Upload
others
View
13
Download
0
Embed Size (px)
Citation preview
ICT-beleid en standaarden
Gemeente Groningen I-platform Versie 1.0 Februari 2008
ICT-beleid en standaarden pagina 1
Inhoudsopgave Inhoudsopgave ............................................................................................................................................ 1 1 Inleiding ............................................................................................................................................... 2
1.1 Gebruik ........................................................................................................................................... 2 1.2 Beheer ............................................................................................................................................ 2 1.3 Leeswijzer ....................................................................................................................................... 3
2 Bedrijfsarchitectuur .............................................................................................................................. 4 2.1 Organisatie...................................................................................................................................... 4 2.2 Producten en Diensten .................................................................................................................... 5 2.3 Processen ....................................................................................................................................... 5
3 Informatie-architectuur ......................................................................................................................... 6 3.1 Applicaties....................................................................................................................................... 6
3.1.1 Frontoffice-applicaties ............................................................................................................. 7 3.1.2 Midoffice-applicaties................................................................................................................ 8 3.1.3 Bedrijfsvoeringsapplicaties en Basisregistraties....................................................................... 8 3.1.4 Kantoorautomatisering ............................................................................................................ 9
3.2 Gegevens........................................................................................................................................ 9 3.3 Gegevensuitwisseling.................................................................................................................... 10
4 Technische architectuur ..................................................................................................................... 12 4.1 Technische componenten.............................................................................................................. 12
4.1.1 Clients .................................................................................................................................. 12 4.1.2 Servers ................................................................................................................................. 12 4.1.3 Hardware .............................................................................................................................. 13
4.2 Gegevensopslag ........................................................................................................................... 13 4.3 Netwerk......................................................................................................................................... 14
5 Beheer en Ontwikkeling ...................................................................................................................... 15 5.1 Beheer .......................................................................................................................................... 15 5.2 Ontwikkeling.................................................................................................................................. 15
6 Beveiliging ......................................................................................................................................... 17 6.1 Beveiliging applicaties en gegevens .............................................................................................. 17 6.2 Beveiliging technische infrastructuur.............................................................................................. 17
Bijlage A Beheerorganisatie en procedures ................................................................................................ 20 A.1 Beheerorganisatie ..................................................................................................................... 20 A.2 Beheerprocedures..................................................................................................................... 20
ICT-beleid en standaarden pagina 2
1 Inleiding Dit document bevat een overzicht van het ICT-beleid en de ICT-standaarden van de gemeente Groningen. Dit beleid heeft vooral betrekking op de inrichting van applicaties, gegevens en ICT-infrastructuur. De
informatie in dit document is zowel voor de interne I&A-organisatie als voor leveranciers van belang.1 Voor
detailinformatie wordt in dit document verwezen naar gerelateerde achtergronddocumentatie. Er is alleen beleid opgenomen dat specifiek is voor de gemeente Groningen of dat afwijkt van landelijk of sectoraal beleid voor gemeenten, zoals de EGEM-referentiearchitectuur en NORA. Het beleid in dit document moet de aansluiting van de informatievoorziening bij de gemeentelijke processen en organisatie waarborgen evenals de inpassing in de bestaande applicatieportfolio en ICT-infrastructuur.
1.1 Gebruik
Dit document is bedoeld voor zowel extern als intern gebruik. Het document biedt globaal inzicht in het vigerende beleid en de Groningse I&A-omgeving. Bij intern gebruik heeft de inhoud een verplichtend karakter. Afwijking van het beleid of de standaarden kan alleen na toestemming van het Algemeen Management Team. Bij extern gebruik, met name bij aanbestedingen, dient het document vooral om te kunnen beoordelen of systemen en applicaties geschikt zijn om te functioneren binnen de organisatie, de applicatieportfolio en de technische infrastructuur van de gemeente Groningen en in hoeverre zij passen bij de Groningse ambities. Bij aanbestedingen zal door middel van selectiecriteria moeten worden beoordeeld in welke mate een aanbieding voldoet aan het gemeentelijk beleid en inpasbaar is in de gemeentelijke omgeving. Indien beleidsregels in dit document als eis zijn aangemerkt - per beleidsregel wordt dit aangegeven - dan betekent dit dat vanuit IM-optiek deze regels als “sterke wens” gelden, niet dat deze eisen ook dezelfde status hebben als de eisen in een aanbestedingsdocument. Aanbestedingseisen moeten expliciet worden verwoord in een bestek en de betreffende regels moeten worden geselecteerd voor zover ze relevant zijn voor de aanbesteding. Bij afwijking van het beleid zullen leveranciers moeten aangeven wat de personele of financiële consequenties zijn, zoals vereiste kennisopbouw, afwijkende procedures, specifieke integratie-oplossingen, en dergelijke. Waar in het document meerdere standaarden of producten worden vermeld is aangegeven welke de voorkeur hebben. Waar relevant zijn ook ontwikkelingen in het beleid vermeld.
