ICT-beleid en standaarden 20080312 - Bigwobber...ICT-beleid en standaarden pagina 3 1.3 Leeswijzer...

ICT-beleid en standaarden

Gemeente Groningen I-platform Versie 1.0 Februari 2008

ICT-beleid en standaarden pagina 1

Inhoudsopgave Inhoudsopgave ............................................................................................................................................ 1 1 Inleiding ............................................................................................................................................... 2

1.1 Gebruik ........................................................................................................................................... 2 1.2 Beheer ............................................................................................................................................ 2 1.3 Leeswijzer ....................................................................................................................................... 3

2 Bedrijfsarchitectuur .............................................................................................................................. 4 2.1 Organisatie...................................................................................................................................... 4 2.2 Producten en Diensten .................................................................................................................... 5 2.3 Processen ....................................................................................................................................... 5

3 Informatie-architectuur ......................................................................................................................... 6 3.1 Applicaties....................................................................................................................................... 6

3.1.1 Frontoffice-applicaties ............................................................................................................. 7 3.1.2 Midoffice-applicaties................................................................................................................ 8 3.1.3 Bedrijfsvoeringsapplicaties en Basisregistraties....................................................................... 8 3.1.4 Kantoorautomatisering ............................................................................................................ 9

3.2 Gegevens........................................................................................................................................ 9 3.3 Gegevensuitwisseling.................................................................................................................... 10

4 Technische architectuur ..................................................................................................................... 12 4.1 Technische componenten.............................................................................................................. 12

4.1.1 Clients .................................................................................................................................. 12 4.1.2 Servers ................................................................................................................................. 12 4.1.3 Hardware .............................................................................................................................. 13

4.2 Gegevensopslag ........................................................................................................................... 13 4.3 Netwerk......................................................................................................................................... 14

5 Beheer en Ontwikkeling ...................................................................................................................... 15 5.1 Beheer .......................................................................................................................................... 15 5.2 Ontwikkeling.................................................................................................................................. 15

6 Beveiliging ......................................................................................................................................... 17 6.1 Beveiliging applicaties en gegevens .............................................................................................. 17 6.2 Beveiliging technische infrastructuur.............................................................................................. 17

Bijlage A Beheerorganisatie en procedures ................................................................................................ 20 A.1 Beheerorganisatie ..................................................................................................................... 20 A.2 Beheerprocedures..................................................................................................................... 20


1 Inleiding Dit document bevat een overzicht van het ICT-beleid en de ICT-standaarden van de gemeente Groningen. Dit beleid heeft vooral betrekking op de inrichting van applicaties, gegevens en ICT-infrastructuur. De

informatie in dit document is zowel voor de interne I&A-organisatie als voor leveranciers van belang.1 Voor

detailinformatie wordt in dit document verwezen naar gerelateerde achtergronddocumentatie. Er is alleen beleid opgenomen dat specifiek is voor de gemeente Groningen of dat afwijkt van landelijk of sectoraal beleid voor gemeenten, zoals de EGEM-referentiearchitectuur en NORA. Het beleid in dit document moet de aansluiting van de informatievoorziening bij de gemeentelijke processen en organisatie waarborgen evenals de inpassing in de bestaande applicatieportfolio en ICT-infrastructuur.

1.1 Gebruik

Dit document is bedoeld voor zowel extern als intern gebruik. Het document biedt globaal inzicht in het vigerende beleid en de Groningse I&A-omgeving. Bij intern gebruik heeft de inhoud een verplichtend karakter. Afwijking van het beleid of de standaarden kan alleen na toestemming van het Algemeen Management Team. Bij extern gebruik, met name bij aanbestedingen, dient het document vooral om te kunnen beoordelen of systemen en applicaties geschikt zijn om te functioneren binnen de organisatie, de applicatieportfolio en de technische infrastructuur van de gemeente Groningen en in hoeverre zij passen bij de Groningse ambities. Bij aanbestedingen zal door middel van selectiecriteria moeten worden beoordeeld in welke mate een aanbieding voldoet aan het gemeentelijk beleid en inpasbaar is in de gemeentelijke omgeving. Indien beleidsregels in dit document als eis zijn aangemerkt - per beleidsregel wordt dit aangegeven - dan betekent dit dat vanuit IM-optiek deze regels als “sterke wens” gelden, niet dat deze eisen ook dezelfde status hebben als de eisen in een aanbestedingsdocument. Aanbestedingseisen moeten expliciet worden verwoord in een bestek en de betreffende regels moeten worden geselecteerd voor zover ze relevant zijn voor de aanbesteding. Bij afwijking van het beleid zullen leveranciers moeten aangeven wat de personele of financiële consequenties zijn, zoals vereiste kennisopbouw, afwijkende procedures, specifieke integratie-oplossingen, en dergelijke. Waar in het document meerdere standaarden of producten worden vermeld is aangegeven welke de voorkeur hebben. Waar relevant zijn ook ontwikkelingen in het beleid vermeld.

