Kwaliteitsaanpak ICTU Software Realisatie · kwaliteitsplan X X deploybare versie van de software X...

29
Kwaliteitsaanpak ICTU Software Realisatie ICTU, v1.1.0

Transcript of Kwaliteitsaanpak ICTU Software Realisatie · kwaliteitsplan X X deploybare versie van de software X...

Page 1: Kwaliteitsaanpak ICTU Software Realisatie · kwaliteitsplan X X deploybare versie van de software X broncode ... gebaseerd op het ISR NFE-template. De beschrijving bevat in ieder

KwaliteitsaanpakICTUSoftwareRealisatieICTU,v1.1.0

Page 2: Kwaliteitsaanpak ICTU Software Realisatie · kwaliteitsplan X X deploybare versie van de software X broncode ... gebaseerd op het ISR NFE-template. De beschrijving bevat in ieder

1

Versiehistorie0.5 24-10-2016 Gedistribueerdeversie0.5.2 07-11-2016 Rationale,versiehistorie,periodiekprojectoverleg,producten

voorbereidingsfase0.5.3 14-11-2016 Diverseaanpassingenn.a.v.bespreking,maatregelvoortussentijdse

voorbereidingsfasetoegevoegd0.6 28-11-2016 Correcties,toevoegingrationale,M1enM2samengevoegd,M2enM16

vervallen,terminologievoorbereidingsfase,uitkomstendemo28-11-2016verwerkt

0.7 13-3-2017 Omschrijvingonderzoektijdensvoorbereidingsfaseuitgebreid(M1),rationaleondersteuningtoolsuitgebreid(M18),bookmarks,risicotaxonomie,kruisverwijzingen,bijlagemetISR-documenten,enmeer.

0.8 6-4-2017 ReviewdoorMatthijsMaatentaskforcekwaliteitsaanpakverwerkt.1.0 10-4-2017 Versie1.0.01.0.1 8-5-2017 Tweetussenkopjeswarenweggevallen;tabelmetdocumentenbeter

leesbaargemaakt1.0.2 9-5-2017 ReviewdoorDennieBoumanverwerkt;typo’sverbeterd1.1 7-11-2017 BIR-maatregelentoegevoegd

InleidingDitdocumentbeschrijftdekwaliteitsaanpakvanICTUSoftwareRealisatie(ISR).Dekwaliteitsaanpakheeftdriedoelstellingen:

1. Opdrachtgevershelpenbekenderisico’sbijsoftwareontwikkeling,zoalstechnischeschuld,vertragingendefecten,zoveelmogelijktevoorkomen.

2. ICTUhelpenomsoftwareteontwikkelendiedemissievanICTU,namelijkbijdragenaaneenbeteredigitaleoverheid,ondersteunt.

3. Deoverheidalsgeheelhelpenbijhetzogoedmogelijkontwikkelenvansoftware.Dekwaliteitsaanpakzelfisgeformuleerdindevormvanmaatregelendieelkesoftware-ontwikkelendeorganisatiekantreffenomrisico’svansoftwareontwikkelingtemitigerenendekansopsuccesvollesoftwareontwikkelingen-onderhoudsprojectentevergroten.Demaatregelenzijnbeschreveninalgemenetermen.WaarvantoepassingisookdeICTU-specifiekeinvullingvandemaatregeltelkensseparaatbijgevoegd.

Deonderstaandebeschrijvingvandekwaliteitsaanpakisgebaseerdopdehuidigeaanpakvansoftwareontwikkelingen-onderhoudbijICTU.Dezekwaliteitsaanpakisexplicietbedoeldalseenevoluerendeaanpak,dieverbeterdwordtopbasisvanpraktijkervaringenbijICTUen-optermijn-andereorganisaties.

LeeswijzerDeKwaliteitsaanpakICTUSoftwareRealisatieisbedoeldvoorprogrammatuurengerelateerdeproducten,voorprocessenwaarbinnendieproductenwordengerealiseerdenvoordeoverkoepelendeorganisatiewaarinopprojectbasiswordtgewerkt.Ditbetekentdatdezekwaliteitsaanpakbetrekkingheeftopdiedrieaspectenvansoftwareontwikkeling:

● Producten–Heteerstedeelvandekwaliteitsaanpakbetreftdeeigenschappenvande

Page 3: Kwaliteitsaanpak ICTU Software Realisatie · kwaliteitsplan X X deploybare versie van de software X broncode ... gebaseerd op het ISR NFE-template. De beschrijving bevat in ieder

2

ontwikkeldeproducten.Debroncodevalthieronder,maarookalleandereproducten,zoalsdocumentenentestscripts.

● Processen–Hettweededeelvandeaanpakbetrefthetontwikkelproces;ditgaatoverwerkwijze,gebruikvanhulpmiddelenenprojectaanpak.

● Projectenorganisatie–Hetderdedeelvandekwaliteitsaanpakheeftbetrekkingopdeoverkoepelendeontwikkelorganisatiewaarbinnenprojectenwordenuitgevoerd(bijICTUisdatdeafdelingICTUSoftwareRealisatie(ISR));ditgaatoverdesamenhangtussenprojectenendefaciliteitendieprojectenterbeschikkingmoetenhebben.

DedrieaspectenkomenhieronderinmeerdetailaanbodindevormvanmaatregelendieISRheeftgetroffenomderisico’sdiesamenhangenmetsoftwareontwikkelingtemitigeren.Bijlage1beschrijftderelatietussenrisico’senmaatregelen.

Debeschrijvingvanelkemaatregelisvoorzienvaneenrationale:waarombehoortdemaatregeltotdekwaliteitsaanpak?IngevallenwaarbijeenmaatregeleenspecifiekeinvullingheeftbijISR,isdaarvooreenaparteparagraafvooropgenomen.

Bijdeomschrijvingvandemaatregelenisgebruikgemaaktvandevolgende"rollen"omaantegevenwieverantwoordelijkheiddraagtvoorhetuitvoerenvandemaatregelen:

● Projectenorganisatie(bijICTU:deafdelingICTUSoftwareRealisatie(ISR))● Hoofdprojectenorganisatie(bijICTU:afdelingshoofdISR)● Project(bijICTU:projectincl.Scrumteam(s))● Projectverantwoordelijke(bijICTU:softwaredeliverymanageren/ofprojectleider)● Kwaliteitsmanager(bijICTU:‘qualitylead’)

Producten

M25RandvoorwaardelijkeproductenVooraanvangvandevoorbereidingsfasevaneenproject(zieM14Projectensplitsenineenvoorbereidingsfaseeneenrealisatiefase)steltdeopdrachtgeverdevolgendeproductenbeschikbaar:

● eenrecentebusinessimpactanalyse(BIA)voorhetteondersteunenproces,● eenrecenteprivacyimpactanalyse(PIA)voorhetteondersteunenprocesofeenverklaring

dateenPIAnietnodigis.

RationaleEenBIAeneventuelePIAzijnrichtinggevendvoordeindevoorbereidingsfaseteselecterenbeveiligingsmaatregelen.IneenBIAlegtdevragendeorganisatievasthoebelangrijkinformatiebeveiligingisvoordeeigenbedrijfsvoering/processen.Naastdegevoeligheidvoorincidentenkomthierinookde‘riskappetite’vandeorganisatietotuiting.Alleendeorganisatiezelfkanhierovereenuitspraakdoen.IneenPIAlegtdevragendeorganisatievastwatdeprivacy-gevoeligheidisvandegegevensdieineenproces(ofsysteem)wordenverzameldenverwerkt.Zichtopprivacygevoeligegegevensenhet(laten)treffenvanadequateenafdoendebeschermingsmaatregeleniseenwettelijkeplichtdieeen

Page 4: Kwaliteitsaanpak ICTU Software Realisatie · kwaliteitsplan X X deploybare versie van de software X broncode ... gebaseerd op het ISR NFE-template. De beschrijving bevat in ieder

3

organisatienietaaneenanderepartijkanoverdragen.M01OpteleverenproductenProjectenzijngesplitstineenvoorbereidingsfaseeneenrealisatiefase(zieM14Projectensplitsenineenvoorbereidingsfaseeneenrealisatiefase).Deonderstaandetabel(zievolgendepagina)benoemtdeproductendieeenprojectindiefasenmoetopleveren;allefasenkennenspecifiekeproducten.

Alstijdenseenprojectbestaandesoftwaredienttewordenafgebouwd,onderhoudenen/ofherbouwd,vindteenonderzoekplaatsnaardecompleetheidvandebestaandesoftwareproductenaandehandvandeonderstaandetabel(inclusiefdedeliverablesindekolomrealisatiefase)enwordtdekwaliteitvandebestaandesoftwareproductengetoetst(M02Continuvoldoenaankwaliteitsnormen).Ditonderzoekisonderdeelvandevoorbereidingsfaseenwordtuitgevoerddoorvertegenwoordigersvandeprojectenorganisatieenmedewerkersvanhetdesbetreffendeproject.

Page 5: Kwaliteitsaanpak ICTU Software Realisatie · kwaliteitsplan X X deploybare versie van de software X broncode ... gebaseerd op het ISR NFE-template. De beschrijving bevat in ieder

4

Product Voorbe-reidings-fase

Voorbe-reidings-fasemetonderzoek

Realisatie-fase

beschrijvingvanfunctioneleeisen X X X

beschrijvingvanniet-functioneleeisen X X X

ontwerp-enarchitectuurdocumentatie(software,interactie,infrastructuur)

X X X

testdocumentatie:testplannen X X X

testdocumentatie:testgevallen,rapportages X

informatiebeveiligingsplan X X X

projectplan X X

kwaliteitsplan X X

deploybareversievandesoftware X

broncode,inclusiefdebenodigdhedenvoorhetbouwenvandesoftware

X

regressietests,inclusiefdebenodigdhedenvoorhetuitvoerenvanderegressietesten

X

vrijgaveadvies X

releasenotes X

deploymentdocumentatie X

uitkomstenonderzoek(bevindingen,risico’s,mitigerendemaatregelen)

X

transitieplanvooraftebouwen,teonderhoudenen/ofteherbouwensoftwareproducten

X

planvooraflossentechnischeschuld,indienvantoepassing

X

Allehierbovengenoemdeproductenvoldoenaandevantoepassingzijndekwaliteitsnormen(M02Continuvoldoenaankwaliteitsnormen)enzijnactueelenonderlingconsistent.

Alstijdensderealisatiefasevaneenprojecteengroteaanpassingvandescopevanhetprojectmoetplaatsvinden(bijvoorbeeldhetrealiserenvaneenextraapplicatie),vindtaanvullendevoorbereidingplaatsomdeeerderopgesteldedocumentenuittebreidenen/ofaantepassen.

Page 6: Kwaliteitsaanpak ICTU Software Realisatie · kwaliteitsplan X X deploybare versie van de software X broncode ... gebaseerd op het ISR NFE-template. De beschrijving bevat in ieder

5

Alstijdensderealisatiefasevaneenprojectnognieteerderonderzochtesoftwareproductenmoetenwordentoegevoegdaandescopevanhetproject,vindteraanvullendonderzoekplaatsnaardezesoftwareproducten.Ditonderzoekkanertoeleidendateerderopgesteldedocumentenuitgebreiden/ofaangepastmoetenworden.

