Document D-6 Ministerie van Infrastructuur en Milieu IMEA - Aansluitvoorwaarden Versie 1.0
Datum Status
15 juli 2014 Definitief
Definitief | IMEA - Aansluitvoorwaarden | Versie 1.0
Colofon
Versie
1.0
Contactpersoon
Paul Leunissen M 06 - 5250 6691
[email protected] Ministerie van Infrastructuur en Milieu Hoofddirectie Financiën, Management en Bedrijfsvoering Directie Concern Informatievoorziening Afdeling Architectuur en Informatie Management Team Architectuur Koningskade 4 Postbus 20906 2500 EX Den Haag
Auteurs
Paul Leunissen Stephen Oostenbrink
Pagina 3 van 24
Definitief | IMEA - Aansluitvoorwaarden | Versie 1.0
Inhoud
Inhoud .......................................................................................................................... 5 1
Inleiding ........................................................................................................... 7
1.1
IMEA Dossier ................................................................................................................ 7
1.2
Waarom aansluitvoorwaarden? ......................................................................................... 8
1.3
Intra- en interdepartementale afstemming ......................................................................... 8
1.4
Scope .......................................................................................................................... 8
1.5
Comply or Explain .......................................................................................................... 8
1.6
Risicoanalyse ................................................................................................................ 9
1.7
Kwaliteitstoets software .................................................................................................. 9
1.8
Leeswijzer .................................................................................................................... 9
1.9
Referenties ................................................................................................................. 10
1.10
Afkortingen en begrippen .............................................................................................. 11
1.11
Begrippen .................................................................................................................. 12
2
Selectie eisen .................................................................................................. 13
3
Ontwikkeleisen ................................................................................................ 19
4
Eisen voor webapplicaties ................................................................................. 20
5
Voorwaarden in beheer nemen en exploitatie ...................................................... 22
Pagina 5 van 24
Definitief | IMEA - Aansluitvoorwaarden | Versie 1.0
1
Inleiding
Voor u ligt een document met de Aansluitvoorwaarden van het Ministerie van Infrastructuur en Milieu (IenM), als onderdeel van het Infrastructuur en Milieu Enterprise Architectuur (IMEA) dossier.
1.1
IMEA Dossier In de onderstaande figuur is te zien welke plek voorliggend document in het IMEA Dossier inneemt.
Figuur 1. Opbouw IMEA Dossier
In het IMEA hoofddocument wordt de samenhang van de verschillende documenten die samen de Infrastructuur en Milieu Enterprise Architectuur beschrijven, uiteengezet en wordt het ‘Werken onder Architectuur’ toegelicht. Werken onder architectuur is niet alleen noodzakelijk voor het gecontroleerd uitvoeren van wijzigingen, het zorgt ook voor grip op de al bestaande en verder toenemende complexiteit en helpt bij de besluitvorming. Of het nu gaat om veranderingen in de organisatie, een gewijzigde informatiebehoefte of het toepassen van innovatieve technieken, de wens is en blijft om “in control” te zijn. Werken onder architectuur is dus niet een doel op zich, het is het (stuur)middel om grip op te krijgen en houden op ontwikkelingen. Het document Aansluitvoorwaarden beschrijft, als hulpmiddel bij het Werken onder Architectuur, de niet-functionele eisen waaraan informatiesystemen, welke door IenM in beheer worden genomen en/of binnen een IenM ICT Infrastructuur beschikbaar worden gesteld, dienen te voldoen. Deze aansluitvoorwaarden gelden Pagina 7 van 24
Definitief | IMEA - Aansluitvoorwaarden | Versie 1.0
niet enkel bij het selecteren c.q. het (laten) ontwikkelen van nieuwe applicaties en de overdracht hiervan naar beheer, maar ook gedurende de exploitatieperiode (het beschikbaar houden). Deze aansluitvoorwaarden gelden voor zowel applicaties die op een IenM ICT Infrastructuur gehost worden (intern) als applicaties die extern gehost worden (extern).
1.2
Waarom aansluitvoorwaarden? De aansluitvoorwaarden zijn enerzijds noodzakelijk en voorzien daarnaast in een behoefte: Dit document beschrijft niet-functionele eisen waaraan informatiesystemen dienen te voldoen zodat de informatie op een technische, communicatieve en voor de gebruikers eenduidige wijze ontsloten kan worden; Daarnaast biedt dit document voorwaarden waaraan voldaan moet worden alvorens een informatiesysteem in beheer kan worden genomen en gehouden; Voor proceseigenaren biedt dit document input voor het Programma van Eisen (PvE) bij het selecteren en (laten) ontwikkelen en beheren van informatiesystemen; Zowel functioneel als technisch beheer gebruikt dit document bij de beoordeling of het informatiesysteem in beheer genomen kan worden. Als zodanig zijn de Aansluitvoorwaarden een onderdeel van de acceptatiecriteria.
