diff --git a/Content/Maatregelen/M16/Maatregel.md b/Content/Maatregelen/M16/Maatregel.md
index 1c470399..b6fcc669 100644
--- a/Content/Maatregelen/M16/Maatregel.md
+++ b/Content/Maatregelen/M16/Maatregel.md
@@ -16,7 +16,7 @@ ICTU adviseert en ondersteunt voor de genoemde taken onderstaande tools. Project
8. controleren van de configuratie op aanwezigheid van bekende kwetsbaarheden in configuratie: OpenVAS (Vulnerability Assessment System),
9. controleren op aanwezigheid van bekende kwetsbaarheden in externe software: OWASP (Open Web Application Security Project) Dependency-Check en/of Dependency-Track,
10. statische controle van de software op aanwezigheid van kwetsbare constructies: SonarQube,
-11. dynamische controle van de software op aanwezigheid van kwetsbare constructies: OWASP ZAP (Zed Attack Proxy),
+11. dynamische controle van de software op aanwezigheid van kwetsbare constructies: ZAP (Zed Attack Proxy) by Checkmarx,
12. controleren van container images op aanwezigheid van bekende kwetsbaarheden: Trivy,
13. testen van performance en schaalbaarheid: JMeter en Performancetestrunner,
14. testen op toegankelijkheid van de applicatie: Axe,
diff --git a/Content/Templates/Detailtestplan-Softwarerealisatie/Template-Inhoud.md b/Content/Templates/Detailtestplan-Softwarerealisatie/Template-Inhoud.md
index 485f73d2..0643ccac 100644
--- a/Content/Templates/Detailtestplan-Softwarerealisatie/Template-Inhoud.md
+++ b/Content/Templates/Detailtestplan-Softwarerealisatie/Template-Inhoud.md
@@ -30,7 +30,7 @@ Binnen het project worden door ICTU de volgende testsoorten onderscheiden en toe
+ **Handmatig regressietest:** Het handmatig uitvoeren van fysieke testgevallen om de werking van de bestaande functionaliteit te controleren. Deze testgevallen zijn veelal te complex om te automatiseren.
* Niet-functionele testen:
+ **Performancetesten:** Het testen van de snelheid van afhandeling van bepaalde functies van het systeem onder een vooraf gedefinieerde belasting. Performancetesten vinden bij voorkeur plaats in een productie-like omgeving, maar kunnen ook in een niet-productie-like omgeving plaatsvinden ten behoeve van het volgen van de relatieve performance van verschillende versies van de software. Er vinden zowel een loadtest (normale en piekbelasting), als een duurtest (normale belasting voor langere tijd), als een stresstest (verhogen van de belasting totdat het systeem het begeeft) plaats. De Kwaliteitsaanpak schrijft voor dat er tijdens de realisatiefase performancetesten worden uitgevoerd. Deze worden bij voorkeur automatisch uitgevoerd. Belangrijk is dat de performancetest die op de testomgeving wordt uitgevoerd, niet vanzelfsprekend representatief is voor de productieomgeving. Dit betekent dat een opdrachtgevende organisatie op de eigen productieomgeving een performancetest moet (laten) uitvoeren om te controleren dat er aan de gestelde performance-eisen is voldaan.
- + **Securitytesten:** Security- en penetratietesten uitgevoerd door een externe partij. Normaliter worden deze minimaal twee maal per jaar of met elke grote release uitgevoerd en niet elke sprint. Securitytesten vinden bij voorkeur plaats in een productie-like omgeving, maar kunnen ook in een niet-productie-like omgeving plaatsvinden ten behoeve van het testen van de beveiliging van de software zelf. De securitytest is inclusief een review van de broncode. Tijdens de realisatie draaien standaard al de volgende securitytesttools mee in de geautomatiseerde pijplijn: SonarQube, OWASP Dependency-Check en/of Dependency-Track, OWASP ZAP en OpenVAS; de bevindingen die uit deze tools komen worden meteen tijdens de realisatie van het systeem opgepakt.