RationaleHetuniformerenvanopteleverenproductenbiedtvoordelenvoorplanning(hetisbekendwelkeproductengemaaktmoetenworden),voorbemensing(hetisbekendwelkeexpertisenodigis)envoorhetuitwisselenvanmedewerkers.

Devoorgeschrevenproductenstellendeontvangerinstaatomdeopgeleverdesoftwareuittevoeren,tebeherenenteonderhouden.Daarnaastisduidelijkwelkeeventueelopenstaandepuntenernogzijn.Devoorgeschrevenproductenbiedenvoldoendeverantwoordingrichtingdeontvangervooruitgevoerdewerkzaamheden.

Degenoemdeproductenuitdevoorbereidingsfasehebbentotdoelomenerzijdsdeomvang,kostenendoorlooptijdvanderealisatiefasetekunnenschattenenanderzijdsomdekadersvoorderealisatiefasetebepalenzodatdescope,aanpakenoplossingsrichtingingrotelijnenbekendzijn.

ISRISRhanteertdevolgendedocumenten,templatesendocumentstandaarden:

● Debeschrijvingvanniet-functioneleeisenisgebaseerdopISO-25010,BIRenSSD,enbevateenprioriteringvandeniet-functioneleeisen.Debeschrijvingvanniet-functioneleeisenisgebaseerdophetISRNFE-template.Debeschrijvingbevatiniedergevaleisenaantoegangsbeveiliging,aanbeheerfuncties,aanloggingenaanhetgewenstegedragvandesoftwarebijuitvalvaninfrastructureledienstenzoalseenlog-server;

● Debeschrijvingvanfunctioneleeisenbestaatuiteengeprioriteerdebacklogmetepicsen/ofuserstories.Debeschrijvingbevatiniedergevaleisenvoor(ondersteuningvan)beheerfunctiesdiedoordebeoogdbeheerdergesteldwordenenvoorlogging,inclusiefde(globale)inhoudvanteloggenbusinessevents(gebeurtenissenopprocesniveau)endedaarvoorgeldendebewaartermijnen;

● Deontwerp-enarchitectuurdocumentatiebestaatuiteenprojectstartarchitectuur(PSA),eensoftwarearchitectuurdocument(SAD),eeninfrastructuurarchitectuur(IA),eenglobaalfunctioneelontwerp(GFO)bijvoorbeeldindevormvanusecases,eneenprototypeen/ofinteractieontwerp.DeSAD,IAenGFOzijngebaseerdopdeISR-templates.Dearchitectuurdocumentenmoetenexplicietinzichtelijkmakenhoeaandeniet-functioneleeisenwordtvoldaandooruittewerkenwelke(beveiligings)mechaniekengekozenzijn,bijvoorbeeldvooridentificatie,authenticatie,autorisatie,versleutelingoflogging.;

● Detestdocumentatiebestaatuiteenmastertestplan,gemaaktopbasisvaneenproductrisicoanalyse(PRA).Beveiligingstestenzijneenintegraalonderdeelvanhetmastertestplanenwordenalszodanigafgestemdmetdeopdrachtgever;

● Hetinformatiebeveiligingsplanisgebaseerdopeendreigingen-enkwetsbaarhedenanalyse(TVA,threatandvulnerabilityassessment)enbevateenmaatregelenselectieinformatiebeveiliging.DeTVAwordttijdensdevoorfaseopgesteldopbasisvanderesultatenvandeBIA,deeventuelePIA(ziemaatregelM25Randvoorwaardelijkeproducten)eninhoudvandeontwerp-enarchitectuurdocumentatie.EenTVAleverteendeelvaneentraceerbare

Page 7: Kwaliteitsaanpak ICTU Software Realisatie · kwaliteitsplan X X deploybare versie van de software X broncode ... gebaseerd op het ISR NFE-template. De beschrijving bevat in ieder

6

onderbouwingvoordetetreffenbeveiligingsmaatregelen.● Hetvrijgaveadviesbevattenminsteallenogopenstaandetestbevindingenen

geconstateerdebeveiligingsbevindingen.ZieookmaatregelM26PeriodiekebeoordelinginformatiebeveiligingenM16Verplichtetools.Indienerbeveiligingsissueszijn,zijndezevoorzienvaneenbeschrevenvoorzieneimpact.

● Dedeploymentdocumentatiebevatinformatieoverdeeisendieeenapplicatiesteltaaneenomgevingendestappendienodigzijnomdeapplicatieindieomgevingveiligteinstallerenenconfigureren.DedocumentatiebevatdaartoeondermeeraanwijzingenvoordeHTTP-headerenrequestconfiguratievandewebserverenvoorhetverwijderenvanoverbodigeheader-informatiezoalsde'Server'-header.Ookzijneraanwijzingenvoorveiligeconfiguratie(s)van(externe)toegangtotdebeheerinterface.Dedocumentatiebevatdaarnaastiniedergevaleenbeschrijvingvandeprotocollenenservicesdiedeapplicatieaanbiedt,deprotocollen,servicesenaccountsdiehetproductgebruiktendeprotocollen,servicesenaccountsdiedeapplicatiegebruiktvoorbeheer.

ZieBijlagedocumentenvoormaatregelM1vooreenuitgebreideroverzichtvandedocumentenendocumentstandaardendieISRhanteert.HetgenoemdeonderzoekvoertISRuitalsonderdeelvaneen“duediligence”.Eenduediligencewordtuitgevoerdinsamenwerkingmeteenpotentiëleopdrachtgeverenbiedt,naasthetgenoemdeonderzoek,ookdeopdrachtgeverdekanszicheenoordeeltevormenoverdewerkwijzevanISRendeverwachtesamenwerking.

M02ContinuvoldoenaankwaliteitsnormenProductenvoldoenvanafdestartvaneenprojectaandedoordeprojectenorganisatievastgesteldekwaliteitsnormen.Indienhieraannietvoldaanwordt,wordthersteldaarvanplanmatigopgepakt(zieookM08Technischeschuld).Dekwaliteitsnormenzijnindezeversievandekwaliteitsaanpaknognietopgenomen.

RationaleHetdirectencontinuvoldoenaandekwaliteitsnormenbeperkttoekomstigehersteltijd.Hetdwingttevenseenstructurelekwaliteitscontroleaf.

ISRBijISRwordttijdensdevoorfasehetvoldoenaandekwaliteitsnormenmetbehulpvanreviewsgecontroleerd.Tijdensderealisatiefasevanprojectenwordthetvoldoenaandekwaliteitsnormendiversemalenperuurgemetendoorhet“Kwaliteitssysteem”.Hetprojectkijktdagelijksoferafwijkingenvandenormenzijnenonderneemtactieindiennodig.Ookdekwaliteitsmanagersignaleertafwijkingenenmeldtdezebijhetproject.DeICTU-specifiekeinvullingvandekwaliteitsnormenistevindeninhethelpmenuvandegeautomatiseerdekwaliteitsrapportagesvanICTU.

M03TraceerbaarvoldoenaaneisenEisenzijnwederzijdstraceerbaarnaarbewijsmateriaal,zoalslogischetestgevallen,datdeeisgerealiseerdis;datwilzeggendatgeadministreerdisbijwelkeeisbewijsmateriaalhoortenviceversa.Ditwordtwaarmogelijkmettoolingondersteund.

Page 8: Kwaliteitsaanpak ICTU Software Realisatie · kwaliteitsplan X X deploybare versie van de software X broncode ... gebaseerd op het ISR NFE-template. De beschrijving bevat in ieder

7

RationaleDooreisenentestgevallentekoppelenentraceerbaartemaken,ishetmogelijkdedekkingvanteststenopzichtevaneisentebepalen.

ISRFunctioneleeisenindevormvanuserstorieszijngekoppeldaanlogischetestgevallen.Ontwerpdocumentatieindevormvanusecasesisgekoppeldaanlogischetestgevallen.ISRgebruikthiervoorJira.Logischetestgevallenzijngekoppeldaanfysieketestgevallen.Defysieketestgevallenwordengeannoteerdmeteenidentifiervandelogischetestgevallen.Hetprojectisverantwoordelijkvoorhettraceerbaarvoldoenaandeeisen.

Niet-functioneleeisenzijngekoppeldaanonderanderesoftwarearchitectuurdocument,mastertestplanendetailtestplannen.Detraceerbaarheidhiervanis(nog)nietgeadministreerdmetbehulpvantooling.

M04GeautomatiseerderegressietestsRegressietests-testsdieverifiërenofeerderontwikkeldesoftwarenogsteedscorrectwerktnawijzigingenindesoftwareofaansluitingopandereexternekoppelvlakken-zijngeautomatiseerd.

RationaleHandmatiguitgevoerderegressietestszijnarbeidsintensief,foutgevoeligenafhankelijkvandeaanwezigheidvanspecifiekemedewerkers.Geletopdevrijwelcontinuemetingenopenleveringenvandeprogrammatuur,zijndenadelenvanhandmatigeregressietestsnietacceptabel.Doorzeteautomatiserenzijnzeherhaalbaarenkunnenzeonderdeeluitmakenvande“continuousdeliverypipeline”(zieM07Continuousdeliverypipeline).

ISRISRhanteerteennormvoordedekkingvanregressietests.

M26PeriodiekebeoordelinginformatiebeveiligingProjectenlatenperiodiekeenbeveiligingstestuitvoeren.Decodewordtzowelgeautomatiseerdalshandmatigonderzochtopveelvoorkomendekwetsbaarhedendooreenbeveiligingsexpertvanbuitenhetproject.Deprojectorganisatiezorgtervoordatdezeexpertiseopafroepbeschikbaargesteldwordtaanprojecten.Bevindingenuitdebeveiligingstestwordenvastgelegdalsonderdeelvandewerkvoorraadvoorhetontwikkelproces(ziemaatregelM05Iteratiefenincrementeelontwikkelproces).

RationaleDoorhetinschakelenvanactuele,specifiekeexpertisewordtdekansvergrootdateventuelekwetsbaarhedenindegerealiseerdesoftwaretijdigherkendworden.Doordatdeprojectenorganisatiedezeexpertisebeschikbaarstelt,wordtvoorkomendatindividueleprojectendatiedervoorzichmoetendoenéndatbeveiligingstestenalsgevolgvan(tijds)drukbinnenprojectenovergeslagenworden.

ISRSoftwarewordtminimaalbijiederegrotereleaseoftenminstetweekeerperjaaronderworpenaaneenbeveiligingstestdoorbeveiligingsexpertsdieISRdaarvoorinhuurt.Opbasisvandocumentatie-enarchitectuurstudie,crystalboxsecurityaudits(broncodescan)enpenetratieauditsbeoordelen

Page 9: Kwaliteitsaanpak ICTU Software Realisatie · kwaliteitsplan X X deploybare versie van de software X broncode ... gebaseerd op het ISR NFE-template. De beschrijving bevat in ieder

8

dezeexpertsofdesoftwarevoldoetaandeprojectspecifiekeniet-functioneleeisendiemetbetrekkingtotbeveiligingaandesoftwarezijngesteld,ofbekendekwetsbaarheden(OWASP)vermedenzijneninhoeverrevoldoendeinvullinggegevenisaandenormenvanuitdievanuitBIRenSSDgelden.

