Afgeleide Principes Revisited
In de NORA Gebruikersraad van 14-06-2016 is een Voorstel (PDF, 53 kB) aangenomen om de Afgeleide principes opnieuw te bekijken met het oog op o.a. actualiteit, consistentie, eenduidigheid van de formulering en de mogelijkheid om ze te verrijken met voorbeelden uit de praktijk. Op deze pagina is de voortgang van dit proces te volgen.
AP 16 & AP 17 gecombineerd[bewerken]
ICTU, het Nationaal Archief en KING hebben kritisch gekeken naar de AP's over informatie-objecten: Identificatie informatie-objecten en Informatie-objecten systematisch beschreven. Doestelling was om deze AP's vooral concreter te maken door het toevoegen van voorbeelden. Er is nu een beter verband tussen de definitie van een informatieobject en het modelleren daarvan door middel van een geïntegreerde handreiking hoe je dat dan doet. Het concept dat breder is gedeeld was Concept samenvoeging Afgeleide Principes 16 en 17 v10.pdf (PDF, 813 kB). Zoals de titel al aangeeft is het voorstel om de twee principes samen te voegen tot één nieuw AP onder het ID AP17.
De reacties die op dit concept zijn binnengekomen zijn nu verwerkt in een final draft Concept samenvoeging Afgeleide Principes 16 en 17 v11.pdf (PDF, 762 kB). Deze versie zal conform het Wijzigingsproces_NORA worden behandeld in de NORA Gebruikersraad van dinsdag 14 november 2017. Nadere informatie over deze wijziging via Robert van Wessel nora@ictu.nl.
Tekstvoorstel AP 19 geïmplementeerd op 28 juni 2017[bewerken]
Wijziging Afgeleide Principe 19 geïmplementeerd (nieuwsbericht)
RFC Beveiliging direct meegenomen in proces Afgeleide Principes Revisited[bewerken]
In dezelfde NORA Gebruikersraad waarin de Revisit werd aangekondigd was ook een voorlopige presentatie van het RFC Beveiliging 2016, dat voorstelde de AP's 35 t/m 40 aan te pakken. Robert van Wessel is vanuit de Afgeleide Principes Revisited hier direct op aangehaakt, zodat er maar een nieuwe actualisatieslag nodig was. Dit heeft geresulteerd in een aangepast RFC.
In de NORA Gebruikersraad van 8 november 2016 is een Request for Change Beveiliging (PDF, 816 kB) aangenomen, met gevolgen voor een aantal Afgeleide principes die (mede) raken aan Beveiliging en Informatieveiligheid:
- De AP's 35, 36, 37, 38 en 39 zijn geschrapt als Afgeleide Principes
- AP 40 is gewijzigd
- Toegevoegd zijn AP 41:Beschikbaarheid, AP 42:Integriteit, AP 43:Vertrouwelijkheid (principe), AP 44:Controleerbaarheid.
Belangrijkste prioriteiten hiermee aangepakt, einde Afgeleide Principes Revisited[bewerken]
De Revisit is gebeurd op basis van de prioriteiten die mensen vanuit de NORA Familie hebben gesteld. De topprioriteiten waren AP 19 en AP16/17. Met de beperkte tijd en middelen hebben we ons in een jaar tijd geconcentreerd op die topprioriteiten, met aanvulling van de beveiligingsprincipes (waaronder AP 38, nummer 4 in prioriteit). Na de indiening en implementatie van een officieel wijzigingsverzoek voor AP16/17 eindigt de Afgeleide Principes Revisit. Uiteraard blijft het wel mogelijk om zelf wijzigingen voor te stellen voor individuele Afgeleide Principes en anderen daarover te laten meedenken.
Oorspronkelijke prioriteiten[bewerken]
Destijds hebben individuele architecten aangegeven welke Afgeleide Principes aangepakt moesten worden. In juni 2017 zijn een aantal van deze principes aangepast, in de onderstaande tabel wordt versie bedoeld die vóór die aanpassing goldt. De onderstaande tabel is gerangschikt naar de eigenschap "Prioriteit revisit." NB: Deze eigenschap is de opsomming van alle prioriteitspunten die geïnteresseerden aan een principe hebben toegekend.