+ + **Securitytesten:** Security- en penetratietesten uitgevoerd door een externe partij. Normaliter worden deze minimaal twee maal per jaar of met elke grote release uitgevoerd en niet elke sprint. Securitytesten vinden bij voorkeur plaats in een productie-like omgeving, maar kunnen ook in een niet-productie-like omgeving plaatsvinden ten behoeve van het testen van de beveiliging van de software zelf. De securitytest is inclusief een review van de broncode. Tijdens de realisatie draaien standaard al de volgende securitytesttools mee in de geautomatiseerde pijplijn: SonarQube, OWASP Dependency-Check en/of Dependency-Track, ZAP by Checkmarx en OpenVAS; de bevindingen die uit deze tools komen worden meteen tijdens de realisatie van het systeem opgepakt.
* **Integratietesten:** Tijdens deze test wordt de onderlinge verwerkingswijze tussen de verschillende applicaties getest. Denk hierbij aan gewijzigde applicaties die samen werken met ongewijzigde applicaties. Indien van toepassing zullen hier ook externe systemen bij betrokken worden, in de vorm van stubs. Integratietesten zijn normaal gesproken geautomatiseerde tests. Als onderdeel van de integratietesten wordt getest of de software kan omgaan met fouten in andere applicaties en na een herstart goed blijft functioneren.
* **Gebruikersacceptatietest (GAT):** In tegenstelling tot de ‘traditionele’ watervalmethode biedt agile ontwikkelen meer ruimte voor de gebruiker om te participeren in het ontwikkeltraject. Tijdens elke sprint wordt nieuwe functionaliteit gedemonstreerd door het Scrumteam in een demo-omgeving. {opdrachtgevende organisatie} en/of beheerorganisatie kan een GAT-testomgeving beschikbaar stellen waar gebruikers kunnen werken met de nieuwe applicaties. Bevindingen worden tijdens trainingen of workshops verzameld om in de backlogs verwerkt te worden. De product owner prioriteert vervolgens deze bevindingen.
* **Usabilitytesten:** Het doel van deze test is om te bepalen hoe gemakkelijk / toegankelijk het systeem is in het gebruik ervan. Onderdeel van deze test is de toegankelijkheidstest; hiermee wordt bepaald in welke mate de software voldoet aan de wettelijke vereisten van de Web Content Accessibility Guidelines (WCAG2.2) en eventuele aanvullende toegankelijkheidseisen. Deze toegankelijkheidstesten worden waar mogelijk geautomatiseerd uitgevoerd. De toegankelijkheidseisen die niet geautomatiseerd getest kunnen worden, worden periodiek handmatig getest.
diff --git a/Content/Templates/Inwerkplan-Kwaliteitsmanager/Template-Inhoud.md b/Content/Templates/Inwerkplan-Kwaliteitsmanager/Template-Inhoud.md
index 125486c7..73ac7251 100644
--- a/Content/Templates/Inwerkplan-Kwaliteitsmanager/Template-Inhoud.md
+++ b/Content/Templates/Inwerkplan-Kwaliteitsmanager/Template-Inhoud.md
@@ -174,7 +174,7 @@ Acties (week 3):
* Je hebt toegang tot het versiebeheersysteem van je project (GitLab of Azure DevOps)
* Je hebt toegang tot de build server van je project (GitLab CI, Azure DevOps of Jenkins)
* Je hebt toegang tot je project in [Jira](https://jira.ictu-sd.nl/jira/)
-* Je hebt toegang tot de securityrapportages in de build pipeline (OWASP Dependency-Check, OWASP ZAP, OpenVAS)
+* Je hebt toegang tot de securityrapportages in de build pipeline (OWASP Dependency-Check, ZAP by Checkmarx, OpenVAS)
* Je hebt toegang tot de toegankelijksrapportage (Axe) in de build pipeline
* Je hebt toegang tot de testrapportages in de build pipeline (Robot Framework, JUnit, Cypress, etc.)
