Architectuur, functionele haalbaarheid en technische maakbaarheid

Toetsaspecten voor dit risicogebied

Eisen en functionaliteiten

1. De kwaliteit van de belangrijkste functionele en niet-functionele eisen is getoetst.
   Belangrijkste eisen zijn eisen die grote impact op het fundament kunnen hebben. Bijvoorbeeld eisen ten aanzien van verwachte levensduur, gegevensopslag en te verwerken volumes.
   Eisen moeten onder andere volledig, consistent, actueel, eenduidig en verifieerbaar zijn. Toetsing van eisen kan plaatsvinden door onder meer reviews, workshops of geautomatiseerde analyses.
    
2. Eisen zijn traceerbaar naar relevante afgeleide ontwikkelproducten.
   Relevante afgeleide ontwikkelproducten zijn bijvoorbeeld ontwerpen, softwarebroncode en testgevallen.
    
3. Er is vanaf het begin structureel aandacht voor privacy en informatiebeveiliging.
   Toepasselijke eisen zijn onderkend om de privacy en informatiebeveiliging te waarborgen (‘security en privacy by design’).
    
4. De haalbaarheid en geschiktheid van de functionaliteit van de ICT-oplossing zijn getoetst.
   Toetsing van haalbaarheid en geschiktheid vindt bijvoorbeeld plaats door middel van prototyping of pilots.

Architectuur

5. Het project geeft invulling aan het principe: hergebruik vóór koop vóór bouw.
   Hergebruik van componenten die bij een organisatie of rijksbreed in gebruik zijn en die passend zijn voor de ICT-oplossing, kan mogelijk het risicoprofiel verlagen ten opzichte van kopen of bouwen van nieuwe componenten.
    
6. Het project maakt gebruik van relevante standaarden.
   Relevante standaarden zijn standaarden die men mag verwachten binnen het domein waarbinnen de organisatie opereert en binnen de eisen die aan de oplossing worden gesteld. Afwijken van relevante standaarden kan alleen met een gedegen motivatie.
    
7. De architectuur is passend voor de ICT-oplossing, ook binnen het bredere ICT-landschap.
   Bij een passende architectuur zijn architectuurkeuzes gemotiveerd en toegelicht vanuit meerdere perspectieven (zoals business, proces, beveiliging, data en infrastructuur). De keuzes zijn getoetst aan de belangrijkste functionele en niet-functionele eisen. Ze zijn duidelijk vastgelegd en traceerbaar naar eisen.
   Er is daarbij rekening gehouden met het bredere ICT-landschap: aanpalende/gekoppelde systemen, gerelateerde systemen en ontwikkelingen binnen het landschap, en betrokken ketens.
    
8. De voor- en nadelen van inzet van generieke componenten zijn afgewogen.
   Generieke componenten zijn componenten die op meerdere plekken kunnen worden gebruikt voor soortgelijke processen. Voordelen kunnen onder andere zijn voorspelbare kwaliteit, mogelijkheid tot hergebruik en hogere productiviteit. Nadelen kunnen onder andere zijn de complexiteit van de realisatie, afhankelijkheden en onderhoudbaarheid.
    
9. De ICT-oplossing is in componenten opgedeeld die apart kunnen worden opgeleverd en getest.
   Functies zijn optimaal en logisch gegroepeerd over de verschillende componenten. De omvang van componenten dient zo klein mogelijk te worden gehouden als het passend is. De componenten zijn op een afgewogen manier ontkoppeld (maximale samenhang, minimale koppeling).
    
10. Koppelvlakken zijn gedefinieerd.
    Koppelvlakken zijn voor alle betrokkenen duidelijk en waar mogelijk gestandaardiseerd.
     
11. De ICT-oplossing faciliteert een beheerste en stapsgewijze overgang naar de nieuwe situatie.
    Indien sprake is van een oplossing in meerdere stappen, zijn afzonderlijke stappen onafhankelijk af te ronden.
     
12. De omvang van de ICT-oplossing is bij benadering bekend en wordt bij wijzigingen herijkt.
    De functionele omvang kan bijvoorbeeld worden bepaald met behulp van functiepuntanalyse. Een globale functiepuntanalyse kan al worden uitgevoerd op gebruikersfuncties en gegevensverzamelingen.

Technologie

13. De ICT-oplossing maakt waar mogelijk gebruik van gangbare en volwassen technologie.
    Gangbare technologie past bij het domein van de oplossing en wordt nog geruime tijd ondersteund. Binnen de markt is voldoende kennis beschikbaar over deze technologie.
    Volwassen technologie betekent dat deze reeds geruime tijd, breed is ingezet.
     
14. Betrokken partijen hebben voldoende ervaring met de gekozen technische ICT-oplossingen.
    Betrokken partijen hebben representatieve referentieprojecten uitgevoerd.
     
15. Voordat nieuwe technologie breed wordt ingezet, is deze beproefd in kleine gecontroleerde omgevingen.
    Nieuwe technologie is relatief jonge technologie die (nog) niet breed wordt gebruikt binnen een vergelijkbaar domein.

Meer informatie

Deze documenten en links geven meer informatie over dit risicogebied:

Internationale standaarden en methodieken

• Software requirements en software design: Software Engineering Body of Knowledge (SWEBOK)
• Requirements engineering: ISO/IEC/IEEE 29148:2018
• Raamwerk om de kwaliteit van software in kaart te brengen : ISO/IEC 25010
• Ontwikkel- en documentatiestandaarden: J-STD-016 en ISO/IEC 12207:2018.
• Functiepuntanalyse: ISO/IEC 24570:2018
• Raamwerk voor Architecture description: ISO/IEC/IEEE 42010:2011
• Richtsnoeren 4/201 Gegevensbescherming door ontwerp en door standaardinstellingen; European Data Protection Board (EDPB) (pdf)

Rijksstandaarden

• Forum Standaardisatie: Verplichte en aanbevolen standaarden t.a.v. koppelvlakken en technologie
• Baseline Informatiebeveiliging Overheid
• Nederlandse Overheid Referentie Architectuur / Enterprise Architectuur Rijksdienst
• Kenniscentrum voor beleid en regelgeving: Data Protection Impact Assessment

Interessante publicaties/artikelen

• Advies over generieke functionaliteit: BIT Jaarrapportage 2018: advies 2.3 ‘ontwikkeling generieke functionaliteit’
• Scrum en functiepunten, vrienden of vijanden; J. Onvlee en R. van Solingen (2012)
• ‘Goede voorbeelden op het gebied van softwareontwikkeling’; (2020) CIO-Rijk