1.3
Intra- en interdepartementale afstemming Naast de IenM specifieke (aansluit)voorwaarden biedt dit document (verwijzingen naar) Rijksbrede aansluitvoorwaarden. Hiermee wordt geborgd dat IenM (ook) in de toekomst kan (blijven) aansluiten op interdepartementale ontwikkelingen zoals de Rijksbrede stijlgids, Rijksportaal en de Digitale Werkomgeving Rijksdienst (DWR), ofwel Rijkswerkplek.
1.4
Scope De scope van dit document omvat alle informatiesystemen welke in een IenM ICT Infrastructuur gehost worden (intern) en informatiesystemen extern gehost worden waar IenM eigenaar van en/of opdrachtgever voor is (extern). Naast de hier beschreven richtlijnen en voorwaarden dient voldaan te worden aan de bestaande afspraken en wet- en regelgeving t.a.v. persoonsgegevens en informatiebeveiliging (BIR en WBP), ARBO, milieu, inkoop en verwerving1. Ter verheldering zijn een aantal van de hierin opgenomen afspraken expliciet vermeld in dit document.
1.5
Comply or Explain Aansluitvoorwaarden staan onder invloed van ontwikkelingen in de markt, ontwikkelingen binnen het Rijk en ontwikkelingen binnen IenM. Het doel van de aansluitvoorwaarden is om nu en in de toekomst de gewenste functionaliteit en dienstverlening te kunnen bieden op een (kosten) efficiënte en effectieve wijze. Het 1
Een praktisch voorbeeld hiervan is het actieplan Nederland Open in Verbinding. Dit actieplan stelt dat alle toepassingen gebruik moeten maken van open standaarden en dat open source software een gelijke kans moet krijgen.
Pagina 8 van 24
Definitief | IMEA - Aansluitvoorwaarden | Versie 1.0
niet voldoen aan de voorwaarden kan gevolgen hebben voor de IenM ICT Infrastructuur. Dit kan leiden tot meerkosten en/of het niet kunnen afgeven van garanties over de beheerbaarheid, beheersbaarheid, beschikbaarheid, robuustheid en performance van het informatiesysteem. Afwijkingen van de Aansluitvoorwaarden dienen te allen tijde onderbouwd, afgestemd met en geaccordeerd te worden door de Architecten van IenM (DCI Architectuur). Bij de beoordeling en afstemming is de Infrastructuur en Milieu Enterprise Architectuur [IMEA] en de daarin opgenomen principes leidend. Deze handelswijze wordt aangeduid met ‘Comply or Explain’.
1.6
Risicoanalyse Als het beveiligingsniveau van het BIR [BIR] niet volstaat voor het aan te schaffen of te ontwikkelen informatiesysteem, zal er een risicoanalyse worden uitgevoerd. Deze risicoanalyse leidt eventueel tot aanvullende eisen (in het kader van beveiliging) waaraan het informatiesysteem moet voldoen. Deze afweging wordt gemaakt door IenM en ook de uitvoering van een dergelijke risicoanalyse is de verantwoordelijkheid van IenM.
1.7
Kwaliteitstoets software De software van in opdracht van IenM ontwikkelde informatiesystemen wordt, op eenzijdig initiatief van IenM, aan een technische kwaliteitstoets onderworpen. Hierbij wordt uitgegaan van ISO/25010 norm, een internationale standaard voor de kwaliteit van software. Deze standaard definieert een aantal aspecten die invloed hebben op onderhoudbaarheid van software. Dit zijn o.a. analyseerbaarheid, veranderbaarheid, stabiliteit en testbaarheid. De toets is gericht op de technische kwaliteit van het systeem en heeft vooral betrekking op de hiervoor genoemde vier gebieden. De toets wordt uitgevoerd door een onafhankelijke derde partij (zie ook hoofdstuk 3).
1.8
Leeswijzer In navolging van de in paragraaf 1.4 vermelde scope is bij de opsomming van de eisen in de hierna volgende hoofdstukken bij elke eis de volgende kolommen opgenomen: Een kolom Toepassing (‘T’) waarin met de volgende codering aangegeven wordt of de eis van toepassing is op welke infrastructuur: Interne (‘I’), Externe (‘E’) of Beide (‘B’). Een kolom Kwaliteitstoets (‘K’) waarin met een kruisje aangegeven is als een eis onderdeel is van de in paragraaf 1.7 genoemde kwaliteitstoets. Een kolom Acceptatie (‘A’) waarin aangegeven wordt welke partij verantwoordelijk is voor het toetsen dat aan de eis voldaan is bij acceptatie van het systeem. De volgende waarden worden gebruikt: Architect (ARCH), FB (Beheer), LEV (leveranciersmanager), SEC (security officer), SM (Servicemanagement), COMM (communicatie), TB (technisch beheerder, hosting partij); Een kolom Relevant (‘R’) waarin wordt aangegeven of de eis betrekking heeft op een client c.q. front-end applicatie (‘C’), een server c.q. backend applicatie (‘S’) of beide (‘B’).
