Principes en modellen. Product Breakdown Structure. Projectmanagement



Vergelijkbare documenten
Hoe test je een pen? Je kunt de presentatie na afloop van elke les downloaden. Ga naar : Kies voor de map Acceptatietesten

Overheidsorganisatie verkleint risico s binnen het Software Lifecycle Management-proces.

Risicobeheersing bij nieuwe functionaliteit

ICT Beheermodel informatiesystemen Drechtsteden Baseline inrichting ICT beheermodel Drechtsteden

Change Management RFC Checklist

Geef handen en voeten aan performance management

Martin van Leeuwen Happy Testing

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Van Samenhang naar Verbinding

De beheerrisico s van architectuur

Wij testen..maar....wat test jij?

Rapportage Pizzasessie Functioneel-beheer.com Specialisten Managers Adviseurs Algemeen functioneel beheer applicatiebeheer informatiemanagement

Procesvisie op Maat. Op basis van het Master Test Plan wordt een gedetailleerd testplan voor elke fase opgesteld.

Goed functioneel beheer noodzaak voor effectievere SPI

Agile bij grote administratieve systemen. Omgaan met requirements

BEVEILIGINGSARCHITECTUUR

Eibert Dijkgraaf Kijk verder dan je test neus lang is: Life Cycle Testing Scan Voorjaarsevent Testnet: 30 juni 2008

Subwerkgroep Methoden. Toelichting inhoud en voortgang tot nu toe

Testen. Presentatie. Open-i Software Services BV, Maarssen Datum : Versie : 1.2

Onderdelen module 3 (gesplitst in delen 1 en 2)

Ministerie van Infrastructuur en Milieu Beheerst naar beheer

bedrijfsprocessen en vormt daarmee de kapstok voor de producten van andere disciplines. Het PAM is geen RUP concept.

Resultaat gerichter Testen

Geef handen en voeten aan performance management

Je kunt de presentatie na afloop van elke les downloaden. Ga naar : Kies voor de map Systeemontwikkeling

Architectuurredeneermodel Afgewogen keuzes maken

Upgrade of Her-implementatie PeopleSoft FMS bij DNB

Werkgroep Integrale SPI Strategieën

VAN DUIZEND BLOEMEN NAAR EEN HORTUS BOTANICUS Het Portaal 21 januari 2010 sambo~ict Coen Free Faraday van der Linden Maarten van den Dungen

Service Level Management DAP Template

ITIL en/of eigen verantwoordelijkheid

Security (in) architectuur

Rijkspas: veiligheid en flexibiliteit. ID-ware, C. Borgmann, MSc Heerhugowaard 24 november 2011

SMART requirements en slim testen Hoe goede requirements en een slim testproces elkaar versterken

Functioneel Applicatie Beheer

Belastingdienst MCC Visie op mobiel en interactie met burgers en bedrijven

Beheerarchitectuur in projecten

Kickstart Architectuur. Een start maken met architectuur op basis van best practices. Agile/ TOGAF/ ArchiMate

Ontwikkelen & Beheren van testomgevingen is ook een vak!

Software Test Plan. Yannick Verschueren

Practitioner s Certificate in IT Service Management: Release & Control (based on ITIL )

Samenwerken bij wijzigingen op applicaties

PinkSELECT. Bepaal de voor u geschikte ITSM Tooling

Projectmanagement onderzoek. Meest succesvolle projectmanagement methodiek is PINO. 6 december 2006 Barry Derksen MSc MMC CISA CGEIT RI

Acceptatiemanagement meer dan gebruikerstesten. bridging it & users

End-to-End testen: de laatste horde

Opdrachtgever in het testproces. Testnet Voorjaarsevenement 2011 Olaf Agterbosch

De tester als bruggenbouwer

Business Intelligence Teststrategie

THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV

TESTEN % ITIL & ASL & BISL WAT HEEFT EEN TESTER AAN ITIL? EEN PRAKTISCH HULPMIDDEL OF BUREAUCRATISCHE BALLAST?