1.2 Beheer
Dit document is onderdeel van het I-Handboek van de gemeente Groningen, waarin alle I&A-regelgeving is opgenomen. De beheerprocedures die nodig zijn om dit document actueel te houden zijn ook in dit handboek opgenomen. De Bestuursdienst, afdeling ConcernInformatieManagement (CIM), voert de regie over het I-Handboek. Bij deze afdeling kan ook een actueel exemplaar van dit document worden aangevraagd of worden gedownload van Gé-net. Bij intern gebruik kan nadere informatie over de inhoud worden verkregen bij de afdelingen BSD/CIM of DIA/CIO. Gemeente Groningen Bestuursdienst; afdeling CIM Postbus 20001 9700 PB Groningen 050-3677675
1 Regelgeving die alleen relevant is voor de interne organisatie, is in andere documenten opgenomen.
ICT-beleid en standaarden pagina 3
1.3 Leeswijzer
De regelgeving is ingedeeld naar onderstaand model:
Het algemene organisatiebeleid, voor zover dat van belang is voor de informatievoorziening, is opgenomen in hoofdstuk twee. Dit beleid vormt de globale organisatiecontext waarbinnen het ICT-beleid moet worden gelezen. Hoofdstuk drie geeft een overzicht van beleid en standaarden die voortvloeien uit de gemeentelijke informatie-architectuur, zoals de gewenste samenhang in applicaties, de keuzes van concernapplicaties en de standaarden voor gegevens en hun uitwisseling, en het beleid inzake open source en open standaarden. De inrichting van de technische infrastructuur, waaronder de standaarden voor hardware- en softwareplatformen, gegevensopslag en netwerken, staat beschreven in hoofdstuk vier. Specifiek beleid dat betrekking heeft op het beheer van de I&A-omgeving respectievelijk de beveiliging van deze omgeving, is verzameld in de hoofdstukken vijf en zes. Aangezien versies van producten en standaarden onderhevig zijn aan frequente veranderingen zij voor actuele versienummers verwezen naar de beheerorganisatie. Deze worden op aanvraag verstrekt. Er moet vanuit worden gegaan dat voor alle genoemde producten en standaarden de laatste en één na laatste versies actueel zijn.
Beveiliging 6
Beheer en Ontwikkeling 5
Bedrijfs Architectuur
2
Informatie Architectuur
3
Technische Architectuur
4
Wie Wat Hoe
Organisatie 2.1
Diensten Producten
2.2
Processen 2.3
Applicaties 3.1
Gegevens 3.2
Gegevens uitwisseling
3.3
Technische componenten
4.1
Gegevens opslag
4.2
Netwerk 4.3
ICT-beleid en standaarden pagina 4
2 Bedrijfsarchitectuur Voor een goed begrip van de organisatorische context waarbinnen de informatievoorziening van de gemeente Groningen moet functioneren, zijn hier enkele relevante beleidsuitgangspunten opgenomen.
2.1 Organisatie
De gemeentelijke organisatie is ingericht volgens een concern/diensten-model. Er zijn zeven sectoraal ingerichte diensten, die in hoge mate autonoom zijn. (Zie organogram) Elke dienst heeft een eigen middelenfunctie (“PIOFACH-taken”), maar de uitvoering van concerntaken is belegd bij de Bestuursdienst en bij de interne facilitaire dienst (die onderdeel is van de DIA).
Onderwerp Beleid
Organisatie- ontwikkeling
Management en bestuur stellen zich terughoudend op t.a.v. structuurwijzigingen in de organisatie. Verbeteringen worden vooral nagestreefd door de verbetering van bedrijfsprocessen, vergroting van hun samenhang en betere concernsturing.
Organisatie dienstverlening
Groningen kantelt haar dienstverleningsorganisatie niet, maar streeft naar logisch ingerichte frontoffices naar vier domeinen (en dus niet naar één publieksdienst of naar één klantcontactcentrum), t.w.:
• Publiekszaken (diensten op het gebied van burgerzaken en belastingen)
• Stad & Ruimte (diensten op het gebied van ruimtelijke ordening, milieu, bouwen en wonen, verkeer en parkeren, vergunningen)
• Mens & Welzijn (diensten op het gebied van werk en inkomen, zorg, welzijn, sport)
• Ondernemen & Bedrijf (diensten voor ondernemers) Een dienst omvat één of meer van deze logische frontoffices. Algemene producten en diensten kunnen bij elke dienst worden afgenomen (“no wrong door”-principe). (Zie “Visie Publieke Dienstverlening Groningen in 2010”)
ICT-beleid en standaarden pagina 5
Onderwerp Beleid Organisatie I&A-functie
De I&A-functie bestaat uit drie partijen. Iedere dienst heeft een eigen informatiemanagementfunctie. De centrale ICT Organisatie (CIO) is een afdeling van de Facilitaire Dienst. Deze treedt op als interne ICT-leverancier en heeft als primaire taken het beheer van de ICT-infrastructuur en enkele concernapplicaties. De afdeling ConcernInformatieManagement (CIM) bij de Bestuursdienst voert de integrale regie over de I&A-functie.
2.2 Producten en Diensten
Onderwerp Beleid
Elektronische diensten
Groningen wil geen koploper zijn bij de ontwikkeling van elektronische diensten, maar streeft wel naar een voorhoedepositie.
Groningen ontwikkelt haar elektronische diensten vooral ter vergroting van het gemak voor burgers en bedrijven en ter verlaging van de interne kosten. Elektronische dienstverlening heeft vooral prioriteit binnen de domeinen Stad en Ruimte en Publiekszaken.
2.3 Processen
Onderwerp Beleid
Processturing Dienstoverstijgende processen worden per dienst gestuurd.
Dienstverlenings processen
Front – en backofficeprocessen tbv dienstverlening worden zoveel mogelijk in samenhang ontwikkeld. Met name wordt gestreefd naar het voorkomen van frontoffice-ontwikkelingen die niet automatisch door de backoffice worden ondersteund.
Gebruik van basisgegevens
Het gebruik van gegevens in basisregistraties en kernregistraties2 is
verplicht. Hierbij geldt dat de afnemers van een registratie een terugmeldplicht hebben.
