D-6) IMEA Aansluitvoorwaarden

Document D-6
Ministerie van Infrastructuur en Milieu
IMEA - Aansluitvoorwaarden
Versie 1.0
Datum
Status
15 juli 2014
Definitief
Definitief | IMEA - Aansluitvoorwaarden | Versie 1.0
Colofon
Versie
1.0
Contactpersoon
Paul Leunissen
M 06 - 5250 6691
[email protected]
Ministerie van Infrastructuur en Milieu
Hoofddirectie Financiën, Management en Bedrijfsvoering
Directie Concern Informatievoorziening
Afdeling Architectuur en Informatie Management
Team Architectuur
Koningskade 4
Postbus 20906
2500 EX Den Haag
Auteurs
Paul Leunissen
Stephen Oostenbrink
Pagina 3 van 24
Definitief | IMEA - Aansluitvoorwaarden | Versie 1.0
Inhoud
Inhoud .......................................................................................................................... 5
1
Inleiding ........................................................................................................... 7
1.1
IMEA Dossier ................................................................................................................ 7
1.2
Waarom aansluitvoorwaarden? ......................................................................................... 8
1.3
Intra- en interdepartementale afstemming ......................................................................... 8
1.4
Scope .......................................................................................................................... 8
1.5
Comply or Explain .......................................................................................................... 8
1.6
Risicoanalyse ................................................................................................................ 9
1.7
Kwaliteitstoets software .................................................................................................. 9
1.8
Leeswijzer .................................................................................................................... 9
1.9
Referenties ................................................................................................................. 10
1.10
Afkortingen en begrippen .............................................................................................. 11
1.11
Begrippen .................................................................................................................. 12
2
Selectie eisen .................................................................................................. 13
3
Ontwikkeleisen ................................................................................................ 19
4
Eisen voor webapplicaties ................................................................................. 20
5
Voorwaarden in beheer nemen en exploitatie ...................................................... 22
Pagina 5 van 24
Definitief | IMEA - Aansluitvoorwaarden | Versie 1.0
1
Inleiding
Voor u ligt een document met de Aansluitvoorwaarden van het Ministerie van
Infrastructuur en Milieu (IenM), als onderdeel van het Infrastructuur en Milieu
Enterprise Architectuur (IMEA) dossier.
1.1
IMEA Dossier
In de onderstaande figuur is te zien welke plek voorliggend document in het IMEA
Dossier inneemt.
Figuur 1. Opbouw IMEA Dossier
In het IMEA hoofddocument wordt de samenhang van de verschillende documenten
die samen de Infrastructuur en Milieu Enterprise Architectuur beschrijven, uiteengezet en wordt het ‘Werken onder Architectuur’ toegelicht.
Werken onder architectuur is niet alleen noodzakelijk voor het gecontroleerd
uitvoeren van wijzigingen, het zorgt ook voor grip op de al bestaande en verder
toenemende complexiteit en helpt bij de besluitvorming. Of het nu gaat om
veranderingen in de organisatie, een gewijzigde informatiebehoefte of het toepassen
van innovatieve technieken, de wens is en blijft om “in control” te zijn. Werken
onder architectuur is dus niet een doel op zich, het is het (stuur)middel om grip op
te krijgen en houden op ontwikkelingen.
Het document Aansluitvoorwaarden beschrijft, als hulpmiddel bij het Werken onder
Architectuur, de niet-functionele eisen waaraan informatiesystemen, welke door
IenM in beheer worden genomen en/of binnen een IenM ICT Infrastructuur
beschikbaar worden gesteld, dienen te voldoen. Deze aansluitvoorwaarden gelden
Pagina 7 van 24
Definitief | IMEA - Aansluitvoorwaarden | Versie 1.0
niet enkel bij het selecteren c.q. het (laten) ontwikkelen van nieuwe applicaties en
de overdracht hiervan naar beheer, maar ook gedurende de exploitatieperiode (het
beschikbaar houden).
Deze aansluitvoorwaarden gelden voor zowel applicaties die op een IenM ICT
Infrastructuur gehost worden (intern) als applicaties die extern gehost worden
(extern).
1.2
Waarom aansluitvoorwaarden?
De aansluitvoorwaarden zijn enerzijds noodzakelijk en voorzien daarnaast in een
behoefte:
Dit document beschrijft niet-functionele eisen waaraan informatiesystemen
dienen te voldoen zodat de informatie op een technische, communicatieve en
voor de gebruikers eenduidige wijze ontsloten kan worden;
Daarnaast biedt dit document voorwaarden waaraan voldaan moet worden
alvorens een informatiesysteem in beheer kan worden genomen en gehouden;
Voor proceseigenaren biedt dit document input voor het Programma van Eisen
(PvE) bij het selecteren en (laten) ontwikkelen en beheren van informatiesystemen;
Zowel functioneel als technisch beheer gebruikt dit document bij de beoordeling
of het informatiesysteem in beheer genomen kan worden. Als zodanig zijn de
Aansluitvoorwaarden een onderdeel van de acceptatiecriteria.