Agile & Rijkswaterstaat. 23 maart 2017

Overdracht van project naar beheer. Beheer is ook Agile!

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

[functie] De functie die verantwoordelijk is voor het beheren van applicaties. [zaak] Een methode of maatregel om een risico te managen.

Kickstart-aanpak. Een start maken met architectuur op basis van best practices.

Handout. Pagina 1. SYSQA B.V. Almere. Capability Maturity Model Integration (CMMI) Technische Universiteit Eindhoven SYSQA SYSQA.

DevOps Waarom moeilijk doen 31 oktober als het samen kan

ITIL V3. een kennismaking. C.A. van der Eem

WHITE PAPER. Agile/Scrum

Samengevoegde reacties op de openbare consultatie voor SAML v2.0 van de volgende partijen: - Kennisnet - Rijkswaterstaat

Adding value to test tooling Hoe en waarom DevOps de wereld van performance testen verandert

Agenda Wat zijn de gevolgen van Cloud en Gridcomputing voor de gebruikersorganisatie en de beheersfunctie.

To cloud or not to cloud Afgewogen keuzes maken met DYA Software

TESTEN VOLGENS TMAP, EEN KORTE INTRODUCTIE. 1. Inleiding. 2. TMap methode. Kwaliteit zonder gestructureerd testen is toeval.

Kwaliteitsbewaking en testen in ICT beheerorganisaties

MDA in de praktijk. Freek Bosch, Business Unit Manager Amsterdam, 4 juni 2009

BISL Business Information Services Library. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V.

BeheerVisie ondersteunt StUF-ZKN 3.10

Agile Testen in de praktijk

Agile in Projecten minimalisme of strak pak? Richard Weber PMP

Welke van onderstaande factoren bepaalt mede de prioriteit van een incident?

Procesgerichte IT BPM de link tussen bedrijf en IT

Proactief en voorspellend beheer Beheer kan effi ciënter en met hogere kwaliteit

Topmanagement en IT Ontwikkelingen en trends voor in samenwerking met

TAM. Control Model for Effective Testing

De relatie tussen beleid en architectuur uitgediept

Kwaliteitsmanagement: de verandering communiceren!

Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.

Naar de cloud: drie praktische scenario s. Zet een applicatiegerichte cloudinfrastructuur op. whitepaper

Testen en QA bij pakketimplementaties

Waarde toevoegen aan de bedrijfsvoering met behulp van IT architectuur Uitrusting & Inrichting. Charles M. Hendriks Digital-architect Schiphol Group

Van Bragt Informatiemanagement

Meer met Minder. Valori / Caesar thema avond "Meer met Minder" (c) Valori Egbert Bouman, 23 Mei

HA in de praktijk. Database en Server Consolidatie

Form follows function -Louis Henry Sullivan

De weg naar SOA bij de Gemeente Rotterdam

Handleiding voor de checklist Overdracht project/change naar beheer. Handleiding : Frédéric van der Vaeren

Archimate risico extensies modelleren

VERSIE 1.0 WOLFMEISTER VOF SERVICE LEVEL AGREEMENT UITGEREIKT DOOR: WOLFMEISTER IT. Graafseweg AL - s-hertogenbosch KVK

DATAMODELLERING ARCHIMATE DATA- & APPLICATIEMODELLERING

Verleden, heden en toekomst van functioneel beheer & informatiemanagement. Martijn Buurman November 2016

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1.

Onderwijsgroep Tilburg. De Blauwdruk van Onderwijsgroep Tilburg

De juiste requirements juist

GETTING THE BEST OUT OF YOUR SOURCE CODE MODERNISEREN MET UNIFACE

A-1: Zijn de procedures omtrent het beheer van de IT infrastructuur vastgelegd?

