Werkgroep NORA AP september 2021

Uit NORA Online
Naar navigatie springen Naar zoeken springen
De printervriendelijke versie wordt niet langer ondersteund en kan weergavefouten bevatten. Werk uw browserbladwijzers bij en gebruik de gewone afdrukfunctie van de browser.
Exporteer naar RDF


Nieuws & Agenda
Contact
nora@ictu.nl
Status


Bijeenkomst van Werkgroep NORA Architectuur Principes op donderdag 2 september 2021.
Doel: Uitwerken van Kernwaarden van Dienstverlening naar Doelen en NORA Architectuurprincipes
Doelgroep: leden Werkgroep .



Verslag. Stukken voor deze vergadering waren werkversies, die indien gewenst opvraagbaar zijn bij NORA Beheer.

Aanwezigen

Laurens Groenewegen, Marco Deterink, Steven Ham, Robert van Wessel, Athena Wijsman.

Vandaag, 02 september 2021, is geconstateerd dat de AP-verandering meer werk is dan gedacht. Het is een fundamentele slag voor de NORA. Het gaat meer tijd en dus geld kosten.

Actiepunten

  • Doorgaan met het reduceren/herinrichten van AP’s.
    • Hoofdvraag die telkens gesteld moet worden: “Hebben we hier een apart AP voor nodig of moet het binnen Doelen terugkomen?”
    • Werkverdeling in aspecten Security, Duurzaam, Onderhoudbaarheid & Kwaliteit

Gebruikersraad September

Het wijzigingsvoorstel is nog niet of. Wanneer wel dan? Wat is een reële planning om het werk daadwerkelijk af te ronden? Wat laten we aan de GR zien? Presentatie en NORA Gebruikersraad meenemen in het proces.

Vraag aan de GR welke tijdslijn handig is:

  • Begin 2022 Openbare Review met een totale set AP’s (groot risico op onnodig werk)

Of:

  • November 2021: KVD, Doelen en AP lijst voorleggen + 0.1 versie van implicaties (alleen aan GR).
  • Parallel en na November 2021 werken aan de implicaties.
  • Openbare Review boodschap: “Benut de NORA implicaties, maar pak gerust de principes op en maak eigen implicaties die toepasbaar zijn binnen het veld van de NORA dochters.”
  • Maart 2022: Alles laten zien aan de GR (met implicatie etc.)
  • November 2021: KVD, Doelen en AP lijst voorleggen + 0.1 versie van implicaties (alleen aan GR).
  • Parallel en na November 2021 werken aan de implicaties.
  • Openbare Review boodschap: “Benut de NORA implicaties, maar pak gerust de principes op en maak eigen implicaties die toepasbaar zijn binnen het veld van de NORA dochters.”
  • Maart 2022: Alles laten zien aan de GR (met implicatie etc.)

Besproken onderwerpen

Grondlagen & Visie punt

Vijflaagsmodel updaten: Grondslagen-laag, veranderd naar Visie & Grondslagen-laag. Met als doel te denken vanuit strategie. Organisatorisch gaat vervolgens over proces inrichting met de vraag: “Hoe organiseer je dat wat er in de Grondslagen-laag wordt geïmpliceerd?”

Informatiebeveiliging

Informatiebeveiliging moet terugkomen in de AP’s (ontwerp AP’s etc). “Zero Trust” kan een principe zijn. Vraag: “Wat zouden Security Architecten willen zien?” Vraag: Wat zijn de beste principes rondom informatiebeveiliging die in de NORA AP’s nog terug kunnen komen?

Regels voor AP’s

  • AP’s geven richting aan de inrichting van de ketens en overheidsorganisaties zelf.
  • “Het geldt voor de gehele publieke sector”

Doelen

Doelen zijn de concretisering van de waarden. Vraag: Wanneer heb je de NORA doelen bereikt? Wanneer is iets bv. Vindbaar? Hoe wordt dat dat behaald m.b.v. AP’s?

NORA AP’s

Gemaakte keuze: De NORA Architectuur Principes zijn normatieve¹ uitspraken.

