Beheer-, onderhoud- en voortbrengingsprocessen zijn belangrijk om de stabiliteit, betrouwbaarheid en veiligheid van informatiesystemen te waarborgen. Een goede inrichting van deze processen zorgt voor een gestructureerde aanpak van de kwaliteits- en risicobeheersing.
Toetsaspecten voor dit risicogebied
Er zijn ingerichte en werkende processen voor beheer en onderhoud op strategisch, tactisch en operationeel niveau. Voor wijzigingen zijn er werkende ‘voortbrengingsprocessen’.
1. Op strategisch niveau
Op strategisch niveau heeft de organisatie processen gedefinieerd die het systeem op de langere termijn gezond houden. Eisen die voortkomen uit werkprocessen en wet- en regelgeving zijn daarbij leidend. De processen op strategisch niveau bevatten in elk geval de volgende activiteiten/onderdelen:
- Er is een meerjarige ICT-visie en -strategie
Deze omvat in ieder geval strategische doelstellingen, principes en uitgangspunten die leidend zijn voor beheer en onderhoud. - Er is een roadmap gericht op het bereiken van strategische doelstellingen
De roadmap wordt periodiek bijgesteld zodat de activiteiten en het gebruik van de (schaarse) middelen in balans zijn en blijven. Dit proces bestaat uit inventarisatie, registratie en actualisatie van wijzigingen in informatiesystemen. Ook vastlegging van de ontwikkeling van de onderdelen hoort daarbij. - Informatiesystemen worden tijdig geactualiseerd, vernieuwd of vervangen
Dit blijkt uit de langetermijnplanning en zorgt ervoor dat systemen veilig, efficiënt en up-to-date blijven gedurende hun hele levensduur. - Er is een duidelijke strategie die bepaalt wie werkzaamheden uitvoert en waar
Deze strategie zorgt voor een bewuste keuze – gebaseerd op kosten, kennis en risico’s – voor zelf werkzaamheden uitvoeren, in samenwerking met anderen, óf uitbesteding ervan aan een overheidsorganisatie of marktpartij.
2. Op tactisch niveau
Op tactisch niveau worden de uitkomsten van de strategische processen vertaald naar meer concrete werkprocessen, services en middelen. Het gaat hierbij bijvoorbeeld om processen voor kwaliteitsbeheer van de ICT-dienstverlening, voor het managen van risico’s, voor het plannen van capaciteit, voor het garanderen van de performance en voor de informatiebeveiliging en de continuïteitsborging.
De processen op tactisch niveau bevatten in elk geval de volgende onderdelen:
- Er zijn plannen voor uitval en uitwijk
Er is een proces dat ervoor zorgt dat een informatiesysteem kan blijven functioneren na een verstoring of uitval. Het plan bevat de identificatie van potentiële risico’s voor de continuïteit, strategieën om die risico’s te mitigeren en geteste plannen voor uitval en uitwijk. - Informatiebeveiliging krijgt structureel aandacht
Hierbij gaat het om het proces van het beschermen van informatie, systemen en netwerken tegen bedreigingen van de vertrouwelijkheid, integriteit en beschikbaarheid ervan. Het proces omvat het proactief en reactief ontwikkelen en implementeren van beleid, procedures en technische maatregelen. - Capaciteit en performance worden beheerst
Er is een planning van en aandacht voor de optimalisatie van de benodigde capaciteit en performance van IT-middelen ten behoeve van rekenkracht, opslag en bandbreedte. - Kwaliteit van dienstverlening wordt bewaakt
De kwaliteit van dienstverlening aan interne en externe afnemers is gedefinieerd en wordt gemeten, beheerst en bewaakt. - Er is een planning (en regelmatige actualisering) van de activiteiten voor beheer en onderhoud
De planning en voortgang van activiteiten is inzichtelijk en actueel. Waar nodig wordt afgestemd met betrokken partijen. De planning is gebaseerd op ervaring en/of beschikbare kengetallen en houdt rekening met tegenvallers.
3. Op operationeel niveau
Op het operationele niveau gaat het om de dagelijkse uitvoering van IT-werkzaamheden: het laten functioneren en ondersteunen van systemen, oplossen van verstoringen, doorvoeren van wijzigingen en leveren van IT-diensten aan eindgebruikers. Hier worden de plannen en processen van het tactische niveau in de praktijk gebracht.
De processen op operationeel niveau zorgen in ieder geval voor:
- Monitoring van applicatie en infrastructuur
Applicatie en infrastructuur worden gemonitord op capaciteit- en middelenbeslag en op beveiliging. Dit voorkomt knelpunten en signaleert incidenten vroegtijdig. - Gestructureerde aanpak van incidenten en problemen
Incidenten worden geregistreerd, opgelost en gemonitord. Terugkerende incidenten worden verder geanalyseerd om de achterliggende oorzaken aan te pakken. - Gecontroleerde doorvoering van wijzigingen
Er is een proces dat wijzigingen beoordeelt op risico’s, de wijzigingen autoriseert, inplant, (geautomatiseerd) test en implementeert. Hierdoor kunnen verstoringen, incidenten en herstelwerkzaamheden tot een minimum beperkt blijven.
4. Voortbrengingsprocessen
Bij wijzigingen zijn er ingerichte en werkende voortbrengingsprocessen waarbij in ieder geval de volgende principes leidend zijn:
- De ontwerp-bouw-test-implementatie-cyclus is zo kort mogelijk
Het voortbrengingsproces faciliteert kortcyclische oplevering en ingebruikname van bruikbare (deel)producten die voldoen aan de gestelde eisen. - De ontwikkelwerkwijze faciliteert tijdige betrokkenheid van gebruikers om functionaliteit te toetsen
De ontwikkelwerkwijze omvat alle activiteiten voor specificeren, ontwerpen, ontwikkelen, testen en uitrollen om tot een werkende oplossing te komen. Zowel interne gebruikers (binnen de organisatie) als externe (burgers als dat van toepassing is) worden tijdig betrokken om vast te stellen of de te ontwikkelen of aangepaste functionaliteiten voor hen bruikbaar zijn en passen bij wat zij nodig hebben. - De ontwikkelwerkwijze is passend
De ontwikkelwerkwijze is duidelijk voor de belanghebbenden binnen en buiten de ICT-organisatie en past bij de aard van de opgave, het type informatiesysteem en de context. Daarbij hebben betrokken mensen voldoende ervaring met de werkwijze en met de juiste toepassing. De ontwikkeling wordt ondersteund door geautomatiseerde processen voor bijvoorbeeld testen en installeren. - Omvangrijke wijzigingen worden projectmatig opgepakt
Wijzigingen die zo omvangrijk zijn dat ze grote impact hebben op het informatiesysteem, de begroting en/of de organisatie worden projectmatig opgepakt. Daarbij wordt de beheerorganisatie betrokken en de aanwezige expertise benut. Zie hiervoor het toetskader voor projecten.
Meer informatie
Deze documenten en links geven meer informatie over dit risicogebied:
Internationale standaarden
- Software engineering process, models, methods, quality: Software Engineering Body of Knowledge (SWEBOK)
- Cost Estimating Body of Knowledge - Software (CEBoK-S)
- Testmethodieken: Test Management Approach (TMap)
- Planningsmethodieken: Reference Class Forecasting
- BiSL (Business Information Services Library)
- ITIL, ITIL® Foundation: ITIL 4 edition, Axelos, 2019
- Information technology — Service management, ISO/IEC 20000-1:2018
- Software engineering — Software life cycle processes — Maintenance, ISO/IEC/IEEE 14764:2022
- DORA-metrics
Rijksstandaarden en methodieken
Interessante publicaties en artikelen
- Handreiking over legacy, Adviescollege ICT-toetsing, 2025
- De Scrum Gids; Schwaber, K. en Sutherland, J. (2020)
- The Economics of Software Quality; Jones, C. en Bonsignour, O. (2012), Addison-Wesley
- Software Economics and Function Point Metrics: Thirty years of IFPUG Progress, Version 10.0; Jones, C. (April, 14, 2017)
- Accelerate: The Science of Lean Software and DevOps, Nicole Forsgren, Jez Humble, Gene Kim, 2018