Kwaliteitsaanpak ICTU Software Realisatie · kwaliteitsplan X X deploybare versie van de software X...
Transcript of Kwaliteitsaanpak ICTU Software Realisatie · kwaliteitsplan X X deploybare versie van de software X...
1
Versiehistorie0.5 24-10-2016 Gedistribueerdeversie0.5.2 07-11-2016 Rationale,versiehistorie,periodiekprojectoverleg,producten
voorbereidingsfase0.5.3 14-11-2016 Diverseaanpassingenn.a.v.bespreking,maatregelvoortussentijdse
voorbereidingsfasetoegevoegd0.6 28-11-2016 Correcties,toevoegingrationale,M1enM2samengevoegd,M2enM16
vervallen,terminologievoorbereidingsfase,uitkomstendemo28-11-2016verwerkt
0.7 13-3-2017 Omschrijvingonderzoektijdensvoorbereidingsfaseuitgebreid(M1),rationaleondersteuningtoolsuitgebreid(M18),bookmarks,risicotaxonomie,kruisverwijzingen,bijlagemetISR-documenten,enmeer.
0.8 6-4-2017 ReviewdoorMatthijsMaatentaskforcekwaliteitsaanpakverwerkt.1.0 10-4-2017 Versie1.0.01.0.1 8-5-2017 Tweetussenkopjeswarenweggevallen;tabelmetdocumentenbeter
leesbaargemaakt1.0.2 9-5-2017 ReviewdoorDennieBoumanverwerkt;typo’sverbeterd1.1 7-11-2017 BIR-maatregelentoegevoegd
InleidingDitdocumentbeschrijftdekwaliteitsaanpakvanICTUSoftwareRealisatie(ISR).Dekwaliteitsaanpakheeftdriedoelstellingen:
1. Opdrachtgevershelpenbekenderisico’sbijsoftwareontwikkeling,zoalstechnischeschuld,vertragingendefecten,zoveelmogelijktevoorkomen.
2. ICTUhelpenomsoftwareteontwikkelendiedemissievanICTU,namelijkbijdragenaaneenbeteredigitaleoverheid,ondersteunt.
3. Deoverheidalsgeheelhelpenbijhetzogoedmogelijkontwikkelenvansoftware.Dekwaliteitsaanpakzelfisgeformuleerdindevormvanmaatregelendieelkesoftware-ontwikkelendeorganisatiekantreffenomrisico’svansoftwareontwikkelingtemitigerenendekansopsuccesvollesoftwareontwikkelingen-onderhoudsprojectentevergroten.Demaatregelenzijnbeschreveninalgemenetermen.WaarvantoepassingisookdeICTU-specifiekeinvullingvandemaatregeltelkensseparaatbijgevoegd.
Deonderstaandebeschrijvingvandekwaliteitsaanpakisgebaseerdopdehuidigeaanpakvansoftwareontwikkelingen-onderhoudbijICTU.Dezekwaliteitsaanpakisexplicietbedoeldalseenevoluerendeaanpak,dieverbeterdwordtopbasisvanpraktijkervaringenbijICTUen-optermijn-andereorganisaties.
LeeswijzerDeKwaliteitsaanpakICTUSoftwareRealisatieisbedoeldvoorprogrammatuurengerelateerdeproducten,voorprocessenwaarbinnendieproductenwordengerealiseerdenvoordeoverkoepelendeorganisatiewaarinopprojectbasiswordtgewerkt.Ditbetekentdatdezekwaliteitsaanpakbetrekkingheeftopdiedrieaspectenvansoftwareontwikkeling:
● Producten–Heteerstedeelvandekwaliteitsaanpakbetreftdeeigenschappenvande
2
ontwikkeldeproducten.Debroncodevalthieronder,maarookalleandereproducten,zoalsdocumentenentestscripts.
● Processen–Hettweededeelvandeaanpakbetrefthetontwikkelproces;ditgaatoverwerkwijze,gebruikvanhulpmiddelenenprojectaanpak.
● Projectenorganisatie–Hetderdedeelvandekwaliteitsaanpakheeftbetrekkingopdeoverkoepelendeontwikkelorganisatiewaarbinnenprojectenwordenuitgevoerd(bijICTUisdatdeafdelingICTUSoftwareRealisatie(ISR));ditgaatoverdesamenhangtussenprojectenendefaciliteitendieprojectenterbeschikkingmoetenhebben.
DedrieaspectenkomenhieronderinmeerdetailaanbodindevormvanmaatregelendieISRheeftgetroffenomderisico’sdiesamenhangenmetsoftwareontwikkelingtemitigeren.Bijlage1beschrijftderelatietussenrisico’senmaatregelen.
Debeschrijvingvanelkemaatregelisvoorzienvaneenrationale:waarombehoortdemaatregeltotdekwaliteitsaanpak?IngevallenwaarbijeenmaatregeleenspecifiekeinvullingheeftbijISR,isdaarvooreenaparteparagraafvooropgenomen.
Bijdeomschrijvingvandemaatregelenisgebruikgemaaktvandevolgende"rollen"omaantegevenwieverantwoordelijkheiddraagtvoorhetuitvoerenvandemaatregelen:
● Projectenorganisatie(bijICTU:deafdelingICTUSoftwareRealisatie(ISR))● Hoofdprojectenorganisatie(bijICTU:afdelingshoofdISR)● Project(bijICTU:projectincl.Scrumteam(s))● Projectverantwoordelijke(bijICTU:softwaredeliverymanageren/ofprojectleider)● Kwaliteitsmanager(bijICTU:‘qualitylead’)
Producten
M25RandvoorwaardelijkeproductenVooraanvangvandevoorbereidingsfasevaneenproject(zieM14Projectensplitsenineenvoorbereidingsfaseeneenrealisatiefase)steltdeopdrachtgeverdevolgendeproductenbeschikbaar:
● eenrecentebusinessimpactanalyse(BIA)voorhetteondersteunenproces,● eenrecenteprivacyimpactanalyse(PIA)voorhetteondersteunenprocesofeenverklaring
dateenPIAnietnodigis.
RationaleEenBIAeneventuelePIAzijnrichtinggevendvoordeindevoorbereidingsfaseteselecterenbeveiligingsmaatregelen.IneenBIAlegtdevragendeorganisatievasthoebelangrijkinformatiebeveiligingisvoordeeigenbedrijfsvoering/processen.Naastdegevoeligheidvoorincidentenkomthierinookde‘riskappetite’vandeorganisatietotuiting.Alleendeorganisatiezelfkanhierovereenuitspraakdoen.IneenPIAlegtdevragendeorganisatievastwatdeprivacy-gevoeligheidisvandegegevensdieineenproces(ofsysteem)wordenverzameldenverwerkt.Zichtopprivacygevoeligegegevensenhet(laten)treffenvanadequateenafdoendebeschermingsmaatregeleniseenwettelijkeplichtdieeen
3
organisatienietaaneenanderepartijkanoverdragen.M01OpteleverenproductenProjectenzijngesplitstineenvoorbereidingsfaseeneenrealisatiefase(zieM14Projectensplitsenineenvoorbereidingsfaseeneenrealisatiefase).Deonderstaandetabel(zievolgendepagina)benoemtdeproductendieeenprojectindiefasenmoetopleveren;allefasenkennenspecifiekeproducten.
Alstijdenseenprojectbestaandesoftwaredienttewordenafgebouwd,onderhoudenen/ofherbouwd,vindteenonderzoekplaatsnaardecompleetheidvandebestaandesoftwareproductenaandehandvandeonderstaandetabel(inclusiefdedeliverablesindekolomrealisatiefase)enwordtdekwaliteitvandebestaandesoftwareproductengetoetst(M02Continuvoldoenaankwaliteitsnormen).Ditonderzoekisonderdeelvandevoorbereidingsfaseenwordtuitgevoerddoorvertegenwoordigersvandeprojectenorganisatieenmedewerkersvanhetdesbetreffendeproject.
4
Product Voorbe-reidings-fase
Voorbe-reidings-fasemetonderzoek
Realisatie-fase
beschrijvingvanfunctioneleeisen X X X
beschrijvingvanniet-functioneleeisen X X X
ontwerp-enarchitectuurdocumentatie(software,interactie,infrastructuur)
X X X
testdocumentatie:testplannen X X X
testdocumentatie:testgevallen,rapportages X
informatiebeveiligingsplan X X X
projectplan X X
kwaliteitsplan X X
deploybareversievandesoftware X
broncode,inclusiefdebenodigdhedenvoorhetbouwenvandesoftware
X
regressietests,inclusiefdebenodigdhedenvoorhetuitvoerenvanderegressietesten
X
vrijgaveadvies X
releasenotes X
deploymentdocumentatie X
uitkomstenonderzoek(bevindingen,risico’s,mitigerendemaatregelen)
X
transitieplanvooraftebouwen,teonderhoudenen/ofteherbouwensoftwareproducten
X
planvooraflossentechnischeschuld,indienvantoepassing
X
Allehierbovengenoemdeproductenvoldoenaandevantoepassingzijndekwaliteitsnormen(M02Continuvoldoenaankwaliteitsnormen)enzijnactueelenonderlingconsistent.
Alstijdensderealisatiefasevaneenprojecteengroteaanpassingvandescopevanhetprojectmoetplaatsvinden(bijvoorbeeldhetrealiserenvaneenextraapplicatie),vindtaanvullendevoorbereidingplaatsomdeeerderopgesteldedocumentenuittebreidenen/ofaantepassen.
5
Alstijdensderealisatiefasevaneenprojectnognieteerderonderzochtesoftwareproductenmoetenwordentoegevoegdaandescopevanhetproject,vindteraanvullendonderzoekplaatsnaardezesoftwareproducten.Ditonderzoekkanertoeleidendateerderopgesteldedocumentenuitgebreiden/ofaangepastmoetenworden.