  • Normatief: hoeft niet bewijsbaar te zijn. Het komt voort uit de community, net als normen en waarden. Je kan een normatieve uitspraak niet conformeren/falsificeren met onderzoek & wetenschap.
  • Een vraag die ten alle tijden gesteld moet worden: “Helpt een AP in de NORA een architect in een organisatie keuzes inzichtelijker te maken?”
  • Bij standaardisatie wordt er niet gesproken over standaarden zelf.

Wat is een implicatie?

Implicaties worden sub-implicaties met eigen rationale…

Redactioneel aan het einde kijken naar de volgorde van de AP’s.

Aan het einde zullen de AP’s opnieuw worden genummerd. Worden de KVD en de NORA Doelen.

Vraag over herbruikbaarheid AP01

  • In de Oude NORA wordt gelezen dat diensten letterlijk hergebruikt kunnen worden door andere overheidsorganisaties. De NORA principes lijken dat te impliceren.
  • Dit past beter bij ketensamenwerking. Dat dienst data/informatie (bv. een API) herbruikbaar is voor ketensamenwerking en niet de letterlijke diensten. Indien je je diensten herbruikbaar wilt stellen, moet de kwaliteit juist en concreet geformuleerd zijn. *Uitzondering SLA contracten. Ook moet je je dienst kunnen opknippen in herbruikbare stukjes (modulariteit)
  • Leg de kwaliteit van je diensten vast.
    • Met deze beredenering valt AP017 onder AP05.
  • “Biedt je gegevensdiensten aan alsof je deze altijd extern zal aanbieden” (Op groot niveau van herbruikbaarheid).
  • Er zijn AP’s over metadata, hergebruik en …
  • Stimuleer het gebruiken van elkaars diensten.
  • “Zorg voor een systematische documentatie”

AP05 moet op alle lagen Ontsluiting van data. Het aanbieden van data zelf is ook een dienst. Wat in AP01 staat gebeur Architectuur is een ontwerpende discipline.

  • AP01: Herbruikbaarheid (Interoperabiliteit past bij “Wees open” uit de 5x5x5 kubus)
  • AP02: Modulariteit
  • AP06: Standaardisatie (standaard waar het kan, specifiek waar het moet)

Kwaliteit Veiligheid Privacy Onderhoudbaarheid ( is dat een doel of niet? Ik vind van niet.

Gebruikersperspectief Voorbeeld van de 3 principes Marco: Schaalbaarheid, complexiteit reductie & …Standaardisatie

Doel Informatiebeveiliging

  • Deze vervalt en in plaats daarvan komen de Beschikbaarheid & Integriteit van de BIV als doel terug in de NORA.
  • Betrouwbaar gaat naar Vertrouwen en Vertrouwelijk samen met de Beschikbaarheid & Integriteit naar Veilig.

Doel: Duurzame Toegankelijkheid

De twee betekenissen van Duurzaam uit elkaar halen. De ene bij Duurzaam, de andere bij Toegankelijk.

Doel: Doeltreffend

  • Leesbaarheid valt onder Begrijpelijk
  • Interpreteerbaarheid valt onder AP17, onder AP05

Security Principes onderwerp

  • Informatiebeveiliging begint bij het kennen van je risico’s. Maatregelen voor die risico’s is de volgende stap voor architecten/de architectuur.
  • Volgen er uit Zero Trust nog waardevolle principes voor de NORA? Zijn dit (security) ontwerp-principes of een ezelsbruggetje?
  • “Never Trust, Always Verify” is een principe.
  • Vraag: “Assume a hostile invoirement/ Design for Mallice” is dit een ontwerp-principe?
  • Vraag: “Layered Security (verdedig in de diepte)” is ook belangrijk, maar is dit een ontwerp-principe?

Wijzigingen AP's

AP01:

  • Zie kopje Vraag over herbruikbaarheid AP01.
  • @@MD: We zouden dan wellicht AP58 hierin onder kunnen brengen. Bv. Op de informatielaag: Open data wordt gedeeld.