2 Onder een kernregistratie wordt verstaan: een centrale gegevensverzameling die door gebruikers uit meerdere diensten wordt gebruikt en door het AMT als zodanig is aangewezen. (Voorbeelden: personeelsregistratie, vastgoedregistratie, crediteurenregistratie, etc.)
ICT-beleid en standaarden pagina 6
3 Informatie-architectuur
Onderwerp Beleid Informatie-architectuur
De Groningse informatie-architectuur is gebaseerd op de Egem referentie-architectuur (zie www.egem.nl/kennisbank/architectuur-e-gemeente). De volgende architectuurprincipes zijn leidend voor de Groningse architectuur: 1. Klantvraag centraal 2. Eénmalige vastlegging; meervoudig gebruik 3. Marktconform 4. Efficiënte inrichting 5. Integreerbaar met de buitenwereld De informatie-architectuur is in aparte bestemmingsplannen uitgewerkt voor dienstverlening, basisregistraties, digitaal documentbeheer en bedrijfsvoering.
Open source en open standaarden (OSOSS)
Groningen hecht grote waarde aan de inzet van open source software en het gebruik van open standaarden, waardoor de volgende vier aspecten van openheid worden nagestreefd: 1) Leveranciersonafhankelijkheid
Oplossingen kunnen door meer partijen worden onderhouden en kunnen op verschillende platforms werken
2) Transparantie, controleerbaarheid en beheersbaarheid De werking van oplossingen is inzichtelijk om te voldoen aan de wettelijke bepalingen van de WBP, om audits uit te voeren en voor controle op de informatiebeveiliging
3) Interoperabiliteit Pakketonafhankelijke koppelingen en open standaarden volgens de OSOSS-definitie in toepassingsgebieden als tekstverwerking, middleware, mail, agenda en geografische informatiesystemen
4) Digitale duurzaamheid Oplossingen kunnen onderhouden worden door anderen dan de eerste leverancier en er is ruimte voor latere innovatie. De gegevensopslag is in een toekomstvast formaat.
3.1 Applicaties
Onderwerp Beleid Eis?
Browser-support Applicaties moeten browser-onafhankelijk en W3C-compliant zijn. √
Platform-onafhankelijkheid
Applicaties moeten zoveel mogelijk platformonafhankelijk zijn. Minimaal moet Linux en Windows worden ondersteund, waarbij de functionaliteit op beide platformen gelijk dient te zijn.
√
Koppeling obv open standaarden
Koppelingen tussen applicaties moeten gebaseerd zijn op open standaarden. Applicaties mogen niet afhankelijk zijn van het gebruik van andere applicaties, tenzij hiervoor open standaarden worden gebruikt.
√
Inzet open source Open source applicaties hebben bij gelijke geschiktheid de voorkeur. Bij ongelijke geschiktheid moet eerst worden nagegaan of het open source alternatief tegen lagere of vergelijkbare kosten vergelijkbaar kan worden gemaakt.
√
E-dienstverlening Voor elektronische dienstverlening moet gebruik worden gemaakt van de standaard applicaties voor de website, het e-loket, communities en de producten- en dienstencatalogus.
√
Ontsluiting Voor de ontsluiting van backoffice-applicaties moet gebruik worden √
ICT-beleid en standaarden pagina 7
backoffice applicaties
gemaakt van de beschikbare midoffice-applicaties.
Gebruik van basis- en kernregistraties
Voor gebruik van basis- en kerngegevens moet gebruik worden gemaakt van de beschikbare basis- en kernregistraties.
√
Gebruik van bedrijfsvoerings-applicaties
Voor de ondersteuning van de functies Personeel, Financieel, Inkoop, Facilities en DIV moet gebruik worden gemaakt van de beschikbare bedrijfsvoeringsapplicaties.
√
Gebruik van KA-applicaties
Voor de ondersteuning van kantoorautomatiseringsfuncties moet gebruik worden gemaakt van de beschikbare KA-pakketten.
√
In onderstaand model is de applicatie-architectuur voor dienstverlening gevisualiseerd. Deze vormt de structuur voor de regelgeving in dit hoofdstuk.
3.1.1 Frontoffice-applicaties
Component Standaard product Toelichting / ontwikkeling
Website Zie www.groningen.nl
Portal- en contentmanagement WBS (Factor-e) LeoCMS (Open source) RIS (Zylab)
Tbv website; wordt vervangen Tbv wijkwebsites; wordt vervangen Tbv raadsinfo
Zoekfunctie Google
Geografische presentatie Mapserver (open source) Open Layers (open source)
Elektronisch loket Zie www.eloket.groningen.nl
Web-intake E-base (Imtech) Reporter formulieren generator (FAM)
Voorkeur; standaardisatie loopt
Chatfunctie Live Business Chat (Livecom)
Afsprakenfunctie Q-Calendar/BAVAK (Q-
ICT-beleid en standaarden pagina 8
Matic)
Communities Community Generator (FAM)
Product- en dienstencatalogus PIGA (Infoprojects)
Klantrelatiemanagement Nog geen keuze gemaakt
3.1.2 Midoffice-applicaties
Component Standaard product Toelichting / ontwikkeling
Zakenmagazijn Midoffice (Centric) Emaxx
Nog geen keuze voor een standaard voorziening gemaakt
Gegevensmagazijn BVG (Basis Voorziening Gegevens; eigen ontwikkeling)
Voorlopig ook in gebruik als gegevensmagazijn
Betalingen Ogone
Identificatie DigiD
Kennismanagement PKO (Centric)
Transactieplatform Nog geen keuze gemaakt
Message-broker Broker (Emaxx) Broker (Nesticus) MQ (Sonic)
Tbv workflow BO-applicaties Tbv workflow e-loket Tbv koppeling e-loket / Clear
Datadistributie DDS4All (Centric) BRS (GPR)
Tbv. integratie Centric-applicaties Tbv. Integratie GPR-applicaties
Enterprise Service Bus ESB (Software AG) Alleen tbv koppeling e-loket / Parkline. Keuze voor concern ESB nog niet gemaakt.