Transcriptie:

architectuur als Architecten, ontwikkelaars, testers en beheerders blijken vaak eilandbewoners. Ieder afzonderlijk bepalen ze de functionaliteits- en kwaliteitsrisico s van informatiesystemen en ieder voor zich streven ze naar risicobeheersing. Door architectuur als taal te hanteren is integrale beheersing van de risico s in de gehele levenscyclus van ICT s mogelijk. Bart de Best Voor veel organisaties is het ondenkbaar dat de businesss zonder ondersteuning van ICT-s worden uitgevoerd. Vanwege deze afhankelijkheid van ICTs is risicomanagement van groot belang. Risicomanagement onderkent en beheerst risico s in zowel projecten als changes, die veranderingen aanbrengen in de ondersteuning van de businesss. Het gaat dan vooral om het risico van functionaliteits- en/of kwaliteitsgebreken. Taal: ITIL Object: CI s Producten: SLA s, RFC s, Taal: TMap (NEXT) Object: informatiesysteem Producten: testplannen, testcases, testresultaten (defecten ) CI s Testplannen ICT-s Taal: Agile Object: programmatuur Producten: SAD, sprint, deployable units, In de praktijk worden daartoe diverse methoden en best practices gebruikt. Voor architectuur wordt vaak gebruikgemaakt van TOGAF, DYA en de NORA. Bij projectmanagement is Prince2 een best practice die veel ingezet wordt. Voor testmanagement wordt vaak TMap (NEXT) gebruikt. Uiteraard worden voor beheer de bestpracticemodellen ITIL, ASL en BiSL ingezet. Voor systeemontwikkeling wordt behalve met RUP steeds vaker met agile methoden zoals SCRUM gewerkt. In figuur 1 is een overzicht gegeven van de bij Principes en modellen Deployable Units Product Breakdown Structure Figuur 1 Eilanden van risicobeheersing ten behoeve van de ICT-s. Taal: TOGAF Object: modellen Producten: requirements principes, modellen, RA, PSA, Taal: Prince2 Object: deliverables Producten: projectbrief, PID, PBS, faseplannen, projecten en changes betrokken disciplines en hun taal, objecten en producten. De problemen Binnen veel project- en beheerorganisaties werkt een ICT er met slechts één methode of best practice. Hierdoor is het mogelijk om de kennis en kunde binnen het eigen referentiekader goed te ontwikkelen. Aan de andere kant is hierdoor een eilandcultuur ontstaan en ziet elke discipline de ander als blackbox. Deze ontkoppeling lijkt een natuurlijk verschijnsel, want iedere discipline heeft haar eigen taakstelling, verantwoordelijkheid en bevoegdheid in de levenscyclus van een ICT-. Hierdoor zijn echter onder meer de volgende problemen ontstaan: Er is sprake van miscommunicatie door de diversiteit aan talen die gesproken worden in de betrokken disciplines. De architectuurmodellen en -principes vormen slechts tot op zekere hoogte een basis voor de functionele decompositie binnen de projecten. Dit vermindert de mogelijkheden van de architectuurcontrol in projecten. De definities van de objecten (bouwstenen, deployable units, testbasis, configuratie-items et cetera) binnen de gehanteerde methoden en de best practices zijn niet aan elkaar gekoppeld. Tevens zijn er grote verschillen in granulariteit (mate van gedetailleerdheid). Daardoor is het lastig om te controleren of iedere discipline de objecten volledig en juist heeft 8 december 2010 IT-Infra