Pagina 9 van 24
Definitief | IMEA - Aansluitvoorwaarden | Versie 1.0
Het document is verder als volgt opgebouwd: Hoofdstuk 2 beschrijft de eisen welke gehanteerd worden bij de selectie van informatiesystemen; Hoofdstuk 3 geeft de eisen weer welke van toepassing zijn in geval van maatwerk, aanvullend op de selectie-eisen uit het voorgaande hoofdstuk; Indien een geselecteerd, dan wel ontwikkeld informatiesysteem een webapplicatie betreft of biedt zijn de eisen zoals opgenomen in hoofdstuk 4 additioneel van toepassing; Hoofdstuk 5 beschrijft de voorwaarden voor het in beheer nemen en de exploitatie van informatiesystemen; Hoofdstuk Fout! Verwijzingsbron niet gevonden. geeft een beknopte beschrijving van de IenM ICT Infrastructuur en de daarin gebruikte producten. De navolgende figuur geeft de samenhang en opbouw van de eisen visueel weer.
Figuur 2. Samenhang en opbouw eisen
1.9
Referenties In dit document wordt, onder vermelding van de tussen blokhaken geplaatste afkorting, verwezen naar de volgende documenten en publicaties Referentie
Document
BIR
Baseline Informatiebeveiliging Rijksdienst
CvS
Lijst met Open Standaarden (www.formumstandaardisatie.nl)
DigiK
Digikoppeling Architectuur
ESB
IenM – ESB Koppelingen – Eisen
Pagina 10 van 24
Definitief | IMEA - Aansluitvoorwaarden | Versie 1.0
1.10
IMEA
IMEA – Infrastructuur en Milieu Enterprise Architectuur
MeC
IenM – Standaard Platform – Maatwerk en Componenten
NKT
Normen en Kaders Testen, versie 1.1
NOiV
Actieplan Nederland Open in Verbinding
SGA
IMEA – Katern – Service Gerichte Architectuur
SP
IMEA – Katern – Standaard Platform
VIRBI
Voorschrift Informatiebeveiliging Rijksdienst – Bijzondere Informatie
BEH
IenM – Beheerst naar beheer
Afkortingen en begrippen In dit document worden de volgende afkortingen en begrippen gehanteerd. Afkorting
Toelichting
ACC
Acceptatieomgeving
ADV
Adviseur
ARCH
Architect
BIR
Baseline Informatiebeveiliging Rijksdienst
CA
Centraal Aansluitpunt
COMM
Communicatie
COTS
Commercial Off The Shelf, standaard software
DAP
Dossier Afspraken en Procedures
FB
Functioneel beheerder
IAM
Identity and Access Management
IdM
Identity Management
IMEA
Infrastructuur en Milieu Enterprise Architectuur
LEV
Leveranciersmanager
NOK
Nadere Overeenkomst
ONT
Ontwikkelomgeving
OTAPP
Ontwikkel, Test, Acceptatie, Preproductie en Productie
PRD
Productieomgeving
PRE
Preproductieomgeving
PSA
Project Start Architectuur
SA
Solution Architectuur
SBC
Server Based Computing
SEC
Security Officer
SIG
Software Improvement Group
SLA
Service Level Agreement
SMI
Servicemanager
Pagina 11 van 24
Definitief | IMEA - Aansluitvoorwaarden | Versie 1.0
1.11
SP
Standaard Platform
TB
Technisch beheer
TST
Testomgeving
VIRBI
Voorschrift Informatiebeveiliging Rijksdienst - Bijzondere Informatie
WBP
Wet bescherming persoonsgegevens
Begrippen Aangezien dit document voor diverse doelgroepen bedoeld is en het in algemene zin belangrijk is dat een document op een eenduidige manier geïnterpreteerd wordt, volgen hierna diverse begrippen die van belang zijn bij het lezen van dit document. Begrip
Toelichting
Applicatie
Applicatie is een door een leverancier geleverde implementatie van een Informatiesysteem.
Dossier Afspraken en Procedures
Het Dossier Afspraken en Procedures (DAP) is een invulling of nadere detaillering van de tussen partijen afgesloten Nadere Overeenkomst (NOK). Kortweg kan men stellen dat in de NOK staat wat de dienstverlening is, in het SLA aan welke eisen die dienstverlening moet voldoen en in het DAP hoe de communicatie rond de dienstverlening verloopt.
Identity Management
Identity Management (IdM) betreft het beheer van identiteiten ten behoeve van fysieke toegang tot gebouwen en logische toegang tot informatiesystemen en gegevens. Tegenwoordig ook vaak aangeduid met Identity and Access Management (IAM).