AP02:

  • Ander woord voor ontkoppeling?
  • Modulariteit gebruiken en herdefiniëren?
  • Toevoeging bij implicatie grondslagen en visie: vermelden hoe je hiermee omgaat binnen je keten (Organisatorische implicatie)?

AP05:

  • Aspecten en onderdelen van AP03 & AP04 komen terug in AP05 en vervallen.
  • AP17 valt hier onder?

AP06:

  • AP07, AP08 komen terug in AP06 en vervallen.
  • Pas toe leg uit voor uitzonderingen
  • Als je diensten ontwikkelt, ‘maak’ er dan een (open) standaard van, draag bij aan de totstandkoming van een standaard.

AP11:

  • AP09 en AP10 komen terug in AP11 en vervallen.
  • AP22 deels hieronder opnemen.

AP12: Mag onder AP13 of AP19 vallen?

AP13:

  • Benoemen we bronregistratie apart of kan dit onder standaardisatie vallen?
  • LinkData (staat nog niet in de NORA gedefinieerd. Moeten we nog iets mee.
  • Eenmalige uitvraag bronregistratie
  • Houden we dit op basisregistratie of gebruiken we dit als paraplu voor overige? (Iets meedoen)

AP14: Vervallen. Het is nuttig, maar het is geen architectuur principe

AP15:

  • Doelbinding gaat een groot belang spelen binnen de overheid.
  • Vraag: Voor hergebruik AP01 is Doelbinding nodig. Verdient dit een eigen principe? Of is het. Een implicatie van AP01? Antwoord: AP15 wordt gehanteerd.
  • Naamgeving titel blijft, stelling wordt aangepast.

AP16: @@MD: Deze mis ik, dit wordt denk ik een implicatie bij AP17 (Informatielaag).

AP17: @@MD: Handhaven

AP18: Als implicatie voor AP21?

AP19:

  • Erg belangrijk, blijven hanteren
  • AP20 valt onder AP19.
  • AP12 hier onderbrengen.

AP21: Goed idee, doen we niet. (AP handhaven)

AP22: Valt deels onder 19. (Niet kastje van de muur) Valt deels onder 11.

AP24:

  • Vraag: hebben wij als overheid breed deze ambitie? Antwoord: ja, rijbewijs voorbeeld
  • Proactief is een mooi kwaliteitsdoel. Doelbinding, hergebruik en...

AP25:

  • Discussie: Overbodig, wegens NORA Doel Transparant en wettelijke verplichtingen die bestaan?
  • Oplossing: Willen we niet in de huidige vorm handhaven.
  • Op zoek naar principes die aansluiten op Doel Transparant?

AP26:

  • Is wettelijk vastgelegd, dus vervallen.
  • Indien hier iets over gezegd moet worden, gebeurt dit bij AP25.
  • Valt onder het Doel Transparantie

AP31:

  • AP27 t/m AP34 Samenvoegen, maar nog niet bekend hoe. AP31[Borg de servicekwaliteit] Dit is de kern. Quality of service
  • Hier zit Kwaliteitssturing (inhoudelijk) en kwaliteitsverantwoording (afspraak is afspraak) in.
  • Doel Wendbaarheid komt terug.
  • (De doelen beschrijven kwaliteiten van een dienstverlening die we belangrijk vinden.)
  • De AP’s zijn deel van een setje die borgen de kwaliteiten van een dienstverlening te behouden/hanteren.
  • Het concept van continu verbeteren moet meegaan met de verbeteringen binnen de dienstverlening.
  • Monitoring, op het toepassen Quality of Service

AP40: X

AP44:

  • In een bredere zin dan alleen autorisatie.
  • Rationale moet worden aangepast.
  • Kan onder doelen Verantwoord en Transparant?
  • Moet nog worden geconcretiseerd
  • Informatiebeveiliging, informatiebeheer en privacy als multidisciplinaire groep

AP45:

  • Geïntroduceerd vanuit het begrip Informatiebeveiliging.
  • AP48, AP54 komen hier terug, dus vervallen.
  • Discussie: Houd het simpel vs. Reduceer onnodige complexiteit. Welke wordt de titel van een AP? Reduceer afleidende complexiteit?