1.2 Beheer

Dit document is onderdeel van het I-Handboek van de gemeente Groningen, waarin alle I&A-regelgeving is opgenomen. De beheerprocedures die nodig zijn om dit document actueel te houden zijn ook in dit handboek opgenomen. De Bestuursdienst, afdeling ConcernInformatieManagement (CIM), voert de regie over het I-Handboek. Bij deze afdeling kan ook een actueel exemplaar van dit document worden aangevraagd of worden gedownload van Gé-net. Bij intern gebruik kan nadere informatie over de inhoud worden verkregen bij de afdelingen BSD/CIM of DIA/CIO. Gemeente Groningen Bestuursdienst; afdeling CIM Postbus 20001 9700 PB Groningen 050-3677675

1 Regelgeving die alleen relevant is voor de interne organisatie, is in andere documenten opgenomen.


1.3 Leeswijzer

De regelgeving is ingedeeld naar onderstaand model:

Het algemene organisatiebeleid, voor zover dat van belang is voor de informatievoorziening, is opgenomen in hoofdstuk twee. Dit beleid vormt de globale organisatiecontext waarbinnen het ICT-beleid moet worden gelezen. Hoofdstuk drie geeft een overzicht van beleid en standaarden die voortvloeien uit de gemeentelijke informatie-architectuur, zoals de gewenste samenhang in applicaties, de keuzes van concernapplicaties en de standaarden voor gegevens en hun uitwisseling, en het beleid inzake open source en open standaarden. De inrichting van de technische infrastructuur, waaronder de standaarden voor hardware- en softwareplatformen, gegevensopslag en netwerken, staat beschreven in hoofdstuk vier. Specifiek beleid dat betrekking heeft op het beheer van de I&A-omgeving respectievelijk de beveiliging van deze omgeving, is verzameld in de hoofdstukken vijf en zes. Aangezien versies van producten en standaarden onderhevig zijn aan frequente veranderingen zij voor actuele versienummers verwezen naar de beheerorganisatie. Deze worden op aanvraag verstrekt. Er moet vanuit worden gegaan dat voor alle genoemde producten en standaarden de laatste en één na laatste versies actueel zijn.

Beveiliging 6

Beheer en Ontwikkeling 5

Bedrijfs Architectuur

2

Informatie Architectuur

3

Technische Architectuur

4

Wie Wat Hoe

Organisatie 2.1

Diensten Producten

2.2

Processen 2.3

Applicaties 3.1

Gegevens 3.2

Gegevens uitwisseling

3.3

Technische componenten

4.1

Gegevens opslag

4.2

Netwerk 4.3


2 Bedrijfsarchitectuur Voor een goed begrip van de organisatorische context waarbinnen de informatievoorziening van de gemeente Groningen moet functioneren, zijn hier enkele relevante beleidsuitgangspunten opgenomen.

2.1 Organisatie

De gemeentelijke organisatie is ingericht volgens een concern/diensten-model. Er zijn zeven sectoraal ingerichte diensten, die in hoge mate autonoom zijn. (Zie organogram) Elke dienst heeft een eigen middelenfunctie (“PIOFACH-taken”), maar de uitvoering van concerntaken is belegd bij de Bestuursdienst en bij de interne facilitaire dienst (die onderdeel is van de DIA).

Onderwerp Beleid

Organisatie- ontwikkeling

Management en bestuur stellen zich terughoudend op t.a.v. structuurwijzigingen in de organisatie. Verbeteringen worden vooral nagestreefd door de verbetering van bedrijfsprocessen, vergroting van hun samenhang en betere concernsturing.

Organisatie dienstverlening

Groningen kantelt haar dienstverleningsorganisatie niet, maar streeft naar logisch ingerichte frontoffices naar vier domeinen (en dus niet naar één publieksdienst of naar één klantcontactcentrum), t.w.:

• Publiekszaken (diensten op het gebied van burgerzaken en belastingen)

• Stad & Ruimte (diensten op het gebied van ruimtelijke ordening, milieu, bouwen en wonen, verkeer en parkeren, vergunningen)

• Mens & Welzijn (diensten op het gebied van werk en inkomen, zorg, welzijn, sport)

• Ondernemen & Bedrijf (diensten voor ondernemers) Een dienst omvat één of meer van deze logische frontoffices. Algemene producten en diensten kunnen bij elke dienst worden afgenomen (“no wrong door”-principe). (Zie “Visie Publieke Dienstverlening Groningen in 2010”)


Onderwerp Beleid Organisatie I&A-functie

De I&A-functie bestaat uit drie partijen. Iedere dienst heeft een eigen informatiemanagementfunctie. De centrale ICT Organisatie (CIO) is een afdeling van de Facilitaire Dienst. Deze treedt op als interne ICT-leverancier en heeft als primaire taken het beheer van de ICT-infrastructuur en enkele concernapplicaties. De afdeling ConcernInformatieManagement (CIM) bij de Bestuursdienst voert de integrale regie over de I&A-functie.

2.2 Producten en Diensten

Onderwerp Beleid

Elektronische diensten

Groningen wil geen koploper zijn bij de ontwikkeling van elektronische diensten, maar streeft wel naar een voorhoedepositie.

Groningen ontwikkelt haar elektronische diensten vooral ter vergroting van het gemak voor burgers en bedrijven en ter verlaging van de interne kosten. Elektronische dienstverlening heeft vooral prioriteit binnen de domeinen Stad en Ruimte en Publiekszaken.

2.3 Processen

Onderwerp Beleid

Processturing Dienstoverstijgende processen worden per dienst gestuurd.

Dienstverlenings processen

Front – en backofficeprocessen tbv dienstverlening worden zoveel mogelijk in samenhang ontwikkeld. Met name wordt gestreefd naar het voorkomen van frontoffice-ontwikkelingen die niet automatisch door de backoffice worden ondersteund.