Informatiefunctie
Een Informatiefunctie is een in een proces onderkende functionaliteit voor de verwerking van informatie.
Informatiesysteem
Een Informatiesysteem is een logische clustering van een aantal Informatiefuncties.
Nadere Overeenkomst
In een Nadere Overeenkomst (NOK ) worden in contractvorm de afspraken vastgelegd met betrekking tot de specifieke zaken rond één opdracht. Dat kan zijn het beheer en onderhoud van één systeem of een cluster van systemen, maar het kan ook een éénmalig project betreffen zoals het bouwen van een systeem.
Remote beheer
‘Op afstand’ beheer, zonder dat fysieke aanwezigheid bij het te beheren apparaat noodzakelijk is.
Server Based Computing
Server Based Computing (SBC) een techniek waarbij de toepassing wordt uitgevoerd op centraal geplaatste servers terwijl de in- en uitvoer van toetsenbord, muis en beeldscherm van het werkstation worden gebruikt.
Service Level Agreement
Een Service Level Agreement (SLA) is Overeenkomst tussen aanbieder en afnemer van dienstverlening waarin afspraken rondom deze dienstverlening zijn vastgelegd.
Pagina 12 van 24
Definitief | IMEA - Aansluitvoorwaarden | Versie 1.0
2
Selectie eisen
Dit hoofdstuk beschrijft niet-functionele eisen die gehanteerd worden bij de selectie van informatiesystemen. Bij de aanbesteding gelden deze als aanvulling op de functionele en toepassingsspecifieke eisen. Nr.
Eis
T
2.1
Het informatiesysteem voldoet aan de Ministerie van Infrastructuur en Milieu
K
A
R
B
ARCH
B
I
ARCH
C
I
ARCH
C
I
ARCH
B
I
ARCH
S
B
ARCH
S
E
ARCH
S
Enterprise Architectuur [IMEA] en de Project Start Architectuur (PSA).
2.2
De gebruikersinterface van een informatiesysteem wordt (in volgorde van voorkeur) op de volgende wijze beschikbaar gesteld aan de gebruiker(s): 1.
Als webapplicatie;
2.
Als virtuele applicatie op een Citrix XenApp Server. Het informatiesysteem is bij voorkeur gecertificeerd voor Citrix.
2.3
Voor applicatie virtualisatie wordt (in volgorde van voorkeur) gebruik gemaakt van Microsoft App-V, applicatiedistributie (installatie) vindt plaats in de vorm van MSIpackages met behulp van Microsoft SCCM.
2.4
Het informatiesysteem is geschikt voor gebruik in de beoogde IenM ICT Infrastructuur en voldoet aan de eisen zoals gesteld door de beheerder (hostingpartij) van deze infrastructuur.
2.5
Het informatiesysteem wordt ondersteund in een gevirtualiseerde hardware omgeving op basis van het virtualisatie product zoals dit in de beoogde IenM ICT Infrastructuur wordt toegepast.
2.6
Voor gegevensuitwisseling met een informatiesysteem in een IenM ICT Infrastructuur wordt gebruik gemaakt van het Enterprise Service Bus platform in die ICT infrastructuur conform de eisen zoals opgenomen in [ESB]. Gegevensuitwisseling met andere overheidsinstanties gebeurt op basis van de standaarden van Digikoppeling [DigiK]. Voor uitwisseling met andere partijen wordt gebruik gemaakt van open standaarden zoals vastgesteld door het College van Standaardisatie [CvS].
2.7
Zowel inkomend als uitgaand berichtenverkeer tussen systemen in een IenM ICT Infrastructuur en systemen daarbuiten vindt plaats via het Centraal Aansluitpunt (CA).
Pagina 13 van 24
Definitief | IMEA - Aansluitvoorwaarden | Versie 1.0
2.8
De applicatie- en gebruikersdata wordt opgeslagen op de generieke opslagvoorziening
I
X
TB
B
B
X
TB
B
B
X
TB
B
I
TB
C
B
SEC
B
I
TB
B
I
TB
S
I
TB
B
I
TB
B
in de IenM ICT Infrastructuur. Deze voorziening voorziet in de dataopslag en –beheer. 1.
De data kan, bij een openstelling anders dan de standaard openstellingstijd, online (terwijl de applicatie actief is) in de back-up meegenomen worden; of
2.
De applicatie kan via een script afgesloten worden zodat een consistente back-up gemaakt kan worden.
2.9
Applicatielogica en -data dienen gescheiden te worden opgeslagen. Deze locaties dienen configureerbaar te zijn.
2.10
Het informatiesysteem maakt duidelijk onderscheid tussen gebruikersinformatie en (globale) applicatie-informatie. De eerste wordt opgeslagen op een gebruikerslocatie of in een gebruikersprofiel, de tweede op een locatie welke toegankelijk is voor alle instanties van de applicatie(componenten). Deze locaties dienen configureerbaar te zijn.