Indiendoordeopdrachtgevergewenstkunnensecuritytestendooreenonafhankelijkederdepartijwordenuitgevoerdineendaarvoordoordeopdrachtgeverbeschikbaargesteldeomgeving.Ditkanzowelincidenteelalsstructureelwordeningericht.Afsprakenhieroverwordenbijvoorkeuralindevoorbereidingsfasegemaakt.

Debeveiligingstestenvindenplaatsinaanvullingopdedoortoolsuitgevoerdecontinuebeveiligingsanalysevandegerealiseerdesoftware,ziemaatregelM16Verplichtetools.BevindingenuitzoweleenbeveiligingstestalsdecontinueanalysewordeninJiraalsissue–gemarkeerdalsbeveiligingsbugreport–vastgelegdopdebacklogvanhetproject.

Processen

M05IteratiefenincrementeelontwikkelprocesProjectenwerkeniteratiefenincrementeel;ditbetekentdateenprojectinkorteiteratieswerkt,waarbijelkeiteratieeenwerkendeversievandesoftwarewordtopgeleverddieextrawaardeoplevertvoordeopdrachtgever.Behalvedesoftwarewordeniedereiteratietelkensookalleandereproducten(ZiemaatregelM01Opteleverenproducten)bijgewerktenopgeleverd.Elkeiteratiewordenverwachtingenenwerkelijkeresultatenvergelekenendewerkwijzeaangescherptopbasisvaninzichtenenbevindingen.Ditleidttoteenzichcontinuverbeterendproces.

RationaleHetwerkeniniteratiessluitaanbijdebestaandeonzekerheidrondomrequirements.Inveelgevallenzijnrequirementsnietpreciesgedefinieerd.Verderishetbijsturen,bijvoorbeelddoorveranderdeinzichtenofomstandigheden,ineeniteratiefprocesbetrekkelijkeenvoudig.

Deincrementeleopleveringlevert(vrijwel)iedereiteratietoegevoegdewaardeensteltopdrachtgevers,gebruikersenandereninstaatomgaandewegervaringoptedoenenbijtesturen.Verderdwingthetvroegtijdigetestsenkwaliteitscontrolesaf,diedaarmeeverankerdwordeninhetontwikkel-enonderhoudsproces.Doornaastdesoftwaretelkensookalleandereproductenbijtewerkenenopteleverenwordtbereiktdathetproductalsgeheelconsistentblijftendatergeenachterstalligonderhoudontstaat.

ISRISRgebruikthiervoorScrum,eenraamwerkvoorproductontwikkeling.ISRpropageertdekernwaardenvanScrumenvereistdevolgendeScrum-aspecten:

● Scrumteambestaanduitproductowner,ontwikkelteamenScrummaster,● Proces:dailyscrum,sprints,sprintplanning,sprintreview,sprintrefinement,● DefinitionofDone,● DefinitionofReady,● Productbacklog.

VastonderdeelvandeDefinitionofDoneisdatproductenactueelenonderlingconsistentzijn(M01Opteleverenproducten)envoldoenaandedoordeprojectenorganisatievastgestelde

Page 10: Kwaliteitsaanpak ICTU Software Realisatie · kwaliteitsplan X X deploybare versie van de software X broncode ... gebaseerd op het ISR NFE-template. De beschrijving bevat in ieder

9

kwaliteitsnormen(M02Continuvoldoenaankwaliteitsnormen).M06FrequentemetingHetvoldoenaandekwaliteitsnormendiegeautomatiseerdgemetenkunnenworden,wordtfrequent–minimaaléénkeerperdag–gemeten.Deprojectenorganisatievoorziethierin(mensenenmiddelen).

RationaleVaakmetenmaakteenvrijwelactueelinzichtopelkmomentmogelijk.Projectledenkunnensnelreagerenopafwijkingen,dieinderegelookpasrecentzijnontstaanendusmeestalgerelateerdzijnaanhuidigeactiviteiten.Metnameafwijkingenvandenormenophetvlakvaninformatiebeveiligingkomenzosnelaanhetlichtenkunnendanooksnelwordenbeoordeelden–indiennodigenmogelijk–opgelost.

ISRBijeenISR-projectishetvoldoenaandenormenonderdeelvande“DefinitionofDone”enwordthetvoldoenaankwaliteitsnormenmeermaalsperuurgemeten.Projectennemendekwaliteitsrapportagedoortijdensdestand-upentijdenshetwekelijksprojectoverleg.

M07ContinuousdeliverypipelineEriseengeautomatiseerdecontinuousdeliverypipelinedieaantoonbaarcorrectwerktentenminstedevolgendeactiviteitenuitvoert:

● bouwvandesoftware,● kwaliteitscontroles,● regressietests,● performancetests,● beveiligingstests,● unittests,● installatievandesoftware,● opleveringvanhettotaleproduct,dusinclusiefalledeliverables,indevormzoalsbruikbaar

voorenafgesprokenmetdeopdrachtgever.Deprojectenorganisatievoorzietinmensenenhulpmiddelen,zodatprojectendezepipelinekunnentoepassen.Projectenzijnverantwoordelijkvoordecorrectewerkingvandepipeline.

RationaleSoftwareincrementeelopleveren(zieM05Iteratiefenincrementeelontwikkelproces)vereistdatdesoftwarefrequentgebouwd,getestenopgeleverdkanworden.Omditefficiëntenfoutvrijtedoen,dienthetprocesvanbouwen,testenenopleverengeautomatiseerdtezijn;eencontinuousdeliverypipelinefaciliteertdit.

ISRISRgebruiktJenkinsofTeamFoundationServer(TFS)alstoolvoordeimplementatievandecontinuousdeliverypipeline.DeISRreleasemanagerondersteuntdelaatstestap(opleveringvanhettotaleproduct).

Page 11: Kwaliteitsaanpak ICTU Software Realisatie · kwaliteitsplan X X deploybare versie van de software X broncode ... gebaseerd op het ISR NFE-template. De beschrijving bevat in ieder

10

M08TechnischeschuldTechnischeschuldisinzichtelijkenwordtplanmatigaangepakt.Dekwaliteitsmanagerisverantwoordelijkvoorhetinzichtelijkmakenvandetechnischeschuld.Deprojectverantwoordelijkeisverantwoordelijkvoorhetplanmatigaanpakkenvandetechnischeschuld.

RationaleDeaanwezigheidvantechnischeschuldheeftnadeligeinvloedopdekwaliteitvandeeindproducten.Anderzijdsishetontstaanvantechnischeschuldgedurendeeenprojectvaakonvermijdelijk.Hetisdaarnaastookmogelijkdateendeelvandetechnischeschuldbijaanvangvanhetprojectalbestondenmogelijknietwordtopgelost.Inallegevallenishetverstandigomtewetenwelketechnischeschuldbestaat.Omtevoorkomendattechnischeschuldnietwordtopgelostenuitsluitendtoeneemt,ishetzaakomhetverminderenvantechnischeschuldplanmatigaantepakken.

ISRISRgebruikthetISR-kwaliteitssysteemombestaandetechnischeschuldinzichtelijktemakenendeplanningvanhetaflossenvandeschuldvastteleggen,voorzoverhettechnischeschuldbetreftvankwaliteitseigenschappendiehetkwaliteitssysteemkanmeten.

M09ImplementatiekwaliteitsaanpakProjectenimplementerennieuweversiesvankwaliteitsaanpakenkwaliteitsnormenbinnendedoordeprojectenorganisatiegesteldetermijn(zieM12Publicatiekwaliteitsaanpaken-normenvoorhettotstandkomenvandegesteldetermijnen).Deprojectverantwoordelijkeisverantwoordelijkvoordeimplementatie.

Deprojectverantwoordelijkeorganiseertperiodiekeenzelf-assessmentvanhetprojecttegendekwaliteitsaanpak,identificeertdebelangrijksteverschillentussenkwaliteitsaanpakenwerkwijzeinhetprojectenrapporteerthieroveraandeprojectenorganisatie.Inoverlegtussenprojectverantwoordelijkeenprojectenorganisatiewordtbeslotenofhetverschiltijdelijkofpermanentwordtgeaccepteerd.Inhetgevalvantijdelijkeacceptatiesteltdeprojectverantwoordelijkeeenverbeteractieop.Merkopdatdeverbeteractieookkanbestaanuithetopstellenvaneenverbetervoorstelvoordekwaliteitsaanpak.

Voordebelangrijksteverschillenbeschrijftdeprojectverantwoordelijke:

● Geconstateerdeverschil● Redenvoorhetverschil● Ingevalvanacceptatie:waaromhetverschilgeaccepteerdwordt● Ingevalvanverbeteractie:planningomhetverschilwegtewerken

RationaleDeimplementatievaneennieuweversievandekwaliteitsaanpakkosttijd.Deintroductieenaanpassingvannormenentools,kunnenverschillendeconsequentieshebben.Bestaandebroncodeblijktnietmeervolledigtevoldoenaandenormen,eennieuwetoolmoetindeontwikkelstraatwordentoegevoegd,enzovoort.

Anderzijdsishetvoordeuniformiteitvankwaliteitsmetingenrapportageendedoorontwikkelingvandekwaliteitsaanpakvanbelangdeimplementatieperiodezokortmogelijkenvoorspelbaartehouden.Daaromstemtdeprojectenorganisatiemetdeprojecteneenimplementatiemomenten

Page 12: Kwaliteitsaanpak ICTU Software Realisatie · kwaliteitsplan X X deploybare versie van de software X broncode ... gebaseerd op het ISR NFE-template. De beschrijving bevat in ieder

11

implementatieperiodeaf.

Omdatimplementatievanmaatregelenineenprojecttijdkostisdezelf-assessmentgerichtophetinkaartbrengenvandebelangrijksteverschillentussenkwaliteitsaanpakendeinhetprojecttoegepastewerkwijzeennietophetuitputtendinventariserenvanalleverschillen.

ISRBijISRspeeltdesoftwaredeliverymanagerderolvanprojectverantwoordelijkezoalsindezemaatregelbeschreven.Desoftwaredeliverymanagerstemtperiodiekdezelf-assessmentresultatenafmethetafdelingshoofdISR.

M10PeriodiekprojectoverlegDeprojectverantwoordelijkeorganiseerteenperiodiekprojectoverleg.Ditoverlegvindtwekelijksplaatsenduurtnietlangerdaneenuur.

Vereisteaanwezigenzijndeprojectverantwoordelijke,eenvertegenwoordigeruithetprojectteameneenkwaliteitsmanager.Andereaanwezigenkunnenzijn:opdrachtnemer,architectenencoaches.

Deagendavoorditoverlegbestaattenminsteuitdevolgendeonderwerpen:

● mededelingen–pro-actiefinformerenovervoorhetprojectrelevanteontwikkelingen,● actie-enbesluitenlijst,● personelezaken–besprekingvansamenwerkingbinnenhetteam,in-enuitstroom,op-en

afschalen,● planningenvoortgang–besprekingvanvoortgangtenopzichtevanvoorspellingendaaraan

gerelateerdeafwijkingenenknelpunten,leidendtotacties,● kwaliteitenarchitectuur–besprekingvankwaliteitenarchitectuur(voorborgingvan

inhoudelijkekoers)eneventueleafwijkingenenbenodigdeacties,● risico’senaandachtspunten.