taal vertaald naar het eigen werkgebied. σ Kwaliteitverbetering binnen het ontwikkelproces is niet eenvoudig doordat incidenten in de productieomgeving niet goed te herleiden zijn tot de artefacts uit het ontwikkelproces. σ Er wordt geen synergie gehaald uit het feit dat alle methoden en best practices een mogelijkheid bieden om risico s te onderkennen en te beheersen. De inspanning van de diverse specialisten levert dus geen toegevoegde waarde op voor de andere disciplines. Vooral de kennis en kunde van de diverse specialisten worden niet goed overgedragen, wat onnodig gebreken in functionaliteit en kwaliteit van het eindproduct veroorzaakt. Als architectuur als taal wordt gehanteerd, worden de onderstaande negatieve effecten voorkomen: σ In de nazorgperiode ontstaan incidenten die voorzien en voorkomen hadden kunnen worden. σ De implementaties gaan gepaard met de nodige change requests om correcties aan te brengen op de opgeleverde functionaliteit. σ De SLA-normen in de productieomgeving staan onder druk. Dit artikel beschrijft hoe organisaties de genoemde methoden en best practices momenteel vaak toepassen. Ook geeft het aan hoe architectuur als taal is in te zetten om de problemen op te lossen. Samenhang methoden en best practices Omdat alle methoden en best practices hun eigen begrippenkader (taal) en objectbeschrijvingen hebben, kijkt iedere specialist door zijn eigen bril naar de werkelijkheid. Hierbij ligt de focus voor het beheersen van de functionaliteits- en kwaliteitsrisico s steeds op één of meer fasen in de levenscyclus van een ICT-. Veel organisaties hanteren de werkwijze die in de volgende paragrafen wordt besproken. De laatste jaren is het binnen de ICTarchitectuur een best practice om voor een project een zogeheten Project Start (PSA)-document op te stellen. Een PSA bevat de architectuurmodellen en -principes die het kader vormen voor het ontwikkelproces, met als basis het beleid en de requirements vanuit de business. De risico s die architecten hiermee willen beheersen, zijn verhoging van complexiteit, realisatie van voorzieningen die al bestaan, een wildgroei in het applicatie- en infrastructuurportfolio en natuurlijk afwijkingen van de architectuurontwerpen van de verlening (SOLL-situatie). De projectmanager neemt de PSA in het project mee als een deliverable die door de projectarchitect wordt opgeleverd. Deze PSA dient als startpunt voor de functionele decompositie. Verder wordt binnen een project een projectrisicomethode gehanteerd, zoals een A&K-analyse (Afhankelijkheid & Kwetsbaarheidanalyse), die per te realiseren product een risicoclassificatie geeft. Deze risicoduiding levert de systeemontwikkelaars en testers een instrument om te focussen op bepaalde risico s. De risico s die projectmanagement wil beheersen, zijn het niet halen van de doelen die gesteld zijn aan functionaliteit en kwaliteit van de te leveren producten zoals verwoord in het Project Initiation Document (PID). Natuurlijk vallen hier ook de tijd- en geldrisico s onder, maar die vallen buiten het betoog van dit artikel. De systeemontwikkelaars hanteren de PSA architectuur It-Infra december 2010 9