3.1.3 Bedrijfsvoeringsapplicaties en Basisregistraties
Component Standaard product Toelichting / Ontwikkeling
Financieel beheer FIS2000 (IBS) Wordt vervangen
Personeelsbeheer EMIS (IBS) Vervanging wordt overwogen
Inkoop Inkoopnet (Proquro van GPR)
Faciliteitenbeheer FMIS (Nordined)
Documentbeheer en archivering Hummingbird (Hummingbird)
Intranet Discovery Server (Green Valley)
Basisregistratie Personen Cipers (GPR) Nog geen keuze gemaakt voor basisregistratie
Basisregistratie Adressen en Gebouwen
BAG (Obterra)
Registratie Bedrijfsvestigingen Ammyyon (Ammyyon) Nieuwe vestigingenregistratie wordt overwogen
Registratie Percelen en Topografie
NGDW (NedGraphics)
ICT-beleid en standaarden pagina 9
3.1.4 Kantoorautomatisering
Onderwerp Beleid Eis?
OSOSS-werkplek De overgang van de op Microsoft gebaseerde KA-omgeving naar een OSOSS-omgeving is in gang gezet. Applicaties die integreren met een KA-toepassing moeten dit op een dusdanige wijze doen dat dit ook mogelijk is met OSOSS-toepassingen.
√
Component Standaard product Toelichting / Ontwikkeling
Tekstverwerking Office XP 2002 / Word (MS) Het voornemen is te standaardiseren op Open Office.
Spreadsheet Office XP 2002 / Excel (MS) Het voornemen is te standaardiseren op Open Office.
Presentatie Office XP 2002 / Powerpoint (MS) Het voornemen is te standaardiseren op Open Office.
Database Office XP 2002 / Access (MS) Het voornemen is deze te vervangen door een Open Source-variant
Agenda Groupwise (Novell)
E-mail Groupwise (Novell)
Projectplanning Project (MS) Het voornemen is deze te vervangen door een Open Source-variant
Antivirus eTrust
Fotobewerking Photoshop (Adobe) Het voornemen is deze te vervangen door een Open Source-variant
Tekenpakket Visio (MS) Coreldraw (Corel) Autocad (Autodesk) MicroStation (Bentley)
Alleen voor informele flowcharts; niet voor procesdefinitie Algemeen tekenpakket Bouwkundige tekeningen Bouwkundige tekeningen Het voornemen is deze toepassingen te vervangen door een Open Source-variant
Procesbeschrijving Mavim (MAVIM)
Documentverwerking PDF-reader/writer (Adobe)
Authenticatie E-directory (Novell) IDM (Novell)
Synchronisatie accounts met wachtwoorden Active Directory beschikbaar Ontsluiting gegevens uit e-directory
3.2 Gegevens
Onderwerp Beleid Eis?
Structuur en betekenis gegevens
De structuur en betekenis van gegevens moet gebaseerd zijn op de landelijke standaarden en modellen. (Zie onderstaande standaarden)
√
Gebruikersgegevens Voor de registratie van gebruikersgegevens moet gebruik worden gemaakt van de betreffende standaarden en voorzieningen
√
ICT-beleid en standaarden pagina 10
Gegevensmodellen en structuren
Standaarden Toelichting / ontwikkeling
Basisgegevens Stelselhandboek basisregistraties
Overheidsbrede standaard voor authentieke basisgegevens
Sectormodel RSGB Referentiemodel Stelsel van Gemeentelijke Basisgegevens
(opvolger GFO-BG); VNG-standaard. Zie www.egem.nl/ kennisbank/architectuur-e-gemeente/basisgegevens
Gegevensdefinitie en -structuur
StUF-BG StUF-Zaken StUF-Tax
De Stuf-standaard moet in combinatie met het sectormodel worden beschouwd. Zie www.egem.nl/kennisbank/informatievoorziening/uitwisseling/stuf
Geografische gegevens
NEN 3610 Basismodel Geo-informatie
IMRO Sectormodel voor ruimtelijke ordening/planologie
IMGeo Sectormodel voor grootschalige topografie
Gebruikersgegevens NCP LDAPS
e-directory secure LDAP
3.3 Gegevensuitwisseling
Onderwerp Beleid Eis?
Uitwisseling gegevens
De uitwisseling van gegevens moet plaatsvinden op basis van open standaarden.
√
Communicatie tussen applicaties
De communicatie tussen applicaties en tussen applicaties en de buitenwereld moet gebaseerd zijn op berichtenuitwisseling
√
Gebruik van sleutels Er dient gebruik gemaakt te kunnen worden van de volgende identificerende sleutels voor het uitwisselen van gegevens: AON, BSN, FIN, INA, IOR, KvK, OZK en WIN. (Voor uitleg van de nummers, zie stelselhandboek basisgegevens.)
√
Gebruik van webservices
Het gebruik webservices voor de ontsluiting van backoffice-applicaties heeft de voorkeur
Structuur van gegevens
Voor de uitwisseling van gegevens is het gebruik van de StUF-standaarden, waar deze bestaan, verplicht.