RationaleHetdoelvanhetperiodiekprojectoverlegisalledirect-betrokkenen,brederdanhetrealiserendeteam,ophetzelfdeinformatieniveautebrengenentehouden.Direct-betrokkenenzijnallemedewerkersdiegeenonderdeeluitmakenvanhetrealiserendeteam,maarweleindverantwoordelijkofuitvoerendverantwoordelijkzijnvoorhetprojectsucces.

ISRBijperiodiekprojectoverlegzijndesoftwaredeliverymanager,eenvertegenwoordigeruithetkernteamendescrummastervereist.

Page 13: Kwaliteitsaanpak ICTU Software Realisatie · kwaliteitsplan X X deploybare versie van de software X broncode ... gebaseerd op het ISR NFE-template. De beschrijving bevat in ieder

12

M27Projectenexplicietafsluiten

Naafrondingvanderealisatiefasewordenprojectenafgesloten.Alledocumentatie,broncode,referentiedataencredentialsdieinderealisatiefasenodigwarenofzijnopgeleverd,wordengearchiveerdenvanwerkstationsvanprojectmedewerkersverwijderd.

Rationale

Archiverenfaciliteertheteventueelherstartenofoverdragenvanhetprojectopeenlatertijdstip.Verwijderenneemteenonnodigrisicoopinbreukopvertrouwelijkheidwegenvrijwaartprojectmedewerkersendeprojectenorganisatievanverdenkingenaansprakelijkheidwanneereenincidentoptreedt.

ISRDesoftwaredeliverymanagerisverantwoordelijkvoorhetarchiveren.DeSDMgeefthetprojectteamopdrachtdearchiveringvoortebereidenengeefthettechnischbeheerteamdeopdrachtdearchiveringuittevoeren.

Projectenorganisatie

M11Beheerenonderhoudkwaliteitsaanpaken-normenDeprojectenorganisatieonderhoudtenbeheertdekwaliteitsaanpakendekwaliteitsnormen.Aanpassingenvolgenuitpraktijkervaring,nieuweinzichtenennieuwemogelijkhedenvoormetingenanalyse.Iedereenkanwijzigingsvoorstellenindienenbijdeprojectenorganisatie.

Wijzigingsvoorstellenbevattentenminste:

● hetdoelvandewijziging,● eenbeschrijvingvandewijziging,● desponsorvandewijziging,● impactvandewijzigingoplopendeprojecten(eenmaligenstructureel),● eventuelekosten(ineuro’s)vandewijziging(eenmaligenstructureel),● debelanghebbendenbijdewijziging,● oplossingsvarianten,● eenonderbouwdadviesterbesluitvorming.

Deprojectenorganisatiebehandeltdewijzigingsvoorstellen,beslistdetenemenactiebijelkwijzigingsvoorstelenlegtdewijzigingsvoorstellenenbesluitenvast.

RationaleExplicietbeheerenonderhoudvandekwaliteitsaanpakisnodigomlessengeleerdinprojectentekunnenverwerken,omnieuweinzichtenuitbijvoorbeeldwetenschappelijkeliteratuurtekunnenverwerkenenomnieuwetechnischemogelijkhedenvoormetingenanalyseteverwerken.Dekwaliteitsaanpakwordtdoordeprojectenorganisatie–ennietdooreenproject–onderhouden,zodatdezebijmeerdereprojectenkanwordentoegepast.

Wijzigingsvoorstellenmoeteneensponsorhebbenzodathetduidelijkisdatiemandzichhardmaaktvoorhetrealiserenvandewijziging.

Wijzigingsvoorstellenbevatteneenadviesterbesluitvormingaandeprojectenorganisatie.NB:hetadvieskanookzijndewijzigingnietdoortevoeren.

Page 14: Kwaliteitsaanpak ICTU Software Realisatie · kwaliteitsplan X X deploybare versie van de software X broncode ... gebaseerd op het ISR NFE-template. De beschrijving bevat in ieder

13

ISRIedereendiewerkzaamisbijdeafdelingkaneenwijzigingsvoorstelindienenbijhethoofdvandeafdeling.HetISR-kernteambehandeltdewijzigingsvoorstellenenfaciliteertbesluitvormingdoorhetafdelingshoofd.

M24Implementatievanwijzigingenaandekwaliteitsaanpaken-normen

Bijelkewijzigingaandekwaliteitsaanpaken/of-normensteltdeprojectenorganisatievastofdewijzigingleidttoteenwijzigingindewerkwijzevandeprojecten.Alsdithetgevaliswijstdeprojectenorganisatieeensponsorvandewijzigingaandieeenimplementatieplanvoordewijzigingmaaktenuitvoert.Hetimplementatieplanbevattenminste:

● hetdoelvandewijziging,● eenbeschrijvingvandewijziging,● desponsorvandewijziging,● deimplementatie-aanpak(bigbang,project-voor-project,incrementeel,etc.),● deinformatiediewordtgecommuniceerdmetdeprojectmedewerkersenandere

belanghebbendenendemanierwaarop,● deopleiding,trainingen/ofinstructiesdiegegevenzullenwordenaande

projectmedewerkersenanderebelanghebbendenendemanierwaarop,● dehulpmiddelen(templates,tools,rapportages)diegeïmplementeerden/ofgewijzigdzullen

wordenendemanierwaarop,● demanierwaaropfeedbackdieuitdeprojectenoverdewijzigingzalwordenverzamelden

verwerkt,● demanierwaaropdecompleetheidvandeimplementatiezalwordenbepaald(verificatie

vandewijziging),● demanierwaaropbepaaldzalwordenofhetdoelvandewijzigingisgerealiseerd(validatie

vandewijziging).Rationale

Wijzigingenaandekwaliteitsaanpaken-normenhebbentotdoeldeorganisatieinstaattestellenbeterekwaliteitteleverenen/ofopeenefficiënteremaniertewerken.Doorwijzigingenteimplementerenaandehandvaneenimplementatieplanmetgenoemdeonderdelendwingtdeorganisatiezichdeimplementatiedoordachtuittevoerenénomdeimplementatieteverifiërenentevalideren.

M12Publicatiekwaliteitsaanpaken-normenDeprojectenorganisatiepubliceertperiodiek,opeenvaste,bekendelocatie,eennieuweversievandekwaliteitsaanpaken/ofdekwaliteitsnormen.

RationaleMedewerkersmoetenteallentijdedeactuelekwaliteitsaanpaken–normenkunnenraadplegen.Welkeversieactueelisenwanneereennieuweversieactueelwordt,isessentiëleinformatievoordeplanningvanwerkzaamhedenbinnendeprojectenenbinnendeafdelingalsgeheel.

ISRDekwaliteitsaanpakistevindenopdeafdelingsbredewiki.Publicatievaneennieuweversiewordtaangekondigdviaeenafdelingsbredee-mailen,indienrelevant,dezeepkist.

Page 15: Kwaliteitsaanpak ICTU Software Realisatie · kwaliteitsplan X X deploybare versie van de software X broncode ... gebaseerd op het ISR NFE-template. De beschrijving bevat in ieder

14

BijISRzijndekwaliteitsnormen(opditmoment)tevindeninelkekwaliteitsrapportage,inhet“helpmenu”.

M13DekkingISO-25010DedoordeprojectenorganisatievastgesteldekwaliteitsnormendekkeneensignificantdeelvandeISO-25010-kwaliteitskenmerkenaf.

RationaleDestandaardISO-25010biedteenmodelvoorkwaliteitseigenschappendievantoepassingkunnenzijnopeensoftware-product.Destandaardbiedtweliswaargeenconcretemaatregelen,maarbeoogtwelhetvolledigespectrumvanmogelijkrelevantekwaliteitseigenschappenaftedekken.Hetafzettenvandedekkingvandekwaliteitsnormentegendestandaardgeeftzichtopdebreedtevanhettoepassingsgebiedvandekwaliteitsnormen.

ISRDekwaliteitsnormenvanISRbetreffendeproductkwaliteitskenmerken:

● prestatie-efficiëntie● beveiligbaarheid● onderhoudbaarheid● functionelecompleetheid(subkarakteristiekvanfunctionelegeschiktheid)

M14ProjectensplitsenineenvoorbereidingsfaseeneenrealisatiefaseProjectenhebbeneenvoorbereidingsfase,voorafgaandaanderealisatiefase.Voorhetuitvoerenvandevoorbereidingsfasezijnvertegenwoordigersvandeopdrachtgeverenbeoogdebeheerpartijbeschikbaar–dezelfdealsbetrokkenzullenzijninderealisatiefase–diemeewerkenaanhetrealiserenvaneendeelvandeopteleverenproducten(zieM01Opteleverenproducten).Tijdensderealisatiefasevindtdebouwenhetonderhoudvandesoftwareplaats.

RationaleHetdoelvandevoorbereidingsfaseisteneersteomuitgangspunten,risico’senrandvoorwaardenvoorverdereprojectuitvoeringtebepalenententweedeomtezorgendataanderandvoorwaardenwordtvoldaanenvoorzoveelmogelijkproject-specifiekerisico’smaatregelengenomenzijn.Hetdoelvanderealisatiefaseishetdaadwerkelijkbouwenenonderhoudenvandesoftware.Eenexplicietesplitsingzorgtervoordatprojectendoordachtvanstartgaan.

Altijdensdevoorfasemoetenkeuzesgemaaktwordendieinvloedhebbenopdebeveiligings-maatregelen.Aanwezigheidvaneenvoldoendegemandateerdevertegenwoordigervandeopdrachtgeverzorgtdatdezekeuzesgemaaktenbekrachtigdkunnenworden.Dekeuzeskomenondermeertotuitdrukkingindeontwerp-enarchitectuurdocumentatie,zieM01Opteleverenproducten.Deinfrastructuurgerelateerdedocumentatiewordtopgestelddoordebeoogdbeheerderendekteendeelvandetotalebeveiligingsmaatregelenaf.Aanwezigheidvandebeoogdbeheerderindevoorfasezorgtdatdekkingvanditdeelvandebeveiligingsmaatregelengeborgdblijftgedurendederealisatieenexploitatie.

ISRBijISRheetdevoorbereidingsfasede“voorfase”.InderealisatiefasewordthetScrumteamaangestuurddooreenproductownervandeopdrachtgever.Bijaanvangvandevoorfaseisdeze

Page 16: Kwaliteitsaanpak ICTU Software Realisatie · kwaliteitsplan X X deploybare versie van de software X broncode ... gebaseerd op het ISR NFE-template. De beschrijving bevat in ieder

15

beoogdeproductownerbekendenhij/zijwerktookmeeindevoorfase.

M15OpensourcetoolsBijdeselectievantoolsterondersteuningvandeprojectuitvoeringgeeftdeprojectenorganisatievoorkeuraanopensourcetools.

RationaleConformdeNORArationalevoorhetgebruikvanopensourcetoolszoalsbeschreveninNORAv3.0drijfveer“beleidopenstandaarden”(http://www.noraonline.nl/wiki/Beleid_open_standaarden).

ISRToolsdieISRontwikkelt,wordenbijvoorkeuralsopensourcebeschikbaargesteld.