* Je hebt toegang tot de Dependency-Track instantie van je project
diff --git a/Content/Templates/Kwaliteitsplan/Template-Inhoud.md b/Content/Templates/Kwaliteitsplan/Template-Inhoud.md
index a3c4a6c3..330904eb 100644
--- a/Content/Templates/Kwaliteitsplan/Template-Inhoud.md
+++ b/Content/Templates/Kwaliteitsplan/Template-Inhoud.md
@@ -280,7 +280,7 @@ Quality-time rapporteert over de geautomatiseerde performancetesten. Als de vera
De eisen aan de beveiliging worden in de documenten projectstartarchitectuur en niet-functionele eisen gedefinieerd. De in te richten testen dienen aan te tonen dat aan de gestelde beveiligingseisen wordt voldaan.
-De geautomatiseerde broncodereviews en rapportages uit Quality-time bevatten diverse metrieken voor beveiligingsaspecten, zoals de OWASP Top-10-criteria. De applicatie wordt gescand met behulp van SonarQube, OWASP Dependency-Check en/of Dependency-Track, OWASP ZAP en OpenVAS.
+De geautomatiseerde broncodereviews en rapportages uit Quality-time bevatten diverse metrieken voor beveiligingsaspecten, zoals de OWASP Top-10-criteria. De applicatie wordt gescand met behulp van SonarQube, OWASP Dependency-Check en/of Dependency-Track, ZAP by Checkmarx en OpenVAS.
Om de beveiliging van de software te testen kan deze met enige regelmaat getest worden door een externe partij. Het MTP beschrijft de gekozen aanpak.
diff --git a/Content/Templates/PvA-Realisatiefase/Template-Inhoud.md b/Content/Templates/PvA-Realisatiefase/Template-Inhoud.md
index e8efe425..32b5105a 100644
--- a/Content/Templates/PvA-Realisatiefase/Template-Inhoud.md
+++ b/Content/Templates/PvA-Realisatiefase/Template-Inhoud.md
@@ -29,7 +29,7 @@ ICTU levert de volgende producten en diensten op:
Binnen de scope van de opdracht valt de {ontwikkeling en/of het onderhoud} van {het product}, inclusief:
* Ontwikkel, test- en demo-omgevingen,
-* Engineering tools voor versiebeheer (GitLab of Azure DevOps), bouwen en testen (Azure DevOps, GitLab en/of Jenkins), kwaliteitscontrole (SonarQube), beveiligingscontrole (SonarQube, OWASP Dependency-Check en/of Dependency-Track, OWASP ZAP, OpenVAS), toegankelijkheid (Axe), performancetesten (JMeter) en integrale kwaliteitsrapportage (Quality-time),
+* Engineering tools voor versiebeheer (GitLab of Azure DevOps), bouwen en testen (Azure DevOps, GitLab en/of Jenkins), kwaliteitscontrole (SonarQube), beveiligingscontrole (SonarQube, OWASP Dependency-Check en/of Dependency-Track, ZAP by Checkmarx, OpenVAS), toegankelijkheid (Axe), performancetesten (JMeter) en integrale kwaliteitsrapportage (Quality-time),
* {Als operationeel beheer onderdeel is van de dienstverlening:} Uitrollen in de productieomgeving (Ansible), container registry (Harbor), performance monitoring (APM), security monitoring ({vul aan met concreet product}), controle van kwetsbaarheden in frameworks ({vul aan met concreet product}), controle van images van containers (Trivy), registratie van incidenten bij gebruik en beheer (Topdesk of Jira).
* Backlog management tools (Jira en/of Azure DevOps),
* Beveiligings- en performancetesten in de ICTU-testomgevingen. ICTU voert deze tests uit voordat een nieuwe versie van de software wordt opgeleverd. {Beschrijf hier eventuele andere afspraken met de opdrachtgevende organisatie}.
diff --git a/Content/Wijzigingsgeschiedenis.md b/Content/Wijzigingsgeschiedenis.md
index a4c561fe..471ac922 100644
--- a/Content/Wijzigingsgeschiedenis.md
+++ b/Content/Wijzigingsgeschiedenis.md
@@ -20,6 +20,7 @@
## Alle documenten
* "OWASP Dependency-Check" consistent gespeld.
+* "OWASP ZAP" hernoemd naar "ZAP by Checkmarx".