RationaleHetuniformerenvanopteleverenproductenbiedtvoordelenvoorplanning(hetisbekendwelkeproductengemaaktmoetenworden),voorbemensing(hetisbekendwelkeexpertisenodigis)envoorhetuitwisselenvanmedewerkers.
Devoorgeschrevenproductenstellendeontvangerinstaatomdeopgeleverdesoftwareuittevoeren,tebeherenenteonderhouden.Daarnaastisduidelijkwelkeeventueelopenstaandepuntenernogzijn.Devoorgeschrevenproductenbiedenvoldoendeverantwoordingrichtingdeontvangervooruitgevoerdewerkzaamheden.
Degenoemdeproductenuitdevoorbereidingsfasehebbentotdoelomenerzijdsdeomvang,kostenendoorlooptijdvanderealisatiefasetekunnenschattenenanderzijdsomdekadersvoorderealisatiefasetebepalenzodatdescope,aanpakenoplossingsrichtingingrotelijnenbekendzijn.
ISRISRhanteertdevolgendedocumenten,templatesendocumentstandaarden:
● Debeschrijvingvanniet-functioneleeisenisgebaseerdopISO-25010,BIRenSSD,enbevateenprioriteringvandeniet-functioneleeisen.Debeschrijvingvanniet-functioneleeisenisgebaseerdophetISRNFE-template.Debeschrijvingbevatiniedergevaleisenaantoegangsbeveiliging,aanbeheerfuncties,aanloggingenaanhetgewenstegedragvandesoftwarebijuitvalvaninfrastructureledienstenzoalseenlog-server;
● Debeschrijvingvanfunctioneleeisenbestaatuiteengeprioriteerdebacklogmetepicsen/ofuserstories.Debeschrijvingbevatiniedergevaleisenvoor(ondersteuningvan)beheerfunctiesdiedoordebeoogdbeheerdergesteldwordenenvoorlogging,inclusiefde(globale)inhoudvanteloggenbusinessevents(gebeurtenissenopprocesniveau)endedaarvoorgeldendebewaartermijnen;
● Deontwerp-enarchitectuurdocumentatiebestaatuiteenprojectstartarchitectuur(PSA),eensoftwarearchitectuurdocument(SAD),eeninfrastructuurarchitectuur(IA),eenglobaalfunctioneelontwerp(GFO)bijvoorbeeldindevormvanusecases,eneenprototypeen/ofinteractieontwerp.DeSAD,IAenGFOzijngebaseerdopdeISR-templates.Dearchitectuurdocumentenmoetenexplicietinzichtelijkmakenhoeaandeniet-functioneleeisenwordtvoldaandooruittewerkenwelke(beveiligings)mechaniekengekozenzijn,bijvoorbeeldvooridentificatie,authenticatie,autorisatie,versleutelingoflogging.;
● Detestdocumentatiebestaatuiteenmastertestplan,gemaaktopbasisvaneenproductrisicoanalyse(PRA).Beveiligingstestenzijneenintegraalonderdeelvanhetmastertestplanenwordenalszodanigafgestemdmetdeopdrachtgever;
● Hetinformatiebeveiligingsplanisgebaseerdopeendreigingen-enkwetsbaarhedenanalyse(TVA,threatandvulnerabilityassessment)enbevateenmaatregelenselectieinformatiebeveiliging.DeTVAwordttijdensdevoorfaseopgesteldopbasisvanderesultatenvandeBIA,deeventuelePIA(ziemaatregelM25Randvoorwaardelijkeproducten)eninhoudvandeontwerp-enarchitectuurdocumentatie.EenTVAleverteendeelvaneentraceerbare
6
onderbouwingvoordetetreffenbeveiligingsmaatregelen.● Hetvrijgaveadviesbevattenminsteallenogopenstaandetestbevindingenen
geconstateerdebeveiligingsbevindingen.ZieookmaatregelM26PeriodiekebeoordelinginformatiebeveiligingenM16Verplichtetools.Indienerbeveiligingsissueszijn,zijndezevoorzienvaneenbeschrevenvoorzieneimpact.
● Dedeploymentdocumentatiebevatinformatieoverdeeisendieeenapplicatiesteltaaneenomgevingendestappendienodigzijnomdeapplicatieindieomgevingveiligteinstallerenenconfigureren.DedocumentatiebevatdaartoeondermeeraanwijzingenvoordeHTTP-headerenrequestconfiguratievandewebserverenvoorhetverwijderenvanoverbodigeheader-informatiezoalsde'Server'-header.Ookzijneraanwijzingenvoorveiligeconfiguratie(s)van(externe)toegangtotdebeheerinterface.Dedocumentatiebevatdaarnaastiniedergevaleenbeschrijvingvandeprotocollenenservicesdiedeapplicatieaanbiedt,deprotocollen,servicesenaccountsdiehetproductgebruiktendeprotocollen,servicesenaccountsdiedeapplicatiegebruiktvoorbeheer.
ZieBijlagedocumentenvoormaatregelM1vooreenuitgebreideroverzichtvandedocumentenendocumentstandaardendieISRhanteert.HetgenoemdeonderzoekvoertISRuitalsonderdeelvaneen“duediligence”.Eenduediligencewordtuitgevoerdinsamenwerkingmeteenpotentiëleopdrachtgeverenbiedt,naasthetgenoemdeonderzoek,ookdeopdrachtgeverdekanszicheenoordeeltevormenoverdewerkwijzevanISRendeverwachtesamenwerking.
M02ContinuvoldoenaankwaliteitsnormenProductenvoldoenvanafdestartvaneenprojectaandedoordeprojectenorganisatievastgesteldekwaliteitsnormen.Indienhieraannietvoldaanwordt,wordthersteldaarvanplanmatigopgepakt(zieookM08Technischeschuld).Dekwaliteitsnormenzijnindezeversievandekwaliteitsaanpaknognietopgenomen.
RationaleHetdirectencontinuvoldoenaandekwaliteitsnormenbeperkttoekomstigehersteltijd.Hetdwingttevenseenstructurelekwaliteitscontroleaf.
ISRBijISRwordttijdensdevoorfasehetvoldoenaandekwaliteitsnormenmetbehulpvanreviewsgecontroleerd.Tijdensderealisatiefasevanprojectenwordthetvoldoenaandekwaliteitsnormendiversemalenperuurgemetendoorhet“Kwaliteitssysteem”.Hetprojectkijktdagelijksoferafwijkingenvandenormenzijnenonderneemtactieindiennodig.Ookdekwaliteitsmanagersignaleertafwijkingenenmeldtdezebijhetproject.DeICTU-specifiekeinvullingvandekwaliteitsnormenistevindeninhethelpmenuvandegeautomatiseerdekwaliteitsrapportagesvanICTU.
M03TraceerbaarvoldoenaaneisenEisenzijnwederzijdstraceerbaarnaarbewijsmateriaal,zoalslogischetestgevallen,datdeeisgerealiseerdis;datwilzeggendatgeadministreerdisbijwelkeeisbewijsmateriaalhoortenviceversa.Ditwordtwaarmogelijkmettoolingondersteund.
7
RationaleDooreisenentestgevallentekoppelenentraceerbaartemaken,ishetmogelijkdedekkingvanteststenopzichtevaneisentebepalen.
ISRFunctioneleeisenindevormvanuserstorieszijngekoppeldaanlogischetestgevallen.Ontwerpdocumentatieindevormvanusecasesisgekoppeldaanlogischetestgevallen.ISRgebruikthiervoorJira.Logischetestgevallenzijngekoppeldaanfysieketestgevallen.Defysieketestgevallenwordengeannoteerdmeteenidentifiervandelogischetestgevallen.Hetprojectisverantwoordelijkvoorhettraceerbaarvoldoenaandeeisen.
Niet-functioneleeisenzijngekoppeldaanonderanderesoftwarearchitectuurdocument,mastertestplanendetailtestplannen.Detraceerbaarheidhiervanis(nog)nietgeadministreerdmetbehulpvantooling.
M04GeautomatiseerderegressietestsRegressietests-testsdieverifiërenofeerderontwikkeldesoftwarenogsteedscorrectwerktnawijzigingenindesoftwareofaansluitingopandereexternekoppelvlakken-zijngeautomatiseerd.
RationaleHandmatiguitgevoerderegressietestszijnarbeidsintensief,foutgevoeligenafhankelijkvandeaanwezigheidvanspecifiekemedewerkers.Geletopdevrijwelcontinuemetingenopenleveringenvandeprogrammatuur,zijndenadelenvanhandmatigeregressietestsnietacceptabel.Doorzeteautomatiserenzijnzeherhaalbaarenkunnenzeonderdeeluitmakenvande“continuousdeliverypipeline”(zieM07Continuousdeliverypipeline).
ISRISRhanteerteennormvoordedekkingvanregressietests.
M26PeriodiekebeoordelinginformatiebeveiligingProjectenlatenperiodiekeenbeveiligingstestuitvoeren.Decodewordtzowelgeautomatiseerdalshandmatigonderzochtopveelvoorkomendekwetsbaarhedendooreenbeveiligingsexpertvanbuitenhetproject.Deprojectorganisatiezorgtervoordatdezeexpertiseopafroepbeschikbaargesteldwordtaanprojecten.Bevindingenuitdebeveiligingstestwordenvastgelegdalsonderdeelvandewerkvoorraadvoorhetontwikkelproces(ziemaatregelM05Iteratiefenincrementeelontwikkelproces).