M16VerplichtetoolsDeprojectenorganisatiestelthetgebruikvandevolgendetoolsvooralleprojectenverplicht:

a) Eentooldatagilewerkenondersteunt.Eendergelijktoolvoorzietinhetopvoerenvaneisen,hetopvoerenvanlogischetestgevallenenhetkoppelenvanlogischetestgevallenaaneisen,hetbijhoudenvaneenwerkvoorraad,hetplannenvaniteratiesenhettoewijzenvaneisenaaniteraties.

b) Eentooldathetinrichtenenuitvoerenvaneencontinuousdeliverypipelineondersteunt.c) Eentooldathetmonitorenvandekwaliteitvanbroncodeondersteunt.d) Eentooldathetreleasenvansoftwareondersteunt.e) Eentooldathetmakenvantestrapportagesondersteunt.f) Eentooldathetmakenvankwaliteitsrapportagesondersteunt.g) Eentooldatdeconfiguratievandeapplicatieendeomgevingwaarbinnendieapplicatie

draaitcontroleertopbekendeenveelvoorkomendekwetsbaarheden.h) Eentooldatdedoordeapplicatiegebruikteversiesvanexternebibliotheken,raamwerkenof

andersoortigebouwblokkenscantopbekendekwetsbaarheden.i) Eentooldatdebroncodegeautomatiseerdbeoordeeltophetvoorkomenvanbekende

kwetsbareconstructies.

RationaleProjectenhebbeneenredelijkevrijheidbijhetkiezenvantools,maarhetgebruikvaneenaantalisverplichtgesteld.Dezetoolszijnnodigvooreenefficiënteuitvoeringvandezekwaliteitsaanpak.Uniformgebruikvandezetoolsmaakthetmogelijkkoppelingtussendietoolsvooralleprojectentestandaardiseren.Daarnaastbevorderthetdeuitwisselbaarheidvanmedewerkersenneemthetrisicoophetgebruikvanonvolwassentoolsaf.

ISRISRgebruikthiervoordevolgendetools:

a) Jira–De“eisen”worden,conformScrumterminologie,geregistreerdalsepicsen/ofuserstories,dewerkvoorraadalsbacklog,deiteratiesalssprints.

b) JenkinsvoorJavaprojectenenTeamFoundationServer(TFS)voorDotNet-projecten.c) SonarQube,inclusiefICTU-specifiekekwaliteitsprofielendieaansluitenbijdeICTU-

kwaliteitsnormen.d) Releasemanager.

Page 17: Kwaliteitsaanpak ICTU Software Realisatie · kwaliteitsplan X X deploybare versie van de software X broncode ... gebaseerd op het ISR NFE-template. De beschrijving bevat in ieder

16

e) Reporting(Birt).f) Kwaliteitsrapportage(HQ).g) OpenVASenOWASPZAP.h) OWASPDependencyChecker.i) Checkmarx.

M17SnelbeschikbaretoolsDeprojectenorganisatiezorgtdatbijstartenuitvoeringeenaantaltoolssnelbeschikbaaris.Hierondervallenalleverplichtetools,aangevuldmetdevolgendetools:

a) Eentoolvoorhetsnelbeschikbaarstelleneninstallerenvantools.b) Eentoolvoordevastleggingvanvluchtige,nietopteleverenprojectinformatie.c) Eentoolvoorondersteuningvanactie-enbesluitenlijstenenrisicologs.

RationaleSnellebeschikbaarheidvantoolsbetekentdatprojectensnelkunnenbeginnen.Deniet-verplichtetoolsgevendaarnaastdevoorkeurvandeprojectenorganisatieweer.

ISRISRgebruikthiervoordevolgendetools:

a) Dockerdashboardb) MediaWikic) Wekan

Detoolszijnbeschikbaarviaeeneigencloud(vergelijkbaarmeteen“appstore”),binneneenwerkdagnaaanvraag.

M18OndersteuningverplichtetoolsDeprojectenorganisatiezorgtvoortechnischeenfunctioneleondersteuningaanprojectenbijhetgebruikvanalleverplichtetools.

RationaleDekeuzeomhetgebruikvaneenaantaltoolsverplichttestellen(M16Verplichtetools)volgtuitdebelangrijkeroldiedietoolsspelenindeontwikkelstraateninhetkwaliteitssysteem.Metdeverplichtingkomtookeenverantwoordelijkheid:omprojecteninstaattestellensneleneffectiefmetdezetoolstewerken,moetendieprojectenondersteundworden.Uiteraardstaathetdeprojectenorganisatievrijookniet-verplichtetoolsteondersteunen.

Deverplichtgesteldetoolszijnbeperktinaantal,bewezenengangbaar;veelmedewerkerszullendezetoolsalkennen.

M19DigitalewerkomgevingDeprojectenorganisatiegeeftdeprojectendebeschikkingovereigen,afgeschermdedigitalewerkomgevingen,waarbinnenzededoorhetprojectontwikkeldesoftwareentoolskunneninstalleren.

RationaleDoorhetbiedenvaneenafgeschermdedigitaleomgevingzijndeafhankelijkhedeneninvloeden

Page 18: Kwaliteitsaanpak ICTU Software Realisatie · kwaliteitsplan X X deploybare versie van de software X broncode ... gebaseerd op het ISR NFE-template. De beschrijving bevat in ieder

17

tussenprojectenminimaalenwordenbeveiligingsrisico’sverkleind.

ISRISRondersteuntditmetDockeren/ofvirtuelemachines(VM)eneenVLANperproject.Eennieuwedigitalewerkomgevingisbinneneenwerkweeknaaanvraagbeschikbaar.

M21KwaliteitvanmedewerkersBijdeinzetvanmedewerkersgaatkwaliteitbovenandereaspecten,zoalsbeschikbaarheid,prijsendoorlooptijd.Ditiseenorganisatiebredeverantwoordelijkheid.

RationaleGoedekwaliteitvanproductenontstaatprimairdoorhetwerkvanmensen;standaardisatie,kwaliteitsnormenenmonitoringzijnhulpmiddelen.Dekansdatkwalitatiefgoedemedewerkersookgoedeproductenmakenisgroterdanbijmindergoedemedewerkers.

M22BetrokkenheidbijinzetDeprojectverantwoordelijkebetrektdeprojectenorganisatiebijhetinzettenvannieuwemedewerkersopdeprojecten.

RationaleMedewerkersmoetenzoweleengoedematchhebbenmethetprojectendeprojectspecifiekebehoeftenaankennisenvaardighedenalseengoedematchmetdeprojectenorganisatiealsgeheel.Vanmedewerkerswordtnamelijkverwachtdatzezowelbijdragenaandeprojectdoelstellingenalsaandeprojectoverstijgendedoelenvandekwaliteitsaanpak.

ISRBijhetinzettenvanmedewerkerszijnéénofmeerledenvanhetISR-kernteambetrokken.

M23WarmekennisoverdrachtDeprojectverantwoordelijkezorgtervoordatbijnieuweprojectenwordtgestartmettenminstetweeprojectledendiebekendzijnmetdekwaliteitsaanpak.

RationaleHetinzettenvanteamledendiebekendzijnmetdekwaliteitsaanpakzorgtvooreensoepelerstartvaneennieuwprojectomdatzijbekendzijnmetdeinhoudvandekwaliteitsaanpak,zoalskwaliteitsnormenentools,enomdatzijaldoendenieuweteamledenbekendkunnenmakenmetdekwaliteitsaanpak.

Page 19: Kwaliteitsaanpak ICTU Software Realisatie · kwaliteitsplan X X deploybare versie van de software X broncode ... gebaseerd op het ISR NFE-template. De beschrijving bevat in ieder

18

Bijlagerisico’svansoftwareontwikkelingSoftwareontwikkelingbrengtrisico’smetzichmee.DeISR-kwaliteitsaanpakbeoogteendeelvandierisico’stemitigeren.Alsraamwerkenstartpuntvoorhetclassificerenvanrisico’smaaktdekwaliteitsaanpakgebruikvanTaxonomy-BasedRiskIdentificationvanhetSoftwareEngineeringInstitute(CMU/SEI-93-TR-6),eentaxonomievanrisico’s.

Dezebijlagegeefteersteenoverzichtvandetaxonomievanrisico’senvervolgenseenlijstvanveelvoorkomenderisico’s.Voorelkvandierisico’sisaangegevendoorwelkemaatregel(en)uitdekwaliteitsaanpakzewordenverminderdengeclassificeerdbijwelkeonderdelenvanderisicotaxonomiezehoren.Hoeenwaaromdemaatregelenderisico’spreciesverminderenmoetnogwordenuitgewerkt.

GebruikvanderisicotaxonomieDetaxonomiebenoemtzelfgeenrisico’s,maariseenmiddelomrisico’steordenen.Naasthetkunnenclassificerenvanrisico’sbiedthetgebruikvandetaxonomiedevolgendevoordelen:

● Eenduidigeterminologie:detaxonomiebestaatuiteenlijstvanbegrippenmeteenvastebetekenis,diehetmogelijkmaaktomrisico’stevergelijkenenteclassificeren.

● Controleopvolledigheid:voorelkelementuitdetaxonomiekandevraaggesteldworden“bevatdekwaliteitsaanpakmaatregelenvoorrisico’sbijditelement?”

● Betererationale:dooraantegevenopwelkeindetaxonomiegenoemderisicogebiedeneenmaatregelbetrekkingheeftisduidelijkerwatdemaatregelbeoogttebereiken.

Risicotaxonomie1. Productontwikkeling

1.1. Requirements1.1.1. Stabiliteit:dematewaarinrequirementsveranderenendematewaarin

veranderenderequirementsinvloedhebbenopdekwaliteit,defunctionaliteit,deplanning,hetontwerp,deintegratieenhettestenvanhetproduct.

1.1.2. Volledigheid:devolledigheidvanrequirementsendematewaarinopbasisvanongecontroleerdeaannamesmoetwordengewerkt.

1.1.3. Duidelijkheid:dematewaarinrequirementsduidelijk,preciesennietambiguzijn.

1.1.4. Validiteit:dematewaarindeverzamelderequirementsovereenstemmenmetdeintentiesvandeopdrachtgever,bijvoorbeeldveroorzaaktdoormisverstandenofongeschreven,implicieteverwachtingen.

1.1.5. Haalbaarheid:decomplexiteitvanrequirementsofdeaanwezigheidvantegenstrijdigerequirements.

1.1.6. Precedent:systeemeigenschappenen-functiesdienognieteerdersuccesvolzijngeïmplementeerdineenbestaandsysteemofbuitendeervaringvandemedewerkersofdeorganisatieliggen.

1.1.7. Schaal:deinvloedvandeschaalvanhetterealiserenproduct,ofdeomstandighedenwaaronderdatmoetplaatsvinden,optechniekenbeheersing.

Page 20: Kwaliteitsaanpak ICTU Software Realisatie · kwaliteitsplan X X deploybare versie van de software X broncode ... gebaseerd op het ISR NFE-template. De beschrijving bevat in ieder

19

1.2. Ontwerp1.2.1. Functionaliteit:hetomzettenvanfunctionelerequirementsnaareen

realiseerbaarenaantoonbaarwerkendontwerpofalgoritme.1.2.2. Complexiteit:decomplexiteitvanfunctionelerequirementsof

ontwerprequirements.1.2.3. Interfaces:allesoftwareenhardwareinterfacesdiebinnendescopevanhet

projectvallen.1.2.4. Performance:deperformance-eisen,zoalsresponstijdenthroughput,die

aanhetproductwordengesteld.1.2.5. Testbaarheid:degeschiktheidvanhetontwerpomgetestteworden,de

aanwezigheidvanfaciliteitenomtestentefaciliterenendebetrokkenheidvantestersbijhetontwerpproces.