# Versie 4.0.0, 26 april 2024
diff --git a/docs/wip/ICTU-Kwaliteitsaanpak-Checklist.xlsx b/docs/wip/ICTU-Kwaliteitsaanpak-Checklist.xlsx
index 385f83a4..01e52ec6 100644
Binary files a/docs/wip/ICTU-Kwaliteitsaanpak-Checklist.xlsx and b/docs/wip/ICTU-Kwaliteitsaanpak-Checklist.xlsx differ
diff --git a/docs/wip/ICTU-Kwaliteitsaanpak-Wijzigingsgeschiedenis.html b/docs/wip/ICTU-Kwaliteitsaanpak-Wijzigingsgeschiedenis.html
index 848a0a0a..847af859 100644
--- a/docs/wip/ICTU-Kwaliteitsaanpak-Wijzigingsgeschiedenis.html
+++ b/docs/wip/ICTU-Kwaliteitsaanpak-Wijzigingsgeschiedenis.html
@@ -1,5 +1,5 @@
-
Een Word-versie toegevoegd, om het makkelijker te maken wijzigingsvoorstellen in te dienen.
De PDF-versie wordt niet langer gemaakt. De software (wkhtmltopdf) om de PDF te genereren wordt niet meer onderhouden. Overstappen op een andere oplossing kost te veel tijd. Indien nodig kunnen gebruikers de HTML-versie zelf naar PDF exporteren met behulp van een webbrowser.
Een inhoudsopgave toegevoegd aan de HTML-versie.
In maatregel M01 "Het project levert in elke fase vastgestelde producten en informatie op" verduidelijkt dat de aparte detailtestplannen die onder verantwoordelijkheid van het project door een derde partij worden uitgevoerd doorgaans de vorm hebben van een offerteaanvraag gemaakt door ICTU en een offerte met plan van aanpak gemaakt door de leverancier. Tevens de ontbrekende link naar het template Mastertestplan toegevoegd.
Samenvatting Kwaliteitsaanpak
De PDF-versie wordt niet langer gemaakt. De software (wkhtmltopdf) om de PDF te genereren wordt niet meer onderhouden. Overstappen op een andere oplossing kost te veel tijd. Indien nodig kunnen gebruikers de HTML-versie zelf naar PDF exporteren met behulp van een webbrowser.
Een inhoudsopgave toegevoegd aan de HTML-versie.
Wijzigingsgeschiedenis
De PDF-versie wordt niet langer gemaakt. De software (wkhtmltopdf) om de PDF te genereren wordt niet meer onderhouden. Overstappen op een andere oplossing kost te veel tijd. Indien nodig kunnen gebruikers de HTML-versie zelf naar PDF exporteren met behulp van een webbrowser.
Een inhoudsopgave toegevoegd aan de HTML-versie.
Alle documenten
"OWASP Dependency-Check" consistent gespeld.
Versie 4.0.0, 26 april 2024
Kwaliteitsaanpak
Het hoofdstuk 'Begrippenkader' is verwijderd. De begrippen die hierin werden besproken staan ook in de bijlage 'Terminologie'. Het hoofdstuk 'Leeswijzer' verwijst nu naar deze bijlage.
Op relevante plekken zijn verwijzingen naar templates, self-assessment checklist en wijzigingsgeschiedenis toegevoegd.
Paragraaf 3.5 "Evolutie van de aanpak zelf" verwijderd uit hoofdstuk 3 "Leeswijzer". Deze tekst staat ook al in hoofdstuk 2 "Doelstellingen en uitgangspunten".
In M01 "Het project levert in elke fase vastgestelde producten en informatie op": Een kolom toegevoegd aan de tabel met daarin de verantwoordelijke organisatie per regel van de tabel. Hiermee is de paragraaf "Verantwoordelijkheden" overbodig en verwijderd. De opmerking in de paragraaf "Verantwoordelijkheden" over onderzoek naar her te gebruiken software verplaatst naar de paragraaf over de plannen van aanpak. De testplannen uitgesplitst naar MTP en detailtestplannen zodat deze apart kunnen worden ingevuld in de self-assessment. Onder het kopje Vrijgaveadvies, opgenomen dat het de verantwoordelijkheid van de opdrachtgevende organisatie is om te organiseren dat betrokken partijen informatie aanleveren voor het vrijgaveadvies. De informatie die de opdrachtgevende organisatie dient aan te leveren ook opgenomen in de tabel en daaronder verwezen naar M31.