RationaleDoorhetinschakelenvanactuele,specifiekeexpertisewordtdekansvergrootdateventuelekwetsbaarhedenindegerealiseerdesoftwaretijdigherkendworden.Doordatdeprojectenorganisatiedezeexpertisebeschikbaarstelt,wordtvoorkomendatindividueleprojectendatiedervoorzichmoetendoenéndatbeveiligingstestenalsgevolgvan(tijds)drukbinnenprojectenovergeslagenworden.
ISRSoftwarewordtminimaalbijiederegrotereleaseoftenminstetweekeerperjaaronderworpenaaneenbeveiligingstestdoorbeveiligingsexpertsdieISRdaarvoorinhuurt.Opbasisvandocumentatie-enarchitectuurstudie,crystalboxsecurityaudits(broncodescan)enpenetratieauditsbeoordelen
8
dezeexpertsofdesoftwarevoldoetaandeprojectspecifiekeniet-functioneleeisendiemetbetrekkingtotbeveiligingaandesoftwarezijngesteld,ofbekendekwetsbaarheden(OWASP)vermedenzijneninhoeverrevoldoendeinvullinggegevenisaandenormenvanuitdievanuitBIRenSSDgelden.
Indiendoordeopdrachtgevergewenstkunnensecuritytestendooreenonafhankelijkederdepartijwordenuitgevoerdineendaarvoordoordeopdrachtgeverbeschikbaargesteldeomgeving.Ditkanzowelincidenteelalsstructureelwordeningericht.Afsprakenhieroverwordenbijvoorkeuralindevoorbereidingsfasegemaakt.
Debeveiligingstestenvindenplaatsinaanvullingopdedoortoolsuitgevoerdecontinuebeveiligingsanalysevandegerealiseerdesoftware,ziemaatregelM16Verplichtetools.BevindingenuitzoweleenbeveiligingstestalsdecontinueanalysewordeninJiraalsissue–gemarkeerdalsbeveiligingsbugreport–vastgelegdopdebacklogvanhetproject.
Processen
M05IteratiefenincrementeelontwikkelprocesProjectenwerkeniteratiefenincrementeel;ditbetekentdateenprojectinkorteiteratieswerkt,waarbijelkeiteratieeenwerkendeversievandesoftwarewordtopgeleverddieextrawaardeoplevertvoordeopdrachtgever.Behalvedesoftwarewordeniedereiteratietelkensookalleandereproducten(ZiemaatregelM01Opteleverenproducten)bijgewerktenopgeleverd.Elkeiteratiewordenverwachtingenenwerkelijkeresultatenvergelekenendewerkwijzeaangescherptopbasisvaninzichtenenbevindingen.Ditleidttoteenzichcontinuverbeterendproces.
RationaleHetwerkeniniteratiessluitaanbijdebestaandeonzekerheidrondomrequirements.Inveelgevallenzijnrequirementsnietpreciesgedefinieerd.Verderishetbijsturen,bijvoorbeelddoorveranderdeinzichtenofomstandigheden,ineeniteratiefprocesbetrekkelijkeenvoudig.
Deincrementeleopleveringlevert(vrijwel)iedereiteratietoegevoegdewaardeensteltopdrachtgevers,gebruikersenandereninstaatomgaandewegervaringoptedoenenbijtesturen.Verderdwingthetvroegtijdigetestsenkwaliteitscontrolesaf,diedaarmeeverankerdwordeninhetontwikkel-enonderhoudsproces.Doornaastdesoftwaretelkensookalleandereproductenbijtewerkenenopteleverenwordtbereiktdathetproductalsgeheelconsistentblijftendatergeenachterstalligonderhoudontstaat.
ISRISRgebruikthiervoorScrum,eenraamwerkvoorproductontwikkeling.ISRpropageertdekernwaardenvanScrumenvereistdevolgendeScrum-aspecten:
● Scrumteambestaanduitproductowner,ontwikkelteamenScrummaster,● Proces:dailyscrum,sprints,sprintplanning,sprintreview,sprintrefinement,● DefinitionofDone,● DefinitionofReady,● Productbacklog.
VastonderdeelvandeDefinitionofDoneisdatproductenactueelenonderlingconsistentzijn(M01Opteleverenproducten)envoldoenaandedoordeprojectenorganisatievastgestelde
9
kwaliteitsnormen(M02Continuvoldoenaankwaliteitsnormen).M06FrequentemetingHetvoldoenaandekwaliteitsnormendiegeautomatiseerdgemetenkunnenworden,wordtfrequent–minimaaléénkeerperdag–gemeten.Deprojectenorganisatievoorziethierin(mensenenmiddelen).
RationaleVaakmetenmaakteenvrijwelactueelinzichtopelkmomentmogelijk.Projectledenkunnensnelreagerenopafwijkingen,dieinderegelookpasrecentzijnontstaanendusmeestalgerelateerdzijnaanhuidigeactiviteiten.Metnameafwijkingenvandenormenophetvlakvaninformatiebeveiligingkomenzosnelaanhetlichtenkunnendanooksnelwordenbeoordeelden–indiennodigenmogelijk–opgelost.
ISRBijeenISR-projectishetvoldoenaandenormenonderdeelvande“DefinitionofDone”enwordthetvoldoenaankwaliteitsnormenmeermaalsperuurgemeten.Projectennemendekwaliteitsrapportagedoortijdensdestand-upentijdenshetwekelijksprojectoverleg.
M07ContinuousdeliverypipelineEriseengeautomatiseerdecontinuousdeliverypipelinedieaantoonbaarcorrectwerktentenminstedevolgendeactiviteitenuitvoert:
● bouwvandesoftware,● kwaliteitscontroles,● regressietests,● performancetests,● beveiligingstests,● unittests,● installatievandesoftware,● opleveringvanhettotaleproduct,dusinclusiefalledeliverables,indevormzoalsbruikbaar
voorenafgesprokenmetdeopdrachtgever.Deprojectenorganisatievoorzietinmensenenhulpmiddelen,zodatprojectendezepipelinekunnentoepassen.Projectenzijnverantwoordelijkvoordecorrectewerkingvandepipeline.
RationaleSoftwareincrementeelopleveren(zieM05Iteratiefenincrementeelontwikkelproces)vereistdatdesoftwarefrequentgebouwd,getestenopgeleverdkanworden.Omditefficiëntenfoutvrijtedoen,dienthetprocesvanbouwen,testenenopleverengeautomatiseerdtezijn;eencontinuousdeliverypipelinefaciliteertdit.
ISRISRgebruiktJenkinsofTeamFoundationServer(TFS)alstoolvoordeimplementatievandecontinuousdeliverypipeline.DeISRreleasemanagerondersteuntdelaatstestap(opleveringvanhettotaleproduct).
10
M08TechnischeschuldTechnischeschuldisinzichtelijkenwordtplanmatigaangepakt.Dekwaliteitsmanagerisverantwoordelijkvoorhetinzichtelijkmakenvandetechnischeschuld.Deprojectverantwoordelijkeisverantwoordelijkvoorhetplanmatigaanpakkenvandetechnischeschuld.
RationaleDeaanwezigheidvantechnischeschuldheeftnadeligeinvloedopdekwaliteitvandeeindproducten.Anderzijdsishetontstaanvantechnischeschuldgedurendeeenprojectvaakonvermijdelijk.Hetisdaarnaastookmogelijkdateendeelvandetechnischeschuldbijaanvangvanhetprojectalbestondenmogelijknietwordtopgelost.Inallegevallenishetverstandigomtewetenwelketechnischeschuldbestaat.Omtevoorkomendattechnischeschuldnietwordtopgelostenuitsluitendtoeneemt,ishetzaakomhetverminderenvantechnischeschuldplanmatigaantepakken.
ISRISRgebruikthetISR-kwaliteitssysteemombestaandetechnischeschuldinzichtelijktemakenendeplanningvanhetaflossenvandeschuldvastteleggen,voorzoverhettechnischeschuldbetreftvankwaliteitseigenschappendiehetkwaliteitssysteemkanmeten.
M09ImplementatiekwaliteitsaanpakProjectenimplementerennieuweversiesvankwaliteitsaanpakenkwaliteitsnormenbinnendedoordeprojectenorganisatiegesteldetermijn(zieM12Publicatiekwaliteitsaanpaken-normenvoorhettotstandkomenvandegesteldetermijnen).Deprojectverantwoordelijkeisverantwoordelijkvoordeimplementatie.
Deprojectverantwoordelijkeorganiseertperiodiekeenzelf-assessmentvanhetprojecttegendekwaliteitsaanpak,identificeertdebelangrijksteverschillentussenkwaliteitsaanpakenwerkwijzeinhetprojectenrapporteerthieroveraandeprojectenorganisatie.Inoverlegtussenprojectverantwoordelijkeenprojectenorganisatiewordtbeslotenofhetverschiltijdelijkofpermanentwordtgeaccepteerd.Inhetgevalvantijdelijkeacceptatiesteltdeprojectverantwoordelijkeeenverbeteractieop.Merkopdatdeverbeteractieookkanbestaanuithetopstellenvaneenverbetervoorstelvoordekwaliteitsaanpak.
Voordebelangrijksteverschillenbeschrijftdeprojectverantwoordelijke:
● Geconstateerdeverschil● Redenvoorhetverschil● Ingevalvanacceptatie:waaromhetverschilgeaccepteerdwordt● Ingevalvanverbeteractie:planningomhetverschilwegtewerken
RationaleDeimplementatievaneennieuweversievandekwaliteitsaanpakkosttijd.Deintroductieenaanpassingvannormenentools,kunnenverschillendeconsequentieshebben.Bestaandebroncodeblijktnietmeervolledigtevoldoenaandenormen,eennieuwetoolmoetindeontwikkelstraatwordentoegevoegd,enzovoort.
