
  • ICTU template compacte voorfase
  • ICTU template detailtestplan
  • diff --git a/docs/wip/ICTU-Kwaliteitsaanpak-Checklist.xlsx b/docs/wip/ICTU-Kwaliteitsaanpak-Checklist.xlsx index 751936d5..a675bf8b 100644 Binary files a/docs/wip/ICTU-Kwaliteitsaanpak-Checklist.xlsx and b/docs/wip/ICTU-Kwaliteitsaanpak-Checklist.xlsx differ diff --git a/docs/wip/ICTU-Kwaliteitsaanpak-Samenvatting.html b/docs/wip/ICTU-Kwaliteitsaanpak-Samenvatting.html index cf4e04ee..90148579 100644 --- a/docs/wip/ICTU-Kwaliteitsaanpak-Samenvatting.html +++ b/docs/wip/ICTU-Kwaliteitsaanpak-Samenvatting.html @@ -1,5 +1,5 @@ -ICTU Kwaliteitsaanpak Softwareontwikkeling versie wipICTU logo

    ICTU Kwaliteitsaanpak Softwareontwikkeling

    Samenvatting

    Versie wip, 16-12-2024

    Word cloud met woorden die veel voorkomen in het document zoals Kwaliteitsaanpak, Realisatie, ICTU, Software en Overheid

    Inleiding

    De overheid is in hoge mate afhankelijk van informatiesystemen voor de uitvoering van haar taken. Veel van die informatiesystemen zijn dusdanig specifiek dat de benodigde software “op maat” gemaakt moet worden. De totstandkoming van op maat gemaakte software is meestal een complex proces, waarin vele belangen en behoeften worden afgewogen en afgezet tegen de mogelijkheden die technologie biedt. Eenmaal operationeel zal een informatiesysteem verantwoord onderhouden moeten worden; behoeften en technologie veranderen in de loop van de tijd.

    Overheidsprojecten waarin software wordt ontwikkeld of onderhouden kampen nog vaak met vertraging, budgetoverschrijding of een eindresultaat met te lage kwaliteit. Zo concludeerde de commissie-Elias in haar eindrapport: "De Rijksoverheid heeft haar ICT (Informatie- en communicatietechnologie)-projecten niet onder controle". Eén van de fundamentele problemen is dat de risico's, die inherent zijn aan softwareontwikkeling, door organisaties nog onvoldoende worden herkend, erkend en gemitigeerd. Dit terwijl de risico's bij de ontwikkeling van software, binnen het ICT-domein, algemeen bekend zijn en er ook voor veel risico's passende maatregelen bestaan.

    ICTU heeft jarenlange ervaring met het realiseren van software en past de opgedane ervaring toe bij de ontwikkeling van nieuwe software. Die ervaring is vastgelegd in een werkwijze, deze “ICTU Kwaliteitsaanpak Softwareontwikkeling”, die telkens wordt aangepast en aangevuld op basis van de praktijk.

    ICTU is ervan overtuigd dat het bouwen van duurzame software, die goed aansluit bij de behoeften van gebruikers en andere belanghebbenden, bijdraagt aan betere informatiesystemen en een betere dienstverlening door de overheid. Dienstverlening die betrouwbaar moet zijn voor burgers, bedrijven en ambtenaren. Om samen met opdrachtgevende organisaties passende oplossingen te realiseren ontwikkelt ICTU daarom software volgens een agile proces. En om de duurzaamheid en betrouwbaarheid te bevorderen besteedt ICTU standaard aandacht aan beveiliging, privacy, performance, gebruikskwaliteit en toegankelijkheid. De Kwaliteitsaanpak dient daarvoor als leidraad, maar de aanpak voorziet ook in mogelijkheden om het project en het eindproduct aan te passen aan de specifieke situatie.

    Om projecten, die software realiseren volgens de Kwaliteitsaanpak, efficiënt en effectief te ondersteunen, heeft ICTU twee gespecialiseerde afdelingen in het leven geroepen. Deze afdelingen staan projecten bij door middel van kennis, menskracht en technische hulpmiddelen. Zo profiteren projecten van schaalgrootte en hergebruik van inzichten.