2.11
Applicatiecomponenten welke in het gebruikersprofiel worden opgeslagen hebben een maximale grootte van 5 MB.
2.12
Het informatiesysteem voldoet aan het geldende beveiligingsbeleid (BIR [BIR], VIRBI [VIRBI], WBP).
2.13
Voor authenticatie en autorisatie wordt gebruik gemaakt van Microsoft Active Directory in geval van client applicaties en de Standaard Platform IS component in geval van server applicaties, waarbij authenticatie op beveiligde wijze plaatsvindt.
2.14
Mits onderbouwd en afgestemd met de IenM Architecten kan, in afwijking op 2.13, gebruik worden gemaakt van een eigen authenticatie en/of autorisatiemodule c.q. – database. Deze voorziening dient te voldoen aan de eisen zoals gesteld in het BIR (wachtwoorden verplicht, complexiteit en geldigheidsperiode in te stellen, wachtwoorden versleuteld opgeslagen, wachtwoorden zijn niet te hergebruiken en ook door beheerder niet in te zien).
2.15
Het informatiesysteem ondersteunt Single Sign On (SSO) voor authenticatie gebruikmakend van de in 2.13 genoemde authenticatie en autorisatievoorziening, c.q. de credentials in de Windows omgeving in geval van een client applicatie. Indien een extra beveiliging noodzakelijk is vanwege bijvoorbeeld de gevoeligheid van (gerubriceerde) informatie, is dit niet van toepassing.
2.16
De authenticatie van de gebruiker dient modulair van opzet te zijn. D.w.z. dat gebruik gemaakt moet worden van binnen de infrastructuur aanwezige authenticatiemechanismen, bijv. Federatieve Authenticatie (Rijksbreed).
Pagina 14 van 24
Definitief | IMEA - Aansluitvoorwaarden | Versie 1.0
2.17
Het functionele beheer van het informatiesysteem kan worden uitgevoerd door
B
TB
B
TB
B
B
TB
B
gebruikers met aanvullende rechten (zonder administrator rechten op het onderliggende operating systeem) met behulp van een webgebaseerde gebruikersinterface. In de documentatie van het informatiesysteem (zie ook 5.1) worden de rechten en de objecten/componenten waarop de rechten betrekking hebben, beschreven.
2.18
Informatiesystemen moeten separaat en flexibel (per gebruiker) configureerbaar zijn
B
X
en geen vaste verwijzingen bieden naar: Databasenamen; Driveletters; Werkfolders; Tijdelijke folders; IP adressen; Directory systemen (LDAP); Domeinnamen; Licentie-gegevens, c.q. bestand(en); (Service) accounts; Omgevingsspecifieke (OTAPP) variabelen; Configureerbare applicatie instellingen.
2.19
Het informatiesysteem maakt geen gebruik van hardware (dongles) voor licentiebeheer.
2.20
Het informatiesysteem maakt geen gebruik van parallelle poorten.
B
TB
B
2.21
Informatiesystemen welke gebruik maken van een klok, geven de juiste tijd aan
B
TB
B
I
TB
C
B
TB
C
B
TB
S
volgens GMT+1, rekening houdend met zomer- en wintertijd. Voor tijdsynchronisatie wordt gebruik gemaakt van een NTP-service, al dan niet afgenomen door het onderliggende Operating System.
2.22
De integratie van het informatiesysteem met bestaande informatiesystemen is, indien van toepassing, op gebruikersniveau en per toepassing af te dwingen (bijvoorbeeld wel voor AutoCAD, niet voor Word en Excel).
2.23
De gebruikersinterface werkt op zowel de Internationale (multilingual user interface) als Nederlandstalige versies van het actuele, op de werkplek toegepaste besturingssysteem.
2.24
Het informatiesysteem moet geschikt zijn voor opname in de system management tooling van de beheerder van de beoogde IenM ICT Infrastructuur, indien de systeemprocessen bewaakt moeten worden (bijvoorbeeld monitoring van services of batchverwerking). Zie hoofdstuk Fout! Verwijzingsbron niet gevonden. Fout! Verwijzingsbron niet gevonden..
Pagina 15 van 24
Definitief | IMEA - Aansluitvoorwaarden | Versie 1.0
2.25
Het informatiesysteem maakt gebruik van de standaard eventlog faciliteiten (syslog)
B
X
TB
B
B
X
TB
S
I
ARCH
B
B
TB
B
TB
B
van het operating systeem, waarbij ten minste op basis van applicatie ID, proces/thread ID en een timestamp de applicatie specifieke events zijn te onderscheiden.
2.26
Het informatiesysteem biedt de mogelijkheid om het niveau van logging te specificeren (trace, debug, information, warning, error, fatal, security).