Anderzijdsishetvoordeuniformiteitvankwaliteitsmetingenrapportageendedoorontwikkelingvandekwaliteitsaanpakvanbelangdeimplementatieperiodezokortmogelijkenvoorspelbaartehouden.Daaromstemtdeprojectenorganisatiemetdeprojecteneenimplementatiemomenten
11
implementatieperiodeaf.
Omdatimplementatievanmaatregelenineenprojecttijdkostisdezelf-assessmentgerichtophetinkaartbrengenvandebelangrijksteverschillentussenkwaliteitsaanpakendeinhetprojecttoegepastewerkwijzeennietophetuitputtendinventariserenvanalleverschillen.
ISRBijISRspeeltdesoftwaredeliverymanagerderolvanprojectverantwoordelijkezoalsindezemaatregelbeschreven.Desoftwaredeliverymanagerstemtperiodiekdezelf-assessmentresultatenafmethetafdelingshoofdISR.
M10PeriodiekprojectoverlegDeprojectverantwoordelijkeorganiseerteenperiodiekprojectoverleg.Ditoverlegvindtwekelijksplaatsenduurtnietlangerdaneenuur.
Vereisteaanwezigenzijndeprojectverantwoordelijke,eenvertegenwoordigeruithetprojectteameneenkwaliteitsmanager.Andereaanwezigenkunnenzijn:opdrachtnemer,architectenencoaches.
Deagendavoorditoverlegbestaattenminsteuitdevolgendeonderwerpen:
● mededelingen–pro-actiefinformerenovervoorhetprojectrelevanteontwikkelingen,● actie-enbesluitenlijst,● personelezaken–besprekingvansamenwerkingbinnenhetteam,in-enuitstroom,op-en
afschalen,● planningenvoortgang–besprekingvanvoortgangtenopzichtevanvoorspellingendaaraan
gerelateerdeafwijkingenenknelpunten,leidendtotacties,● kwaliteitenarchitectuur–besprekingvankwaliteitenarchitectuur(voorborgingvan
inhoudelijkekoers)eneventueleafwijkingenenbenodigdeacties,● risico’senaandachtspunten.
RationaleHetdoelvanhetperiodiekprojectoverlegisalledirect-betrokkenen,brederdanhetrealiserendeteam,ophetzelfdeinformatieniveautebrengenentehouden.Direct-betrokkenenzijnallemedewerkersdiegeenonderdeeluitmakenvanhetrealiserendeteam,maarweleindverantwoordelijkofuitvoerendverantwoordelijkzijnvoorhetprojectsucces.
ISRBijperiodiekprojectoverlegzijndesoftwaredeliverymanager,eenvertegenwoordigeruithetkernteamendescrummastervereist.
12
M27Projectenexplicietafsluiten
Naafrondingvanderealisatiefasewordenprojectenafgesloten.Alledocumentatie,broncode,referentiedataencredentialsdieinderealisatiefasenodigwarenofzijnopgeleverd,wordengearchiveerdenvanwerkstationsvanprojectmedewerkersverwijderd.
Rationale
Archiverenfaciliteertheteventueelherstartenofoverdragenvanhetprojectopeenlatertijdstip.Verwijderenneemteenonnodigrisicoopinbreukopvertrouwelijkheidwegenvrijwaartprojectmedewerkersendeprojectenorganisatievanverdenkingenaansprakelijkheidwanneereenincidentoptreedt.
ISRDesoftwaredeliverymanagerisverantwoordelijkvoorhetarchiveren.DeSDMgeefthetprojectteamopdrachtdearchiveringvoortebereidenengeefthettechnischbeheerteamdeopdrachtdearchiveringuittevoeren.
Projectenorganisatie
M11Beheerenonderhoudkwaliteitsaanpaken-normenDeprojectenorganisatieonderhoudtenbeheertdekwaliteitsaanpakendekwaliteitsnormen.Aanpassingenvolgenuitpraktijkervaring,nieuweinzichtenennieuwemogelijkhedenvoormetingenanalyse.Iedereenkanwijzigingsvoorstellenindienenbijdeprojectenorganisatie.
Wijzigingsvoorstellenbevattentenminste:
● hetdoelvandewijziging,● eenbeschrijvingvandewijziging,● desponsorvandewijziging,● impactvandewijzigingoplopendeprojecten(eenmaligenstructureel),● eventuelekosten(ineuro’s)vandewijziging(eenmaligenstructureel),● debelanghebbendenbijdewijziging,● oplossingsvarianten,● eenonderbouwdadviesterbesluitvorming.
Deprojectenorganisatiebehandeltdewijzigingsvoorstellen,beslistdetenemenactiebijelkwijzigingsvoorstelenlegtdewijzigingsvoorstellenenbesluitenvast.
RationaleExplicietbeheerenonderhoudvandekwaliteitsaanpakisnodigomlessengeleerdinprojectentekunnenverwerken,omnieuweinzichtenuitbijvoorbeeldwetenschappelijkeliteratuurtekunnenverwerkenenomnieuwetechnischemogelijkhedenvoormetingenanalyseteverwerken.Dekwaliteitsaanpakwordtdoordeprojectenorganisatie–ennietdooreenproject–onderhouden,zodatdezebijmeerdereprojectenkanwordentoegepast.
Wijzigingsvoorstellenmoeteneensponsorhebbenzodathetduidelijkisdatiemandzichhardmaaktvoorhetrealiserenvandewijziging.
Wijzigingsvoorstellenbevatteneenadviesterbesluitvormingaandeprojectenorganisatie.NB:hetadvieskanookzijndewijzigingnietdoortevoeren.
13
ISRIedereendiewerkzaamisbijdeafdelingkaneenwijzigingsvoorstelindienenbijhethoofdvandeafdeling.HetISR-kernteambehandeltdewijzigingsvoorstellenenfaciliteertbesluitvormingdoorhetafdelingshoofd.
M24Implementatievanwijzigingenaandekwaliteitsaanpaken-normen
Bijelkewijzigingaandekwaliteitsaanpaken/of-normensteltdeprojectenorganisatievastofdewijzigingleidttoteenwijzigingindewerkwijzevandeprojecten.Alsdithetgevaliswijstdeprojectenorganisatieeensponsorvandewijzigingaandieeenimplementatieplanvoordewijzigingmaaktenuitvoert.Hetimplementatieplanbevattenminste:
● hetdoelvandewijziging,● eenbeschrijvingvandewijziging,● desponsorvandewijziging,● deimplementatie-aanpak(bigbang,project-voor-project,incrementeel,etc.),● deinformatiediewordtgecommuniceerdmetdeprojectmedewerkersenandere
belanghebbendenendemanierwaarop,● deopleiding,trainingen/ofinstructiesdiegegevenzullenwordenaande
projectmedewerkersenanderebelanghebbendenendemanierwaarop,● dehulpmiddelen(templates,tools,rapportages)diegeïmplementeerden/ofgewijzigdzullen
wordenendemanierwaarop,● demanierwaaropfeedbackdieuitdeprojectenoverdewijzigingzalwordenverzamelden
verwerkt,● demanierwaaropdecompleetheidvandeimplementatiezalwordenbepaald(verificatie
vandewijziging),● demanierwaaropbepaaldzalwordenofhetdoelvandewijzigingisgerealiseerd(validatie
vandewijziging).Rationale
Wijzigingenaandekwaliteitsaanpaken-normenhebbentotdoeldeorganisatieinstaattestellenbeterekwaliteitteleverenen/ofopeenefficiënteremaniertewerken.Doorwijzigingenteimplementerenaandehandvaneenimplementatieplanmetgenoemdeonderdelendwingtdeorganisatiezichdeimplementatiedoordachtuittevoerenénomdeimplementatieteverifiërenentevalideren.
M12Publicatiekwaliteitsaanpaken-normenDeprojectenorganisatiepubliceertperiodiek,opeenvaste,bekendelocatie,eennieuweversievandekwaliteitsaanpaken/ofdekwaliteitsnormen.
RationaleMedewerkersmoetenteallentijdedeactuelekwaliteitsaanpaken–normenkunnenraadplegen.Welkeversieactueelisenwanneereennieuweversieactueelwordt,isessentiëleinformatievoordeplanningvanwerkzaamhedenbinnendeprojectenenbinnendeafdelingalsgeheel.
ISRDekwaliteitsaanpakistevindenopdeafdelingsbredewiki.Publicatievaneennieuweversiewordtaangekondigdviaeenafdelingsbredee-mailen,indienrelevant,dezeepkist.
14
BijISRzijndekwaliteitsnormen(opditmoment)tevindeninelkekwaliteitsrapportage,inhet“helpmenu”.
M13DekkingISO-25010DedoordeprojectenorganisatievastgesteldekwaliteitsnormendekkeneensignificantdeelvandeISO-25010-kwaliteitskenmerkenaf.
RationaleDestandaardISO-25010biedteenmodelvoorkwaliteitseigenschappendievantoepassingkunnenzijnopeensoftware-product.Destandaardbiedtweliswaargeenconcretemaatregelen,maarbeoogtwelhetvolledigespectrumvanmogelijkrelevantekwaliteitseigenschappenaftedekken.Hetafzettenvandedekkingvandekwaliteitsnormentegendestandaardgeeftzichtopdebreedtevanhettoepassingsgebiedvandekwaliteitsnormen.