1.2.6. Hardware-eisen:eisenmetbetrekkingtotdehardwarewaarophetproductmoetdraaienendeafhankelijkheidvanhardwareomsysteem-enperformance-eisentehalen.

1.2.7. Softwarevanderden:deinzetvanexternverkregensoftwaredienietontworpenisvolgensdeproductrequirementsendematewaarindieexternesoftwareaantoonbaarvoldoetaanderequirements.

1.3. CodeenUnitTest1.3.1. Uitvoerbaarheid:deinvloedvandekwaliteitofcomplexiteitvanontwerpof

specificatieopdematewaarintestszijnuittevoeren.1.3.2. UnitTest:dematewaarinunittestingisvoorzien,geplandengefaciliteerd

mettestgevallen.1.3.3. Coding/Implementatie:degevolgenvanbeperkingenbijimplementatie,

zoalstetragehardware,teweiniggeheugen,vereisteprogrammeertalenenverschillentussenontwikkelomgevingenproductieomgeving.

1.4. IntegratieenTest1.4.1. Omgeving:dehardware-ensoftware-faciliteitentenbehoevevanintegratie

entestendeaanwezigheidvanrepresentatievetestgevallen.1.4.2. Productintegratie:deintegratievansoftwarecomponentenonderlingen

methetdoelplatformenhettestenvanhetcontractueelopteleverenvolledigeproduct.

1.4.3. Systeemintegratie:deintegratievanheteindproductmetanderesystemenensites.

1.5. Specialiteiten1.5.1. Onderhoudbaarheid:deeffectenvanslechtesoftwarearchitectuur,ontwerp,

codeofdocumentatieoponderhoudbaarheidofhetgebrekaananalysevanonderhoudbaarheid.

1.5.2. Betrouwbaarheid:deinvloedvanhardwareopbetrouwbaarheids-enbeschikbaarheidseisenopheteindproductendematewaarindieeisenonafhankelijkvandehardwareopgesteldentestbaarzijn.

1.5.3. Veiligheid:decomplexiteitvanveiligheidseisenendematewaarindieineengesimuleerdeonveiligesituatiegetoetstkunnenworden.

1.5.4. Beveiliging:deervaringmetenmogelijkeonderschattingvaneisenmetbetrekkingtotbeveiliging,verificatiemethodenencertificering.

Page 21: Kwaliteitsaanpak ICTU Software Realisatie · kwaliteitsplan X X deploybare versie van de software X broncode ... gebaseerd op het ISR NFE-template. De beschrijving bevat in ieder

20

1.5.5. MenselijkeFactoren:kennisvandeoperationeleomgevingvanheteindproductendematewaarinverwachtingenvanopdrachtgeverengebruikerszijnopgenomeninderequirementsenzijnafgestemd.

1.5.6. Specificaties:despecificatiesvanhetsysteem,dehardware,desoftware,dekoppelvlakken,dematewaarindiestabiel,compleet,duidelijkencontroleerbaarzijn.

2. Ontwikkelomgeving2.1. Ontwikkelproces

2.1.1. Formaliteit:dematewaarineenconsistentprocesisgedefinieerd,beschrevenengecommuniceerdvoorallefasenvanderealisatieeninproductiename.

2.1.2. Geschiktheid:degeschiktheidvandegekozenprocessen,methodenentools.

2.1.3. Procesbeheersing:dematewaarinhetgedefinieerdeproceswordtgevolgdendemonitoringenverbeteringvanhetproces.

2.1.4. Bekendheid:bekendheidenervaringvandemedewerkersmethetvoorgeschrevenproces.

2.1.5. Productbeheersing:detraceerbaarheidvanrequirementsnaardegerealiseerdeoplossing,zodanigdattestsaantonendathetproductvoldoetaandierequirements.

2.2. Ontwikkelsysteem2.2.1. Capaciteit:dematewaarinfaciliteiten,zoalscomputers,processorcapaciteit

enopslag,beschikbaarzijnvoorontwikkeling,testenondersteunendeactiviteiten.

2.2.2. Geschiktheid:degeschiktheidvanhetontwikkelsysteemvoorontwikkeling,sturing,documentatieenconfiguratiemanagement.

2.2.3. Bruikbaarheid:dedocumentatie,detoegankelijkheidenhetgebruiksgemakvanhetontwikkelsysteem.

2.2.4. Bekendheid:bekendheidvanmedewerkersmethetontwikkelsysteem.2.2.5. Betrouwbaarheid:debetrouwbaarheidenfoutlozewerkingvanhet

ontwikkelsysteem.2.2.6. Ondersteuning:detraininginhetgebruik,toegangtotervarengebruikersen

deoplossingvantechnischeproblemenvanhetontwikkelsysteem.2.2.7. Overdraagbaarheid:deoverdraagbaarheidvanhetontwikkelsysteemaande

opdrachtgever.2.3. Managementproces

2.3.1. Wendbaarheid:dematewaarineenplanisgedefinieerddatkanomgaanmetonvoorzieneomstandighedenenlange-termijndoelstellingen,datisopgesteldmetdeinputvandebetrokkenenendatvoorzietinformelewijzigingenalsdienoodzakelijkzijn.

2.3.2. Projectorganisatie:deorganisatievanhetproject,derollenenverantwoordelijkhedenendeverzekeringdatdiebekendzijnbijdemedewerkers.

2.3.3. Managementervaring:deervaringvandebetrokkenmanagersmethetsturenvansoftwareontwikkelprojecten,hettoepassingsdomein,deschaal

Page 22: Kwaliteitsaanpak ICTU Software Realisatie · kwaliteitsplan X X deploybare versie van de software X broncode ... gebaseerd op het ISR NFE-template. De beschrijving bevat in ieder

21

encomplexiteitvanhetproduct,hetgekozenontwikkelprocesensoftwareontwikkeling.

2.3.4. Communicatiekanalen:deinteractietussenmanagersbinnenhetprojectmetprojectmedewerkersenmetexternebetrokkenen,zoalsdeopdrachtgever,ICTU-managementencollega-projectleiders.

2.4. Managementmethode2.4.1. Monitoring:hetopstellenvanenacterenopstatusrapportagesenhet

gebruikenenonderhoudenvanmetriekenvoorvoortgang.2.4.2. Personeelsbeheer:deselectieentrainingvanmedewerkers,hetzorgenvoor

hunbetrokkenheidbijplanningencommunicatiemetdeopdrachtgever,voorhetwerkenvolgensplanningenvoordeondersteuningdiezenodighebben.

2.4.3. Kwaliteitsborging:deproceduresvoorhetvolgenvanhetcontractueelafgesprokenprocesendeafgesprokenstandaardenendeadequateinvullingvankwaliteitsborgingbinnenhetproject.

2.4.4. Configuratiebeheer:deadequatebemensingenhulpmiddelentenbehoevevanconfiguratiebeheer.

2.5. Werkomgeving2.5.1. Attitude:dematewaarindemedewerkerskwalitatiefgoedwerkverrichten

envoldoenaankwaliteitsstandaardenvoorprocesenproduct.2.5.2. Samenwerking:desamenwerkingenteamgevoelbinnenhetteamvan

medewerkersendematewaarinhetmanagementaantoonbaarprobeertobstakelsvoormedewerkerswegtenemen.

2.5.3. Communicatie:decommunicatieoverdeprojectdoelstelling,derequirementsenhetprojectbelang.

2.5.4. Moraal:hetenthousiasmevanhetteamendeinvloeddaarvanopprestatie,productiviteitencreativiteit.

3. ProjectvoorwaardenDezegroepheeftbetrekkingopexternefactorenvoorhetproject;dezefactorenliggenbuitendecontrolevanhetproject,maarkunnengroteinvloedhebbenophetprojectsucces.3.1. Middelen

3.1.1. Planning:destabiliteitvandeplanningmetbetrekkingtotinterneenexternegebeurtenissenofafhankelijkhedenendehaalbaarheidvandeplanning.

3.1.2. Bemensing:destabiliteitvandebemensingintermenvanaantallen,kennis-envaardigheidsniveaus,ervaringinrelevantetechniekenapplicatiedomeinendebeschikbaarheid.

3.1.3. Budget:destabiliteitvanhetbeschikbarebudgetmetbetrekkingtotinterneenexternegebeurtenissenenafhankelijkhedenendehaalbaarheidvandegemaaktefinanciëleschattingen.

3.1.4. Faciliteiten:debeschikbaarheidvanadequatefaciliteitenvoordeontwikkeling,integratieentestvanhetproduct.

3.2. Contract3.2.1. Contracttype:decontractueleafsprakenmetbetrekkingtotfinanciering,

requirementsendebetrokkenheidvandeopdrachtgever.

Page 23: Kwaliteitsaanpak ICTU Software Realisatie · kwaliteitsplan X X deploybare versie van de software X broncode ... gebaseerd op het ISR NFE-template. De beschrijving bevat in ieder

22

3.2.2. Beperkingen:decontractueelvastgelegdebeperkingenmetbetrekkingtotderealisatievanhetproduct,zoalsspecifiekeontwikkelmethoden,hulpmiddelenoftegebruikensoftwarevanderden.

3.2.3. Afhankelijkheden:decontractueleafhankelijkhedenvanexterneaannemers,leveranciers,middelen,softwareenandereproductenendienstenbuitendecontrolevanhetproject.

3.3. Raakvlakken3.3.1. Opdrachtgever:hetkennis-enervaringsniveauvandeopdrachtgeverinhet

betreffendeapplicatiedomeinenderelatieencommunicatiemetdeopdrachtgever.

3.3.2. Co-aannemers:dematewaarinco-aannemersconflicterendepolitiekeagenda’shebben,waarinkoppelvlakkenmetsystemendiebijco-aannemerswordenontwikkeldtotproblemenleidenenhetgebrekaansamenwerkingenafstemmingmetco-aannemers.

3.3.3. Onderaannemers:deinzetvanonderaannemersdieafstemmingvanwerkzaamhedenentegebruikentechnologievereistalsmederelatiebeheer.

3.3.4. Hoofdaannemer:deuitvoeringvaneenprojectalsonderaannemermetbetrekkingtotafstemmingvanwerkzaamheden,rapportagesenafhankelijkhedenvantechnischeenprocesmatigekennis.

3.3.5. Organisatiemanagement:derelatiemethetmanagementvandeorganisatiewaarbinnenhetprojectwordtuitgevoerd.

3.3.6. Leveranciers:deafhankelijkhedenvanexterneleveranciers.3.3.7. Politiek:depolitiekeinvloedenvanrelatiesmetdeeigenorganisatie,de

organisatievandeopdrachtgeverenanderecontractpartijen.

Risico’senmaatregelenDeonderstaandelijstbevateenaantalalgemene,veelvoorkomenderisico’sbijsoftwareontwikkel-projecten.Elkbeschrevenrisicoisgeclassificeerdvolgensderisicotaxonomieenisvoorzienvandebijbehorendemaatregelenuitdekwaliteitsaanpak.