2.27
Bekende gegevens worden niet opnieuw gevraagd. Op basis van de gebruikersnaam is de gebruiker bekend en worden waar relevant gegevens in formulieren automatisch gevuld. Deze (persoons)gegevens worden uit reeds beschikbare bronnen opgehaald, zoals (in volgorde van voorkeur) Active Directory, IdM platform.
2.28
Van het informatiesysteem is het volgende bekend c.q. beschikbaar: 1.
Change log met wijzigingen t.o.v. de voorgaande versie;
2.
Hardware specificaties zoals CPU, memory, externe devices (gerelateerd naar het te verwachten gebruik binnen IenM);
3.
Verwerkingswijze van transacties en/of handelingen: batch of (near) realtime;
4.
Afhankelijkheden met andere informatiesystemen en/of applicaties in de vorm van specificaties van software die door het informatiesysteem gebruikt wordt zoals database, databaseversie, benodigde licenties, etc.;
5.
Gebruikte randapparatuur;
6.
Op welke wijze de authenticatie beveiligd is, bijvoorbeeld m.b.v. gebruikersnaam/wachtwoord en/of 2-factor authenticatie (zie 2.13);
7.
Welke autorisaties vereist zijn;
8.
Databeheer: bewaartermijn(en), databehoefte (verwachte hoeveelheid opslag), belangrijke normwaarden en beschrijving hoe te handelen in geval van een verstoring;
9.
Informatie over netwerkconnectiviteit: a)
welke protocollen gebruikt het informatiesysteem in communicatie met andere lagen (tiers) of andere systemen en/of applicaties;
b)
welke poorten gebruikt het informatiesysteem in communicatie met andere lagen (tiers) of andere systemen en/of applicaties;
c)
ondersteunt de communicatie routering en Network Addres Translation (NAT) over IP;
d)
bandbreedtegebruik voor verschillende vormen van functionaliteit (bijv. queries uitvoeren, printen, etc.);
e)
robuustheid van de netwerkcommunicatie bij lage bandbreedte: -
hoge latency;
-
wat gebeurt er bij uitval van een verbinding / wat zijn de gevolgen voor de gebruiker.
2.29
Indien een informatiesysteem uit meerdere componenten bestaat, een relatie heeft of een integratie kent met andere systemen en/of applicaties (bijvoorbeeld de MS Office componenten), wordt aangegeven welke functionaliteit wordt gebruikt, welke datastromen (transport en opslag) worden onderkend en welke eisen worden gesteld aan de gerelateerde systemen en applicatie(s) c.q. componenten van applicatie(s).
Pagina 16 van 24
B
X
Definitief | IMEA - Aansluitvoorwaarden | Versie 1.0
2.30
Het gebruik van MS Access als databaseplatform is niet toegestaan zonder
I
ARCH
C
B
TB
S
uitdrukkelijke toestemming van IenM Architectuur en deze toestemming wordt niet verleend wanneer de applicatie naar verwachting door meer dan 5 gelijktijdige gebruikers wordt benaderd of een databasegrootte van 100 MB (megabyte) of meer kent.
2.31
Serverapplicaties dienen als service of daemon in het besturingssysteem te functioneren.
2.32
Remote beheer van het informatiesysteem moet mogelijk zijn.
B
TB
S
2.33
Het informatiesysteem mag geen eisen stellen aan de omgeving die conflicterend zijn
I
TB
B
B
TB
B
I
TB
I
TB
B
I
TB
C
B
TB
C
TB
C
TB
C
met andere systemen en/of applicaties (gebruik conflicterende DLL’s, etc.).
2.34
Voor de juiste werking van het informatiesysteem zijn geen aanpassingen aan (de instellingen van) bestaande informatiesystemen in de beoogde IenM infrastructuur, of delen daarvan, noodzakelijk.
2.35
Indien de gebruikersinterface wordt aangeboden op een Citrix XenApp Server, dan dient deze gebruikersinterface met minimaal 40 gelijktijdige gebruikers op één (1) Citrix server, volgens de gestelde kwaliteitsnormen, te functioneren.
2.36
De gebruiker kan op eenvoudige wijze middelen (b.v. printers) selecteren die nodig zijn voor het uitvoeren van de werkzaamheden met behulp van het informatiesysteem.
2.37
De maximale grootte van een applicatiesequence (Microsoft App-V) welke naar een Citrix XenApp server of naar een werkplek wordt gedistribueerd is 1 GB (gigabyte).
2.38
Software componenten ter ondersteuning van hardware (bijv. drivers voor randapparatuur) dienen gecertificeerd te zijn voor het betreffende Operating System van het apparaat waarop installatie plaatsvindt.
2.39
Het informatiesysteem maakt geen gebruik van scripts (vbs, bat, cmd) en command
I
X
line interpreters (zoals de Windows command prompt, cmd.exe).