ISRDekwaliteitsnormenvanISRbetreffendeproductkwaliteitskenmerken:
● prestatie-efficiëntie● beveiligbaarheid● onderhoudbaarheid● functionelecompleetheid(subkarakteristiekvanfunctionelegeschiktheid)
M14ProjectensplitsenineenvoorbereidingsfaseeneenrealisatiefaseProjectenhebbeneenvoorbereidingsfase,voorafgaandaanderealisatiefase.Voorhetuitvoerenvandevoorbereidingsfasezijnvertegenwoordigersvandeopdrachtgeverenbeoogdebeheerpartijbeschikbaar–dezelfdealsbetrokkenzullenzijninderealisatiefase–diemeewerkenaanhetrealiserenvaneendeelvandeopteleverenproducten(zieM01Opteleverenproducten).Tijdensderealisatiefasevindtdebouwenhetonderhoudvandesoftwareplaats.
RationaleHetdoelvandevoorbereidingsfaseisteneersteomuitgangspunten,risico’senrandvoorwaardenvoorverdereprojectuitvoeringtebepalenententweedeomtezorgendataanderandvoorwaardenwordtvoldaanenvoorzoveelmogelijkproject-specifiekerisico’smaatregelengenomenzijn.Hetdoelvanderealisatiefaseishetdaadwerkelijkbouwenenonderhoudenvandesoftware.Eenexplicietesplitsingzorgtervoordatprojectendoordachtvanstartgaan.
Altijdensdevoorfasemoetenkeuzesgemaaktwordendieinvloedhebbenopdebeveiligings-maatregelen.Aanwezigheidvaneenvoldoendegemandateerdevertegenwoordigervandeopdrachtgeverzorgtdatdezekeuzesgemaaktenbekrachtigdkunnenworden.Dekeuzeskomenondermeertotuitdrukkingindeontwerp-enarchitectuurdocumentatie,zieM01Opteleverenproducten.Deinfrastructuurgerelateerdedocumentatiewordtopgestelddoordebeoogdbeheerderendekteendeelvandetotalebeveiligingsmaatregelenaf.Aanwezigheidvandebeoogdbeheerderindevoorfasezorgtdatdekkingvanditdeelvandebeveiligingsmaatregelengeborgdblijftgedurendederealisatieenexploitatie.
ISRBijISRheetdevoorbereidingsfasede“voorfase”.InderealisatiefasewordthetScrumteamaangestuurddooreenproductownervandeopdrachtgever.Bijaanvangvandevoorfaseisdeze
15
beoogdeproductownerbekendenhij/zijwerktookmeeindevoorfase.
M15OpensourcetoolsBijdeselectievantoolsterondersteuningvandeprojectuitvoeringgeeftdeprojectenorganisatievoorkeuraanopensourcetools.
RationaleConformdeNORArationalevoorhetgebruikvanopensourcetoolszoalsbeschreveninNORAv3.0drijfveer“beleidopenstandaarden”(http://www.noraonline.nl/wiki/Beleid_open_standaarden).
ISRToolsdieISRontwikkelt,wordenbijvoorkeuralsopensourcebeschikbaargesteld.
M16VerplichtetoolsDeprojectenorganisatiestelthetgebruikvandevolgendetoolsvooralleprojectenverplicht:
a) Eentooldatagilewerkenondersteunt.Eendergelijktoolvoorzietinhetopvoerenvaneisen,hetopvoerenvanlogischetestgevallenenhetkoppelenvanlogischetestgevallenaaneisen,hetbijhoudenvaneenwerkvoorraad,hetplannenvaniteratiesenhettoewijzenvaneisenaaniteraties.
b) Eentooldathetinrichtenenuitvoerenvaneencontinuousdeliverypipelineondersteunt.c) Eentooldathetmonitorenvandekwaliteitvanbroncodeondersteunt.d) Eentooldathetreleasenvansoftwareondersteunt.e) Eentooldathetmakenvantestrapportagesondersteunt.f) Eentooldathetmakenvankwaliteitsrapportagesondersteunt.g) Eentooldatdeconfiguratievandeapplicatieendeomgevingwaarbinnendieapplicatie
draaitcontroleertopbekendeenveelvoorkomendekwetsbaarheden.h) Eentooldatdedoordeapplicatiegebruikteversiesvanexternebibliotheken,raamwerkenof
andersoortigebouwblokkenscantopbekendekwetsbaarheden.i) Eentooldatdebroncodegeautomatiseerdbeoordeeltophetvoorkomenvanbekende
kwetsbareconstructies.
RationaleProjectenhebbeneenredelijkevrijheidbijhetkiezenvantools,maarhetgebruikvaneenaantalisverplichtgesteld.Dezetoolszijnnodigvooreenefficiënteuitvoeringvandezekwaliteitsaanpak.Uniformgebruikvandezetoolsmaakthetmogelijkkoppelingtussendietoolsvooralleprojectentestandaardiseren.Daarnaastbevorderthetdeuitwisselbaarheidvanmedewerkersenneemthetrisicoophetgebruikvanonvolwassentoolsaf.
ISRISRgebruikthiervoordevolgendetools:
a) Jira–De“eisen”worden,conformScrumterminologie,geregistreerdalsepicsen/ofuserstories,dewerkvoorraadalsbacklog,deiteratiesalssprints.
b) JenkinsvoorJavaprojectenenTeamFoundationServer(TFS)voorDotNet-projecten.c) SonarQube,inclusiefICTU-specifiekekwaliteitsprofielendieaansluitenbijdeICTU-
kwaliteitsnormen.d) Releasemanager.
16
e) Reporting(Birt).f) Kwaliteitsrapportage(HQ).g) OpenVASenOWASPZAP.h) OWASPDependencyChecker.i) Checkmarx.
M17SnelbeschikbaretoolsDeprojectenorganisatiezorgtdatbijstartenuitvoeringeenaantaltoolssnelbeschikbaaris.Hierondervallenalleverplichtetools,aangevuldmetdevolgendetools:
a) Eentoolvoorhetsnelbeschikbaarstelleneninstallerenvantools.b) Eentoolvoordevastleggingvanvluchtige,nietopteleverenprojectinformatie.c) Eentoolvoorondersteuningvanactie-enbesluitenlijstenenrisicologs.
RationaleSnellebeschikbaarheidvantoolsbetekentdatprojectensnelkunnenbeginnen.Deniet-verplichtetoolsgevendaarnaastdevoorkeurvandeprojectenorganisatieweer.
ISRISRgebruikthiervoordevolgendetools:
a) Dockerdashboardb) MediaWikic) Wekan
Detoolszijnbeschikbaarviaeeneigencloud(vergelijkbaarmeteen“appstore”),binneneenwerkdagnaaanvraag.
M18OndersteuningverplichtetoolsDeprojectenorganisatiezorgtvoortechnischeenfunctioneleondersteuningaanprojectenbijhetgebruikvanalleverplichtetools.
RationaleDekeuzeomhetgebruikvaneenaantaltoolsverplichttestellen(M16Verplichtetools)volgtuitdebelangrijkeroldiedietoolsspelenindeontwikkelstraateninhetkwaliteitssysteem.Metdeverplichtingkomtookeenverantwoordelijkheid:omprojecteninstaattestellensneleneffectiefmetdezetoolstewerken,moetendieprojectenondersteundworden.Uiteraardstaathetdeprojectenorganisatievrijookniet-verplichtetoolsteondersteunen.
Deverplichtgesteldetoolszijnbeperktinaantal,bewezenengangbaar;veelmedewerkerszullendezetoolsalkennen.
M19DigitalewerkomgevingDeprojectenorganisatiegeeftdeprojectendebeschikkingovereigen,afgeschermdedigitalewerkomgevingen,waarbinnenzededoorhetprojectontwikkeldesoftwareentoolskunneninstalleren.
RationaleDoorhetbiedenvaneenafgeschermdedigitaleomgevingzijndeafhankelijkhedeneninvloeden
17
tussenprojectenminimaalenwordenbeveiligingsrisico’sverkleind.
ISRISRondersteuntditmetDockeren/ofvirtuelemachines(VM)eneenVLANperproject.Eennieuwedigitalewerkomgevingisbinneneenwerkweeknaaanvraagbeschikbaar.
M21KwaliteitvanmedewerkersBijdeinzetvanmedewerkersgaatkwaliteitbovenandereaspecten,zoalsbeschikbaarheid,prijsendoorlooptijd.Ditiseenorganisatiebredeverantwoordelijkheid.
RationaleGoedekwaliteitvanproductenontstaatprimairdoorhetwerkvanmensen;standaardisatie,kwaliteitsnormenenmonitoringzijnhulpmiddelen.Dekansdatkwalitatiefgoedemedewerkersookgoedeproductenmakenisgroterdanbijmindergoedemedewerkers.
M22BetrokkenheidbijinzetDeprojectverantwoordelijkebetrektdeprojectenorganisatiebijhetinzettenvannieuwemedewerkersopdeprojecten.
RationaleMedewerkersmoetenzoweleengoedematchhebbenmethetprojectendeprojectspecifiekebehoeftenaankennisenvaardighedenalseengoedematchmetdeprojectenorganisatiealsgeheel.Vanmedewerkerswordtnamelijkverwachtdatzezowelbijdragenaandeprojectdoelstellingenalsaandeprojectoverstijgendedoelenvandekwaliteitsaanpak.
ISRBijhetinzettenvanmedewerkerszijnéénofmeerledenvanhetISR-kernteambetrokken.
M23WarmekennisoverdrachtDeprojectverantwoordelijkezorgtervoordatbijnieuweprojectenwordtgestartmettenminstetweeprojectledendiebekendzijnmetdekwaliteitsaanpak.
RationaleHetinzettenvanteamledendiebekendzijnmetdekwaliteitsaanpakzorgtvooreensoepelerstartvaneennieuwprojectomdatzijbekendzijnmetdeinhoudvandekwaliteitsaanpak,zoalskwaliteitsnormenentools,enomdatzijaldoendenieuweteamledenbekendkunnenmakenmetdekwaliteitsaanpak.