De titel van maatregel M02 is veranderd van "Het project zorgt dat het product continu aan de kwaliteitsnormen voldoet" in "Het project bewaakt continu dat het product aan de kwaliteitsnormen voldoet". Continue aan alle kwaliteitsnormen voldoen is in de praktijk onmogelijk (zie ook M08 "Het project maakt technische schuld inzichtelijk en lost deze planmatig op"). Hiermee is de overlap met M06 "Het project meet kwaliteitsnormen geautomatiseerd en frequent" zo groot dat deze laatste maatregel is komen te vervallen.
In maatregel M10 "Het project kent een wekelijks projectoverleg" de bewaking van actie- en besluitenlijst en risicolog door Quality-time verwijderd, aangezien Microsoft Planner, dat de meeste projecten gebruiken, niet door Quality-time wordt ondersteund.
De naam van maatregel M14 "Het project bereidt samen met opdrachtgever en belanghebbenden de realisatie voor" veranderd in "M14: Het project bereidt samen met opdrachtgevende organisatie en betrokken partijen de realisatie voor". Daarnaast toegevoegd dat bij significante wijzigingen aan de projectkaders de voorfase geheel of deels opnieuw wordt uitgevoerd.
In maatregel M16 "Het project gebruikt tools voor vastgestelde taken" toegevoegd dat projecten de genoemde tools of gelijkwaardige alternatieven gebruiken. Verder GitLab SAST verwijderd uit de lijst van tools, Dependency-Track toegevoegd en SonarQube en OWASP ZAP over twee regels verspreid zodat ze apart kunnen worden ingevuld in de self-assessment. Daarnaast M16 verplaatst naar het hoofdstuk "Producten".
De scope van maatregel M29 "ICTU zorgt dat een project verantwoord kan starten" gereduceerd tot het organiseren van de interne dienstverlening voor aanvang van een project en de titel hieraan aangepast: "ICTU organiseert voor aanvang van een project de interne dienstverlening". Tevens een opmerking over externe dienstverlening toegevoegd.
De naam van maatregel M31 "Het project beschikt over vastgestelde informatie" veranderd in "Het project beschikt over actuele vastgestelde informatie" en de tekst van de maatregel hieraan aangepast. Een extra kopje "Afspraken tussen opdrachtgevende organisatie en beheerpartij" toegevoegd. Toegevoegd dat de opdrachtgevende organisatie na start van een project de PSA uitwerkt in een solution architectuur.
Maatregel M35 "Het project hanteert een agile architectuuraanpak" toegevoegd.
De bijlage 'Wijzigingsgeschiedenis' verplaatst naar een los document in PDF- en HTML-formaat.
Samenvatting Kwaliteitsaanpak
Een HTML-versie van de samenvatting toegevoegd aan de set van documenten zodat er een toegankelijk alternatief is voor de PDF-versie van de samenvatting.
Template Mastertestplan
Een neutraal template Mastertestplan toegevoegd aan de set van templates.
Template Niet-Functionele Eisen
Axe-core bijgewerkt naar de laatste versie in de tabel met de WCAG 2.2 succescriteria.
Template Kwaliteitsplan
Paragraaf 3.1.4 "Werkwijze" hernoemd naar "Ontwikkelproces", overeenkomstig maatregel M05 "Het project hanteert een iteratief en incrementeel ontwikkelproces".
De tekst over kwaliteitsnormen uit paragraaf 3.1.4 ondergebracht in een nieuwe paragraaf 3.1.5 "Bewaken van kwaliteitsnormen". Een alinea toegevoegd met afspraken over hoe/aan wie de kwaliteitsmanager rapporteert over het al dan niet behalen van de kwaliteitsnormen.
In paragraaf 5.3.3 "Broncodereviews", de term pull request vervangen door merge request omdat dat de terminologie is die in GitLab wordt gebruikt.
Koppeling tussen use cases, logische testgevallen, user stories en epics minder strikt gemaakt in bijlage D "Gebruik van Jira".