    Met behulp van de ICTU Kwaliteitsaanpak Softwareontwikkeling heeft ICTU samen met andere overheden inmiddels enige tientallen projecten succesvol uitgevoerd. ICTU wil deze aanpak graag aanvullen met de ervaringen en geleerde lessen van andere organisaties en deze overdraagbaar maken en breder uitdragen. Om die reden stelt ICTU deze Kwaliteitsaanpak aan iedereen beschikbaar via https://www.ictu.nl/kwaliteitsaanpak en heeft zij, samen met normalisatie-instituut NEN en partijen uit overheid en markt, een praktijkrichtlijn “Risicobeheersing bij ontwikkeling en onderhoud van maatwerksoftware” [NEN NPR 5326:2019] gepubliceerd, die mede is gebaseerd op de ICTU Kwaliteitsaanpak Softwareontwikkeling.

    Doelstellingen

    De ICTU Kwaliteitsaanpak Softwareontwikkeling heeft drie doelstellingen:

    1. Opdrachtgevende organisaties helpen bekende risico's bij softwareontwikkeling, zoals technische schuld, vertraging en defecten, zo veel mogelijk te voorkomen.
    2. ICTU helpen om software te ontwikkelen die de missie van ICTU, namelijk bijdragen aan een betere digitale overheid, ondersteunt.
    3. De overheid als geheel helpen bij het zo goed mogelijk ontwikkelen van software.

    De Kwaliteitsaanpak zelf is geformuleerd in de vorm van maatregelen die elke software-ontwikkelende organisatie kan treffen om risico's van softwareontwikkeling te mitigeren en de kans op succesvolle softwareontwikkelprojecten te vergroten. De maatregelen zijn gebaseerd op geleerde lessen uit de praktijk van ICTU.

    De Kwaliteitsaanpak is een evoluerende aanpak, gebaseerd op de ervaringen die ICTU continu opdoet in de projecten waarin ICTU samen met opdrachtgevende organisaties maatwerksoftware ontwikkelt en onderhoudt. ICTU hanteert daarbij de vuistregel dat als tenminste 80% van de projecten minstens 80% van de tijd een bepaalde werkwijze hanteren, voor die werkwijze een maatregel in de Kwaliteitsaanpak wordt opgenomen. Maar het kan ook voorkomen dat maatregelen om andere redenen landen in de Kwaliteitsaanpak; denk aan het toegankelijk maken van software dat wettelijk verplicht is. Zie ook de wijzigingsgeschiedenis in PDF-formaat of HTML-formaat.

    De maatregelen vormen het startpunt voor de aanpak van ieder ICTU-softwareproject, waarbij ruimte wordt geboden voor variatie of alternatieve invulling. Bijvoorbeeld stelt de Kwaliteitsaanpak: software wordt minimaal bij iedere grote release of tenminste twee keer per jaar onderworpen aan een beveiligingstest door beveiligingsexperts die ICTU daarvoor inhuurt (zie M26: Het project laat de beveiliging van het ontwikkelde product periodiek beoordelen). Een alternatief is dat de opdrachtgevende organisatie de verantwoordelijkheid neemt voor het laten uitvoeren van beveiligingstests. Hierover maakt de projectleider nadere afspraken met de opdrachtgever.

    De Kwaliteitsaanpak is dus zowel voorschrijvend als beschrijvend. Voorschrijvend omdat ICTU verwacht dat projecten die maatwerksoftware ontwikkelen en onderhouden de aanpak toepassen, en alleen aanpassen als daar een goede reden voor is, en mits dat wettelijk is toegestaan. Tegelijkertijd is de aanpak beschrijvend omdat de meeste maatregelen voortkomen uit de bestaande werkwijzen van de projecten. Zoals blijkt uit de self-assessment die ICTU regelmatig uitvoert op de toepassing van de Kwaliteitsaanpak.

    Maatregelen

    Hieronder zijn alle maatregeldefinities uit de Kwaliteitsaanpak opgenomen. Zie de Kwaliteitsaanpak zelf voor een uitgebreidere beschrijving van de maatregelen, inclusief context en rationale.

    Producten

    M31: Het project beschikt over actuele vastgestelde informatie
    Voor een goede uitvoering van het project is specifieke informatie nodig. De opdrachtgevende organisatie zorgt dat het project bij de start van de voorfase inzicht heeft in de informatie die typisch wordt vastgelegd in een projectstartarchitectuur, business impact analysis en privacy impact assessment. Waar nodig werkt de opdrachtgevende organisatie de informatie bij tijdens de voorfase en realisatiefase.
    M01: Het project levert in elke fase vastgestelde producten en informatie op
    Iedere projectfase levert specifieke informatie op. De voorfase levert inzicht in de functionele en niet-functionele eisen, ontwerp en architectuur, testplannen, operationele risico's, en benodigde kwaliteitsmaatregelen. Deze informatie wordt tijdens de realisatiefase waar nodig bijgewerkt. De realisatiefase levert één of meerdere werkende versies van de software met regressietests, aangevuld met een vrijgaveadvies, release notes en installatiedocumentatie.
    M32: Het project onderzoekt de kwaliteit van over te nemen software
    Als tijdens een project bestaande software dient te worden afgebouwd, onderhouden en/of herbouwd, vindt een onderzoek plaats naar de kwaliteit van deze software.
    M02: Het project bewaakt continu dat het product aan de kwaliteitsnormen voldoet
    Projecten bewaken zo snel mogelijk vanaf de start de door het project en ICTU vastgestelde kwaliteitsnormen en voldoen daar zo snel en goed mogelijk aan. De kwaliteit van producten, die nog niet zijn afgerond of nog niet aan de normen voldoen, wordt door het project bewaakt. Het voldoen aan de kwaliteitsnormen is onderdeel van de Definition of Done en herstel van de kwaliteit wordt planmatig opgepakt.
    M03: Het project zorgt dat het product traceerbaar aan eisen voldoet
    Eisen zijn wederzijds traceerbaar naar bewijsmateriaal, zoals logische testgevallen, dat de eis gerealiseerd is; dat wil zeggen dat geadministreerd is bij welke eis bewijsmateriaal hoort en vice versa. Dit wordt waar mogelijk met tooling ondersteund.
    M13: Het project gebruikt ISO-25010 voor de specificatie van productkwaliteitseisen
    Voor specificatie en documentatie van vereiste en gewenste kwaliteitseigenschappen, de niet-functionele eisen, maken projecten gebruik van de terminologie en categorisering uit NEN-ISO/IEC 25010. Projecten gebruiken NEN-ISO/IEC 25010 om te controleren of alle relevante kwaliteitseigenschappen van het op te leveren eindproduct worden meegenomen in de ontwikkeling en/of onderhoud van het product.
    M04: Het project borgt de correcte werking van het product met geautomatiseerde regressietests
    Regressietests - tests die verifiëren of eerder ontwikkelde software nog steeds correct werkt na wijzigingen in de software of aansluiting op andere externe koppelvlakken - zijn geautomatiseerd.
    M07: Het project gebruikt een continuous delivery pipeline om het product te bouwen, testen en op te leveren
    Er is een geautomatiseerde continuous delivery pipeline die aantoonbaar correct werkt en de software bouwt, installeert in de testomgevingen, test op functionele en niet-functionele eigenschappen en oplevert, al dan niet inclusief installatie in de productieomgeving.
    M16: Het project gebruikt tools voor vastgestelde taken
    ICTU stelt het gebruik van tools verplicht voor de volgende taken:
    1. backlog management en agile werken,
    2. inrichten en uitvoeren van een continuous delivery pipeline,
    3. monitoren van de kwaliteit van broncode,
    4. versiebeheer van op te leveren producten,
    5. release van software,
    6. maken van testrapportages,
    7. maken van kwaliteitsrapportages,
    8. controleren van de configuratie op aanwezigheid van bekende kwetsbaarheden,
    9. controleren van door de applicatie gebruikte versies van externe software op aanwezigheid van bekende kwetsbaarheden,
    10. statische controle van de software op aanwezigheid van kwetsbare constructies,
    11. dynamische controle van de software op aanwezigheid van kwetsbare constructies,
    12. controleren van container images op aanwezigheid van bekende kwetsbaarheden,
    13. testen van performance en schaalbaarheid,
    14. testen op toegankelijkheid van de applicatie,
    15. produceren van een "software bill of materials" (SBoM),
    16. opslaan van artifacten,
    17. registratie van incidenten bij gebruik en beheer, en
    18. bij het uitvoeren van operationeel beheer; uitrollen van de software in de productieomgeving.
    M08: Het project maakt technische schuld inzichtelijk en lost deze planmatig op
    Technische schuld is inzichtelijk en wordt planmatig aangepakt. De kwaliteitsmanager is verantwoordelijk voor het inzichtelijk maken van de technische schuld. De software delivery manager is verantwoordelijk voor het planmatig aanpakken van de technische schuld en zorgt dat het Scrumteam regelmatig en voldoende tijd heeft om technische schuld te voorkomen en op te lossen. Het Scrumteam is verantwoordelijk voor het zoveel mogelijk voorkomen van technische schuld en voor het identificeren van technische schuld die toch optreedt.
    M26: Het project laat de beveiliging van het ontwikkelde product periodiek beoordelen
    Projecten laten periodiek de beveiliging van de ontwikkelde software beoordelen. Een beveiligingsexpert onderzoekt de code zowel geautomatiseerd als handmatig op veelvoorkomende kwetsbaarheden en op het voldoen aan voorgeschreven beveiligingsnormen. Overheidsspecifieke beveiligingsnormen of -raamwerken, zoals de BIO (Baseline Informatiebeveiliging Overheid), bieden een basis voor de beoordeling. Bevindingen uit de beveiligingstest worden vastgelegd als onderdeel van de werkvoorraad voor het ontwikkelproces.