2.40
Indien de gebruikersinterface vanaf een Citrix XenApp server wordt aangeboden en
I
deze applicatie maakt gebruik van tijdelijke bestanden welke op deze server worden geplaatst, dan mogen deze bestanden (per gebruiker) niet groter worden dan 100 MB (megabyte).
Pagina 17 van 24
Definitief | IMEA - Aansluitvoorwaarden | Versie 1.0
2.41
De gebruikersinterface en de helpbestanden voor eindgebruikers van het informatie-
B
FB
B
B
FB
B
B
FB
B
B
TB
B
systeem moeten in het Nederlands zijn. De gebruikersinterface en de helpbestanden voor beheerders mag in het Engels zijn.
2.42
De gebruikersinterface dient in zijn volledigheid getoond te worden bij de laagste schermresolutie met een gebruikersaandeel van minimaal 20%. Zie voor de schermstatistieken de volgende website http://www.w3schools.com/browsers/browsers_display.sap. Voor mobiele devices zie 4.8.
2.43
De getoonde gegevens en toepassingen zijn gepersonaliseerd. De getoonde gegevens zijn relevant voor de gebruiker, er worden alleen toepassingen en/of functionaliteiten getoond waarvoor de gebruiker geautoriseerd is.
2.44
Het informatiesysteem voldoet aan de eisen c.q. aansluitvoorwaarden die de beheerder c.q. hosting partij van de beoogde ICT Infrastructuur hieraan stelt.
Pagina 18 van 24
Definitief | IMEA - Aansluitvoorwaarden | Versie 1.0
3
Ontwikkeleisen
In dit hoofdstuk worden de eisen weergegeven die gesteld worden aan informatiesystemen die IenM laat ontwikkelen (maatwerksoftware). De eisen zijn een aanvulling op de selectie eisen voor informatiesystemen, welke in een IenM ICT Infrastructuur worden opgenomen (hoofdstuk 2). Nr.
Eis
T
3.1
Maatwerksoftware is geschikt voor het IenM Standaard Platform (SP) en het
K
A
R
I
ARCH
S
B
ARCH
S
B
FB
B
ARCH
B
B
ARCH
B
B
ARCH
S
I
LEV
B
daarvan onderdeel uitmakende principe van geautomatiseerd uitrollen.
3.2
Maatwerksoftware wordt ontwikkeld in Java EE. Hierbij gelden de eisen die het Standaard Platform voorschrijft aan Applicaties en Componenten [MeC].
3.3
De broncode die ontwikkeld is in opdracht van IenM is en blijft eigendom van IenM. Bij het opleveren van een release wordt de broncode die hoort bij die versie van het informatiesysteem meegeleverd als product. Onderdeel van deze code is een Maven build script. De code wordt op basis van Sonar technisch gecontroleerd en geaccepteerd.
3.4
De resultaten van de kwaliteitstoets op de software van het
B
X
informatiesysteem (zie paragraaf 1.7) worden gebruikt in de acceptatieprocedure, waarbij een minimum score van 4 (model van 1 tot 5 sterren) SIG/ TÜViT sterren geldt.
3.5
De ontwikkelaar van het informatiesysteem hanteert de door IenM voorgeschreven coding, naamgeving en documentatiestandaarden.
3.6
De leverancier is verplicht om bij de start van een project een solution architectuur (SA) op te leveren. Hiermee toetst IenM Architectuur of de PSA begrepen is en correct is vertaald in een oplossing. De SA dient aan de start van het project opgeleverd te worden en pas na akkoord van IenM Architectuur mag met de ontwikkeling en/of implementatie gestart worden.
3.7
IenM werkt volgens het OTAPP straat principe. De O en T omgeving is de verantwoordelijkheid van de leverancier, de overige omgevingen vallen onder verantwoordelijkheid van IenM.
Pagina 19 van 24
Definitief | IMEA - Aansluitvoorwaarden | Versie 1.0
4
Eisen voor webapplicaties
De volgende richtlijnen zijn van toepassing op de gebruikersinterface van een informatiesysteem, wanneer deze interface als webapplicatie wordt aangeboden. Nr.
Eis
T
4.1
De ontsluiting mag geen belemmeringen hebben voor het plaats, tijd en
K
A
R
I
FB
B
B
FB
B
B
FB
B
B
TB
B
B
FB
B
I
TB
B
B
FB
B
B
FB
B
apparaat onafhankelijk werken op of buiten de IenM locaties.
4.2
Het is voor de gebruiker duidelijk of hij gegevens bekijkt (bijv. communicatie op intranet en een adresgids) of bewerkt.
4.3
Applicatie en gegevens zijn van elkaar gescheiden, zodat het vervangen van een applicatie geen nadelige consequenties heeft voor de ontsluiting van de gegevens.
