Actueel inzicht in de architectuur en de gebruikte technologie is voor de ICT-organisatie belangrijk. Dit inzicht is essentieel voor lopend beheer en onderhoud, maar ook voor planning en besluitvorming op de langere termijn.
Toetsaspecten voor dit risicogebied
De aspecten richten zich op drie onderwerpen: actueel inzicht in de architectuur, het beheer van de architectuur zelf en van de technologie.
Actueel inzicht
- Er is inzicht in de gebruikte ICT-componenten
Er is een actuele registratie die voldoende informatie bevat over alle ICT-componenten (hardware, netwerk, software, AI-modellen, data, koppelvlakken, libraries, frameworks, testscripts, ontwikkeltools) en hun samenhang. Het gaat om informatie die noodzakelijk is voor beheer en onderhoud van het informatiesysteem. - Het is duidelijk in hoeverre het informatiesysteem voldoet aan de gestelde eisen
Het is duidelijk aan welke functionele en niet-functionele eisen het informatiesysteem voldoet en hoe en wanneer deze worden getoetst. Hierbij gaat het zowel om specifieke eisen (gerelateerd aan het informatiesysteem) als om algemenere eisen die voortkomen uit wet- en regelgeving (zoals eisen aan informatiebeveiliging en privacy). - De kwaliteit en omvang van het informatiesysteem is bij benadering bekend
Er is actueel inzicht in de kwaliteit van het informatiesysteem, waaronder de aanwezige technische schuld en functionele gebreken. De functionele omvang is (bij benadering) bekend en bepaald met behulp van een functiepuntenanalyse of soortgelijke technieken. Deze informatie helpt onder meer bij inschatten van de beheer- en onderhoudslast.
Architectuurbeheer
- De architectuur is passend voor het informatiesysteem, ook binnen het bredere ICT-landschap
Bij een passende architectuur zijn architectuurkeuzes gemotiveerd en gedocumenteerd vanuit meerdere perspectieven (zoals business, proces, beveiliging, data en infrastructuur). De keuzes komen voort uit de belangrijkste functionele en niet-functionele eisen. De architectuur is duidelijk vastgelegd en traceerbaar naar deze eisen. Er is daarbij rekening gehouden met het bredere ICT-landschap: aanpalende of gekoppelde systemen en ontwikkelingen binnen het landschap en in de betrokken ketens. Bij wijzigingen van eisen wordt vanuit beheer en onderhoud bepaald of deze passen binnen de huidige architectuur of tot architectuurwijzigingen leiden. - Het informatiesysteem is in componenten opgedeeld die apart kunnen worden aangepast en getest
Functies zijn optimaal en logisch gegroepeerd over de verschillende componenten, zodat wijzigingen doorgevoerd kunnen worden door slechts één component aan te passen en opnieuw te testen. De componenten zijn op een afgewogen manier ontkoppeld (maximale samenhang, minimale koppeling). - De koppelvlakken worden actief beheerd
De specificatie en werking van alle koppelvlakken zijn beschreven en gestandaardiseerd. De gegevensuitwisseling voldoet aan de beveiligingsnormen. Actief beheer zorgt voor monitoring, heldere afspraken voor doorontwikkeling, versiebeheer, modernisering en het bijblijven met actuele standaarden.
Technologie
- Het informatiesysteem maakt gebruik van gangbare en volwassen technologie
De gebruikte technologie is passend bij het type vraagstuk waarvoor ze ingezet wordt. De technologie wordt nog geruime tijd ondersteund door de leveranciers. Binnen de markt is er voldoende kennis over beschikbaar.Volwassen technologie betekent dat deze al geruime tijd breed en met succes wordt ingezet. - Betrokken partijen hebben voldoende kennis van en ervaring met de technologie
De organisatie heeft voldoende kennis van en ervaring met de technologie die wordt gebruikt óf betrekt de ervaring en kennis van externe partijen. De organisatie heeft expliciet gemaakt welke kennis zij zelf wil bezitten en onderhouden. Bij inhuur van derden beperkt ze de afhankelijkheid. - Er is een planmatige aanpak voor het actueel houden, vervangen en vernieuwen van technische componenten
Er is sprake van een planmatige en structurele aanpak van lifecyclemanagement voor alle componenten relevant voor het informatiesysteem. Dit omvat in ieder geval data, gebruikte AI-modellen, software (inclusief libraries en ontwikkelplatformen), hardware, netwerkcomponenten en koppelvlakken.
Meer informatie
Deze documenten en links geven meer informatie over dit risicogebied:
Internationale standaarden
Rijksstandaarden en methodieken
- Forum Standaardisatie: Verplichte en aanbevolen standaarden t.a.v. koppelvlakken en technologi
- Nederlandse Overheid Referentie Architectuur (NORA)
- Kenniscentrum voor beleid en regelgeving: DPIA
Interessante publicaties en artikelen
- Steve McConnel, Software Estimation: Demystifying the Black Art
- Wat is een “Software Bill of Materials”?
- ‘Goede voorbeelden op het gebied van softwareontwikkeling’; (2020) CIO-Rijk
- Architecture Improvement Method – AIM42
- Migrating Legacy Systems: Gateways, Interfaces and the Incremental Approach, Brodie/Stonebraker, 1995
- Working effectively with legacy code, Michael Feathers, 2006
- B. Beyer, C. Jones, J. Petoff, andN. R. Murphy, Site reliability engineering: How Google runs production systems. O’Reilly Media, Inc., 2016.