architectuur als houtskoolschets om aan de hand van bijvoorbeeld de agile ontwikkelmethode SCRUM de gewenste functionaliteit incrementeel te ontwikkelen. Elke sprint (ontwerptracé) heeft een maximale duur van bijvoorbeeld vier weken. Een belangrijk product is hierbij het Software Architecture Document (SAD), dat de houtskoolschets omzet in een kader voor de sprints. In het SAD wordt de te realiseren functionaliteit opgedeeld in deployable units (softwaremodules). Tevens worden er use cases opgesteld. De risico s die door deze aanpak van systeemontwikkeling beheerst worden, betreffen vooral het niet maakbaar en haalbaar zijn van de functionaliteit en kwaliteit binnen het ter beschikking gestelde budget. De testers hanteren testmethoden zoals TMap NEXT om risicogebaseerd te testen. De gevonden defecten worden in een testtool geadministreerd op basis van de onderkende deployable units. heeft als doel om vast te stellen dat de hardware en software is opgeleverd conform de testbasis (waaronder bijvoorbeeld een ontwerp). wil dus het risico beheersen dat de hardware en software in de productieomgeving gebreken vertonen als gevolg van een inadequaat testtraject. De beheerorganisatie accepteert de nieuwe Risicobeheersing vereist communicatie of aangepaste ICT-s op basis van de testresultaten en een lijst met generieke acceptatiecriteria. Deze acceptatiecriteria zijn generiek omdat ze gelden voor alle ICTs. Tevens wordt aan de business een advies voor inproductiename gegeven in het Change Advisory Board (CAB). Verder administreren de beheerders de door projectmanagement of changemanagement opgeleverde producten als configuratie-items (CI s) in de desktool. Op basis van deze CI s worden incidenten, problemen, changes en releases geadministreerd. Het risico dat vanuit management onder kend wordt, is het niet kunnen realiseren van de normen in de SLA. Werkwijze met architectuur als taal De kern van het probleem is gelegen in het verschil van taalgebruik en het niet spreken van elkaars taal. Daardoor wordt kennis over risico s inefficiënt en ineffectief gedeeld. De oplossing is dan ook dat de eilanden middels een soort Esperanto worden samengesmeed tot één totaalsysteem (figuur 2). Dit Esperanto kan worden ingevuld door architectuurbouwstenen te definiëren voor de bedrijfsprocessen, de beheerprocessen, de applicaties en de infrastructuur. Voor het landschap van de infrastructuur kan bijvoorbeeld een plaat worden samengesteld waarin de te bieden ICT-s als lagen worden opgenomen. Per laag Figuur 2 De eilanden samengesmeed tot één systeem, met architectuurbouwstenen als taal. kunnen de bouwstenen als individuele s worden gedefinieerd. Een voorbeeld van deze plaat is figuur 3. Hierin is tevens aangegeven welke bouwstenen nieuwe en welke aangepaste producten bevatten. Zo kunnen ook voor applicaties, beheerprocessen en bedrijfsprocessen bouwstenenplaten opgesteld worden. Voor elke applicatie wordt een unieke bouwstenenplaat opgesteld. De lagen van de plaat zijn generiek maar kennen meestal unieke bouwstenen. Processen kunnen ingedeeld worden in diverse lagen, bijvoorbeeld voor strategische, tactische en operationele processen. Tevens kunnen de producten die door deze processen worden voortgebracht als laag worden opgenomen, net als (groepen van) use cases. Alle bouwstenenplaten zijn onderdeel van het PSA. Het definiëren van één taal om te kunnen communiceren is echter niet genoeg. De partijen die zijn betrokken bij het ontwikkelproces en de beheerprocessen moeten deze bouwstenentaal ook daadwerkelijk hanteren. Hiervoor is het nodig dat het hanteren van bouwstenen ingebed wordt in alle methoden en best practices van de levenscyclus van een ICT-. In de volgende paragrafen staat hoe dit kan worden bereikt. In de PSA worden alle bouwstenenplaten opgenomen. Hierbij wordt tevens de impact aangegeven. Dit gebeurt door in elke bouwstenenplaat per bouwsteen te vermelden of deze binnen scope of buiten scope is voor het project. Voor de bouwstenen binnen scope wordt aangegeven of deze nieuwe, gewijzigde of ongewijzigde producten omvatten (figuur 3). Tevens wordt per bouwsteen aangegeven wat de functionele en non-functionele requirements zijn. Ditzelfde geldt voor de bouwstenenplaten van de applicaties en de bedrijfsprocessen. Op deze wijze biedt een PSA een hecht kader voor het ontwikkelproces en is architectuur goed in staat om control uit te oefenen op alle disciplines in het ontwikkelproces. De projectmanager neemt de PSA niet op als deliverable van het project, maar gebruikt haar als basis voor het PID. De PSA wordt dus eerder opgesteld dan het PID. De 10 december 2010 IT-Infra