1.3
Intra- en interdepartementale afstemming
Naast de IenM specifieke (aansluit)voorwaarden biedt dit document (verwijzingen
naar) Rijksbrede aansluitvoorwaarden. Hiermee wordt geborgd dat IenM (ook) in de
toekomst kan (blijven) aansluiten op interdepartementale ontwikkelingen zoals de
Rijksbrede stijlgids, Rijksportaal en de Digitale Werkomgeving Rijksdienst (DWR),
ofwel Rijkswerkplek.
1.4
Scope
De scope van dit document omvat alle informatiesystemen welke in een IenM ICT
Infrastructuur gehost worden (intern) en informatiesystemen extern gehost worden
waar IenM eigenaar van en/of opdrachtgever voor is (extern).
Naast de hier beschreven richtlijnen en voorwaarden dient voldaan te worden aan
de bestaande afspraken en wet- en regelgeving t.a.v. persoonsgegevens en
informatiebeveiliging (BIR en WBP), ARBO, milieu, inkoop en verwerving1. Ter
verheldering zijn een aantal van de hierin opgenomen afspraken expliciet vermeld in
dit document.
1.5
Comply or Explain
Aansluitvoorwaarden staan onder invloed van ontwikkelingen in de markt,
ontwikkelingen binnen het Rijk en ontwikkelingen binnen IenM. Het doel van de
aansluitvoorwaarden is om nu en in de toekomst de gewenste functionaliteit en
dienstverlening te kunnen bieden op een (kosten) efficiënte en effectieve wijze. Het
1
Een praktisch voorbeeld hiervan is het actieplan Nederland Open in Verbinding. Dit actieplan stelt dat alle
toepassingen gebruik moeten maken van open standaarden en dat open source software een gelijke kans moet
krijgen.
Pagina 8 van 24
Definitief | IMEA - Aansluitvoorwaarden | Versie 1.0
niet voldoen aan de voorwaarden kan gevolgen hebben voor de IenM ICT
Infrastructuur. Dit kan leiden tot meerkosten en/of het niet kunnen afgeven van
garanties over de beheerbaarheid, beheersbaarheid, beschikbaarheid, robuustheid
en performance van het informatiesysteem.
Afwijkingen van de Aansluitvoorwaarden dienen te allen tijde onderbouwd,
afgestemd met en geaccordeerd te worden door de Architecten van IenM (DCI
Architectuur). Bij de beoordeling en afstemming is de Infrastructuur en Milieu
Enterprise Architectuur [IMEA] en de daarin opgenomen principes leidend. Deze
handelswijze wordt aangeduid met ‘Comply or Explain’.
1.6
Risicoanalyse
Als het beveiligingsniveau van het BIR [BIR] niet volstaat voor het aan te schaffen
of te ontwikkelen informatiesysteem, zal er een risicoanalyse worden uitgevoerd.
Deze risicoanalyse leidt eventueel tot aanvullende eisen (in het kader van
beveiliging) waaraan het informatiesysteem moet voldoen.
Deze afweging wordt gemaakt door IenM en ook de uitvoering van een dergelijke
risicoanalyse is de verantwoordelijkheid van IenM.
1.7
Kwaliteitstoets software
De software van in opdracht van IenM ontwikkelde informatiesystemen wordt, op
eenzijdig initiatief van IenM, aan een technische kwaliteitstoets onderworpen. Hierbij
wordt uitgegaan van ISO/25010 norm, een internationale standaard voor de
kwaliteit van software. Deze standaard definieert een aantal aspecten die invloed
hebben op onderhoudbaarheid van software. Dit zijn o.a. analyseerbaarheid,
veranderbaarheid, stabiliteit en testbaarheid. De toets is gericht op de technische
kwaliteit van het systeem en heeft vooral betrekking op de hiervoor genoemde vier
gebieden. De toets wordt uitgevoerd door een onafhankelijke derde partij (zie ook
hoofdstuk 3).
1.8
Leeswijzer
In navolging van de in paragraaf 1.4 vermelde scope is bij de opsomming van de
eisen in de hierna volgende hoofdstukken bij elke eis de volgende kolommen
opgenomen:
Een kolom Toepassing (‘T’) waarin met de volgende codering aangegeven wordt
of de eis van toepassing is op welke infrastructuur: Interne (‘I’), Externe (‘E’) of
Beide (‘B’).
Een kolom Kwaliteitstoets (‘K’) waarin met een kruisje aangegeven is als een eis
onderdeel is van de in paragraaf 1.7 genoemde kwaliteitstoets.