18
Bijlagerisico’svansoftwareontwikkelingSoftwareontwikkelingbrengtrisico’smetzichmee.DeISR-kwaliteitsaanpakbeoogteendeelvandierisico’stemitigeren.Alsraamwerkenstartpuntvoorhetclassificerenvanrisico’smaaktdekwaliteitsaanpakgebruikvanTaxonomy-BasedRiskIdentificationvanhetSoftwareEngineeringInstitute(CMU/SEI-93-TR-6),eentaxonomievanrisico’s.
Dezebijlagegeefteersteenoverzichtvandetaxonomievanrisico’senvervolgenseenlijstvanveelvoorkomenderisico’s.Voorelkvandierisico’sisaangegevendoorwelkemaatregel(en)uitdekwaliteitsaanpakzewordenverminderdengeclassificeerdbijwelkeonderdelenvanderisicotaxonomiezehoren.Hoeenwaaromdemaatregelenderisico’spreciesverminderenmoetnogwordenuitgewerkt.
GebruikvanderisicotaxonomieDetaxonomiebenoemtzelfgeenrisico’s,maariseenmiddelomrisico’steordenen.Naasthetkunnenclassificerenvanrisico’sbiedthetgebruikvandetaxonomiedevolgendevoordelen:
● Eenduidigeterminologie:detaxonomiebestaatuiteenlijstvanbegrippenmeteenvastebetekenis,diehetmogelijkmaaktomrisico’stevergelijkenenteclassificeren.
● Controleopvolledigheid:voorelkelementuitdetaxonomiekandevraaggesteldworden“bevatdekwaliteitsaanpakmaatregelenvoorrisico’sbijditelement?”
● Betererationale:dooraantegevenopwelkeindetaxonomiegenoemderisicogebiedeneenmaatregelbetrekkingheeftisduidelijkerwatdemaatregelbeoogttebereiken.
Risicotaxonomie1. Productontwikkeling
1.1. Requirements1.1.1. Stabiliteit:dematewaarinrequirementsveranderenendematewaarin
veranderenderequirementsinvloedhebbenopdekwaliteit,defunctionaliteit,deplanning,hetontwerp,deintegratieenhettestenvanhetproduct.
1.1.2. Volledigheid:devolledigheidvanrequirementsendematewaarinopbasisvanongecontroleerdeaannamesmoetwordengewerkt.
1.1.3. Duidelijkheid:dematewaarinrequirementsduidelijk,preciesennietambiguzijn.
1.1.4. Validiteit:dematewaarindeverzamelderequirementsovereenstemmenmetdeintentiesvandeopdrachtgever,bijvoorbeeldveroorzaaktdoormisverstandenofongeschreven,implicieteverwachtingen.
1.1.5. Haalbaarheid:decomplexiteitvanrequirementsofdeaanwezigheidvantegenstrijdigerequirements.
1.1.6. Precedent:systeemeigenschappenen-functiesdienognieteerdersuccesvolzijngeïmplementeerdineenbestaandsysteemofbuitendeervaringvandemedewerkersofdeorganisatieliggen.
1.1.7. Schaal:deinvloedvandeschaalvanhetterealiserenproduct,ofdeomstandighedenwaaronderdatmoetplaatsvinden,optechniekenbeheersing.
19
1.2. Ontwerp1.2.1. Functionaliteit:hetomzettenvanfunctionelerequirementsnaareen
realiseerbaarenaantoonbaarwerkendontwerpofalgoritme.1.2.2. Complexiteit:decomplexiteitvanfunctionelerequirementsof
ontwerprequirements.1.2.3. Interfaces:allesoftwareenhardwareinterfacesdiebinnendescopevanhet
projectvallen.1.2.4. Performance:deperformance-eisen,zoalsresponstijdenthroughput,die
aanhetproductwordengesteld.1.2.5. Testbaarheid:degeschiktheidvanhetontwerpomgetestteworden,de
aanwezigheidvanfaciliteitenomtestentefaciliterenendebetrokkenheidvantestersbijhetontwerpproces.
1.2.6. Hardware-eisen:eisenmetbetrekkingtotdehardwarewaarophetproductmoetdraaienendeafhankelijkheidvanhardwareomsysteem-enperformance-eisentehalen.
1.2.7. Softwarevanderden:deinzetvanexternverkregensoftwaredienietontworpenisvolgensdeproductrequirementsendematewaarindieexternesoftwareaantoonbaarvoldoetaanderequirements.
1.3. CodeenUnitTest1.3.1. Uitvoerbaarheid:deinvloedvandekwaliteitofcomplexiteitvanontwerpof
specificatieopdematewaarintestszijnuittevoeren.1.3.2. UnitTest:dematewaarinunittestingisvoorzien,geplandengefaciliteerd
mettestgevallen.1.3.3. Coding/Implementatie:degevolgenvanbeperkingenbijimplementatie,
zoalstetragehardware,teweiniggeheugen,vereisteprogrammeertalenenverschillentussenontwikkelomgevingenproductieomgeving.
1.4. IntegratieenTest1.4.1. Omgeving:dehardware-ensoftware-faciliteitentenbehoevevanintegratie
entestendeaanwezigheidvanrepresentatievetestgevallen.1.4.2. Productintegratie:deintegratievansoftwarecomponentenonderlingen
methetdoelplatformenhettestenvanhetcontractueelopteleverenvolledigeproduct.
1.4.3. Systeemintegratie:deintegratievanheteindproductmetanderesystemenensites.
1.5. Specialiteiten1.5.1. Onderhoudbaarheid:deeffectenvanslechtesoftwarearchitectuur,ontwerp,
codeofdocumentatieoponderhoudbaarheidofhetgebrekaananalysevanonderhoudbaarheid.
1.5.2. Betrouwbaarheid:deinvloedvanhardwareopbetrouwbaarheids-enbeschikbaarheidseisenopheteindproductendematewaarindieeisenonafhankelijkvandehardwareopgesteldentestbaarzijn.
1.5.3. Veiligheid:decomplexiteitvanveiligheidseisenendematewaarindieineengesimuleerdeonveiligesituatiegetoetstkunnenworden.
1.5.4. Beveiliging:deervaringmetenmogelijkeonderschattingvaneisenmetbetrekkingtotbeveiliging,verificatiemethodenencertificering.
20
1.5.5. MenselijkeFactoren:kennisvandeoperationeleomgevingvanheteindproductendematewaarinverwachtingenvanopdrachtgeverengebruikerszijnopgenomeninderequirementsenzijnafgestemd.
1.5.6. Specificaties:despecificatiesvanhetsysteem,dehardware,desoftware,dekoppelvlakken,dematewaarindiestabiel,compleet,duidelijkencontroleerbaarzijn.
2. Ontwikkelomgeving2.1. Ontwikkelproces
2.1.1. Formaliteit:dematewaarineenconsistentprocesisgedefinieerd,beschrevenengecommuniceerdvoorallefasenvanderealisatieeninproductiename.
2.1.2. Geschiktheid:degeschiktheidvandegekozenprocessen,methodenentools.
2.1.3. Procesbeheersing:dematewaarinhetgedefinieerdeproceswordtgevolgdendemonitoringenverbeteringvanhetproces.
2.1.4. Bekendheid:bekendheidenervaringvandemedewerkersmethetvoorgeschrevenproces.
2.1.5. Productbeheersing:detraceerbaarheidvanrequirementsnaardegerealiseerdeoplossing,zodanigdattestsaantonendathetproductvoldoetaandierequirements.
2.2. Ontwikkelsysteem2.2.1. Capaciteit:dematewaarinfaciliteiten,zoalscomputers,processorcapaciteit
enopslag,beschikbaarzijnvoorontwikkeling,testenondersteunendeactiviteiten.
2.2.2. Geschiktheid:degeschiktheidvanhetontwikkelsysteemvoorontwikkeling,sturing,documentatieenconfiguratiemanagement.
2.2.3. Bruikbaarheid:dedocumentatie,detoegankelijkheidenhetgebruiksgemakvanhetontwikkelsysteem.
2.2.4. Bekendheid:bekendheidvanmedewerkersmethetontwikkelsysteem.2.2.5. Betrouwbaarheid:debetrouwbaarheidenfoutlozewerkingvanhet
ontwikkelsysteem.2.2.6. Ondersteuning:detraininginhetgebruik,toegangtotervarengebruikersen
deoplossingvantechnischeproblemenvanhetontwikkelsysteem.2.2.7. Overdraagbaarheid:deoverdraagbaarheidvanhetontwikkelsysteemaande
opdrachtgever.2.3. Managementproces
2.3.1. Wendbaarheid:dematewaarineenplanisgedefinieerddatkanomgaanmetonvoorzieneomstandighedenenlange-termijndoelstellingen,datisopgesteldmetdeinputvandebetrokkenenendatvoorzietinformelewijzigingenalsdienoodzakelijkzijn.
2.3.2. Projectorganisatie:deorganisatievanhetproject,derollenenverantwoordelijkhedenendeverzekeringdatdiebekendzijnbijdemedewerkers.
2.3.3. Managementervaring:deervaringvandebetrokkenmanagersmethetsturenvansoftwareontwikkelprojecten,hettoepassingsdomein,deschaal
21
encomplexiteitvanhetproduct,hetgekozenontwikkelprocesensoftwareontwikkeling.
2.3.4. Communicatiekanalen:deinteractietussenmanagersbinnenhetprojectmetprojectmedewerkersenmetexternebetrokkenen,zoalsdeopdrachtgever,ICTU-managementencollega-projectleiders.
2.4. Managementmethode2.4.1. Monitoring:hetopstellenvanenacterenopstatusrapportagesenhet
gebruikenenonderhoudenvanmetriekenvoorvoortgang.2.4.2. Personeelsbeheer:deselectieentrainingvanmedewerkers,hetzorgenvoor
hunbetrokkenheidbijplanningencommunicatiemetdeopdrachtgever,voorhetwerkenvolgensplanningenvoordeondersteuningdiezenodighebben.