Gebruik van basisgegevens

Het gebruik van gegevens in basisregistraties en kernregistraties2 is

verplicht. Hierbij geldt dat de afnemers van een registratie een terugmeldplicht hebben.

2 Onder een kernregistratie wordt verstaan: een centrale gegevensverzameling die door gebruikers uit meerdere diensten wordt gebruikt en door het AMT als zodanig is aangewezen. (Voorbeelden: personeelsregistratie, vastgoedregistratie, crediteurenregistratie, etc.)


3 Informatie-architectuur

Onderwerp Beleid Informatie-architectuur

De Groningse informatie-architectuur is gebaseerd op de Egem referentie-architectuur (zie www.egem.nl/kennisbank/architectuur-e-gemeente). De volgende architectuurprincipes zijn leidend voor de Groningse architectuur: 1. Klantvraag centraal 2. Eénmalige vastlegging; meervoudig gebruik 3. Marktconform 4. Efficiënte inrichting 5. Integreerbaar met de buitenwereld De informatie-architectuur is in aparte bestemmingsplannen uitgewerkt voor dienstverlening, basisregistraties, digitaal documentbeheer en bedrijfsvoering.

Open source en open standaarden (OSOSS)

Groningen hecht grote waarde aan de inzet van open source software en het gebruik van open standaarden, waardoor de volgende vier aspecten van openheid worden nagestreefd: 1) Leveranciersonafhankelijkheid

Oplossingen kunnen door meer partijen worden onderhouden en kunnen op verschillende platforms werken

2) Transparantie, controleerbaarheid en beheersbaarheid De werking van oplossingen is inzichtelijk om te voldoen aan de wettelijke bepalingen van de WBP, om audits uit te voeren en voor controle op de informatiebeveiliging

3) Interoperabiliteit Pakketonafhankelijke koppelingen en open standaarden volgens de OSOSS-definitie in toepassingsgebieden als tekstverwerking, middleware, mail, agenda en geografische informatiesystemen

4) Digitale duurzaamheid Oplossingen kunnen onderhouden worden door anderen dan de eerste leverancier en er is ruimte voor latere innovatie. De gegevensopslag is in een toekomstvast formaat.

3.1 Applicaties

Onderwerp Beleid Eis?

Browser-support Applicaties moeten browser-onafhankelijk en W3C-compliant zijn. √

Platform-onafhankelijkheid

Applicaties moeten zoveel mogelijk platformonafhankelijk zijn. Minimaal moet Linux en Windows worden ondersteund, waarbij de functionaliteit op beide platformen gelijk dient te zijn.

√

Koppeling obv open standaarden

Koppelingen tussen applicaties moeten gebaseerd zijn op open standaarden. Applicaties mogen niet afhankelijk zijn van het gebruik van andere applicaties, tenzij hiervoor open standaarden worden gebruikt.

√

Inzet open source Open source applicaties hebben bij gelijke geschiktheid de voorkeur. Bij ongelijke geschiktheid moet eerst worden nagegaan of het open source alternatief tegen lagere of vergelijkbare kosten vergelijkbaar kan worden gemaakt.

√

E-dienstverlening Voor elektronische dienstverlening moet gebruik worden gemaakt van de standaard applicaties voor de website, het e-loket, communities en de producten- en dienstencatalogus.

√

Ontsluiting Voor de ontsluiting van backoffice-applicaties moet gebruik worden √


backoffice applicaties

gemaakt van de beschikbare midoffice-applicaties.

Gebruik van basis- en kernregistraties

Voor gebruik van basis- en kerngegevens moet gebruik worden gemaakt van de beschikbare basis- en kernregistraties.

√

Gebruik van bedrijfsvoerings-applicaties

Voor de ondersteuning van de functies Personeel, Financieel, Inkoop, Facilities en DIV moet gebruik worden gemaakt van de beschikbare bedrijfsvoeringsapplicaties.

√

Gebruik van KA-applicaties

Voor de ondersteuning van kantoorautomatiseringsfuncties moet gebruik worden gemaakt van de beschikbare KA-pakketten.

√

In onderstaand model is de applicatie-architectuur voor dienstverlening gevisualiseerd. Deze vormt de structuur voor de regelgeving in dit hoofdstuk.

3.1.1 Frontoffice-applicaties

Component Standaard product Toelichting / ontwikkeling

Website Zie www.groningen.nl

Portal- en contentmanagement WBS (Factor-e) LeoCMS (Open source) RIS (Zylab)

Tbv website; wordt vervangen Tbv wijkwebsites; wordt vervangen Tbv raadsinfo

Zoekfunctie Google

Geografische presentatie Mapserver (open source) Open Layers (open source)

Elektronisch loket Zie www.eloket.groningen.nl

Web-intake E-base (Imtech) Reporter formulieren generator (FAM)

Voorkeur; standaardisatie loopt

Chatfunctie Live Business Chat (Livecom)

Afsprakenfunctie Q-Calendar/BAVAK (Q-


Matic)

Communities Community Generator (FAM)

Product- en dienstencatalogus PIGA (Infoprojects)

Klantrelatiemanagement Nog geen keuze gemaakt

3.1.2 Midoffice-applicaties


Zakenmagazijn Midoffice (Centric) Emaxx

Nog geen keuze voor een standaard voorziening gemaakt

Gegevensmagazijn BVG (Basis Voorziening Gegevens; eigen ontwikkeling)

Voorlopig ook in gebruik als gegevensmagazijn

Betalingen Ogone

Identificatie DigiD

Kennismanagement PKO (Centric)

Transactieplatform Nog geen keuze gemaakt

Message-broker Broker (Emaxx) Broker (Nesticus) MQ (Sonic)

Tbv workflow BO-applicaties Tbv workflow e-loket Tbv koppeling e-loket / Clear

Datadistributie DDS4All (Centric) BRS (GPR)

Tbv. integratie Centric-applicaties Tbv. Integratie GPR-applicaties

Enterprise Service Bus ESB (Software AG) Alleen tbv koppeling e-loket / Parkline. Keuze voor concern ESB nog niet gemaakt.