Een kolom Acceptatie (‘A’) waarin aangegeven wordt welke partij
verantwoordelijk is voor het toetsen dat aan de eis voldaan is bij acceptatie van
het systeem. De volgende waarden worden gebruikt: Architect (ARCH), FB
(Beheer), LEV (leveranciersmanager), SEC (security officer), SM
(Servicemanagement), COMM (communicatie), TB (technisch beheerder, hosting
partij);
Een kolom Relevant (‘R’) waarin wordt aangegeven of de eis betrekking heeft op
een client c.q. front-end applicatie (‘C’), een server c.q. backend applicatie (‘S’)
of beide (‘B’).
Pagina 9 van 24
Definitief | IMEA - Aansluitvoorwaarden | Versie 1.0
Het document is verder als volgt opgebouwd:
Hoofdstuk 2 beschrijft de eisen welke gehanteerd worden bij de selectie van
informatiesystemen;
Hoofdstuk 3 geeft de eisen weer welke van toepassing zijn in geval van
maatwerk, aanvullend op de selectie-eisen uit het voorgaande hoofdstuk;
Indien een geselecteerd, dan wel ontwikkeld informatiesysteem een
webapplicatie betreft of biedt zijn de eisen zoals opgenomen in hoofdstuk 4
additioneel van toepassing;
Hoofdstuk 5 beschrijft de voorwaarden voor het in beheer nemen en de
exploitatie van informatiesystemen;
Hoofdstuk Fout! Verwijzingsbron niet gevonden. geeft een beknopte
beschrijving van de IenM ICT Infrastructuur en de daarin gebruikte producten.
De navolgende figuur geeft de samenhang en opbouw van de eisen visueel weer.
Figuur 2. Samenhang en opbouw eisen
1.9
Referenties
In dit document wordt, onder vermelding van de tussen blokhaken geplaatste
afkorting, verwezen naar de volgende documenten en publicaties
Referentie
Document
BIR
Baseline Informatiebeveiliging Rijksdienst
CvS
Lijst met Open Standaarden (www.formumstandaardisatie.nl)
DigiK
Digikoppeling Architectuur
ESB
IenM – ESB Koppelingen – Eisen
Pagina 10 van 24
Definitief | IMEA - Aansluitvoorwaarden | Versie 1.0
1.10
IMEA
IMEA – Infrastructuur en Milieu Enterprise Architectuur
MeC
IenM – Standaard Platform – Maatwerk en Componenten
NKT
Normen en Kaders Testen, versie 1.1
NOiV
Actieplan Nederland Open in Verbinding
SGA
IMEA – Katern – Service Gerichte Architectuur
SP
IMEA – Katern – Standaard Platform
VIRBI
Voorschrift Informatiebeveiliging Rijksdienst – Bijzondere Informatie
BEH
IenM – Beheerst naar beheer
Afkortingen en begrippen
In dit document worden de volgende afkortingen en begrippen gehanteerd.
Afkorting
Toelichting
ACC
Acceptatieomgeving
ADV
Adviseur
ARCH
Architect
BIR
Baseline Informatiebeveiliging Rijksdienst
CA
Centraal Aansluitpunt
COMM
Communicatie
COTS
Commercial Off The Shelf, standaard software
DAP
Dossier Afspraken en Procedures
FB
Functioneel beheerder
IAM
Identity and Access Management
IdM
Identity Management
IMEA
Infrastructuur en Milieu Enterprise Architectuur
LEV
Leveranciersmanager
NOK
Nadere Overeenkomst
ONT
Ontwikkelomgeving
OTAPP
Ontwikkel, Test, Acceptatie, Preproductie en Productie
PRD
Productieomgeving
PRE
Preproductieomgeving
PSA
Project Start Architectuur
SA
Solution Architectuur
SBC
Server Based Computing
SEC
Security Officer
SIG
Software Improvement Group
SLA
Service Level Agreement
SMI
Servicemanager
Pagina 11 van 24
Definitief | IMEA - Aansluitvoorwaarden | Versie 1.0
1.11
SP
Standaard Platform
TB
Technisch beheer
TST
Testomgeving
VIRBI
Voorschrift Informatiebeveiliging Rijksdienst - Bijzondere Informatie
WBP
Wet bescherming persoonsgegevens
Begrippen
Aangezien dit document voor diverse doelgroepen bedoeld is en het in algemene zin
belangrijk is dat een document op een eenduidige manier geïnterpreteerd wordt,
volgen hierna diverse begrippen die van belang zijn bij het lezen van dit document.
Begrip
Toelichting
Applicatie
Applicatie is een door een leverancier geleverde implementatie van
een Informatiesysteem.
Dossier Afspraken en
Procedures
Het Dossier Afspraken en Procedures (DAP) is een invulling of nadere
detaillering van de tussen partijen afgesloten Nadere Overeenkomst
(NOK). Kortweg kan men stellen dat in de NOK staat wat de
dienstverlening is, in het SLA aan welke eisen die dienstverlening
moet voldoen en in het DAP hoe de communicatie rond de
dienstverlening verloopt.
Identity Management
Identity Management (IdM) betreft het beheer van identiteiten ten
behoeve van fysieke toegang tot gebouwen en logische toegang tot
informatiesystemen en gegevens. Tegenwoordig ook vaak aangeduid
met Identity and Access Management (IAM).