Uitkomst: AP45 hernoemen naar Voorkom onnodige complexiteit. (Draagt bij aan informatiebeveiliging)

AP46:

  • Wordt een belangrijk onderwerp binnen de Rijksoverheid, maar is dit nou echt een AP?
  • “Bij de Thema’s/ het katern uitleggen hoe de doelen worden vertaald naar AP’s.”
  • Hier wordt de andere betekenis van duurzaam gebruikt. NIET ‘Save the world”.
  • De letterlijke toegankelijkheid tot informatie wordt nog niet helemaal in de NORA beschreven. Daarbovenop moet het ook nog eens duurzaam zijn.

AP47:

  • Schaalbaarheid is een belangrijk aspect. Verdient een AP.
  • Hoe wordt schaalbaarheid vertaald naar implicaties?
  • Ontwerp scale out i..p.v.. scale up?
  • Voorbeeld: dingen echt SAAS afnemen i.p.v. ASP
  • Verwijzing naar de NIST “Bij cloud diensten, kijk naar de NIST”

AP58 (Open Data wordt gedeeld):

  • De letterlijke toegankelijkheid tot informatie wordt nog niet helemaal in de NORA beschreven. Daarbovenop moet het ook nog eens duurzaam zijn.
  • Vraag: “Vinden wij dat er een apart principe voor Data moet komen?”

AP50:

  • Is dit een AP? Het is eerder een richtlijn, echter wordt er vandaag de dag nog weinig naar gekeken/gehanteerd binnen (IT) overheidsprojecten.
  • Risico eliminatie is niet wat bedoeld wordt. Het verminderen van risico’s is niet altijd positief. Het kennen en afwegen van je risico’s is van essentieel belang. Soms is het accepteren van risico’s beter dan het elimineren.
  • Geeft dit richting aan een architect?
  • Dit moet, maar is geen architectuur.

AP51 en 57: We gaan geen “X” by design in de NORA opnemen als APs

AP52: Sterke link met ZTA! Nog nader onderzoeken.

APXXAP55:

  • Houd je aan je eigen beleidsregels. Is dit hetzelfde als, houd je aan de wet? Nee, een schilder heeft zijn eigen huis het slechtst geverfd. Hiermee wordt bedoeld: Verifieer dat je aan de Kwaliteitsnormen doet.
  • Hoort dit binnen de NORA of moet het maar binnen de SVB te blijven? Waar past dit
  • Valt dit onder controleerbaarheid?
  • Monitoring op je dienstverlening hoort hierbij.

Actiepunt: Marco vraagt aan Security Architect Ewout om Laurens te helpen bij deze security principes.

AP56: Is deze te vroeg afgeschoten?

APXXAP53a:

  • Onderhoudbaarheid van de dienst miste. (Manageability etc.)
  • Vraag hierbij: welke ontwerp-principes vallen hieronder?
  • Naam suggestie: “Ontwerp voor Onderhoudbaarheid”
  • Standaardisatie draagt hieraan bij
  • Onderhoudbaarheid als Doel opnemen onder Doelmatig en draagt bij aan de Toekomstgericht/Wendbaar?
  • Dit komt niet terug in Beleidskaders. Hoe wordt dit verantwoord?

AP58:

  • Open data wordt gedeeld -> implicatie gegevenslaag van AP24 (proactief aanbieden)
  • Niet als NORA AP opnemen.


AP59: Treat data as an asset: (AP). Hiervan afgeleid (beleidsuitspraak): Haal maximale waarde uit data -> AP59 geen NORA AP.

Nederlandse Overheid Referentie Architectuur.

Het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.

Een beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.

De plaats waar een gegeven of document voor de eerste keer is vastgelegd

Een bij wet als basisregistratie aangemerkte registratie.

Het proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen

Houdt in dat informatie vindbaar, interpreteerbaar en uitwisselbaar is.

Overgenomen van "https://www.noraonline.nl/index.php?title=Werkgroep_NORA_AP_september_2021&oldid=56558"