2.4.3. Kwaliteitsborging:deproceduresvoorhetvolgenvanhetcontractueelafgesprokenprocesendeafgesprokenstandaardenendeadequateinvullingvankwaliteitsborgingbinnenhetproject.
2.4.4. Configuratiebeheer:deadequatebemensingenhulpmiddelentenbehoevevanconfiguratiebeheer.
2.5. Werkomgeving2.5.1. Attitude:dematewaarindemedewerkerskwalitatiefgoedwerkverrichten
envoldoenaankwaliteitsstandaardenvoorprocesenproduct.2.5.2. Samenwerking:desamenwerkingenteamgevoelbinnenhetteamvan
medewerkersendematewaarinhetmanagementaantoonbaarprobeertobstakelsvoormedewerkerswegtenemen.
2.5.3. Communicatie:decommunicatieoverdeprojectdoelstelling,derequirementsenhetprojectbelang.
2.5.4. Moraal:hetenthousiasmevanhetteamendeinvloeddaarvanopprestatie,productiviteitencreativiteit.
3. ProjectvoorwaardenDezegroepheeftbetrekkingopexternefactorenvoorhetproject;dezefactorenliggenbuitendecontrolevanhetproject,maarkunnengroteinvloedhebbenophetprojectsucces.3.1. Middelen
3.1.1. Planning:destabiliteitvandeplanningmetbetrekkingtotinterneenexternegebeurtenissenofafhankelijkhedenendehaalbaarheidvandeplanning.
3.1.2. Bemensing:destabiliteitvandebemensingintermenvanaantallen,kennis-envaardigheidsniveaus,ervaringinrelevantetechniekenapplicatiedomeinendebeschikbaarheid.
3.1.3. Budget:destabiliteitvanhetbeschikbarebudgetmetbetrekkingtotinterneenexternegebeurtenissenenafhankelijkhedenendehaalbaarheidvandegemaaktefinanciëleschattingen.
3.1.4. Faciliteiten:debeschikbaarheidvanadequatefaciliteitenvoordeontwikkeling,integratieentestvanhetproduct.
3.2. Contract3.2.1. Contracttype:decontractueleafsprakenmetbetrekkingtotfinanciering,
requirementsendebetrokkenheidvandeopdrachtgever.
22
3.2.2. Beperkingen:decontractueelvastgelegdebeperkingenmetbetrekkingtotderealisatievanhetproduct,zoalsspecifiekeontwikkelmethoden,hulpmiddelenoftegebruikensoftwarevanderden.
3.2.3. Afhankelijkheden:decontractueleafhankelijkhedenvanexterneaannemers,leveranciers,middelen,softwareenandereproductenendienstenbuitendecontrolevanhetproject.
3.3. Raakvlakken3.3.1. Opdrachtgever:hetkennis-enervaringsniveauvandeopdrachtgeverinhet
betreffendeapplicatiedomeinenderelatieencommunicatiemetdeopdrachtgever.
3.3.2. Co-aannemers:dematewaarinco-aannemersconflicterendepolitiekeagenda’shebben,waarinkoppelvlakkenmetsystemendiebijco-aannemerswordenontwikkeldtotproblemenleidenenhetgebrekaansamenwerkingenafstemmingmetco-aannemers.
3.3.3. Onderaannemers:deinzetvanonderaannemersdieafstemmingvanwerkzaamhedenentegebruikentechnologievereistalsmederelatiebeheer.
3.3.4. Hoofdaannemer:deuitvoeringvaneenprojectalsonderaannemermetbetrekkingtotafstemmingvanwerkzaamheden,rapportagesenafhankelijkhedenvantechnischeenprocesmatigekennis.
3.3.5. Organisatiemanagement:derelatiemethetmanagementvandeorganisatiewaarbinnenhetprojectwordtuitgevoerd.
3.3.6. Leveranciers:deafhankelijkhedenvanexterneleveranciers.3.3.7. Politiek:depolitiekeinvloedenvanrelatiesmetdeeigenorganisatie,de
organisatievandeopdrachtgeverenanderecontractpartijen.
Risico’senmaatregelenDeonderstaandelijstbevateenaantalalgemene,veelvoorkomenderisico’sbijsoftwareontwikkel-projecten.Elkbeschrevenrisicoisgeclassificeerdvolgensderisicotaxonomieenisvoorzienvandebijbehorendemaatregelenuitdekwaliteitsaanpak.
Risico:Desoftwareisnietgebruiksgereed,maardebenodigdemiddelenzijnuitgeputofnietlangerbeschikbaar(tijd,geld,mensen,kennis,tools).Maatregelen:
● M05Iteratiefenincrementeelontwikkelproces● M07Continuousdeliverypipeline● M10Periodiekprojectoverleg● M14Projectensplitsenineenvoorbereidingsfase● M15Opensourcetools
Classificatie:
● Projectvoorwaarden.Middelen
Risico:Desoftwareheeftnietallegewenstefunctionaliteit,maardebenodigdemiddelenzijnuitgeputofnietlangerbeschikbaar(tijd,geld,mensen,kennis,tools).Maatregelen:
23
● M05Iteratiefenincrementeelontwikkelproces–Deproductownerbepaaltdeprioriteitentijdensdeontwikkelingenkanerzovoorzorgendatdebelangrijkstefunctionaliteitzovroegmogelijkwordtgerealiseerd.
● M04Geautomatiseerderegressietests● M07Continuousdeliverypipeline● M10Periodiekprojectoverleg● M14Projectensplitsenineenvoorbereidingsfase● M17Snelbeschikbaretools● M18Ondersteuningverplichtetools● M19Digitalewerkomgeving–Testerskunnenefficiëntwerkendankzijeenafgezonderde
testomgeving.Classificatie:
● Productontwikkeling.Requirements● Projectvoorwaarden.Middelen
Risico:Desoftwareheeftnietdegewenstekwaliteit,maardebenodigdemiddelenzijnuitgeputofnietlangerbeschikbaar(tijd,geld,mensen,kennis,tools).Maatregelen
● M02Continuvoldoenaankwaliteitsnormen● M06Frequentemeting● M07Continuousdeliverypipeline● M08Technischeschuld● M14Projectensplitsenineenvoorbereidingsfase● M15Opensourcetools● M17Snelbeschikbaretools● M18Ondersteuningverplichtetools● M21Kwaliteitvanmedewerkers● M26Periodiekebeoordelinginformatiebeveiliging
Classificatie
● Productontwikkeling.Requirements● Projectvoorwaarden.Middelen● Productontwikkeling.Specialiteiten.Onderhoudbaarheid● Productontwikkeling.Specialiteiten.Betrouwbaarheid● Productontwikkeling.Specialiteiten.Beveiliging
Risico:Desoftwarevoldoetnietaandeeisenenwensenvandeopdrachtgever.Maatregelen:
● M01Opteleverenproducten● M03Traceerbaarvoldoenaaneisen● M05Iteratiefenincrementeelontwikkelproces● M06Frequentemeting● M08Technischeschuld● M14Projectensplitsenineenvoorbereidingsfase
24
• M25Randvoorwaardelijkeproducten
Classificatie
● Productontwikkeling.Requirements.Volledigheid● Productontwikkeling.Requirements.Duidelijkheid● Productontwikkeling.Requirements.Validiteit● Productontwikkeling.Requirements.Haalbaarheid
Risico:Naopleveringblijktdesoftwareniettevoldoenaannieteerderexplicietgemaakteeisenenwensen.Maatregelen:
● M10Periodiekprojectoverleg● M13DekkingISO-25010
Classificatie
● Productontwikkeling.Requirements.Volledigheid● Productontwikkeling.Requirements.Validiteit
Risico:Deopdrachtgeverofhetprojectleggenteveelnadrukopdeterealiserenfunctionaliteit,tenkostevanniet-functioneleeigenschappenvandesoftware.Maatregelen:
● M02Continuvoldoenaankwaliteitsnormen● M06Frequentemeting● M08Technischeschuld● M13DekkingISO-25010● M14Projectensplitsenineenvoorbereidingsfase–Devoorbereidingsfaseheeftminderlast
vande“dagelijksedruk”dielatertijdenshettrajectvaakontstaat.● M26Periodiekebeoordelinginformatiebeveiliging
Classificatie:
● Ontwikkelomgeving.Managementmethode.Kwaliteitsborging● Ontwikkelomgeving.Werkomgeving.Attitude
Risico:Opgeleverdesoftwareblijktdefectentebevatten.Maatregelen:
● M02Continuvoldoenaankwaliteitsnormen● M03Traceerbaarvoldoenaaneisen● M04Geautomatiseerderegressietests● M06Frequentemeting● M07Continuousdeliverypipeline● M13DekkingISO-25010● M21Kwaliteitvanmedewerkers●
25
• M26PeriodiekebeoordelinginformatiebeveiligingClassificatie:
● Productontwikkeling.Ontwerp.Testbaarheid● Productontwikkeling.IntegratieenTest● Productontwikkeling.EngineeringSpecialiteiten.Betrouwbaarheid● Ontwikkelomgeving.Ontwikkelproces.Productbeheersing
Risico:Ertredenfoutenopbijinstallatievandesoftwareindedoelomgeving.Maatregelen:
● M01Opteleverenproducten● M07Continuousdeliverypipeline
Classificatie:
● Productontwikkeling.Ontwerp.Hardware-eisen● Productontwikkeling.IntegratieenTest.Productintegratie● Productontwikkeling.IntegratieenTest.Systeemintegratie
Risico:Bijoverdrachtnaareenderdepartijisnietallerelevanteenbenodigdedocumentatiebeschikbaar.Maatregelen:
● M01Opteleverenproducten● M27Projectenexplicietafsluiten
Classificatie:
● Productontwikkeling.Specialiteiten.Onderhoudbaarheid
26
BijlagedocumentenvoormaatregelM1(Voorbereidingsfase)ISRhanteertdeonderstaandedocumentenendocumentstandaardenindevoorbereidingsfase.