Informatiefunctie
Een Informatiefunctie is een in een proces onderkende functionaliteit
voor de verwerking van informatie.
Informatiesysteem
Een Informatiesysteem is een logische clustering van een aantal
Informatiefuncties.
Nadere
Overeenkomst
In een Nadere Overeenkomst (NOK ) worden in contractvorm de
afspraken vastgelegd met betrekking tot de specifieke zaken rond één
opdracht. Dat kan zijn het beheer en onderhoud van één systeem of
een cluster van systemen, maar het kan ook een éénmalig project
betreffen zoals het bouwen van een systeem.
Remote beheer
‘Op afstand’ beheer, zonder dat fysieke aanwezigheid bij het te
beheren apparaat noodzakelijk is.
Server Based
Computing
Server Based Computing (SBC) een techniek waarbij de toepassing
wordt uitgevoerd op centraal geplaatste servers terwijl de in- en
uitvoer van toetsenbord, muis en beeldscherm van het werkstation
worden gebruikt.
Service Level
Agreement
Een Service Level Agreement (SLA) is Overeenkomst tussen aanbieder
en afnemer van dienstverlening waarin afspraken rondom deze
dienstverlening zijn vastgelegd.
Pagina 12 van 24
Definitief | IMEA - Aansluitvoorwaarden | Versie 1.0
2
Selectie eisen
Dit hoofdstuk beschrijft niet-functionele eisen die gehanteerd worden bij de selectie
van informatiesystemen. Bij de aanbesteding gelden deze als aanvulling op de
functionele en toepassingsspecifieke eisen.
Nr.
Eis
T
2.1
Het informatiesysteem voldoet aan de Ministerie van Infrastructuur en Milieu
K
A
R
B
ARCH
B
I
ARCH
C
I
ARCH
C
I
ARCH
B
I
ARCH
S
B
ARCH
S
E
ARCH
S
Enterprise Architectuur [IMEA] en de Project Start Architectuur (PSA).
2.2
De gebruikersinterface van een informatiesysteem wordt (in volgorde van voorkeur)
op de volgende wijze beschikbaar gesteld aan de gebruiker(s):
1.
Als webapplicatie;
2.
Als virtuele applicatie op een Citrix XenApp Server. Het informatiesysteem is bij
voorkeur gecertificeerd voor Citrix.
2.3
Voor applicatie virtualisatie wordt (in volgorde van voorkeur) gebruik gemaakt van
Microsoft App-V, applicatiedistributie (installatie) vindt plaats in de vorm van MSIpackages met behulp van Microsoft SCCM.
2.4
Het informatiesysteem is geschikt voor gebruik in de beoogde IenM ICT Infrastructuur
en voldoet aan de eisen zoals gesteld door de beheerder (hostingpartij) van deze
infrastructuur.
2.5
Het informatiesysteem wordt ondersteund in een gevirtualiseerde hardware omgeving
op basis van het virtualisatie product zoals dit in de beoogde IenM ICT Infrastructuur
wordt toegepast.
2.6
Voor gegevensuitwisseling met een informatiesysteem in een IenM ICT Infrastructuur
wordt gebruik gemaakt van het Enterprise Service Bus platform in die ICT
infrastructuur conform de eisen zoals opgenomen in [ESB]. Gegevensuitwisseling met
andere overheidsinstanties gebeurt op basis van de standaarden van Digikoppeling
[DigiK]. Voor uitwisseling met andere partijen wordt gebruik gemaakt van open
standaarden zoals vastgesteld door het College van Standaardisatie [CvS].
2.7
Zowel inkomend als uitgaand berichtenverkeer tussen systemen in een IenM ICT
Infrastructuur en systemen daarbuiten vindt plaats via het Centraal Aansluitpunt
(CA).
Pagina 13 van 24
Definitief | IMEA - Aansluitvoorwaarden | Versie 1.0
2.8
De applicatie- en gebruikersdata wordt opgeslagen op de generieke opslagvoorziening
I
X
TB
B
B
X
TB
B
B
X
TB
B
I
TB
C
B
SEC
B
I
TB
B
I
TB
S
I
TB
B
I
TB
B
in de IenM ICT Infrastructuur. Deze voorziening voorziet in de dataopslag en –beheer.
1.
De data kan, bij een openstelling anders dan de standaard openstellingstijd,
online (terwijl de applicatie actief is) in de back-up meegenomen worden; of
2.
De applicatie kan via een script afgesloten worden zodat een consistente back-up
gemaakt kan worden.
2.9
Applicatielogica en -data dienen gescheiden te worden opgeslagen. Deze locaties
dienen configureerbaar te zijn.
2.10
Het informatiesysteem maakt duidelijk onderscheid tussen gebruikersinformatie en
(globale) applicatie-informatie. De eerste wordt opgeslagen op een gebruikerslocatie
of in een gebruikersprofiel, de tweede op een locatie welke toegankelijk is voor alle
instanties van de applicatie(componenten). Deze locaties dienen configureerbaar te
zijn.