7. Presentaties 7.1 Webcontent Hosting 6. Applicaties 6.1 Webzoek 7.2 Portal s 6.2 Index 6.3 Webcontent 6.4 Document 6.5 Individuele personalisatie 6.6 Groep personalisatie 6.7 Applicatie platform 6.8 Rapportage architectuur 5. Dataopslags 5.1 Document opslag 5.2 Applicatie data 5.3 Web content data 5.4 Account data 5.5 Sleutel opslag 5.6 Back-up data opslag 4. Platforms 4.1 Fysieke platform 4.2 Besturings systeem 4.3 Scaling & load balancing 4.4 Authenticatie 4.5 Authorisatie 4.6 Integrity check 4.7 Input 4.8 Output 3. Communicaties 3.1 Webserver communicatie 3.2 Applicatie communicatie 3.3 Database communicatie 3.4 Integration broker 2. Netwerks 2.1 Netwerk verkeer 2.2 Named IP resolution 2.3 IDS 2.4 DMZ 2.5 Internet connectie 1. Beheer- en exploitaties 1.1 Computerruimte 1.2 3rd Party Support 1.3 Monitor 1.4 Log- & alerting 1.5 Uitwijk 1.6 Licentie- & certi caat 1.7 Werkplek 1.8 OTAP met nieuwe producten met aangepaste producten met bestaande producten buiten scope Figuur 3 Een bouwplaat voor het infrastructuurlandschap, met impactkleuring. IT-Infra december 2010 11