Risico:Desoftwareisnietgebruiksgereed,maardebenodigdemiddelenzijnuitgeputofnietlangerbeschikbaar(tijd,geld,mensen,kennis,tools).Maatregelen:

● M05Iteratiefenincrementeelontwikkelproces● M07Continuousdeliverypipeline● M10Periodiekprojectoverleg● M14Projectensplitsenineenvoorbereidingsfase● M15Opensourcetools

Classificatie:

● Projectvoorwaarden.Middelen

Risico:Desoftwareheeftnietallegewenstefunctionaliteit,maardebenodigdemiddelenzijnuitgeputofnietlangerbeschikbaar(tijd,geld,mensen,kennis,tools).Maatregelen:

Page 24: Kwaliteitsaanpak ICTU Software Realisatie · kwaliteitsplan X X deploybare versie van de software X broncode ... gebaseerd op het ISR NFE-template. De beschrijving bevat in ieder

23

● M05Iteratiefenincrementeelontwikkelproces–Deproductownerbepaaltdeprioriteitentijdensdeontwikkelingenkanerzovoorzorgendatdebelangrijkstefunctionaliteitzovroegmogelijkwordtgerealiseerd.

● M04Geautomatiseerderegressietests● M07Continuousdeliverypipeline● M10Periodiekprojectoverleg● M14Projectensplitsenineenvoorbereidingsfase● M17Snelbeschikbaretools● M18Ondersteuningverplichtetools● M19Digitalewerkomgeving–Testerskunnenefficiëntwerkendankzijeenafgezonderde

testomgeving.Classificatie:

● Productontwikkeling.Requirements● Projectvoorwaarden.Middelen

Risico:Desoftwareheeftnietdegewenstekwaliteit,maardebenodigdemiddelenzijnuitgeputofnietlangerbeschikbaar(tijd,geld,mensen,kennis,tools).Maatregelen

● M02Continuvoldoenaankwaliteitsnormen● M06Frequentemeting● M07Continuousdeliverypipeline● M08Technischeschuld● M14Projectensplitsenineenvoorbereidingsfase● M15Opensourcetools● M17Snelbeschikbaretools● M18Ondersteuningverplichtetools● M21Kwaliteitvanmedewerkers● M26Periodiekebeoordelinginformatiebeveiliging

Classificatie

● Productontwikkeling.Requirements● Projectvoorwaarden.Middelen● Productontwikkeling.Specialiteiten.Onderhoudbaarheid● Productontwikkeling.Specialiteiten.Betrouwbaarheid● Productontwikkeling.Specialiteiten.Beveiliging

Risico:Desoftwarevoldoetnietaandeeisenenwensenvandeopdrachtgever.Maatregelen:

● M01Opteleverenproducten● M03Traceerbaarvoldoenaaneisen● M05Iteratiefenincrementeelontwikkelproces● M06Frequentemeting● M08Technischeschuld● M14Projectensplitsenineenvoorbereidingsfase

Page 25: Kwaliteitsaanpak ICTU Software Realisatie · kwaliteitsplan X X deploybare versie van de software X broncode ... gebaseerd op het ISR NFE-template. De beschrijving bevat in ieder

24

• M25Randvoorwaardelijkeproducten

Classificatie

● Productontwikkeling.Requirements.Volledigheid● Productontwikkeling.Requirements.Duidelijkheid● Productontwikkeling.Requirements.Validiteit● Productontwikkeling.Requirements.Haalbaarheid

Risico:Naopleveringblijktdesoftwareniettevoldoenaannieteerderexplicietgemaakteeisenenwensen.Maatregelen:

● M10Periodiekprojectoverleg● M13DekkingISO-25010

Classificatie

● Productontwikkeling.Requirements.Volledigheid● Productontwikkeling.Requirements.Validiteit

Risico:Deopdrachtgeverofhetprojectleggenteveelnadrukopdeterealiserenfunctionaliteit,tenkostevanniet-functioneleeigenschappenvandesoftware.Maatregelen:

● M02Continuvoldoenaankwaliteitsnormen● M06Frequentemeting● M08Technischeschuld● M13DekkingISO-25010● M14Projectensplitsenineenvoorbereidingsfase–Devoorbereidingsfaseheeftminderlast

vande“dagelijksedruk”dielatertijdenshettrajectvaakontstaat.● M26Periodiekebeoordelinginformatiebeveiliging

Classificatie:

● Ontwikkelomgeving.Managementmethode.Kwaliteitsborging● Ontwikkelomgeving.Werkomgeving.Attitude

Risico:Opgeleverdesoftwareblijktdefectentebevatten.Maatregelen:

● M02Continuvoldoenaankwaliteitsnormen● M03Traceerbaarvoldoenaaneisen● M04Geautomatiseerderegressietests● M06Frequentemeting● M07Continuousdeliverypipeline● M13DekkingISO-25010● M21Kwaliteitvanmedewerkers●

Page 26: Kwaliteitsaanpak ICTU Software Realisatie · kwaliteitsplan X X deploybare versie van de software X broncode ... gebaseerd op het ISR NFE-template. De beschrijving bevat in ieder

25

• M26PeriodiekebeoordelinginformatiebeveiligingClassificatie:

● Productontwikkeling.Ontwerp.Testbaarheid● Productontwikkeling.IntegratieenTest● Productontwikkeling.EngineeringSpecialiteiten.Betrouwbaarheid● Ontwikkelomgeving.Ontwikkelproces.Productbeheersing

Risico:Ertredenfoutenopbijinstallatievandesoftwareindedoelomgeving.Maatregelen:

● M01Opteleverenproducten● M07Continuousdeliverypipeline

Classificatie:

● Productontwikkeling.Ontwerp.Hardware-eisen● Productontwikkeling.IntegratieenTest.Productintegratie● Productontwikkeling.IntegratieenTest.Systeemintegratie

Risico:Bijoverdrachtnaareenderdepartijisnietallerelevanteenbenodigdedocumentatiebeschikbaar.Maatregelen:

● M01Opteleverenproducten● M27Projectenexplicietafsluiten

Classificatie:

● Productontwikkeling.Specialiteiten.Onderhoudbaarheid

Page 27: Kwaliteitsaanpak ICTU Software Realisatie · kwaliteitsplan X X deploybare versie van de software X broncode ... gebaseerd op het ISR NFE-template. De beschrijving bevat in ieder

26

BijlagedocumentenvoormaatregelM1(Voorbereidingsfase)ISRhanteertdeonderstaandedocumentenendocumentstandaardenindevoorbereidingsfase.

Beschrijvingvanfunctioneleeisen

GeprioriteerdebacklogDeproductbacklogiseenoverzichtvanallenogterealiserenfunctioneleenniet-functioneleeigenschappenvandesoftware.Deproductownerisdeeigenaarvandeproductbacklog.Dezakenopdelijstzijnnormaalgesprokenindevormvaneenepicofuserstory.Hierinstaat:

● WATergemaaktmoetworden● WAAROM● envoorWIE.

Iedereenkanerdingenaantoevoegen,maardeproductownerisenblijftverantwoordelijk.Erstaanookruweschattingenbijvandewaardevoordeorganisatieenvandeontwikkelkosten.Deproduct-ownerbepaaltdevolgorde(endusprioritering)vandeitemsopdebacklog.www.scrumguides.org/scrum-guide.html#artifacts-productbacklog

Debeschrijvingvanfunctioneleeisenaandachtmoetexplicietaandachtbestedenaandedoordebeoogdbeheerdergewensteondersteuningvanbeheerfunctiesenaanlogging.Functioneleeisenopdezevlakkenkunnenaanleidingzijntothettreffenvanbeveiligingsmaatregelen.Doorookdezeeisenexplicietindevoorfasetebenoemenwordtvoorkomendatdebijbehorendebeveiligings-maatregelenachterafmoetenwordentoegevoegd.

Beschrijvingvanniet-functioneleeisenNiet-functioneleeisen(requirements)specificerencriteriaomhetfunctionerenvanhetsysteemtebeoordelen,maarbeschrijvenniethetspecifiekegedragzelf.Dezeniet-functionelerequirementskunnenverderonderverdeeldwordeninrequirementsbetreffendeperformance,onderhoud,veiligheid,betrouwbaarheid,ofmeniganderaspect.ICTUgebruiktiniedergevalISO25010,hetnormenkadervandeBaselineInformatiebeveiligingRijksdienst(BIR:2012)enSecureSoftwareDevelopmentvanCentrumvoorInformatiebeveiligingenPrivacybeschermingomdeniet-functionelerequirementstestructurereneninventariseren.Deniet-functioneleeisenzijngeprioriteerd.

Debeschrijvingvanniet-functioneleeisenmoetexplicietaandachtbestedenaandedoordebeoogdbeheerdergewensteondersteuningvanbeheerfuncties,aanloggingenaanhetgewenstegedragvandeterealiserensoftwarebijuitvalvaninfrastructureledienstenzoalseenlog-server.Niet-functioneleeisenopdezevlakkenkunnenaanleidingzijntothettreffenvanbeveiligingsmaatregelen.Doordezeeisenexplicietindevoorfasetebenoemenwordtvoorkomendatdebijbehorendebeveiligingsmaatregelenachterafmoetenwordentoegevoegd.

Ontwerp-enarchitectuurdocumentatie(software,interactie,infrastructuur)Deontwerp-enarchitectuurdocumentatiebestaatuiteenprojectstartarchitectuur(PSA),eensoftwarearchitectuurdocument(SAD),eeninfrastructuurarchitectuur(IA),eenglobaalfunctioneel

Page 28: Kwaliteitsaanpak ICTU Software Realisatie · kwaliteitsplan X X deploybare versie van de software X broncode ... gebaseerd op het ISR NFE-template. De beschrijving bevat in ieder

27

ontwerp(GFO)eneenprototypeen/ofinteractieontwerp.

Projectstartarchitectuur(PSA)opbasisvanNORAEenPSA(ProjectStartArchitectuur)isbedoeldomteborgendatnieuweontwikkelingenenveranderingeninsamenhangwordengerealiseerdenpassenbinnendetoekomstiggewensteinformatievoorziening.EenPSAbevatiniedergeval:

● Eenbeschrijvingvandedoelenenambitieswaaraanhetprojectbijdraagteninvullinggeeft.Dusnietdeprojectdoelenen–ambitie!

● Eenafbakeningvanhetprojectendecontextvandevoorziening/oplossingdiehetprojectgaatrealiserengezienalseen‘blackbox’.Denko.a.ookaanrelatiesmetandereprojectenengeneriekeenspecifiekediensten(services).

● Debelangrijkstefunctiesvandedoorhetprojectterealiserenvoorziening,informatiestromenenkoppelvlakken.

● Eenbeschrijvingvandebelangrijkstebetrokkenstakeholdersen/ofketenpartijen.eenconcretiseringvanvantoepassingzijndekadersenrandvoorwaarden

● Beleidsuitgangspunten(drijfverenendoelen),zowelvoorhetspecifiekeprojectalsalgemeenvoordeorganisatieenvisie(oplossingsrichting).

● Standaardenennormen(openstandaardenvanhetForumStandaardisatieendomeinspecifiekestandaarden).

www.noraonline.nl/wiki/PSA_(Project_Startarchitectuur)

Softwarearchitectuurdocument(SAD)HetSoftwareArchitectuurDocumentverschafteencompleetoverzichtvanenrationalevoordearchitectuurvanhettebouwensysteem,waarbijdiverserelevanteviews(zoalsuse-case,logisch,implementatie,deployment)diverseaspectenvanhetsysteembelichten.