Beschrijvingvanfunctioneleeisen
GeprioriteerdebacklogDeproductbacklogiseenoverzichtvanallenogterealiserenfunctioneleenniet-functioneleeigenschappenvandesoftware.Deproductownerisdeeigenaarvandeproductbacklog.Dezakenopdelijstzijnnormaalgesprokenindevormvaneenepicofuserstory.Hierinstaat:
● WATergemaaktmoetworden● WAAROM● envoorWIE.
Iedereenkanerdingenaantoevoegen,maardeproductownerisenblijftverantwoordelijk.Erstaanookruweschattingenbijvandewaardevoordeorganisatieenvandeontwikkelkosten.Deproduct-ownerbepaaltdevolgorde(endusprioritering)vandeitemsopdebacklog.www.scrumguides.org/scrum-guide.html#artifacts-productbacklog
Debeschrijvingvanfunctioneleeisenaandachtmoetexplicietaandachtbestedenaandedoordebeoogdbeheerdergewensteondersteuningvanbeheerfunctiesenaanlogging.Functioneleeisenopdezevlakkenkunnenaanleidingzijntothettreffenvanbeveiligingsmaatregelen.Doorookdezeeisenexplicietindevoorfasetebenoemenwordtvoorkomendatdebijbehorendebeveiligings-maatregelenachterafmoetenwordentoegevoegd.
Beschrijvingvanniet-functioneleeisenNiet-functioneleeisen(requirements)specificerencriteriaomhetfunctionerenvanhetsysteemtebeoordelen,maarbeschrijvenniethetspecifiekegedragzelf.Dezeniet-functionelerequirementskunnenverderonderverdeeldwordeninrequirementsbetreffendeperformance,onderhoud,veiligheid,betrouwbaarheid,ofmeniganderaspect.ICTUgebruiktiniedergevalISO25010,hetnormenkadervandeBaselineInformatiebeveiligingRijksdienst(BIR:2012)enSecureSoftwareDevelopmentvanCentrumvoorInformatiebeveiligingenPrivacybeschermingomdeniet-functionelerequirementstestructurereneninventariseren.Deniet-functioneleeisenzijngeprioriteerd.
Debeschrijvingvanniet-functioneleeisenmoetexplicietaandachtbestedenaandedoordebeoogdbeheerdergewensteondersteuningvanbeheerfuncties,aanloggingenaanhetgewenstegedragvandeterealiserensoftwarebijuitvalvaninfrastructureledienstenzoalseenlog-server.Niet-functioneleeisenopdezevlakkenkunnenaanleidingzijntothettreffenvanbeveiligingsmaatregelen.Doordezeeisenexplicietindevoorfasetebenoemenwordtvoorkomendatdebijbehorendebeveiligingsmaatregelenachterafmoetenwordentoegevoegd.
Ontwerp-enarchitectuurdocumentatie(software,interactie,infrastructuur)Deontwerp-enarchitectuurdocumentatiebestaatuiteenprojectstartarchitectuur(PSA),eensoftwarearchitectuurdocument(SAD),eeninfrastructuurarchitectuur(IA),eenglobaalfunctioneel
27
ontwerp(GFO)eneenprototypeen/ofinteractieontwerp.
Projectstartarchitectuur(PSA)opbasisvanNORAEenPSA(ProjectStartArchitectuur)isbedoeldomteborgendatnieuweontwikkelingenenveranderingeninsamenhangwordengerealiseerdenpassenbinnendetoekomstiggewensteinformatievoorziening.EenPSAbevatiniedergeval:
● Eenbeschrijvingvandedoelenenambitieswaaraanhetprojectbijdraagteninvullinggeeft.Dusnietdeprojectdoelenen–ambitie!
● Eenafbakeningvanhetprojectendecontextvandevoorziening/oplossingdiehetprojectgaatrealiserengezienalseen‘blackbox’.Denko.a.ookaanrelatiesmetandereprojectenengeneriekeenspecifiekediensten(services).
● Debelangrijkstefunctiesvandedoorhetprojectterealiserenvoorziening,informatiestromenenkoppelvlakken.
● Eenbeschrijvingvandebelangrijkstebetrokkenstakeholdersen/ofketenpartijen.eenconcretiseringvanvantoepassingzijndekadersenrandvoorwaarden
● Beleidsuitgangspunten(drijfverenendoelen),zowelvoorhetspecifiekeprojectalsalgemeenvoordeorganisatieenvisie(oplossingsrichting).
● Standaardenennormen(openstandaardenvanhetForumStandaardisatieendomeinspecifiekestandaarden).
www.noraonline.nl/wiki/PSA_(Project_Startarchitectuur)
Softwarearchitectuurdocument(SAD)HetSoftwareArchitectuurDocumentverschafteencompleetoverzichtvanenrationalevoordearchitectuurvanhettebouwensysteem,waarbijdiverserelevanteviews(zoalsuse-case,logisch,implementatie,deployment)diverseaspectenvanhetsysteembelichten.
Ziebijvoorbeeld:http://www.win.tue.nl/~wstomv/edu/2ip30/references/Kruchten-4+1-view.pdf
InfrastructuurarchitectuurDeinfrastructuurarchitectuurbeschrijftdetopologievandeimplementatie-omgevingwaaronderprotocollen,beveiligingsniveausenservices.Dezearchitectuurbiedteenlogischeafbeeldingvaneisennaarimplementatie-omgevingengeeftonderbouwingvoorgemaaktekeuzes.
Globaalfunctioneelontwerp(GFO)Hetglobaalfunctioneelontwerpheeftalsbelangrijksteonderdeeleenuse-casemodel.Eenuse-casemodeliseenoverkoepelendoverzichtvandeonderkendeActorsenuse-cases,hunsamenhang,gewichtenclassificatie.Peronderkendeuse-caseisereennauwkeuriggeformuleerdemaarbeknoptebeschrijving.Use-caseswordengedurendehetprojectnadergedetailleerd.
https://www.ivarjacobson.com/sites/default/files/field_iji_file/article/use-case_2_0_jan11.pdf
PrototypeEenprototypeiseeneerste,ruweversievandeapplicatie.Hetprototypeillustreertwaarmenuiteindelijkmetdetoepassingnaartoewil.Hetmaaktideeëntastbaarencreëerteeneersteindruk
28
vanstructuur,designenfunctionaliteit.
Testdocumentatie:testplannenDetestplannenbestaanuiteenmastertestplan,gemaaktopbasisvaneenproductrisicoanalyse(PRA),endetailtestplannen.Hetdoelvaneenmastertestplan(MTP)isombetrokkenenbijhettestprocesteinformerenoverdeaanpak,deactiviteiten,inclusiefdeonderlingerelatiesenafhankelijkheden,endeopteleveren(eind)productenmetbetrekkingtothettesttraject.Hetmastertestplanbeschrijftdezeaanpak,activiteitenen(eind)productenwelkeindeverschillendeandere(detail)testplannenverderdienentewordengedetailleerd.Deze(detail)testplannendienentewordenafgeleidvanditmastertestplan.ISRgebruikteengeneriekmastertestplanalsbasisvoorprojectspecifiekemastertestplannen.
Testdocumentatie:testgevallen,rapportagesLogischetestgevallenwordenvastgelegdinJiraengekoppeldmetUseCasesenUserStories.Fysieketestgevallenwordenvastgelegdinhetformaatvandegebruiktetooling(bijvoorbeeldTestX)engekoppeldmetdelogischetestgevallen.OpbasishiervanwordentestrapportagesgegenereerddielatenziendatalleUseCasesenUserStorieszijngetestendatdietestszijngeslaagd.
InformatiebeveiligingsplanHetIB-planvormteenhandzaamdocumentdatuitlegtbinnenwelkekadersbescherminggeleverdwordttegenwelkedreigingenenhoediebeschermingvormkrijgt.NaastBIA,eventuelePIAenTVAkrijgenookdegeselecteerdeIB-maatregeleneenplaatsinditdocument.
HetVoorschriftInformatiebeveiligingRijksdienst(VIR)bevateenmethodeomtekomentoteensystematischeaanpakvaninformatiebeveiliging.EénvandevereistenvanhetVIRisdatvoorelkinformatiesysteemenvoorelkverantwoordelijkheidsgebiedeenafhankelijkheids-enkwetsbaarheidsanalyse(A&K-analyse)wordtuitgevoerd.BijISRwordtdaarvooreenTVA(threatandvulnerabilityassessment)gebruikt.Debetrouwbaarheidseisen,dieaandebedrijfsprocessenendientengevolgeaanhetinformatiesysteemofverantwoordelijkheidsgebiedwordengesteldwordentijdenseenafhankelijkheidsanalysegeïnventariseerd.Vervolgenswordendebedreigingengeïdentificeerdengeanalyseerd.OpbasisvanderesultatenvandeTVAwordtvoorelkinformatiesysteemenvoorelkverantwoordelijkheidsgebiedeeninformatiebeveiligingsplanopgesteld.
KwaliteitsplanHetkwaliteitsplanbeschrijftwelkemaatregelendeprojectenorganisatietreftomdeniet-functioneleeisenterealiseren.ISRgebruikteengeneriekkwaliteitsplanalsbasisvoorprojectspecifiekekwaliteitsplannen.