| ID | Stelling | Prioriteit revisit | |
|---|---|---|---|
| Perspectief gebruiker | AP19 | De gebruiker staat aantoonbaar centraal gedurende het (door-)ontwikkelen van diensten en ondersteunende systemen. | 11 |
| Identificatie informatie-objecten | AP16 | Informatieobjecten zijn uniek geïdentificeerd | 9 |
| Informatie-objecten systematisch beschreven | AP17 | De aan de dienst gerelateerde informatieobjecten zijn, uniek geïdentificeerd, in een informatiemodel beschreven. | 8 |
| Informatiebeveiliging door zonering en filtering | AP38 | De betrokken faciliteiten zijn gescheiden in zones. | 7 |
| Bronregistraties zijn leidend | AP13 | Alle gebruikte informatieobjecten zijn afkomstig uit een bronregistratie. | 7 |
| Diensten zijn herbruikbaar | AP01 | De dienst is zodanig opgezet, dat andere organisaties deze in eigen diensten kunnen hergebruiken | 6 |
| Automatische dienstverlening | AP23 | De dienst wordt na bepaalde signalen automatisch geleverd. | 6 |
| Doelbinding (AP) | AP15 | Het doel waarvoor informatie wordt (her)gebruikt is verenigbaar met het doel waarvoor deze oorspronkelijk is verzameld. | 6 |
| Bundeling van diensten | AP21 | De dienst wordt gebundeld met verwante diensten zodat deze samen met één aanvraag afgenomen kunnen worden. | 6 |
| Ruimtelijke informatie via locatie | AP18 | De dienst ontsluit ruimtelijke informatie locatiegewijs. | 3 |
| Terugmelden aan bronhouder | AP14 | Bij gerede twijfel aan de juistheid van informatie, meldt de dienstverlener dit aan de verantwoordelijke bronhouder | 3 |
| Positioneer de dienst | AP04 | De dienst is helder gepositioneerd in het dienstenaanbod. | 3 |
| Proactief aanbieden | AP24 | De dienst ondersteunt proactiviteit van dienstverleners binnen en buiten de organisatie | 2 |
| Gebruik de landelijke bouwstenen | AP07 | De dienst maakt gebruik van de landelijke bouwstenen e-overheid | 2 |
| Afnemer heeft inzage | AP26 | De afnemer heeft inzage in de eigen informatie en het gebruik er van | 2 |
| Diensten vullen elkaar aan | AP03 | De dienst vult andere diensten aan en overlapt deze niet | 1 |
| Verantwoording besturing kwaliteit | AP34 | De dienstverlener legt verantwoording af over de mate van control, in overleg met de afnemer. | 1 |
| Transparante dienstverlening | AP25 | Afnemers worden geïnformeerd over de stand van zaken bij de gevraagde dienst. | 1 |
| Persoonlijke benadering | AP20 | De dienst benadert geïdentificeerde afnemers op persoonlijke wijze. | 1 |
| Onweerlegbaarheid (principe) | AP40 | De onweerlegbaarheid van berichtenuitwisseling wordt gegarandeerd door wederzijdse authenticatie en door versleuteling van elektronische handtekeningen. | 1 |
| No wrong door | AP22 | Overheidsloketten verwijzen gericht door naar de dienst | 1 |
| PDCA-cyclus in besturing kwaliteit | AP31 | De kwaliteit van de dienst wordt bestuurd op basis van cyclische terugkoppeling. | 1 |
| Afspraken vastgelegd | AP28 | Dienstverlener en afnemer hebben afspraken vastgelegd over de levering van de dienst | 1 |
| Gelijkwaardig resultaat ongeacht kanaal | AP11 | Het resultaat van de dienst is gelijkwaardig, ongeacht het kanaal waarlangs de dienst wordt aangevraagd of geleverd. | 1 |
| Controle op juistheid volledigheid en tijdigheid | AP39 | De betrokken systemen controleren informatie-objecten op juistheid, volledigheid en tijdigheid. | 1 |
| Aanvullend kanaal | AP10 | De dienst kan, behalve via internet, via minimaal één ander kanaal voor persoonlijk contact worden aangevraagd. | 1 |
| Voorkeurskanaal internet | AP09 | De dienst kan via internet worden aangevraagd | 1 |
| Nauwkeurige dienstbeschrijving | AP05 | De dienst is nauwkeurig beschreven. | 1 |
| Gebruik standaard oplossingen | AP06 | De dienst maakt gebruik van standaard oplossingen | 0 |
| Sturing kwaliteit op het hoogste niveau | AP32 | Sturing op de kwaliteit van de dienst is verankerd op het hoogste niveau van de organisatie | 0 |
| Verantwoording dienstlevering mogelijk | AP30 | De wijze waarop een dienst geleverd is, kan worden verantwoord | 0 |
| Uitgangssituatie herstellen | AP36 | Wanneer de levering van een dienst mislukt, wordt de uitgangssituatie hersteld | 0 |
| De dienstverlener voldoet aan de norm | AP29 | De dienstverlener draagt zelf de consequenties wanneer de dienst afwijkt van afspraken en standaarden. | 0 |
| Gebruik open standaarden | AP08 | De dienst maakt gebruik van open standaarden | 0 |
| Identificatie authenticatie en autorisatie | AP37 | Dienstverlener en afnemer zijn geauthenticeerd wanneer de dienst een vertrouwelijk karakter heeft | 0 |
| Eenmalige uitvraag | AP12 | Afnemers wordt niet naar reeds bekende informatie gevraagd | 0 |
| Continuïteit van de dienst | AP35 | De levering van de dienst is continu gewaarborgd. | 0 |