    Processen

    M14: Het project bereidt samen met opdrachtgevende organisatie en betrokken partijen de realisatie voor
    Projecten hebben een voorbereidingsfase, "voorfase" genoemd, voorafgaand aan de realisatiefase. Voor het uitvoeren van de voorfase zijn vertegenwoordigers van de opdrachtgevende organisatie, de beoogde beheerorganisatie en andere partijen betrokken die meewerken aan het realiseren van een deel van de op te leveren producten. Het doel van de voorfase is beeld krijgen van de te realiseren oplossing, van de risico's die zich tijdens realisatie kunnen voordoen en van de kaders waarbinnen de oplossing moet passen; tijdens de realisatiefase vinden bouw en onderhoud van de software en actualiseren en afronden van documentatie plaats.
    M21: Het project selecteert medewerkers op basis van kwaliteit
    Bij de inzet van medewerkers gaat kwaliteit boven andere aspecten, zoals beschikbaarheid, prijs en doorlooptijd.
    M23: Het project zorgt voor de aanwezigheid van ervaring met de Kwaliteitsaanpak
    De software delivery manager zorgt ervoor dat bij nieuwe projecten wordt gestart met ten minste twee projectleden die bekend zijn met de Kwaliteitsaanpak.
    M05: Het project hanteert een iteratief en incrementeel ontwikkelproces
    Projecten werken iteratief en incrementeel; dit betekent dat een project in korte iteraties werkt, waarbij elke iteratie een werkende versie van de software oplevert die extra waarde vertegenwoordigt voor de opdrachtgevende organisatie. Behalve de software werkt het project ook iedere iteratie alle andere producten bij. Elke iteratie worden verwachtingen en werkelijke resultaten vergeleken en wordt de werkwijze aangescherpt op basis van inzichten en bevindingen.
    M35: Het project hanteert een agile architectuuraanpak
    Tijdens de voorfase verwerkt het project de door de opdrachtgevende organisatie opgestelde projectstartarchitectuur (PSA) in een eerste versie van het softwarearchitectuurdocument (SAD). Tijdens de realisatiefase werkt het project het SAD bij op basis van nieuwe inzichten.
    M10: Het project kent een wekelijks projectoverleg
    De projectleider organiseert een periodiek projectoverleg. Dit overleg vindt wekelijks plaats en duurt niet langer dan een uur. Vereiste aanwezigen zijn de projectleider, de software delivery manager, de Scrummaster, een vertegenwoordiger uit elk van de Scrumteams en de kwaliteitsmanager van het project; andere aanwezigen kunnen zijn: de projectarchitect en de product owner. De agenda voor dit overleg bestaat ten minste uit de volgende onderwerpen: mededelingen, actie- en besluitenlijst, personele zaken, planning en voortgang, kwaliteit en architectuur, risico's en aandachtspunten.
    M28: Het project voert periodiek een self-assessment uit tegen de actuele versie van de Kwaliteitsaanpak
    De projectleider organiseert periodiek een self-assessment tegen de actuele versie van de Kwaliteitsaanpak en zet verbeteracties uit, waar nodig.
    M30: Het project identificeert, mitigeert en bewaakt risico's
    Het project identificeert, mitigeert en bewaakt projectspecifieke risico's voorafgaand aan en tijdens de projectuitvoering. Het project houdt een risicolog bij met geïdentificeerde risico's. De uitkomsten van de "Doordacht-van-Start-sessie", die al voorafgaand aan de start van het project wordt uitgevoerd, vormen het startpunt van deze risicolog. Risico's die tijdens de voorfase worden geïdentificeerd, bijvoorbeeld bij de productrisicoanalyse, worden toegevoegd aan de risicolog. Ook bij de start van de realisatiefase worden risicosessies gehouden met (vertegenwoordigers van) de belanghebbenden om verdere risico's te identificeren. Het project identificeert en implementeert mitigerende maatregelen danwel accepteert expliciet de geïdentificeerde risico's. Het project bewaakt de risicolog en uitvoering van de mitigerende maatregelen tijdens het IPO.
    M34: Het project draagt software beheerst over
    Als de software op enig moment door een andere partij dan ICTU verder ontwikkeld en/of onderhouden zal worden, draagt het project zorg voor een beheerste overdracht. Beheerdocumentatie, broncode en testmiddelen zijn van dusdanige kwaliteit en compleetheid dat de andere partij de software efficiënt en effectief kan doorontwikkelen en/of onderhouden.
    M27: Het project sluit projectfasen en zichzelf expliciet af
    Afsluiting van een projectfase gebeurt expliciet en gecontroleerd: alle producten, zoals documentatie, broncode, referentiedata en credentials, die in de af te sluiten fase nodig waren of zijn opgeleverd, worden gearchiveerd. Indien er geen volgende fase is voorzien op korte termijn, dienen alle producten van de laptops van de projectmedewerkers verwijderd te worden.