architectuur projectmanager neemt de bouwstenen die in de PSA zijn beschreven als producten op in de Product Breakdown Structure (PBS) of geeft per product uit de PBS aan welke bouwsteen het betreft. Dit biedt de architecten de mogelijkheid om te controleren of de scope van het project compleet is. Tevens kunnen zij zo controleren of de functionaliteit per projectfase een consistent geheel vormt. Vervolgens organiseert de projectmanager drie risicoanalysesessies van elk een uur met de architecten, ontwerpers, systeemontwikkelaars, testers en beheerders. De eerste sessie betreft de businessrisico s, de tweede de applicatierisico s en de derde de infrastructuurrisico s. Als voorbereiding voor een sessie bepaalt elke deelnemer zelf het risico van elke bouwsteen door de betrokken blanco bouwstenenplaat in te kleuren. De bouwstenenplaten kunnen dus behalve voor de impactbepaling ook voor de risicobepaling gebruikt worden. De betekenis van de kleuren van de bouwstenen verschilt daarbij per toepassing. Een bouwsteen wordt rood gekleurd bij een hoog risico, geel bij een medium risico en groen bij een laag risico. die buiten scope zijn, worden grijs gekleurd. Hierbij wordt rekening gehouden met de impactbepaling van de architecten ( figuur 3 ). Tijdens de risicosessies wordt eerst de impact bepaald. Hierop kunnen namelijk nog correcties van toepassing zijn. Daarna worden de verschillen tussen de risicokleurenplaten besproken. Als is vastgesteld welke bouwstenen rood of geel zijn, wordt bepaald welke risico s aanleiding zijn voor deze inkleuring. De hieruit voortgekomen risico s worden opgenomen in de risicolijst en geclassificeerd op basis van de kans en de impact. Tevens wordt per risico bepaald welke preventieve en correctieve maatregelen mogelijk zijn. Na het bepalen van de eigenaar wordt aan de business gevraagd welke risico s zij willen beheersen, welke mitigeren en welke nemen. Op basis van deze risicosessies bevatten de bouwstenen, die als product in de PBS zijn opgenomen, dus informatie over de impact, de gewogen en vastgestelde risico s, de tegenmaatregelen, de betrokken producten én de (non-)functionele requirements. De ontwerpers hanteren voor het onder- kennen van de deployable units de indeling van de bouwstenen en werken die verder uit. Hierdoor ontstaat een goede tracering van de functionele decompositie van architectuurontwerp naar functioneel ontwerp. Dit geldt ook voor de (non-)functionele requirements. Het SAD geeft hiermee dus op applicatieniveau verdieping aan de PSA. Op deze wijze kunnen de architecten snel en eenduidig zien of de PSA wordt nageleefd en kunnen zij bijvoorbeeld de interfaces tussen de deployable units en de gekozen oplossingen voor de (non-)functionele requirements controleren. Per sprint wordt de risicolijst gecontroleerd. Tevens wordt per sprint een aanvullende risicoanalysesessie gehouden met alle betrokkenen. Alle use cases of groepen van gelijksoortige use cases worden dan grafisch afgebeeld op de betrokken applicatie- en infrastructuurbouwstenen. 1 Hierbij kunnen vooral risico s ten aanzien van de non-functionele requirements in kaart worden gebracht. Deze worden op dezelfde wijze geadministreerd en beheerst als eerder beschreven onder. De bouwstenen vormen voor de testers een bijzonder belangrijk instrument. Aan de hand hiervan kunnen zij de scope van het testgebied aangeven. Tevens zijn per bouwsteen de (non-)functionele requirements, risico s en tegenmaatregelen bekend. Dit vormt een solide basis om in het mastertestplan de focus te definiëren voor de testinspanning. Tevens vormen de bouwstenen een belangrijk attribuut van de logische en fysieke testcasedefinities in de diverse testplannen. Tot slot geeft de bouwsteenclassificatie de mogelijkheid om het succes van de risicobeheersing grafisch te rapporteren. De beheerorganisatie hanteert voor de acceptatie van nieuwe of aangepaste ICT-s De kern van het probleem is gelegen in het verschil van taalgebruik en het niet spreken van elkaars taal generieke en specifieke acceptatiecriteria. De specifieke acceptatiecriteria zijn bedoeld om te toetsen of de tegenmaatregelen voor de onderkende risico s het gewenste effect hebben. Voor zover acceptatiecriteria niet zijn getest door testmanagement, zal de beheerorganisatie deze testen op basis van vooraf opgestelde acceptatietestplannen. De testresultaten van de (acceptatie)testplannen maken duidelijk welke risico s niet zijn beheerst. De business wordt op basis hiervan in het CAB geadviseerd om de nieuwe of aangepaste ICT- wel of niet in productie te nemen. Verder kunnen de beheerders op basis van de bouwstenen de CI s classificeren. Zo kan in de desktool een attribuut aan het CI toegevoegd worden dat beschrijft voor welke bouwsteen het CI is ingezet. Hierdoor kan architectuur de ingezette producten per bouwsteen bewaken. Tevens kan op basis van de bouwstenenplaten de impact van nieuwe changes beoordeeld worden. De per bouwsteen aangegeven risicolijst en risicoweging kunnen als basischecklist gebruikt worden voor de risicoanalyse van deze nieuwe changes. Doordat de CI s gerelateerd worden aan incidenten, problemen, known errors, changes en releases, is impliciet ook de relatie gelegd met de diverse bouwstenen. Op basis hiervan kan problemmanagement vaststellen voor welke bouwstenen de kwaliteitsbeheersing van testmanagement wel of niet effectief genoeg is. Tevens kan de oorzaak van het niet halen van normen als gevolg van incidenten herleid worden tot de gewijzigde bouwstenen en van hieruit tot de gebreken in het ontwikkelproces. Eén keer per kwartaal wordt een problemmanagementrapportage opgesteld waarin staat aangegeven welke bouwstenen de meeste gebreken hebben. Voor deze bouwstenen wordt in projecten extra aandacht gevraagd. 12 december 2010 It-Infra