3.1.3 Bedrijfsvoeringsapplicaties en Basisregistraties

Component Standaard product Toelichting / Ontwikkeling

Financieel beheer FIS2000 (IBS) Wordt vervangen

Personeelsbeheer EMIS (IBS) Vervanging wordt overwogen

Inkoop Inkoopnet (Proquro van GPR)

Faciliteitenbeheer FMIS (Nordined)

Documentbeheer en archivering Hummingbird (Hummingbird)

Intranet Discovery Server (Green Valley)

Basisregistratie Personen Cipers (GPR) Nog geen keuze gemaakt voor basisregistratie

Basisregistratie Adressen en Gebouwen

BAG (Obterra)

Registratie Bedrijfsvestigingen Ammyyon (Ammyyon) Nieuwe vestigingenregistratie wordt overwogen

Registratie Percelen en Topografie

NGDW (NedGraphics)


3.1.4 Kantoorautomatisering


OSOSS-werkplek De overgang van de op Microsoft gebaseerde KA-omgeving naar een OSOSS-omgeving is in gang gezet. Applicaties die integreren met een KA-toepassing moeten dit op een dusdanige wijze doen dat dit ook mogelijk is met OSOSS-toepassingen.

√

Component Standaard product Toelichting / Ontwikkeling

Tekstverwerking Office XP 2002 / Word (MS) Het voornemen is te standaardiseren op Open Office.

Spreadsheet Office XP 2002 / Excel (MS) Het voornemen is te standaardiseren op Open Office.

Presentatie Office XP 2002 / Powerpoint (MS) Het voornemen is te standaardiseren op Open Office.

Database Office XP 2002 / Access (MS) Het voornemen is deze te vervangen door een Open Source-variant

Agenda Groupwise (Novell)

E-mail Groupwise (Novell)

Projectplanning Project (MS) Het voornemen is deze te vervangen door een Open Source-variant

Antivirus eTrust

Fotobewerking Photoshop (Adobe) Het voornemen is deze te vervangen door een Open Source-variant

Tekenpakket Visio (MS) Coreldraw (Corel) Autocad (Autodesk) MicroStation (Bentley)

Alleen voor informele flowcharts; niet voor procesdefinitie Algemeen tekenpakket Bouwkundige tekeningen Bouwkundige tekeningen Het voornemen is deze toepassingen te vervangen door een Open Source-variant

Procesbeschrijving Mavim (MAVIM)

Documentverwerking PDF-reader/writer (Adobe)

Authenticatie E-directory (Novell) IDM (Novell)

Synchronisatie accounts met wachtwoorden Active Directory beschikbaar Ontsluiting gegevens uit e-directory

3.2 Gegevens


Structuur en betekenis gegevens

De structuur en betekenis van gegevens moet gebaseerd zijn op de landelijke standaarden en modellen. (Zie onderstaande standaarden)

√

Gebruikersgegevens Voor de registratie van gebruikersgegevens moet gebruik worden gemaakt van de betreffende standaarden en voorzieningen

√


Gegevensmodellen en structuren

Standaarden Toelichting / ontwikkeling

Basisgegevens Stelselhandboek basisregistraties

Overheidsbrede standaard voor authentieke basisgegevens

Sectormodel RSGB Referentiemodel Stelsel van Gemeentelijke Basisgegevens

(opvolger GFO-BG); VNG-standaard. Zie www.egem.nl/ kennisbank/architectuur-e-gemeente/basisgegevens

Gegevensdefinitie en -structuur

StUF-BG StUF-Zaken StUF-Tax

De Stuf-standaard moet in combinatie met het sectormodel worden beschouwd. Zie www.egem.nl/kennisbank/informatievoorziening/uitwisseling/stuf

Geografische gegevens

NEN 3610 Basismodel Geo-informatie

IMRO Sectormodel voor ruimtelijke ordening/planologie

IMGeo Sectormodel voor grootschalige topografie

Gebruikersgegevens NCP LDAPS

e-directory secure LDAP

3.3 Gegevensuitwisseling


Uitwisseling gegevens

De uitwisseling van gegevens moet plaatsvinden op basis van open standaarden.

√

Communicatie tussen applicaties

De communicatie tussen applicaties en tussen applicaties en de buitenwereld moet gebaseerd zijn op berichtenuitwisseling

√

Gebruik van sleutels Er dient gebruik gemaakt te kunnen worden van de volgende identificerende sleutels voor het uitwisselen van gegevens: AON, BSN, FIN, INA, IOR, KvK, OZK en WIN. (Voor uitleg van de nummers, zie stelselhandboek basisgegevens.)

√

Gebruik van webservices

Het gebruik webservices voor de ontsluiting van backoffice-applicaties heeft de voorkeur

Structuur van gegevens

Voor de uitwisseling van gegevens is het gebruik van de StUF-standaarden, waar deze bestaan, verplicht.

√

Toegang documenten

Voor de toegang tot gearchiveerde documenten moet gebruik worden gemaakt van de gemeentelijke metadatset die is gebaseerd op de landelijke standaarden.

√

Onderwerp Standaard Opmerking/Toelichting

(Inter)gemeentelijke gegevensuitwisseling

StUF-BG StUF-Zaken StuF-Tax

StUf-standaarden zijn verplicht bij uitwisseling van gegevens

Gegevens producten en diensten

Samenwerkende catalogi

Richtlijnen websites www.webrichtlijnen.nl Drempels weg

Metagegevens documenten DC+ (Dublin Core) OWMS (Overheid.nl webmetadata-standaard) IPM (Internet Publicatie Model)


Berichtenprotocol tussen applicaties

SOAP

Portal-integratie JSR 168 (Java Specification Request) RSS (Really Simple Syndication)

Webservices definitie WSDL Beschrijvingstaal voor webservices

Structuur van berichten XML

Transport van berichten HTTPS Beveiligde verbinding, gebruik makend van 256 bits encryptie.


4 Technische architectuur


Gebruik van open standaarden en open source

Er wordt gestreefd naar een op open standaarden gebaseerde en besturingssysteem-onafhankelijke ICT-infrastructuur. Deze infrastructuur moet daarom zoveel mogelijk voldoen aan de volgende eisen: 1. Leveranciersonafhankelijkheid 2. Interoperabiliteit 3. Transparantie, controleerbaarheid en beheersbaarheid 4. Digitale duurzaamheid

√

4.1 Technische componenten

4.1.1 Clients


Besturingssysteem werkplek

De huidige werkplek PC’s zijn gebaseerd op Windows-XP. Er wordt gestreefd naar een werkplek die zowel Windows- als Linux-based kan zijn.

√

Component Standaard Toelichting / ontwikkeling

Besturingssysteem desktop Windows-XP Werkgroep model, de werk-stations zijn geen lid van een domein en beschikken alleen over Hoofdgebruikersrechten.

Browser Internet Explorer (MS) Zie ook onder 3.1 Browser support

Browser-plugins Flash (Macromedia) Shockwave (Macromedia) Quicktime (Apple)

Besturingssysteem Remote Clients

Windows 2000 / 2003 Terminal Services

Beheer Clients ZENworks for Desktops (Novell)

Printservices Open Enterprise Server (Novell) iPrint

4.1.2 Servers


Fileserver Open Enterprise Server (Novell)

Printserver Open Enterprise Server (Novell) iPrint

Webserver Apache IIS (MS)

Apache heeft de voorkeur.

Applicatieserver JBOSS TomCat (Apache)

JBOSS heeft de voorkeur.


Database server Oracle SQL Server (MS) My SQL (Linux) PostgresSQL

Oracle op Unix heeft de voorkeur

Directory services eDirectory (Novell) Active Directory (MS)

Primair Synchronisatie met e-Directory obv Identity Manager

Besturingssysteem servers Suse Linux Enterprise Server Windows 2003 (MS) AIX (IBM) AS400 (IBM)

icm Oracle databaseserver Platform wordt afgebouwd

4.1.3 Hardware


Printers Alle printers dienen netwerkfunctionaliteit te hebben en correct te functioneren in combinatie met i-Print (Novell).

√


Desktop Fujitsu Siemens 512 Mb RAM intern geheugen 80 Gb harde schijf 17 inch tft of groter Standaard schermresolutie is 1024 x 768. Hogere of lagere resoluties zijn niet mogelijk.

Laptop Fujitsu Siemens D9500 Fujitsu Siemens Lifebook E8410

Huidige laptops zijn voorzien van 512Gb Ram, 15” scherm, schermresolutie 1024x768, 80 Gb harde schijf, 100 Mb ethernetkaart. Nieuwe laptops zijn voorzien van 2 Gb Ram en 15,4” scherm. Lifebook alleen voor high end toepassingen.

Server HP Proliant DL380G5 Minimaal 4 GB RAM; minimaal 100 Mb ethernet; ILO2 module; Dualport Fibre Channel HBA

PDA en Smartphones

Palm

4.2 Gegevensopslag


Opslag van documenten

Voor de opslag van documenten bestaat aparte regelgeving. Zie het document Kaders Documentbeheer.

Opslag gegevens Voor de duurzaamheid en toegankelijkheid van gegevens moet gebruik gemaakt worden van open standaarden.

√

Formaten Standaard Opmerking/Toelichting

Formaat opslag tekst-documenten

ODF (ISO/IEC 26300), PDF, DOC, RTF

Formaat opslag spreadsheets XLS

Formaat opslag geluid WMA, MP3, WAV

Formaat opslag video MPG, FlashVideo


4.3 Netwerk

Component Standaard Toelichting / ontwikkeling

Hardware/Switch apparatuur CISCO

Tussen locaties/diensten GRONET-2 Intern gemeentelijk glasvezelnetwerk

Transport- en netwerkprotocol TCP/IP

Datalinkprotocol Ethernet

Snelheid netwerkverbindingen: (a) over de backbone (b) tussen servers (c) van en naar desktops

2 – 8 Gb 1 Gb of 100 Mb 100 Mb of 10 Mb

Beheer web-omgevingen VPN-verbinding met MS-Terminal Server of PuTTY

Monitoring netwerk en servers Nagios


5 Beheer en Ontwikkeling

5.1 Beheer


Hardware locks Hardware locks in de vorm van bijv. dongle’s of pc-gebonden software

zijn niet toegestaan. Software mag niet dusdanig gekoppeld zijn aan een specifieke server of desktop, dat het verplaatsen van de software naar andere hardware of het anderszins wijzigen van de server of desktop ingrijpen van de leverancier om licentie technische redenen vereist.