2.11
Applicatiecomponenten welke in het gebruikersprofiel worden opgeslagen hebben een
maximale grootte van 5 MB.
2.12
Het informatiesysteem voldoet aan het geldende beveiligingsbeleid (BIR [BIR], VIRBI
[VIRBI], WBP).
2.13
Voor authenticatie en autorisatie wordt gebruik gemaakt van Microsoft Active
Directory in geval van client applicaties en de Standaard Platform IS component in
geval van server applicaties, waarbij authenticatie op beveiligde wijze plaatsvindt.
2.14
Mits onderbouwd en afgestemd met de IenM Architecten kan, in afwijking op 2.13,
gebruik worden gemaakt van een eigen authenticatie en/of autorisatiemodule c.q. –
database. Deze voorziening dient te voldoen aan de eisen zoals gesteld in het BIR
(wachtwoorden verplicht, complexiteit en geldigheidsperiode in te stellen,
wachtwoorden versleuteld opgeslagen, wachtwoorden zijn niet te hergebruiken en
ook door beheerder niet in te zien).
2.15
Het informatiesysteem ondersteunt Single Sign On (SSO) voor authenticatie
gebruikmakend van de in 2.13 genoemde authenticatie en autorisatievoorziening, c.q.
de credentials in de Windows omgeving in geval van een client applicatie. Indien een
extra beveiliging noodzakelijk is vanwege bijvoorbeeld de gevoeligheid van
(gerubriceerde) informatie, is dit niet van toepassing.
2.16
De authenticatie van de gebruiker dient modulair van opzet te zijn. D.w.z. dat gebruik
gemaakt moet worden van binnen de infrastructuur aanwezige authenticatiemechanismen, bijv. Federatieve Authenticatie (Rijksbreed).
Pagina 14 van 24
Definitief | IMEA - Aansluitvoorwaarden | Versie 1.0
2.17
Het functionele beheer van het informatiesysteem kan worden uitgevoerd door
B
TB
B
TB
B
B
TB
B
gebruikers met aanvullende rechten (zonder administrator rechten op het
onderliggende operating systeem) met behulp van een webgebaseerde gebruikersinterface. In de documentatie van het informatiesysteem (zie ook 5.1) worden de
rechten en de objecten/componenten waarop de rechten betrekking hebben,
beschreven.
2.18
Informatiesystemen moeten separaat en flexibel (per gebruiker) configureerbaar zijn
B
X
en geen vaste verwijzingen bieden naar:
Databasenamen;
Driveletters;
Werkfolders;
Tijdelijke folders;
IP adressen;
Directory systemen (LDAP);
Domeinnamen;
Licentie-gegevens, c.q. bestand(en);
(Service) accounts;
Omgevingsspecifieke (OTAPP) variabelen;
Configureerbare applicatie instellingen.
2.19
Het informatiesysteem maakt geen gebruik van hardware (dongles) voor
licentiebeheer.
2.20
Het informatiesysteem maakt geen gebruik van parallelle poorten.
B
TB
B
2.21
Informatiesystemen welke gebruik maken van een klok, geven de juiste tijd aan
B
TB
B
I
TB
C
B
TB
C
B
TB
S
volgens GMT+1, rekening houdend met zomer- en wintertijd. Voor tijdsynchronisatie
wordt gebruik gemaakt van een NTP-service, al dan niet afgenomen door het
onderliggende Operating System.
2.22
De integratie van het informatiesysteem met bestaande informatiesystemen is, indien
van toepassing, op gebruikersniveau en per toepassing af te dwingen (bijvoorbeeld
wel voor AutoCAD, niet voor Word en Excel).
2.23
De gebruikersinterface werkt op zowel de Internationale (multilingual user interface)
als Nederlandstalige versies van het actuele, op de werkplek toegepaste
besturingssysteem.
2.24
Het informatiesysteem moet geschikt zijn voor opname in de system management
tooling van de beheerder van de beoogde IenM ICT Infrastructuur, indien de
systeemprocessen bewaakt moeten worden (bijvoorbeeld monitoring van services of
batchverwerking). Zie hoofdstuk Fout! Verwijzingsbron niet gevonden. Fout!
Verwijzingsbron niet gevonden..
Pagina 15 van 24
Definitief | IMEA - Aansluitvoorwaarden | Versie 1.0
2.25
Het informatiesysteem maakt gebruik van de standaard eventlog faciliteiten (syslog)
B
X
TB
B
B
X
TB
S
I
ARCH
B
B
TB
B
TB
B
van het operating systeem, waarbij ten minste op basis van applicatie ID,
proces/thread ID en een timestamp de applicatie specifieke events zijn te
onderscheiden.
2.26
Het informatiesysteem biedt de mogelijkheid om het niveau van logging te
specificeren (trace, debug, information, warning, error, fatal, security).