√
Toegang documenten
Voor de toegang tot gearchiveerde documenten moet gebruik worden gemaakt van de gemeentelijke metadatset die is gebaseerd op de landelijke standaarden.
√
Onderwerp Standaard Opmerking/Toelichting
(Inter)gemeentelijke gegevens- uitwisseling
StUF-BG StUF-Zaken StuF-Tax
StUf-standaarden zijn verplicht bij uitwisseling van gegevens
Gegevens producten en diensten
Samenwerkende catalogi
Richtlijnen websites www.webrichtlijnen.nl Drempels weg
Metagegevens documenten DC+ (Dublin Core) OWMS (Overheid.nl webmetadata-standaard) IPM (Internet Publicatie Model)
ICT-beleid en standaarden pagina 11
Berichtenprotocol tussen applicaties
SOAP
Portal-integratie JSR 168 (Java Specification Request) RSS (Really Simple Syndication)
Webservices definitie WSDL Beschrijvingstaal voor webservices
Structuur van berichten XML
Transport van berichten HTTPS Beveiligde verbinding, gebruik makend van 256 bits encryptie.
ICT-beleid en standaarden pagina 12
4 Technische architectuur
Onderwerp Beleid Eis?
Gebruik van open standaarden en open source
Er wordt gestreefd naar een op open standaarden gebaseerde en besturingssysteem-onafhankelijke ICT-infrastructuur. Deze infrastructuur moet daarom zoveel mogelijk voldoen aan de volgende eisen: 1. Leveranciersonafhankelijkheid 2. Interoperabiliteit 3. Transparantie, controleerbaarheid en beheersbaarheid 4. Digitale duurzaamheid
√
4.1 Technische componenten
4.1.1 Clients
Onderwerp Beleid Eis?
Besturingssysteem werkplek
De huidige werkplek PC’s zijn gebaseerd op Windows-XP. Er wordt gestreefd naar een werkplek die zowel Windows- als Linux-based kan zijn.
√
Component Standaard Toelichting / ontwikkeling
Besturingssysteem desktop Windows-XP Werkgroep model, de werk-stations zijn geen lid van een domein en beschikken alleen over Hoofdgebruikersrechten.
Browser Internet Explorer (MS) Zie ook onder 3.1 Browser support
Browser-plugins Flash (Macromedia) Shockwave (Macromedia) Quicktime (Apple)
Besturingssysteem Remote Clients
Windows 2000 / 2003 Terminal Services
Beheer Clients ZENworks for Desktops (Novell)
Printservices Open Enterprise Server (Novell) iPrint
4.1.2 Servers
Component Standaard product Toelichting / ontwikkeling
Fileserver Open Enterprise Server (Novell)
Printserver Open Enterprise Server (Novell) iPrint
Webserver Apache IIS (MS)
Apache heeft de voorkeur.
Applicatieserver JBOSS TomCat (Apache)
JBOSS heeft de voorkeur.
ICT-beleid en standaarden pagina 13
Database server Oracle SQL Server (MS) My SQL (Linux) PostgresSQL
Oracle op Unix heeft de voorkeur
Directory services eDirectory (Novell) Active Directory (MS)
Primair Synchronisatie met e-Directory obv Identity Manager
Besturingssysteem servers Suse Linux Enterprise Server Windows 2003 (MS) AIX (IBM) AS400 (IBM)
icm Oracle databaseserver Platform wordt afgebouwd
4.1.3 Hardware
Onderwerp Beleid Eis?
Printers Alle printers dienen netwerkfunctionaliteit te hebben en correct te functioneren in combinatie met i-Print (Novell).
√
Component Standaard product Toelichting / ontwikkeling
Desktop Fujitsu Siemens 512 Mb RAM intern geheugen 80 Gb harde schijf 17 inch tft of groter Standaard schermresolutie is 1024 x 768. Hogere of lagere resoluties zijn niet mogelijk.
Laptop Fujitsu Siemens D9500 Fujitsu Siemens Lifebook E8410
Huidige laptops zijn voorzien van 512Gb Ram, 15” scherm, schermresolutie 1024x768, 80 Gb harde schijf, 100 Mb ethernetkaart. Nieuwe laptops zijn voorzien van 2 Gb Ram en 15,4” scherm. Lifebook alleen voor high end toepassingen.
Server HP Proliant DL380G5 Minimaal 4 GB RAM; minimaal 100 Mb ethernet; ILO2 module; Dualport Fibre Channel HBA
PDA en Smartphones
Palm
4.2 Gegevensopslag
Onderwerp Beleid Eis?
Opslag van documenten
Voor de opslag van documenten bestaat aparte regelgeving. Zie het document Kaders Documentbeheer.
Opslag gegevens Voor de duurzaamheid en toegankelijkheid van gegevens moet gebruik gemaakt worden van open standaarden.
√
Formaten Standaard Opmerking/Toelichting
Formaat opslag tekst-documenten
ODF (ISO/IEC 26300), PDF, DOC, RTF
Formaat opslag spreadsheets XLS
Formaat opslag geluid WMA, MP3, WAV
Formaat opslag video MPG, FlashVideo
ICT-beleid en standaarden pagina 14
4.3 Netwerk
Component Standaard Toelichting / ontwikkeling
Hardware/Switch apparatuur CISCO
Tussen locaties/diensten GRONET-2 Intern gemeentelijk glasvezelnetwerk
Transport- en netwerkprotocol TCP/IP
Datalinkprotocol Ethernet
Snelheid netwerkverbindingen: (a) over de backbone (b) tussen servers (c) van en naar desktops
2 – 8 Gb 1 Gb of 100 Mb 100 Mb of 10 Mb
Beheer web-omgevingen VPN-verbinding met MS-Terminal Server of PuTTY
Monitoring netwerk en servers Nagios
ICT-beleid en standaarden pagina 15
5 Beheer en Ontwikkeling
5.1 Beheer
Onderwerp Beleid Eis?