Template Detailtestplan
Template detailtestplan hernoemd naar Template detailtestplan softwarerealisatie om duidelijk te maken dat het alleen gericht is op softwarerealisatie en niet op andere onderwerpen waarvoor een detailtestplan zou kunnen worden gemaakt zoals infrastructuurtesten.
Template Inwerkplan Kwaliteitsmanager
Verwijzingen naar Eco1 verwijderd.
URLs naar ICTU-bronnen bijgewerkt.
Alle templates
De labels voor te vervangen teksten geuniformeerd om zoek-en-vervang te vereenvoudigen: {de opdrachtgevende organisatie} vervangen door {opdrachtgevende organisatie}, {(de) applicatie} en {(het) systeem} vervangen door {het product}, {projectnaam} door {het project}, {productnaam} door {het product}, {samenwerkende partijen} door {partijen}, {referentie} door {documentreferentie} en in de colofons aan {naam} ook de rol toegevoegd (bijvoorbeeld {naam projectleider beheerorganisatie}).
Waar relevant Dependency-Track toegevoegd aan genoemde beveiligingstools.
Waar gesproken wordt over vrijgaveadvies de tekst aangepast zodat duidelijk is dat ICTU het vrijgaveadvies niet zelf maakt, maar informatie ten behoeve van het vrijgaveadvies oplevert.
WCAG bijgewerkt naar versie 2.2.
Self-assessment checklist
Het mogelijk gemaakt bij maatregelen met submaatregelen ook de hoofdmaatregel te scoren.
Alle documenten
De term "DevOps-werkwijze" vervangen door "operationeel beheer" of door "operationeel en/of applicatiebeheer" op de plekken waar het gaat over de dienstverlening en niet zozeer over de aanpak.
De term "high level design" (HLD) vervangen door "infrastructuurarchitectuur" (IA) of waar beide termen werden gebruikt HLD verwijderd. Het HLD-template hernoemd naar IA-template.
"Beheerorganisatie" en "beheerpartij" werden door elkaar gebruikt. Alle voorkomens van beheerpartij vervangen door beheerorganisatie.
De term "opdrachtgever" vervangen door "opdrachtgevende organisatie" waar dat bedoeld werd. Opdrachtgever en opdrachtgevende organisatie toegevoegd aan de terminologie bijlagen.
De term "Testplan softwarerealisatie" vervangen door "Detailtestplan softwarerealisatie".
Versie 3.0.1, 4 april 2023
Kwaliteitsaanpak
In M01 toegevoegd dat het ICTU-kwaliteitsplan waar nodig aansluit op het overkoepelende kwaliteitsplan van de opdrachtgever.
Bij M02 ontbrak (een verwijzing naar) de self-assessment als activiteit om aan de kwaliteitsnormen te voldoen.
Bij M16 is Jira ook van toepassing bij applicatiebeheer en niet alleen bij DevOps.
De criteria uit NPR 5325 in M34 zijn niet SMART. Toegevoegd dat project en opdrachtgever de criteria voor overdracht aanscherpen.
Referenties naar 'zeepkist' als communicatiekanaal verwijderd.
De link naar de toegankelijkheidsverklaring was niet correct.
Definitie voor 'operationeel beheer' toegevoegd aan de bijlage 'Terminologie'.
Template Kwaliteitsplan
Het Jira-type "Systeemfunctie" verwijderd uit bijlage D omdat dit niet meer gebruikt wordt.
Self-assessment checklist
Een deel van de tekst van maatregel M05 was weggevallen.
Versie 3.0.0, 28 februari 2023
Kwaliteitsaanpak
HTML-versie van de Kwaliteitsaanpak toegevoegd als toegankelijk alternatief voor de PDF-versie.
Op meerdere plekken in de Kwaliteitsaanpak de gebruikte rollen aangescherpt of verbeterd door bijvoorbeeld ICTU te vervangen door project, team door Scrumteam en projectleider door software delivery manager.
Bij maatregel "Het project levert in elke fase vastgestelde producten en informatie op" (M01): software bill of materials toegevoegd als op te leveren informatie, toegevoegd dat al het werk van het Scrumteam via de product backlog loopt, deploymentdocumentatie verbreed tot documentatie voor deployment en operationeel beheer en, tenslotte, broncode en regressietest verplaatst naar de nieuwe maatregel "Het project draagt software beheerst over" (M34).