2.27
Bekende gegevens worden niet opnieuw gevraagd. Op basis van de gebruikersnaam
is de gebruiker bekend en worden waar relevant gegevens in formulieren automatisch
gevuld. Deze (persoons)gegevens worden uit reeds beschikbare bronnen opgehaald,
zoals (in volgorde van voorkeur) Active Directory, IdM platform.
2.28
Van het informatiesysteem is het volgende bekend c.q. beschikbaar:
1.
Change log met wijzigingen t.o.v. de voorgaande versie;
2.
Hardware specificaties zoals CPU, memory, externe devices (gerelateerd naar het
te verwachten gebruik binnen IenM);
3.
Verwerkingswijze van transacties en/of handelingen: batch of (near) realtime;
4.
Afhankelijkheden met andere informatiesystemen en/of applicaties in de vorm
van specificaties van software die door het informatiesysteem gebruikt wordt
zoals database, databaseversie, benodigde licenties, etc.;
5.
Gebruikte randapparatuur;
6.
Op welke wijze de authenticatie beveiligd is, bijvoorbeeld m.b.v.
gebruikersnaam/wachtwoord en/of 2-factor authenticatie (zie 2.13);
7.
Welke autorisaties vereist zijn;
8.
Databeheer: bewaartermijn(en), databehoefte (verwachte hoeveelheid opslag),
belangrijke normwaarden en beschrijving hoe te handelen in geval van een
verstoring;
9.
Informatie over netwerkconnectiviteit:
a)
welke protocollen gebruikt het informatiesysteem in communicatie met
andere lagen (tiers) of andere systemen en/of applicaties;
b)
welke poorten gebruikt het informatiesysteem in communicatie met andere
lagen (tiers) of andere systemen en/of applicaties;
c)
ondersteunt de communicatie routering en Network Addres Translation
(NAT) over IP;
d)
bandbreedtegebruik voor verschillende vormen van functionaliteit (bijv.
queries uitvoeren, printen, etc.);
e)
robuustheid van de netwerkcommunicatie bij lage bandbreedte:
-
hoge latency;
-
wat gebeurt er bij uitval van een verbinding / wat zijn de gevolgen voor
de gebruiker.
2.29
Indien een informatiesysteem uit meerdere componenten bestaat, een relatie heeft of
een integratie kent met andere systemen en/of applicaties (bijvoorbeeld de MS Office
componenten), wordt aangegeven welke functionaliteit wordt gebruikt, welke
datastromen (transport en opslag) worden onderkend en welke eisen worden gesteld
aan de gerelateerde systemen en applicatie(s) c.q. componenten van applicatie(s).
Pagina 16 van 24
B
X
Definitief | IMEA - Aansluitvoorwaarden | Versie 1.0
2.30
Het gebruik van MS Access als databaseplatform is niet toegestaan zonder
I
ARCH
C
B
TB
S
uitdrukkelijke toestemming van IenM Architectuur en deze toestemming wordt niet
verleend wanneer de applicatie naar verwachting door meer dan 5 gelijktijdige
gebruikers wordt benaderd of een databasegrootte van 100 MB (megabyte) of meer
kent.
2.31
Serverapplicaties dienen als service of daemon in het besturingssysteem te
functioneren.
2.32
Remote beheer van het informatiesysteem moet mogelijk zijn.
B
TB
S
2.33
Het informatiesysteem mag geen eisen stellen aan de omgeving die conflicterend zijn
I
TB
B
B
TB
B
I
TB
I
TB
B
I
TB
C
B
TB
C
TB
C
TB
C
met andere systemen en/of applicaties (gebruik conflicterende DLL’s, etc.).
2.34
Voor de juiste werking van het informatiesysteem zijn geen aanpassingen aan (de
instellingen van) bestaande informatiesystemen in de beoogde IenM infrastructuur, of
delen daarvan, noodzakelijk.
2.35
Indien de gebruikersinterface wordt aangeboden op een Citrix XenApp Server, dan
dient deze gebruikersinterface met minimaal 40 gelijktijdige gebruikers op één (1)
Citrix server, volgens de gestelde kwaliteitsnormen, te functioneren.
2.36
De gebruiker kan op eenvoudige wijze middelen (b.v. printers) selecteren die nodig
zijn voor het uitvoeren van de werkzaamheden met behulp van het informatiesysteem.
2.37
De maximale grootte van een applicatiesequence (Microsoft App-V) welke naar een
Citrix XenApp server of naar een werkplek wordt gedistribueerd is 1 GB (gigabyte).
2.38
Software componenten ter ondersteuning van hardware (bijv. drivers voor
randapparatuur) dienen gecertificeerd te zijn voor het betreffende Operating System
van het apparaat waarop installatie plaatsvindt.
2.39
Het informatiesysteem maakt geen gebruik van scripts (vbs, bat, cmd) en command
I
X
line interpreters (zoals de Windows command prompt, cmd.exe).
2.40
Indien de gebruikersinterface vanaf een Citrix XenApp server wordt aangeboden en
I
deze applicatie maakt gebruik van tijdelijke bestanden welke op deze server worden
geplaatst, dan mogen deze bestanden (per gebruiker) niet groter worden dan 100 MB
(megabyte).
Pagina 17 van 24
Definitief | IMEA - Aansluitvoorwaarden | Versie 1.0
2.41
De gebruikersinterface en de helpbestanden voor eindgebruikers van het informatie-
B
FB
B
B
FB
B
B
FB
B
B
TB
B
systeem moeten in het Nederlands zijn. De gebruikersinterface en de helpbestanden
voor beheerders mag in het Engels zijn.
2.42
De gebruikersinterface dient in zijn volledigheid getoond te worden bij de laagste
schermresolutie met een gebruikersaandeel van minimaal 20%. Zie voor de
schermstatistieken de volgende website
http://www.w3schools.com/browsers/browsers_display.sap. Voor mobiele devices zie
4.8.
2.43
De getoonde gegevens en toepassingen zijn gepersonaliseerd. De getoonde gegevens
zijn relevant voor de gebruiker, er worden alleen toepassingen en/of functionaliteiten
getoond waarvoor de gebruiker geautoriseerd is.
2.44
Het informatiesysteem voldoet aan de eisen c.q. aansluitvoorwaarden die de
beheerder c.q. hosting partij van de beoogde ICT Infrastructuur hieraan stelt.
Pagina 18 van 24
Definitief | IMEA - Aansluitvoorwaarden | Versie 1.0
3
Ontwikkeleisen
In dit hoofdstuk worden de eisen weergegeven die gesteld worden aan informatiesystemen die IenM laat ontwikkelen (maatwerksoftware). De eisen zijn een
aanvulling op de selectie eisen voor informatiesystemen, welke in een IenM ICT
Infrastructuur worden opgenomen (hoofdstuk 2).
Nr.
Eis
T
3.1
Maatwerksoftware is geschikt voor het IenM Standaard Platform (SP) en het
K
A
R
I
ARCH
S
B
ARCH
S
B
FB
B
ARCH
B
B
ARCH
B
B
ARCH
S
I
LEV
B
daarvan onderdeel uitmakende principe van geautomatiseerd uitrollen.
3.2
Maatwerksoftware wordt ontwikkeld in Java EE. Hierbij gelden de eisen die
het Standaard Platform voorschrijft aan Applicaties en Componenten [MeC].
3.3
De broncode die ontwikkeld is in opdracht van IenM is en blijft eigendom van
IenM. Bij het opleveren van een release wordt de broncode die hoort bij die
versie van het informatiesysteem meegeleverd als product. Onderdeel van
deze code is een Maven build script. De code wordt op basis van Sonar
technisch gecontroleerd en geaccepteerd.
3.4
De resultaten van de kwaliteitstoets op de software van het
B
X
informatiesysteem (zie paragraaf 1.7) worden gebruikt in de
acceptatieprocedure, waarbij een minimum score van 4 (model van 1 tot 5
sterren) SIG/ TÜViT sterren geldt.
3.5
De ontwikkelaar van het informatiesysteem hanteert de door IenM
voorgeschreven coding, naamgeving en documentatiestandaarden.
3.6
De leverancier is verplicht om bij de start van een project een solution
architectuur (SA) op te leveren. Hiermee toetst IenM Architectuur of de PSA
begrepen is en correct is vertaald in een oplossing. De SA dient aan de start
van het project opgeleverd te worden en pas na akkoord van IenM
Architectuur mag met de ontwikkeling en/of implementatie gestart worden.
3.7
IenM werkt volgens het OTAPP straat principe. De O en T omgeving is de
verantwoordelijkheid van de leverancier, de overige omgevingen vallen
onder verantwoordelijkheid van IenM.
Pagina 19 van 24
Definitief | IMEA - Aansluitvoorwaarden | Versie 1.0
4
Eisen voor webapplicaties
De volgende richtlijnen zijn van toepassing op de gebruikersinterface van een
informatiesysteem, wanneer deze interface als webapplicatie wordt aangeboden.
Nr.
Eis
T
4.1
De ontsluiting mag geen belemmeringen hebben voor het plaats, tijd en
K
A
R
I
FB
B
B
FB
B
B
FB
B
B
TB
B
B
FB
B
I
TB
B
B
FB
B
B
FB
B
apparaat onafhankelijk werken op of buiten de IenM locaties.
4.2
Het is voor de gebruiker duidelijk of hij gegevens bekijkt (bijv. communicatie
op intranet en een adresgids) of bewerkt.
4.3
Applicatie en gegevens zijn van elkaar gescheiden, zodat het vervangen van
een applicatie geen nadelige consequenties heeft voor de ontsluiting van de
gegevens.