4.4
Voor webapplicaties welke ook van buiten een IenM ICT infrastructuur toegankelijk moeten zijn, geldt dat dit met een internetverbinding mogelijk moet zijn.
4.5
Webapplicaties moeten met goed gevolg gevalideerd worden met de W3C Markup Validation Service (http://validator.w3.org/).
4.6
Een webbased applicatie maakt geen gebruik van proprietary applicatiecomponenten, zoals plug-ins en applets. Deze kunnen namelijk niet door de gebruiker worden geïnstalleerd en worden als software beschouwd.
4.7
De applicatie is geschikt voor gebruik met alle standaard webbrowsers en versies die een marktaandeel van meer dan 5% hebben moeten ondersteund worden. Zie de volgende website voor de gebruiksstatistieken per browser type http://www.netmarketshare.com/.
4.8
De webinterface moet ook correct werken op elke mobile OS versie (Android, iOS en Windows Phone) met een marktaandeel van meer dan 5%. Zie de volgende website voor de gebruiksstatistieken per OS type http://www.netmarketshare.com/.
Pagina 20 van 24
Definitief | IMEA - Aansluitvoorwaarden | Versie 1.0
4.9
De gebruikersinterface moet voldoen aan de Rijkshuisstijl voor het Ministerie
B
FB
B
B
FB
B
B
ARCH
B
van Infrastructuur en Milieu Internet, zie: http://www.rijkshuisstijl.nl/index.cfm/ministerie-van-infrastructuur-enmilieu/middelen/digitaal-en-online/internet/
4.10
Het publieke deel van de webapplicatie voldoet aan de Webrichtlijnen 2.0 (http://www.webrichtlijnen.nl/ en http://versie2.webrichtlijnen.nl/). Dit geldt in beperkte mate voor geografische viewerfunctionaliteit.
4.11
De leverancier van de webapplicatie overhandigt een rapport waaruit blijkt dat de webapplicatie met goed gevolg een security scan op (ten minste) de top 10 kwetsbaarheden, zoals opgenomen in de meest actuele versie van het OWASP Top Ten Project, heeft doorstaan, zie: https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
Pagina 21 van 24
Definitief | IMEA - Aansluitvoorwaarden | Versie 1.0
5
Voorwaarden in beheer nemen en exploitatie
Alvorens een informatiesysteem in beheer kan worden genomen dient aan een aantal voorwaarden te worden voldaan. Deze voorwaarden blijven van kracht gedurende de exploitatieperiode. Wanneer niet aan deze voorwaarden wordt voldaan, wordt het informatiesysteem niet in beheer genomen of worden er geen garanties afgegeven voor beschikbaarheid en performance. Nr.
Eis
T
5.1
Het informatiesysteem dient te worden opgeleverd met de documentatie zoals
B
opgenomen in het document ‘Beheerst naar beheer’ [BEH].
K
A
R
ARCH
B
FB TB
5.2
Software en (in geval van een eindgebruiker applicatie) applicatie specifieke
B
FB
C
iconen zijn beschikbaar.
5.3
Risicoanalyse is beschikbaar wanneer deze noodzakelijk is (zie paragraaf 1.6).
B
FB
B
5.4
De aanvullende maatregelen, als resultaat van de risicoanalyse, zijn getroffen.
B
FB
B
5.5
Indien van toepassing, op basis van beveiligingseisen (volgt uit
B
FB
B
B
FB
B
B
TB
B
B
SMI
B
Risicoanalyse), dient het functioneel ontwerp te vermelden: Hoe gegevens die worden ingevoerd in informatiesystemen, worden gevalideerd op juistheid en volledigheid door de uitvoering van integriteitcontroles; Hoe de controles op het juiste verloop van de geautomatiseerde gegevensverwerking worden uitgevoerd.
5.6
Het informatiesysteem is gereed bevonden (geaccepteerd) door de proceseigenaar alvorens deze in beheer genomen kan worden. Aan de basis van deze acceptatie ligt een advies van de functioneel beheerder, gebaseerd op met de gebruikersgroep afgestemde acceptatiecriteria.
5.7
Updates en upgrades van applicaties en Operating Systemen dienen, alvorens in productie te worden genomen, in een acceptatie omgeving getest te worden op basis van de acceptatiecriteria.
5.8
Er is een dienstverleningsovereenkomst (DVO) tussen de proceseigenaar en DCI afgesloten.
Pagina 22 van 24
Definitief | IMEA - Aansluitvoorwaarden | Versie 1.0
5.9
Beheercontracten, SLA’s, NOK, DAP en licenties zijn beschikbaar wanneer van
B
SMI
B
B
FB
B
toepassing.
5.10
De functioneel beheerders, applicatiebeheerders en technisch beheerders zijn opgeleid om de applicatie te kunnen beheren.
Pagina 23 van 24
Definitief | IMEA - Aansluitvoorwaarden | Versie 1.0
Pagina 24 van 24