√

Licentiebeheer Software dient geautomatiseerd voorzien te kunnen worden van een licentie. Software die per werkstation gelicenseerd moet worden door middel van e-mail of een internet verbinding is niet toegestaan.

√

Softwaredistributie Voor alle software geldt dat deze volledig geautomatiseerd geïnstalleerd moet kunnen worden binnen de randvoorwaarden die in het kader van de beveiliging zijn gesteld. Een andere mogelijkheid is, dat de applicatie gerepackaged en gedistribueerd kan worden met behulp van Novell ZENworks for Desktops. Hierbij moet het mogelijk zijn om de applicatie zodanig aan te bieden dat de gebruiker er mee aan de slag kan, zonder dat er na de installatie handmatig wijzigingen door een beheerder aan de PC uitgevoerd moeten worden.

√

Hardware-onafhankelijkheid

Wanneer een applicatie of een OS voor het x86-platform is geschreven, dan moet de software ook geschikt zijn voor alle typen processoren die x86-compatibel zijn en redelijkerwijs geacht kunnen worden dezelfde performance te hebben. “Intel only” of “AMD only” software is onacceptabel.

√

Virtuele servers Een applicatie moet ook door de leverancier ondersteund worden wanneer deze draait op een virtuele server

√

Peer to peer software

Peer to peer software moet centraal beheerd kunnen worden √

Releaseheer conform ITIL

Software-releasebeheer mag niet strijdig zijn met het ITIL releasebeheerproces. (Bv. software die zichzelf of clients kan voorzien van updates, zonder dat dit uit te schakelen is, zijn onacceptabel.)

√

5.2 Ontwikkeling


Eigen ontwikkeling Applicaties moeten zoveel mogelijk als standaard pakket worden ingekocht. Eigen ontwikkeling moet worden beperkt tot specifieke toepassingen die niet verkrijgbaar zijn.

√

Open source ontwikkeling

Software die in eigen beheer of in opdracht wordt ontwikkeld (en waarvan de gemeente eigenaar van de broncode wordt) moet op een dusdanige wijze opgezet en gedocumenteerd worden dat het mogelijk is deze als open source toepassing aan te gaan bieden.

√


De volgende ontwikkeltools zijn standaard: Component Standaard product Toelichting / Ontwikkeling

Ontwikkelomgeving J2EE (Sun) .Net (MS)

Voorkeur

Programmeertaal Java Javascript ASP VB SQL PHP

Geografische presentatie Open Layers (Open source) Mapserver (Open source) Geo Web Solutions (GWS) Flexiweb (Bentley) FME

Voorkeur backoffice-toepassing Ingezet tbv applicatie BVG Conversietool

Rapportagetool Crystal Reports (Seagate) Impromptu (Cognos) Powerplay (Cognos)

Standaardisatie loopt Standaardisatie loopt

Statistische analyse Awstats Google analytics SPSS

Analyse gebruik websites Analyse gebruik websites


6 Beveiliging


Uitgangspunten beveiligingsbeleid

De kaders en maatregelen voor informatiebeveiliging zijn uitgewerkt in de documenten “Informatiebeveiliging: de kaders” en “Informatiebeveiliging: de maatregelen”

6.1 Beveiliging applicaties en gegevens


Beveiligings-architectuur

De volgende uitgangspunten voor de beveiligingsarchitectuur zijn leidend:

• Gebruik van het IAA-principe (Identificatie, Authenticatie, Autorisatie)

• Segmentering interne netwerk

• Gebruik van drie-lagenstructuur (DMZ) tussen interne en externe netwerk

√

Beveiliging gegevens

Gegevens moeten beveiligd worden conform de wet bescherming persoonsgegevens (WBP).

√

De betrouwbaarheid, integriteit en vertrouwelijkheid van informatie

moet gewaarborgd zijn. (Als basis voor het inrichten en onderhouden van maatregelen voor het waarborgen hiervan geldt de Code voor Informatiebeveiliging (ISO/IEC 17799:2005 en ISO/IEC 27001:2005)

√

Escrow overeenkomst

Voor (een deel van de) aan te schaffen closed source software dient

een escrow-overeenkomst aanwezig te zijn. De relevantie wordt

bepaald middels de classificatie van de informatiesystemen

√

6.2 Beveiliging technische infrastructuur


Werkplek Werkstations zijn niet opgenomen in een domein en beschikken niet

over bestand- en printerdeling voor Microsoft werken (geen server service aanwezig). Primaire authenticatie vindt plaats via Novell Edirectory.

Gebruikers hebben binnen Windows alleen “Hoofdgebruiker” bevoegdheden, applicaties moeten correct kunnen functioneren binnen deze beperkte privileges. Applicaties die niet juist functioneren zonder Administrator rechten, of die alleen gebruikt kunnen worden onder het Administrator account zijn niet toegestaan.

√

Voor alle software geldt dat deze volledig geautomatiseerd geïnstalleerd moet kunnen worden binnen de hierboven genoemde bevoegdheden. Installatie software dient in MSI formaat te worden aangeleverd of gerepackaged te kunnen worden. Ook voor software geleverd bij randapparatuur (bijv. scanner) gelden deze eisen.

√

Vbscripts zijn toegestaan, maar kunnen alleen worden uitgevoerd door daarbij de scripting engine wscript.exe te specificeren. De extensie .vbs is niet aan de vbs scripts toegewezen.


Gebruik van laptops Gebruik van laptops is alleen toegestaan als standalone, of via een fysieke aansluiting op één van de Gronet lokaties. In uitzonderingsgevallen kan de high end laptop worden voorzien van een UMTS verbinding, waarbij tevens de LAN aansluiting wordt uigeschakeld. Laptops worden verplicht voorzien van harde schijf encryptie door middel van SafeBoot.

√

DMZ De koppeling tussen het externe internet en het interne gemeentelijke netwerk moet passen in de beveiligde technische infrastructuur (DMZ). De DMZ is een netwerk-segment dat zich tussen het interne en externe netwerk – meestal Internet – bevindt. De DMZ kent een drie-lagen-structuur, t.w. een presentatielaag, een applicatielaag en een dabaselaag, incl. enterprise service bus. In onderstaand schema zijn de richtlijnen mbt gebruik van de DMZ aangegeven.

√

Koppeling datalaag en BO-applicaties

Het is niet toegestaan om vanuit de DMZ gegevensverzoeken actief door te sturen naar de backoffice-applicaties. Berichten voor de backoffice worden klaargezet in een database of messagequeue. Een backoffice-applicatie kan deze berichten op gezette tijden ophalen, tenzij er gebruikt wordt gemaakt van de Enterprise Service Bus constructie.

√

Internet-ontsluiting Het is niet toegestaan gebruik te maken van andere ontsluitingen naar of van het Internet dan de bovenbeschreven drie-lagen structuur. In onderstaande figuur is dit nader uitgelegd.

√

Beveiliging webdiensten

Uitgaand internet-verkeer kan alleen via http, https en passieve ftp waarbij het verkeer altijd door een proxy server gaat. De proxy maakt gebruik van authenticatie.

√

Beheer van web-omgevingen kan alleen via een VPN-verbinding, met een RDP-client (MS Terminal Server) of door middel van SSH (PuTTY)

√

Best practices De volgende software-constructies zijn vanuit beveiligingsoogpunt onacceptabel:

• Software waarbij de leverancier of producent een zogenaamde backdoor voor eigen gebruik heeft ingebouwd

• Applicaties of services die alleen functioneren onder het administrator-account, of waarvan het beheer-wachtwoord niet gewijzigd kan worden

• Applicaties gebaseerd op Microsoft SQL server die alleen functioneren wanneer ze gebruik maken van het SA account

• Applicaties gebaseerd op Oracle die alleen functioneren onder het sys of system account

• Software die alleen correct functioneert als de default beveiligingsinstellingen van het OS, de webserver, de firewall, de applicatieserver of de databaseserver worden verlaagd

• Applicaties die geen gebruik kunnen maken van een proxy server met authenticatie of gebruik maken van andere poorten dan 80, 443 of 21

• Systemen die gebruik maken van LM-authenticatie

• Authenticatie-mechanismen waarbij er geen beperking mogelijk is op het aantal foutieve inlog pogingen binnen een bepaalde tijd

• Authenticatie-mechanismen waarbij het wachtwoord niet gewijzigd kan worden, of in clear text verzonden wordt zonder deugdelijke vorm van encryptie (bv. http Basic Authentication zonder SSL, Telnet)

• Software waarbij de wachtwoorden zonder sterke encryptie worden opgeslagen binnen of buiten de applicatie

• Software die niet correct functioneert in combinatie met de door de leverancier van het OS, webserver, applicatieserver of

√


databaseserver aanbevolen security patches

• Software die niet correct functioneert in combinatie met een virusscanner of firewall

• Applicaties die niet netwerk-aware zijn. De applicatie functioneert bv. niet met UNC paden of het is niet mogelijk om de data op het netwerk op te slaan in plaats van op de client

• Applicaties of systemen die het netwerk bovenmatig belasten

• Applicaties die geen mogelijkheid bieden om de locatie van de data in te stellen

• Applicaties die alleen correct functioneren bij één bepaalde schermresolutie

• Applicaties die niet correct functioneren in combinatie met zwervende profielen (roaming users)

Bovenstaand model geeft een schets van de gewenste indeling van applicatielagen en hun interactie. Delen van dit model zijn momenteel in bewerking waardoor het model niet kaderzettend kan zijn. Vanuit beveilingsoogpunt is de beveiliginginfrastructuur hier niet in detail gespecificeerd.

1 Het internet mag met de presentatielaag communiceren en andersom middels gecontroleerde verbindingen en bepaalde poorten . 2 De presentatie laag mag met de applicatielaag communiceren en andersom. De applicatielaag mag niet initialiseren 3 De applicatielaag mag met de databaselaag communiceren en andersom. De databaselaag mag niet initialiseren. 4 De applicatielaag met de ESB communiceren en andersom. 5 De databases mogen vanuit de backoffice worden gerepliceerd. De databaselaag mag alleen via de ESB communiceren met de backoffice. 6 De ESB mag met de backoffice communiceren en andersom. 7 De applicatielaag mag contact maken met webservices van externe partijen middels veilige verbindingen. Deze verbindingen worden vanuit de 2

e laag geïnitieerd,

vervolgens zal er 2-richtingsverkeer kunnen plaatsvinden. 8 De Backoffice mag een VPN opbouwen naar het internet.