4.4
Voor webapplicaties welke ook van buiten een IenM ICT infrastructuur
toegankelijk moeten zijn, geldt dat dit met een internetverbinding mogelijk
moet zijn.
4.5
Webapplicaties moeten met goed gevolg gevalideerd worden met de W3C
Markup Validation Service (http://validator.w3.org/).
4.6
Een webbased applicatie maakt geen gebruik van proprietary applicatiecomponenten, zoals plug-ins en applets. Deze kunnen namelijk niet door de
gebruiker worden geïnstalleerd en worden als software beschouwd.
4.7
De applicatie is geschikt voor gebruik met alle standaard webbrowsers en
versies die een marktaandeel van meer dan 5% hebben moeten ondersteund
worden. Zie de volgende website voor de gebruiksstatistieken per browser
type http://www.netmarketshare.com/.
4.8
De webinterface moet ook correct werken op elke mobile OS versie (Android,
iOS en Windows Phone) met een marktaandeel van meer dan 5%. Zie de
volgende website voor de gebruiksstatistieken per OS type
http://www.netmarketshare.com/.
Pagina 20 van 24
Definitief | IMEA - Aansluitvoorwaarden | Versie 1.0
4.9
De gebruikersinterface moet voldoen aan de Rijkshuisstijl voor het Ministerie
B
FB
B
B
FB
B
B
ARCH
B
van Infrastructuur en Milieu Internet, zie:
http://www.rijkshuisstijl.nl/index.cfm/ministerie-van-infrastructuur-enmilieu/middelen/digitaal-en-online/internet/
4.10
Het publieke deel van de webapplicatie voldoet aan de Webrichtlijnen 2.0
(http://www.webrichtlijnen.nl/ en http://versie2.webrichtlijnen.nl/). Dit geldt
in beperkte mate voor geografische viewerfunctionaliteit.
4.11
De leverancier van de webapplicatie overhandigt een rapport waaruit blijkt dat
de webapplicatie met goed gevolg een security scan op (ten minste) de top 10
kwetsbaarheden, zoals opgenomen in de meest actuele versie van het OWASP
Top Ten Project, heeft doorstaan, zie:
https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
Pagina 21 van 24
Definitief | IMEA - Aansluitvoorwaarden | Versie 1.0
5
Voorwaarden in beheer nemen en exploitatie
Alvorens een informatiesysteem in beheer kan worden genomen dient aan een
aantal voorwaarden te worden voldaan. Deze voorwaarden blijven van kracht
gedurende de exploitatieperiode. Wanneer niet aan deze voorwaarden wordt
voldaan, wordt het informatiesysteem niet in beheer genomen of worden er geen
garanties afgegeven voor beschikbaarheid en performance.
Nr.
Eis
T
5.1
Het informatiesysteem dient te worden opgeleverd met de documentatie zoals
B
opgenomen in het document ‘Beheerst naar beheer’ [BEH].
K
A
R
ARCH
B
FB
TB
5.2
Software en (in geval van een eindgebruiker applicatie) applicatie specifieke
B
FB
C
iconen zijn beschikbaar.
5.3
Risicoanalyse is beschikbaar wanneer deze noodzakelijk is (zie paragraaf 1.6).
B
FB
B
5.4
De aanvullende maatregelen, als resultaat van de risicoanalyse, zijn getroffen.
B
FB
B
5.5
Indien van toepassing, op basis van beveiligingseisen (volgt uit
B
FB
B
B
FB
B
B
TB
B
B
SMI
B
Risicoanalyse), dient het functioneel ontwerp te vermelden:
Hoe gegevens die worden ingevoerd in informatiesystemen, worden
gevalideerd op juistheid en volledigheid door de uitvoering van
integriteitcontroles;
Hoe de controles op het juiste verloop van de geautomatiseerde
gegevensverwerking worden uitgevoerd.
5.6
Het informatiesysteem is gereed bevonden (geaccepteerd) door de
proceseigenaar alvorens deze in beheer genomen kan worden. Aan de basis
van deze acceptatie ligt een advies van de functioneel beheerder, gebaseerd
op met de gebruikersgroep afgestemde acceptatiecriteria.
5.7
Updates en upgrades van applicaties en Operating Systemen dienen, alvorens
in productie te worden genomen, in een acceptatie omgeving getest te worden
op basis van de acceptatiecriteria.
5.8
Er is een dienstverleningsovereenkomst (DVO) tussen de proceseigenaar en
DCI afgesloten.
Pagina 22 van 24
Definitief | IMEA - Aansluitvoorwaarden | Versie 1.0
5.9
Beheercontracten, SLA’s, NOK, DAP en licenties zijn beschikbaar wanneer van
B
SMI
B
B
FB
B
toepassing.
5.10
De functioneel beheerders, applicatiebeheerders en technisch beheerders zijn
opgeleid om de applicatie te kunnen beheren.
Pagina 23 van 24
Definitief | IMEA - Aansluitvoorwaarden | Versie 1.0
Pagina 24 van 24

Download Report