Hardware locks Hardware locks in de vorm van bijv. dongle’s of pc-gebonden software
zijn niet toegestaan. Software mag niet dusdanig gekoppeld zijn aan een specifieke server of desktop, dat het verplaatsen van de software naar andere hardware of het anderszins wijzigen van de server of desktop ingrijpen van de leverancier om licentie technische redenen vereist.
√
Licentiebeheer Software dient geautomatiseerd voorzien te kunnen worden van een licentie. Software die per werkstation gelicenseerd moet worden door middel van e-mail of een internet verbinding is niet toegestaan.
√
Softwaredistributie Voor alle software geldt dat deze volledig geautomatiseerd geïnstalleerd moet kunnen worden binnen de randvoorwaarden die in het kader van de beveiliging zijn gesteld. Een andere mogelijkheid is, dat de applicatie gerepackaged en gedistribueerd kan worden met behulp van Novell ZENworks for Desktops. Hierbij moet het mogelijk zijn om de applicatie zodanig aan te bieden dat de gebruiker er mee aan de slag kan, zonder dat er na de installatie handmatig wijzigingen door een beheerder aan de PC uitgevoerd moeten worden.
√
Hardware-onafhankelijkheid
Wanneer een applicatie of een OS voor het x86-platform is geschreven, dan moet de software ook geschikt zijn voor alle typen processoren die x86-compatibel zijn en redelijkerwijs geacht kunnen worden dezelfde performance te hebben. “Intel only” of “AMD only” software is onacceptabel.
√
Virtuele servers Een applicatie moet ook door de leverancier ondersteund worden wanneer deze draait op een virtuele server
√
Peer to peer software
Peer to peer software moet centraal beheerd kunnen worden √
Releaseheer conform ITIL
Software-releasebeheer mag niet strijdig zijn met het ITIL releasebeheerproces. (Bv. software die zichzelf of clients kan voorzien van updates, zonder dat dit uit te schakelen is, zijn onacceptabel.)
√
5.2 Ontwikkeling
Onderwerp Beleid Eis?
Eigen ontwikkeling Applicaties moeten zoveel mogelijk als standaard pakket worden ingekocht. Eigen ontwikkeling moet worden beperkt tot specifieke toepassingen die niet verkrijgbaar zijn.
√
Open source ontwikkeling
Software die in eigen beheer of in opdracht wordt ontwikkeld (en waarvan de gemeente eigenaar van de broncode wordt) moet op een dusdanige wijze opgezet en gedocumenteerd worden dat het mogelijk is deze als open source toepassing aan te gaan bieden.
√
ICT-beleid en standaarden pagina 16
De volgende ontwikkeltools zijn standaard: Component Standaard product Toelichting / Ontwikkeling
Ontwikkelomgeving J2EE (Sun) .Net (MS)
Voorkeur
Programmeertaal Java Javascript ASP VB SQL PHP
Geografische presentatie Open Layers (Open source) Mapserver (Open source) Geo Web Solutions (GWS) Flexiweb (Bentley) FME
Voorkeur backoffice-toepassing Ingezet tbv applicatie BVG Conversietool
Rapportagetool Crystal Reports (Seagate) Impromptu (Cognos) Powerplay (Cognos)
Standaardisatie loopt Standaardisatie loopt
Statistische analyse Awstats Google analytics SPSS
Analyse gebruik websites Analyse gebruik websites
ICT-beleid en standaarden pagina 17
6 Beveiliging
Onderwerp Beleid Eis?
Uitgangspunten beveiligingsbeleid
De kaders en maatregelen voor informatiebeveiliging zijn uitgewerkt in de documenten “Informatiebeveiliging: de kaders” en “Informatiebeveiliging: de maatregelen”
6.1 Beveiliging applicaties en gegevens
Onderwerp Beleid Eis?
Beveiligings-architectuur
De volgende uitgangspunten voor de beveiligingsarchitectuur zijn leidend:
• Gebruik van het IAA-principe (Identificatie, Authenticatie, Autorisatie)
• Segmentering interne netwerk
• Gebruik van drie-lagenstructuur (DMZ) tussen interne en externe netwerk
√
Beveiliging gegevens
Gegevens moeten beveiligd worden conform de wet bescherming persoonsgegevens (WBP).
√
De betrouwbaarheid, integriteit en vertrouwelijkheid van informatie
moet gewaarborgd zijn. (Als basis voor het inrichten en onderhouden van maatregelen voor het waarborgen hiervan geldt de Code voor Informatiebeveiliging (ISO/IEC 17799:2005 en ISO/IEC 27001:2005)
√
Escrow overeenkomst
Voor (een deel van de) aan te schaffen closed source software dient
een escrow-overeenkomst aanwezig te zijn. De relevantie wordt
bepaald middels de classificatie van de informatiesystemen
√
6.2 Beveiliging technische infrastructuur
Onderwerp Beleid Eis?
Werkplek Werkstations zijn niet opgenomen in een domein en beschikken niet
over bestand- en printerdeling voor Microsoft werken (geen server service aanwezig). Primaire authenticatie vindt plaats via Novell Edirectory.
Gebruikers hebben binnen Windows alleen “Hoofdgebruiker” bevoegdheden, applicaties moeten correct kunnen functioneren binnen deze beperkte privileges. Applicaties die niet juist functioneren zonder Administrator rechten, of die alleen gebruikt kunnen worden onder het Administrator account zijn niet toegestaan.
√
Voor alle software geldt dat deze volledig geautomatiseerd geïnstalleerd moet kunnen worden binnen de hierboven genoemde bevoegdheden. Installatie software dient in MSI formaat te worden aangeleverd of gerepackaged te kunnen worden. Ook voor software geleverd bij randapparatuur (bijv. scanner) gelden deze eisen.
√
Vbscripts zijn toegestaan, maar kunnen alleen worden uitgevoerd door daarbij de scripting engine wscript.exe te specificeren. De extensie .vbs is niet aan de vbs scripts toegewezen.
ICT-beleid en standaarden pagina 18
Gebruik van laptops Gebruik van laptops is alleen toegestaan als standalone, of via een fysieke aansluiting op één van de Gronet lokaties. In uitzonderingsgevallen kan de high end laptop worden voorzien van een UMTS verbinding, waarbij tevens de LAN aansluiting wordt uigeschakeld. Laptops worden verplicht voorzien van harde schijf encryptie door middel van SafeBoot.
√
DMZ De koppeling tussen het externe internet en het interne gemeentelijke netwerk moet passen in de beveiligde technische infrastructuur (DMZ). De DMZ is een netwerk-segment dat zich tussen het interne en externe netwerk – meestal Internet – bevindt. De DMZ kent een drie-lagen-structuur, t.w. een presentatielaag, een applicatielaag en een dabaselaag, incl. enterprise service bus. In onderstaand schema zijn de richtlijnen mbt gebruik van de DMZ aangegeven.
√
Koppeling datalaag en BO-applicaties
Het is niet toegestaan om vanuit de DMZ gegevensverzoeken actief door te sturen naar de backoffice-applicaties. Berichten voor de backoffice worden klaargezet in een database of messagequeue. Een backoffice-applicatie kan deze berichten op gezette tijden ophalen, tenzij er gebruikt wordt gemaakt van de Enterprise Service Bus constructie.
√
Internet-ontsluiting Het is niet toegestaan gebruik te maken van andere ontsluitingen naar of van het Internet dan de bovenbeschreven drie-lagen structuur. In onderstaande figuur is dit nader uitgelegd.
√
Beveiliging webdiensten
Uitgaand internet-verkeer kan alleen via http, https en passieve ftp waarbij het verkeer altijd door een proxy server gaat. De proxy maakt gebruik van authenticatie.
√
Beheer van web-omgevingen kan alleen via een VPN-verbinding, met een RDP-client (MS Terminal Server) of door middel van SSH (PuTTY)
√
Best practices De volgende software-constructies zijn vanuit beveiligingsoogpunt onacceptabel:
• Software waarbij de leverancier of producent een zogenaamde backdoor voor eigen gebruik heeft ingebouwd
• Applicaties of services die alleen functioneren onder het administrator-account, of waarvan het beheer-wachtwoord niet gewijzigd kan worden
• Applicaties gebaseerd op Microsoft SQL server die alleen functioneren wanneer ze gebruik maken van het SA account
• Applicaties gebaseerd op Oracle die alleen functioneren onder het sys of system account
• Software die alleen correct functioneert als de default beveiligingsinstellingen van het OS, de webserver, de firewall, de applicatieserver of de databaseserver worden verlaagd
• Applicaties die geen gebruik kunnen maken van een proxy server met authenticatie of gebruik maken van andere poorten dan 80, 443 of 21
• Systemen die gebruik maken van LM-authenticatie
• Authenticatie-mechanismen waarbij er geen beperking mogelijk is op het aantal foutieve inlog pogingen binnen een bepaalde tijd
• Authenticatie-mechanismen waarbij het wachtwoord niet gewijzigd kan worden, of in clear text verzonden wordt zonder deugdelijke vorm van encryptie (bv. http Basic Authentication zonder SSL, Telnet)
• Software waarbij de wachtwoorden zonder sterke encryptie worden opgeslagen binnen of buiten de applicatie
• Software die niet correct functioneert in combinatie met de door de leverancier van het OS, webserver, applicatieserver of
√
ICT-beleid en standaarden pagina 19
databaseserver aanbevolen security patches
• Software die niet correct functioneert in combinatie met een virusscanner of firewall
• Applicaties die niet netwerk-aware zijn. De applicatie functioneert bv. niet met UNC paden of het is niet mogelijk om de data op het netwerk op te slaan in plaats van op de client
• Applicaties of systemen die het netwerk bovenmatig belasten
• Applicaties die geen mogelijkheid bieden om de locatie van de data in te stellen
• Applicaties die alleen correct functioneren bij één bepaalde schermresolutie
• Applicaties die niet correct functioneren in combinatie met zwervende profielen (roaming users)
Bovenstaand model geeft een schets van de gewenste indeling van applicatielagen en hun interactie. Delen van dit model zijn momenteel in bewerking waardoor het model niet kaderzettend kan zijn. Vanuit beveilingsoogpunt is de beveiliginginfrastructuur hier niet in detail gespecificeerd.