    Organisatie

    M29: ICTU organiseert voor aanvang van een project de interne dienstverlening
    Voordat ICTU een softwareontwikkelproject start, dat gaat werken conform de Kwaliteitsaanpak, maakt de beoogde ICTU-projectleider afspraken met de afdelingen ICTU Software Diensten (ISD) en ICTU Software Expertise (ISE) over de af te nemen dienstverlening.
    M19: ICTU biedt projecten een afgeschermde digitale omgeving
    ICTU geeft de projecten de beschikking over eigen, afgeschermde digitale omgevingen, waarbinnen ze de door het project ontwikkelde software en tools kunnen installeren en waartoe op een beheerste manier toegang wordt verleend.
    M18: ICTU biedt ondersteuning voor verplicht gestelde tools
    ICTU zorgt voor technische en functionele ondersteuning aan projecten bij het gebruik van alle verplichte tools.
    M11: ICTU beheert, onderhoudt en implementeert de Kwaliteitsaanpak en kwaliteitsnormen
    ICTU beheert, onderhoudt en implementeert de Kwaliteitsaanpak en de kwaliteitsnormen. Aanpassingen zijn gebaseerd op praktijkervaring, nieuwe inzichten en nieuwe mogelijkheden voor meting en analyse. Iedere medewerker kan wijzigingsvoorstellen indienen bij ICTU. ICTU behandelt de wijzigingsvoorstellen, kiest de te nemen actie bij elk wijzigingsvoorstel en legt de wijzigingsvoorstellen en besluiten vast.
    M12: ICTU publiceert nieuwe versies van de Kwaliteitsaanpak en normen periodiek en op een vaste locatie
    ICTU publiceert periodiek een nieuwe versie van de Kwaliteitsaanpak en/of de kwaliteitsnormen op een vaste, bekende locatie.
    M33: ICTU organiseert periodiek een gezamenlijke self-assessment ten aanzien van de Kwaliteitsaanpak
    ICTU organiseert periodiek een gezamenlijke self-assessment ten aanzien van de Kwaliteitsaanpak die inzicht geeft in de huidige status van de Kwaliteitsaanpak en aanleiding kan geven tot het nemen van maatregelen om de Kwaliteitsaanpak en de ondersteuning daarvan door ICTU te verbeteren.