Ziebijvoorbeeld:http://www.win.tue.nl/~wstomv/edu/2ip30/references/Kruchten-4+1-view.pdf

InfrastructuurarchitectuurDeinfrastructuurarchitectuurbeschrijftdetopologievandeimplementatie-omgevingwaaronderprotocollen,beveiligingsniveausenservices.Dezearchitectuurbiedteenlogischeafbeeldingvaneisennaarimplementatie-omgevingengeeftonderbouwingvoorgemaaktekeuzes.

Globaalfunctioneelontwerp(GFO)Hetglobaalfunctioneelontwerpheeftalsbelangrijksteonderdeeleenuse-casemodel.Eenuse-casemodeliseenoverkoepelendoverzichtvandeonderkendeActorsenuse-cases,hunsamenhang,gewichtenclassificatie.Peronderkendeuse-caseisereennauwkeuriggeformuleerdemaarbeknoptebeschrijving.Use-caseswordengedurendehetprojectnadergedetailleerd.

https://www.ivarjacobson.com/sites/default/files/field_iji_file/article/use-case_2_0_jan11.pdf

PrototypeEenprototypeiseeneerste,ruweversievandeapplicatie.Hetprototypeillustreertwaarmenuiteindelijkmetdetoepassingnaartoewil.Hetmaaktideeëntastbaarencreëerteeneersteindruk

Page 29: Kwaliteitsaanpak ICTU Software Realisatie · kwaliteitsplan X X deploybare versie van de software X broncode ... gebaseerd op het ISR NFE-template. De beschrijving bevat in ieder

28

vanstructuur,designenfunctionaliteit.

Testdocumentatie:testplannenDetestplannenbestaanuiteenmastertestplan,gemaaktopbasisvaneenproductrisicoanalyse(PRA),endetailtestplannen.Hetdoelvaneenmastertestplan(MTP)isombetrokkenenbijhettestprocesteinformerenoverdeaanpak,deactiviteiten,inclusiefdeonderlingerelatiesenafhankelijkheden,endeopteleveren(eind)productenmetbetrekkingtothettesttraject.Hetmastertestplanbeschrijftdezeaanpak,activiteitenen(eind)productenwelkeindeverschillendeandere(detail)testplannenverderdienentewordengedetailleerd.Deze(detail)testplannendienentewordenafgeleidvanditmastertestplan.ISRgebruikteengeneriekmastertestplanalsbasisvoorprojectspecifiekemastertestplannen.

Testdocumentatie:testgevallen,rapportagesLogischetestgevallenwordenvastgelegdinJiraengekoppeldmetUseCasesenUserStories.Fysieketestgevallenwordenvastgelegdinhetformaatvandegebruiktetooling(bijvoorbeeldTestX)engekoppeldmetdelogischetestgevallen.OpbasishiervanwordentestrapportagesgegenereerddielatenziendatalleUseCasesenUserStorieszijngetestendatdietestszijngeslaagd.

InformatiebeveiligingsplanHetIB-planvormteenhandzaamdocumentdatuitlegtbinnenwelkekadersbescherminggeleverdwordttegenwelkedreigingenenhoediebeschermingvormkrijgt.NaastBIA,eventuelePIAenTVAkrijgenookdegeselecteerdeIB-maatregeleneenplaatsinditdocument.

HetVoorschriftInformatiebeveiligingRijksdienst(VIR)bevateenmethodeomtekomentoteensystematischeaanpakvaninformatiebeveiliging.EénvandevereistenvanhetVIRisdatvoorelkinformatiesysteemenvoorelkverantwoordelijkheidsgebiedeenafhankelijkheids-enkwetsbaarheidsanalyse(A&K-analyse)wordtuitgevoerd.BijISRwordtdaarvooreenTVA(threatandvulnerabilityassessment)gebruikt.Debetrouwbaarheidseisen,dieaandebedrijfsprocessenendientengevolgeaanhetinformatiesysteemofverantwoordelijkheidsgebiedwordengesteldwordentijdenseenafhankelijkheidsanalysegeïnventariseerd.Vervolgenswordendebedreigingengeïdentificeerdengeanalyseerd.OpbasisvanderesultatenvandeTVAwordtvoorelkinformatiesysteemenvoorelkverantwoordelijkheidsgebiedeeninformatiebeveiligingsplanopgesteld.

KwaliteitsplanHetkwaliteitsplanbeschrijftwelkemaatregelendeprojectenorganisatietreftomdeniet-functioneleeisenterealiseren.ISRgebruikteengeneriekkwaliteitsplanalsbasisvoorprojectspecifiekekwaliteitsplannen.


 · .. , . '"" ·.',; . · ~· ~ l'l. t ~A .( U 1i f1 ~ ~ h ~ ;t 't JC t .:\ r\ 1 · X X X X X X X X X X X:X ·X X X X' X X X'X"X X"x'X X~ • ~- X_XXXXX· x X..XXXX ...

 · .. , . '"" ·.',; . · ~· ~ l'l. t ~A .( U 1i f1 ~ ~ h ~ ;t 't JC t .:\ r\ 1 · X X X X X X X X X X X:X ·X X X X' X X X'X"X X"x'X X~ • ~- X_XXXXX· x X..XXXX ...

v P ] v ] ] EEK h ] À } ] v P } P u u î ì í ó r î ì î ì · / v z } µ } p À &k zthz x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x

v P ] v ] ] EEK h ] À } ] v P } P u u î ì í ó r î ì î ì · / v z } µ } p À &k zthz x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x

Social Software

Social Software

MCCdec Handleiding 2 0 - vpeb.nl · Dimensies: 17,3 x 12,8 x 4,3 mm 2.2 Software MCCdec-rel 1.0 De eerste 'commercieel' beschikbare versie. MCCdec-rel 1.1 Kent een verbeterde motorregeling

MCCdec Handleiding 2 0 - vpeb.nl · Dimensies: 17,3 x 12,8 x 4,3 mm 2.2 Software MCCdec-rel 1.0 De eerste 'commercieel' beschikbare versie. MCCdec-rel 1.1 Kent een verbeterde motorregeling

Dienstbeschrijving Connect Secure 2 · 6.1 Standaard monitoring Connect Secure 2.0 Extra De monitoring software controleert 24 x 7 de lijnverbinding. Storingen en onderbrekingen zijn

Dienstbeschrijving Connect Secure 2 · 6.1 Standaard monitoring Connect Secure 2.0 Extra De monitoring software controleert 24 x 7 de lijnverbinding. Storingen en onderbrekingen zijn

CENTARI iAXE624 USB-GUITAR leidraaddownloads.music-group.com/software/behringer/IAXE624/Install_Gui… · CENTARI iAXE624 USB-GUITAR 3 MACINTOSH OS X 3.1 KORTE HANDLEIDING VOOR BEGINNERS

CENTARI iAXE624 USB-GUITAR leidraaddownloads.music-group.com/software/behringer/IAXE624/Install_Gui… · CENTARI iAXE624 USB-GUITAR 3 MACINTOSH OS X 3.1 KORTE HANDLEIDING VOOR BEGINNERS

bijlage 1 verkoopsbundel Anemoonproject 1... · /:> ' í r s z e dkkewzk: d î l í ô í skkz^d >>/e' wzk: d x x x x x x x x x x x x x x x x x x x x x x

bijlage 1 verkoopsbundel Anemoonproject 1... · /:> ' í r s z e dkkewzk: d î l í ô í skkz^d >>/e' wzk: d x x x x x x x x x x x x x x x x x x x x x x

Software Realisatie Kwaliteitsaanpak ICTU · Kwaliteitsplan ... functionele eisen is gebaseerd op het ICTU NFE-template. De beschrijving bevat in ieder geval eisen aan toegangsbeveiliging,

Software Realisatie Kwaliteitsaanpak ICTU · Kwaliteitsplan ... functionele eisen is gebaseerd op het ICTU NFE-template. De beschrijving bevat in ieder geval eisen aan toegangsbeveiliging,

Social Software in het onderwijs - gorissen.infoSocial Software in het onderwijs 7 2 Social software versus overige software De software en toepassingen die in de afbeelding op pagina

Social Software in het onderwijs - gorissen.infoSocial Software in het onderwijs 7 2 Social software versus overige software De software en toepassingen die in de afbeelding op pagina

Kwaliteitsaanpak ICTU Software Realisatie · 2017-09-07 · Projecten waarin software wordt ontwikkeld of onderhouden ... ICTU werkt sinds 2010 met de agile softwareontwikkelaanpak

Kwaliteitsaanpak ICTU Software Realisatie · 2017-09-07 · Projecten waarin software wordt ontwikkeld of onderhouden ... ICTU werkt sinds 2010 met de agile softwareontwikkelaanpak

NSG 2008 1 Software Engineering 1 Introductie in Software Engineering.

NSG 2008 1 Software Engineering 1 Introductie in Software Engineering.

Paragon NTFS voor Mac OS X™ - Download - PARAGON Software

Paragon NTFS voor Mac OS X™ - Download - PARAGON Software

Codeboek Waterschapsspiegel 2020 (v200221 DEF)...î / v z } µ / v o ] ] v p x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x

Codeboek Waterschapsspiegel 2020 (v200221 DEF)...î / v z } µ / v o ] ] v p x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x

Uitleg software

Uitleg software

El Software

El Software

Software Realisatie Kwaliteitsaanpak ICTU...2 Manifest ICTU werkt aan een betere digitale overheid. Met deze kwaliteitsaanpak willen we er aan bijdragen het niveau van software-ontwikkeling

Software Realisatie Kwaliteitsaanpak ICTU...2 Manifest ICTU werkt aan een betere digitale overheid. Met deze kwaliteitsaanpak willen we er aan bijdragen het niveau van software-ontwikkeling

Etion-UAntwerpen-Participatief Ondernemen Eindrapport 13-2 ... · í ] v } } i ~ À ] í ï l î l î ì í õ î / v z } µ / v o ] ] v p x x x x x x x x x x x x x x x x x x x x

Etion-UAntwerpen-Participatief Ondernemen Eindrapport 13-2 ... · í ] v } } i ~ À ] í ï l î l î ì í õ î / v z } µ / v o ] ] v p x x x x x x x x x x x x x x x x x x x x

ASSEMBLY MANUAL H8018B’1 - Velleman nv · 2012. 11. 20. · CUBE Á LED 3D - 5 x 5 x 5 For software, visit Créez votre propre cube à LED 3D avec des effets 3D préprogrammés.

ASSEMBLY MANUAL H8018B’1 - Velleman nv · 2012. 11. 20. · CUBE Á LED 3D - 5 x 5 x 5 For software, visit Créez votre propre cube à LED 3D avec des effets 3D préprogrammés.

Formulier vaststelling/validering domeinspecifieke ... · Tom Staelens Sensotec NC, senior mobile software developer; Bachelor bedrijfsbeheer en HBO5 Informatica-programmeren. x x

Formulier vaststelling/validering domeinspecifieke ... · Tom Staelens Sensotec NC, senior mobile software developer; Bachelor bedrijfsbeheer en HBO5 Informatica-programmeren. x x

Visma Software

Visma Software