Samenvatting In de levenscyclus van een ICT- zijn diverse disciplines werkzaam om te komen tot het gewenste resultaat. Er ontbreekt in de diverse methoden en best practices van deze disciplines een gemeenschappelijke taal om de functionaliteits- en kwaliteitsrisico s adequaat te onderkennen en beheersen. Daardoor ontstaan tal van problemen die eenvoudig voorkomen kunnen worden. Een Esperanto dat alle werelden bij elkaar kan brengen, is het werken met architectuurbouwstenen. Om deze taal effect te laten sorteren moeten de bouwstenen verankerd worden in alle methoden en best practices die gehanteerd worden in de levenscyclus van een ICT-. Hiermee wordt niet alleen de controlfunctie van architectuur versterkt, maar is tevens een hefboom gevonden om risico s in het ontwikkelproces veel effectiever en efficiënter te onderkennen en te beheersen en daarmee gebreken in de functionaliteit en kwaliteit van de nieuwe of gewijzigde informatiesystemen te voorkomen. Met dank aan de vele reviewers, met name Louis van Hemmen (Bitall), Stephen Klomp (Sogeti), Andre Wessels (ROC van Twente), Henk van Garderen (Robert Hunter), Vince Mathu (Gemeente Almere), Jane ten Have (APG AM), Bram Abbekerk (Belastingdienst), John Wolthuis (ICT4People), Fred Ros (Rijksauditdienst), Edwin Edang (Edang Management & Consultancy) en Alexander Dortland (Proximity Softworks). Voetnoot 1. B. de Best, Verzekeraar beheerst de risico s van SOA, IT Beheer Magazine 2007, nr. 9. Meer lezen B. de Best, Beheren onder, NGN, 2008. B. de Best, Acceptatiecriteria, SDU, tweede druk. Gevaar onder de kerstboom Gezellig. De boom staat al, de lichtjes branden weer. Glaasje erbij, voeten op tafel. Nee, mij kan niets gebeuren. Natuurlijk staat er een emmer water naast de boom. Voor als de boom in de fik vliegt. Ik heb al lang geen echte kaarsen meer, maar die emmer, die hoort erbij. Verder heb ik, voor de zekerheid, een brandblusser paraat. En de kinderen dragen, gelijk de familie Von Trapp in The Sound of Music, kleding gemaakt van oude branddekens. Uit onderzoek van een voormalige staatsbank blijkt dat het mkb bedrijfsrisico s consequent te laag inschat. Dit betreft vooral risico s van brand, langdurige ziekte, wanbetaling en ICT-risico s. Is dat bij u ook zo? Stelt u zich uw worstcasescenario voor. Waarvan ligt u wakker? Neem bijvoorbeeld de frauderende controller. Of het faliekant mislukken van de invoering van een nieuw informatiesysteem. Zou uw bedrijf na drie maanden nog bestaan als uw grootste klant failliet ging? Het faillissement van uw grootste klant is ook een leuke. En het uitbranden van een dataruimte. Zou uw bedrijf dan na drie maanden nog bestaan? Zijn er voldoende buffers? Is er een alternatieve werkwijze? Die drie maanden is een praktijkwaarde: als er in drie maanden niets te improviseren is, lukt dat ook in een jaar niet. Mijn onder-de-boomopdracht voor u is: verzin uw drie ergste nachtmerries. Deze risico s vormen de Top Drie voor uw risicomanagement voor 2011. Deze risico s pakt u aan. En over een halfjaar verzint u weer nieuwe hoofdpijnscenario s. Nee, ik heb geen echte boom, maar zo n saai, brandveilig namaakexemplaar. Vroeger noemden we dat een kunstboom. Maar ja, kunst is een linkse hobby en dat mag niet meer. Dus ik noem dezelfde boom nu duurzaam. Probleem opgelost. Fijne feestdagen en een veilig 2011. Dr. ir. Paul Overbeek RE Combineert een eigen praktijk met docentschappen aan de universiteiten Erasmus, Tilburg en Amsterdam (www.ois-nl.eu of Paul.Overbeek@ois-nl.eu). Column security matters Drs. ing. Bart de Best RI (bdebest@sca-alliance.com). IT-Infra december 2010 13

2026 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback