Het toevoegen van operaties of gegevens aan bestaande services leidt niet tot een aanpassing in een bestaande afnemer van een service als dat niet nodig is. Oude versies van een koppelvlak worden een vooraf gedefinieerde periode na implementatie van een nieuwe versie nog ondersteund. De integratie-infrastructuur heeft voor iedere versie van een koppelvlak een apart endpoint, waardoor nieuwe versies geen impact hebben op bestaande koppelvlakken. XML schema's op niveau van bedrijfsobjecten zijn voorzien van een versienummer en hebben hun eigen levenscyclus. Wijzigingen in de implementatie van een service hebben geen impact op bestaande afnemers.  +

Rapportage van afgeleide gegevens vindt plaats vanuit een datamart en niet direct vanuit het datawarehouse. Rapportage van operationele gegevens kan eventueel wel direct op een bronapplicatie plaats vinden. Een datamart gebruikt een gegevensstructuur die is geoptimaliseerd voor bevragingen (dimensioneel model). Een datamart kan alleen met een voorgedefinieerd toegangspad (met geselecteerde tools) benaderd worden. Rechtsteeks browsen in het datawarehouse is niet toegestaan. Beveiliging wordt op applicatieniveau geregeld en per datamart.  +

Er is een record management systeem dat en voldoet aan de daarvoor geldende eisen en standaarden zoals NEN-2082, NEN-ISO 15489 en de archiefwet. Archiefwaardige (versies van) documenten worden overgedragen aan het record management systeem. Er is een documentair structuur plan waarin is beschreven wat de bewaartermijnen zijn van documenten.  +

Wachtwoorden worden nooit opgeschreven of met iemand gedeeld. Personen met systeembeheerderrechten kunnen ook geen wachtwoorden lezen. Wachtwoorden worden versleuteld verstuurd, waarbij gebruik wordt gemaakt van een cryptografisch sterk algoritme. Wachtwoorden worden, behoudens eventuele initiele invoer/communicatie, nimmer in leesbare vorm opgeslagen of gereproduceerd op beeldscherm of papier. Indien het initiële (of opnieuw geïnitieerde/ “geresette”) wachtwoord in leesbare vorm is gecommuniceerd, wordt bij eerste gebruik een wijziging van het wachtwoord afgedwongen en kan bij voorkeur een eindigheid aan de geldigheid van het initiële wachtwoord worden gesteld. Wachtwoorden worden bij opslag versleuteld met een cryptografisch sterk en onomkeerbaar algoritme.  +

Applicaties gebruiken het identity- en accessmanagementsysteem voor het authenticeren van verzoeken. Applicaties autoriseren de aanroeper van een service als deze service vertrouwelijke informatie ontsluit en kunnen hiervoor gebruik maken van het identity- en accessmanagementsysteem. Applicaties ontvangen (op een veilige manier) de identificatie van de aanroeper die kan worden gebruikt voor authenticatie, autorisatie en audit doeleinden.  +

Er wordt bij de aanschaf van IT apparatuur gelet op het energieverbruik, de duurzaamheid van de apparatuur, de gebruikte verpakkingsmaterialen en de correcte afvoer ervan. Er wordt bij de herinrichting van rekencentra onderzocht in hoeverre uitbesteding of gemeenschappelijke rekencentra helpen bij het realiseren van een grotere mate van duurzaamheid in het algemeen en energie-efficiëntie in het bijzonder. Duurzaamheid is een vast onderwerp bij aanbestedingen. Afgevoerde apparatuur wordt heringezet of duurzaam verwerkt. Gebruikersapparatuur die langere tijd niet wordt gebruikt wordt automatisch standby geschakeld of zelfs uitgeschakeld. Servers zijn gevirtualiseerd en geconsolideerd zodat zo min mogelijk fysieke servers noodzakelijk zijn. Gegevens die niet of nauwelijks meer gebruikt worden en die niet bewaard hoeven te blijven worden verwijderd.  +

Gegevens die groter zijn dan 1 MB worden uitgewisseld middels ETL infrastuctuur.  +

Projecten vragen niet om fysieke machines maar om virtuele capaciteit. Er wordt aan nieuwe applicatie de eis gesteld dat zij binnen de geselecteerde virtualisatietechnologie kan draaien. Er zijn redundante virtuele machines die waarnaartoe kan worden overgeschakeld in geval van foutsituaties. Alle applicaties draaien in een gevirtualiseerde omgeving, tenzij extreme capaciteits- of performance-eisen worden gesteld. Desktops worden zoveel mogelijk gevirtualiseerd op centrale servers.  +

Er is een change advisory board die maandelijks de patches beoordeelt. Kritische patches worden binnen een week toegepast. Er is een testomgeving waarin de patches kunnen worden getest. Er is een medewerker die nieuwe versies in de gaten houdt en beoordeelt.  +

Servers worden in het centrale rekencentrum geplaatst. Fysieke machines worden daar waar mogelijk gedeeld door meerdere applicaties. Afnemers vragen alleen functionaliteit en capaciteit met een bepaald serviceniveau zodat de infrastructuur zelf zo efficiënt mogelijk kan worden ingericht. Er zijn gestandaardiseerde processen ingericht voor het beheer zodat producten en diensten conform afgesproken serviceniveaus geleverd kunnen worden. De geconsolideerde infrastructuur heeft voldoende capaciteit om alle applicaties te faciliteren, ook op piekmomenten. Voor consolidatie wordt primair gebruik gemaakt van virtualisatie, tenzij dit bewezen performance- of supportproblemen geeft.  +

Gebruikers loggen nooit in als administrator. De gebruikersrechten zijn gebaseerd op de rol van de gebruiker. Gebruikersrechten worden alleen toegekend voor de tijd dat ze noodzakelijk zijn en teruggetrokken indien een gebruiker de rol niet meer heeft.  +

De kennis die noodzakelijk is om bepaalde taken uit te voeren wordt ge-analyseerd, en opgenomen in een IT systeem als het eenvoudig kan worden geformaliseerd. Medewerkers worden zoveel mogelijk ingezet op taken die meer complexe kennis vragen.  +

Processen worden gebaseerd op generieke procesmodellen, zoals de procesmodellen die worden meegeleverd met pakketapplicaties. Functionele specificaties worden waar mogelijk gezamenlijk met andere soortgelijke organisaties opgesteld en niet specifiek gemaakt voor de eigen organisatie. Bij het specificeren van functionaliteit wordt een goede balans gezocht tussen genericiteit en voldoende procesondersteuning. Processen en systemen worden niet ingericht op uitzonderingen. Organisatiespecifieke keuzes worden uitgedrukt in (beleids)regels die binnen de generieke processen en functionaliteiten gehanteerd kunnen worden. Er zijn soms concessies nodig bij het inrichten van processen en systemen om maatwerk te voorkomen. Als er standaard oplossingen beschikbaar zijn dan wordt daar gebruik van gemaakt om zo organisatiespecifieke oplossingen te voorkomen.  +

Toegang tot vertrouwelijke gegevens is geautoriseerd. De identity management omgeving is leidend voor autorisaties. Portalen en andere applicaties bieden toegang tot niet meer informatie dan in de bronapplicatie. Het zoeken naar informatie in portalen houdt ook rekening met autorisatieregels.  +

Onnodige en ongebruikte functies van infrastructurele componenten die een rol spelen bij de beveiliging van andere systemen zoals directory servers, authenticatieproxy's en log systemen zijn uitgeschakeld. Beheermogelijkheden van dit soort componenten zijn zoveel mogelijk afgesloten. Er wordt gebruik gemaakt van versleutelde beheermechanismen. Beheer is alleen toegestaan vanaf vooraf gedefinieerde IP-adressen. Alle ongebruikte protocollen, services en netwerkpoorten zijn uitgeschakeld. Voor toegang tot switches wordt gebruik gemaakt van Virtual LAN’s (VLAN) en de toegang tot netwerkpoorten wordt beperkt op basis van MAC-adres (port security).  +

Meerdere beveiligingsmaatregelen worden genomen om een object te beveiligen. Er zijn meedere beveiligingszones in het netwerk. Extern netwerkverkeer passeert minimaal twee firewalls van verschillende leveranciers. Gegevens die worden uitgewisseld worden bij voorkeur op niveau van de inhoud versleuteld omdat dit end-to-end werkt (in tegenstelling tot versleuteling op transportniveau).  +

De organisatie is alleen identity provider voor personen waarmee zij een vastgelegde relatie heeft. De organisatie is service provider voor applicaties die gebruikt worden door gebruikers waarmee zij geen vastgelegde relatie heeft. Er is een trustrelatie tussen de organisatie en de identity provider, eventueel via een intermediair. Indien bepaalde gebruikersgroepen federatief toegankelijk zijn via een intermediair dan wordt aangesloten bij deze intermediair.  +

Alle berichten hanteren de standaard header zoals beschreven in de standaard. Applicaties leveren zoveel mogelijk zelf de informatie aan die noodzakelijk is voor het vullen van de berichtheader. Indien applicaties daar zelf niet toe in staat zijn dan wordt deze informatie ingevuld door de integratie-infrastructuur.  +

De belangrijkste kennis in de organisatie is expliciet gemaakt in een kennismodel. Er is een kennisbank ingericht waarin dit kennismodel is vastgelegd en waarin de kennis zelf is vastgelegd. De kennisbank wordt laagdrempelig beschikbaar gesteld aan alle relevante medewerkers. Medewerkers worden gestimuleerd om de kennisbank te verrijken. Kennis die volledig is uitgekristalliseerd wordt vastgelegd in een geautomatiseerd kennissysteem die de resulterende kennisregels geautomatiseerd kan toepassen.  +

Applicaties bevatten applicatiecomponenten die specifiek gericht zijn op integratie met externe systemen. Er wordt een B2B Gateway geselecteerd voor integratie met andere organisaties die ondersteuning biedt voor de relevante uitwisselingsstandaarden, formaten en overeenkomsten.  +