Presentatielaag

Applicatielaag

ESB Databaselaag

Internet

7

1

2

3 4

5 6

Backoffice

8

8


Bijlage A Beheerorganisatie en procedures

A.1 Beheerorganisatie

Het document ICT Beleid en Standaarden is onderdeel van het I-Handboek waarvan het beheer onder verantwoordelijkheid valt van de afdeling CIM van de Bestuursdienst. CIM heeft daartoe een beheerorgaan ingericht: de Beheerraad ICT Beleid en Standaarden. De Beheerraad voert het beheer uit namens het I-platform, dat verantwoordelijk is voor beleidsontwikkeling. In de Beheerraad ICT Beleid en Standaarden hebben vooralsnog de volgende functionarissen zitting:

• Concern informatie-architect BSD/CIM (voorzitter; verantwoordelijk voor samenhang van alle hoofdstukken en specifiek voor de inhoud van de hoofdstukken 2 (Bedrijfsarchitectuur), 3 (Informatie-architectuur)en 6.1 (Beveiliging applicaties en gegevens)) Deze functie wordt waargenomen door een beleidsadviseur van CIM zolang de functie niet is ingevuld.

• Twee dienst-informatiemanagers (verantwoordelijk voor de inhoud van hoofdstuk 3.1.1 (Frontoffice-applicaties), 3.1.2 (Midoffice-applicaties) en 3.1.3 (Bedrijfsvoeringsapplicaties))

• E-Adviseur BSD/Communicatie (verantwoordelijk voor internet-applicaties onder 3.1.1 (Frontoffice applicaties))

• Beleidsadviseur BSD/CIM voor OSOSS en KA (verantwoordelijk voor OSOSS-beleid in hoofdstukken 3 en 4 en voor 3.1.4 (Kantoorautomatisering))

• System Engineer CIO (verantwoordelijk voor 4.1 (Technische componenten), 4.3 (Netwerk), 5.1 (Beheer) en 6.2 (Beveiliging technische infrastructuur))

• Projectleider E-team (verantwoordelijk voor 5.2 (Ontwikkeltools))

• Changemanager CIO (verantwoordelijk voor toetsbaarheid document) De bovenstaande invulling van de Beheerraad is gebaseerd op de betrokkenheid van medewerkers bij de totstandkoming van de eerste versie. Met de ontwikkeling van nieuwe functies en rollen in de I&A-organisatie kan deze invulling worden herzien. Voor de bemensing van de Beheerraad wordt uitgegaan van de inzet van inhoudelijk deskundigen die verantwoordelijkheid kunnen nemen voor de keuzes van standaarden. De leden van de Beheerraad zijn zelf verantwoordelijk voor de afstemming met gerelateerde standaarden (bv. op gebied van DIV, Communicatie en Beveiliging).

A.2 Beheerprocedures

Beheer, onderhoud en publicatie De afdeling CIM van de Bestuursdienst is eindverantwoordelijk voor het beheer, onderhoud en publicatie van het document ICT Beleid en Standaarden. Het uitvoerend beheer wordt belegd bij de CIO, in lijn met het beheer van het I-Handboek. De nieuwste versie is te verkrijgen via het secretariaat van CIM (tsl. 7675) en te downloaden via Gé-Net. Het document wordt niet actief gedistribueerd. Gebruikers dienen zelf zorg te dragen voor een actueel exemplaar. Wel zal via het I-platform en Gé-net de beschikbaarheid van een nieuwe versie worden gemeld. Goedkeuring Wijzigingsvoorstellen worden door de Beheerraad voorgelegd aan het I-platform, die hierover adviseert aan het Controloverleg. Het AMT zal de eerste versie van het document goedkeuren. Beslissingen over volgende versies worden genomen door de directeur Middelen van de Bestuursdienst, die daartoe is gemandateerd door het AMT. Voor majeure wijzigingen wordt in overleg met het Controloverleg de goedkeuring van het AMT gevraagd.


Updates Van het document ICT Beleid en Standaarden wordt twee keer per jaar een nieuwe versie uitgebracht. De Beheerraad vergadert daartoe twee keer per jaar, in maart en in september. Wijzigingsvoorstellen worden binnen CIM en CIO verzameld door de verantwoordelijken in de Beheerraad en binnen CIM respectievelijk CIO tijdig intern afgestemd. De Beheerraad bespreekt vervolgens de wijzigingsvoorstellen. Er wordt gestreefd naar unanieme instemming, waarna de wijzigingsvoorstellen vervolgens door de beheerder worden verwerkt. Updates worden ter goedkeuring voorgelegd aan de directeur Middelen van de Bestuursdienst. In uitzonderlijke situaties kan bij gebrek aan overeenstemming geëscaleerd worden naar het Controloverleg.

ICT-beleid en standaarden 20080312 - Bigwobber...ICT-beleid en standaarden pagina 3 1.3 Leeswijzer...

Documents

Transcript of ICT-beleid en standaarden 20080312 - Bigwobber...ICT-beleid en standaarden pagina 3 1.3 Leeswijzer...