1 Het internet mag met de presentatielaag communiceren en andersom middels gecontroleerde verbindingen en bepaalde poorten . 2 De presentatie laag mag met de applicatielaag communiceren en andersom. De applicatielaag mag niet initialiseren 3 De applicatielaag mag met de databaselaag communiceren en andersom. De databaselaag mag niet initialiseren. 4 De applicatielaag met de ESB communiceren en andersom. 5 De databases mogen vanuit de backoffice worden gerepliceerd. De databaselaag mag alleen via de ESB communiceren met de backoffice. 6 De ESB mag met de backoffice communiceren en andersom. 7 De applicatielaag mag contact maken met webservices van externe partijen middels veilige verbindingen. Deze verbindingen worden vanuit de 2
e laag geïnitieerd,
vervolgens zal er 2-richtingsverkeer kunnen plaatsvinden. 8 De Backoffice mag een VPN opbouwen naar het internet.
Presentatielaag
Applicatielaag
ESB Databaselaag
Internet
7
1
2
3 4
5 6
Backoffice
8
8
ICT-beleid en standaarden pagina 20
Bijlage A Beheerorganisatie en procedures
A.1 Beheerorganisatie
Het document ICT Beleid en Standaarden is onderdeel van het I-Handboek waarvan het beheer onder verantwoordelijkheid valt van de afdeling CIM van de Bestuursdienst. CIM heeft daartoe een beheerorgaan ingericht: de Beheerraad ICT Beleid en Standaarden. De Beheerraad voert het beheer uit namens het I-platform, dat verantwoordelijk is voor beleidsontwikkeling. In de Beheerraad ICT Beleid en Standaarden hebben vooralsnog de volgende functionarissen zitting:
• Concern informatie-architect BSD/CIM (voorzitter; verantwoordelijk voor samenhang van alle hoofdstukken en specifiek voor de inhoud van de hoofdstukken 2 (Bedrijfsarchitectuur), 3 (Informatie-architectuur)en 6.1 (Beveiliging applicaties en gegevens)) Deze functie wordt waargenomen door een beleidsadviseur van CIM zolang de functie niet is ingevuld.
• Twee dienst-informatiemanagers (verantwoordelijk voor de inhoud van hoofdstuk 3.1.1 (Frontoffice-applicaties), 3.1.2 (Midoffice-applicaties) en 3.1.3 (Bedrijfsvoeringsapplicaties))
• E-Adviseur BSD/Communicatie (verantwoordelijk voor internet-applicaties onder 3.1.1 (Frontoffice applicaties))
• Beleidsadviseur BSD/CIM voor OSOSS en KA (verantwoordelijk voor OSOSS-beleid in hoofdstukken 3 en 4 en voor 3.1.4 (Kantoorautomatisering))
• System Engineer CIO (verantwoordelijk voor 4.1 (Technische componenten), 4.3 (Netwerk), 5.1 (Beheer) en 6.2 (Beveiliging technische infrastructuur))
• Projectleider E-team (verantwoordelijk voor 5.2 (Ontwikkeltools))
• Changemanager CIO (verantwoordelijk voor toetsbaarheid document) De bovenstaande invulling van de Beheerraad is gebaseerd op de betrokkenheid van medewerkers bij de totstandkoming van de eerste versie. Met de ontwikkeling van nieuwe functies en rollen in de I&A-organisatie kan deze invulling worden herzien. Voor de bemensing van de Beheerraad wordt uitgegaan van de inzet van inhoudelijk deskundigen die verantwoordelijkheid kunnen nemen voor de keuzes van standaarden. De leden van de Beheerraad zijn zelf verantwoordelijk voor de afstemming met gerelateerde standaarden (bv. op gebied van DIV, Communicatie en Beveiliging).
A.2 Beheerprocedures
Beheer, onderhoud en publicatie De afdeling CIM van de Bestuursdienst is eindverantwoordelijk voor het beheer, onderhoud en publicatie van het document ICT Beleid en Standaarden. Het uitvoerend beheer wordt belegd bij de CIO, in lijn met het beheer van het I-Handboek. De nieuwste versie is te verkrijgen via het secretariaat van CIM (tsl. 7675) en te downloaden via Gé-Net. Het document wordt niet actief gedistribueerd. Gebruikers dienen zelf zorg te dragen voor een actueel exemplaar. Wel zal via het I-platform en Gé-net de beschikbaarheid van een nieuwe versie worden gemeld. Goedkeuring Wijzigingsvoorstellen worden door de Beheerraad voorgelegd aan het I-platform, die hierover adviseert aan het Controloverleg. Het AMT zal de eerste versie van het document goedkeuren. Beslissingen over volgende versies worden genomen door de directeur Middelen van de Bestuursdienst, die daartoe is gemandateerd door het AMT. Voor majeure wijzigingen wordt in overleg met het Controloverleg de goedkeuring van het AMT gevraagd.
ICT-beleid en standaarden pagina 21
Updates Van het document ICT Beleid en Standaarden wordt twee keer per jaar een nieuwe versie uitgebracht. De Beheerraad vergadert daartoe twee keer per jaar, in maart en in september. Wijzigingsvoorstellen worden binnen CIM en CIO verzameld door de verantwoordelijken in de Beheerraad en binnen CIM respectievelijk CIO tijdig intern afgestemd. De Beheerraad bespreekt vervolgens de wijzigingsvoorstellen. Er wordt gestreefd naar unanieme instemming, waarna de wijzigingsvoorstellen vervolgens door de beheerder worden verwerkt. Updates worden ter goedkeuring voorgelegd aan de directeur Middelen van de Bestuursdienst. In uitzonderlijke situaties kan bij gebrek aan overeenstemming geëscaleerd worden naar het Controloverleg.