Bij maatregel "Het project levert in elke fase vastgestelde producten en informatie op" (M01): de due diligence activiteiten afgesplitst naar een nieuwe maatregel "Het project onderzoekt de kwaliteit van over te nemen software" (M32).
De maatregel "Het project implementeert nieuwe versies van de Kwaliteitsaanpak binnen de gestelde termijn" (M09) is vervallen en gecombineerd met maatregel "Het project voert periodiek een self-assessment uit ten aanzien van de Kwaliteitsaanpak" (M28).
Bij maatregel "Het project gebruikt tools voor vastgestelde taken" (M16): de lijst van verplichte tools en ondersteunde tools gelijk getrokken, de genoemde tools bijgewerkt en software bill of materials toegevoegd als taak.
Bij maatregel "Het project voert periodiek een self-assessment uit ten aanzien van de Kwaliteitsaanpak" (M28): de rol van de kwaliteitsmanager bij het uitvoeren van de self-assessment toegevoegd.
Nieuwe maatregel "ICTU organiseert periodiek een gezamenlijke self-assessment ten aanzien van de Kwaliteitsaanpak" (M33) toegevoegd.
Nieuwe maatregel "Het project draagt software beheerst over" (M34) toegevoegd.
Kruisverwijzingen tussen maatregelen verwijderd om de onderhoudbaarheid van de tekst te vergroten.
Versioneringsstrategie voor de Kwaliteitsaanpak toegegoegd aan de leeswijzer.
De term 'standup' vervangen door de officiële term 'daily scrum'.
De Scrumrollen toegevoegd aan de bijlage 'Terminologie'.
Samenvatting Kwaliteitsaanpak
Gebruik dezelfde volgorde van de maatregelen in de samenvatting als in de gehele Kwaliteitsaanpak.
Template Niet-Functionele Eisen
Paragraaf "Relaties met andere documenten" verder uitgewerkt.
In de paragraaf "Over dit document" handreiking voor het scherp formuleren van eisen toegevoegd.
Axe-core bijgewerkt naar de laatste versie in de tabel met de WCAG 2.1 succescriteria.
Template neutraal gemaakt (ICTU logo's verwijderd) omdat dit document een verantwoordelijkheid van de opdrachtgever is.
Kolommen aan eisentabellen toegevoegd om eisen toe te wijzen aan systeemonderdelen en verantwoordelijke partijen.
Template High Level Design
Template neutraal gemaakt (ICTU logo's verwijderd) omdat dit document een verantwoordelijkheid van de opdrachtgever is.
Template Kwaliteitsplan
In de beschrijving van het vrijgaveadvies "testresultaten" vervangen door toetsing van functionele en niet-functionele eisen.
Paragraaf over linters, checkers en formatters toegevoegd aan het hoofdstuk "Kwaliteitsmaatregelen realisatiefase".
Paragraaf over broncodereviews specifieker gemaakt.
De scope van de paragraaf over certificeringen uitgebreid zodat ook externe testen en toetsen eronder vallen.
Template Generiek
Een neutrale versie van het generieke template toegevoegd.
Template Compacte Voorfase
Een template toegevoegd voor het vastleggen van de uitkomsten van een compacte voorfase. Dit template is bedoeld om functionele eisen, niet-functionele eisen, ontwerp en plan van aanpak voor de realisatiefase vast te leggen bij een project waar het maken van aparte en uitgebreidere (HLD, SAD, NFE, etc.) documenten niet nodig is. Dit zijn typisch interne ICTU-projecten met beperkte omvang.
Alle templates
Beheerpartijrollen toegevoegd aan colofon.
Alle documenten
Voor toepassing van de DevOps-werkwijze zijn uitzonderingen, extra maatregelen en extra rollen toegevoegd.
Verwijzingen naar Checkmarx vervangen door verwijzingen naar SonarQube.
Versie 2.4.0, 12 januari 2022
Kwaliteitsaanpak
De titel van maatregel "Het project levert in elke fase vastgestelde informatie over het product op" (M01) veranderd in "Het project levert in elke fase vastgestelde producten en informatie op" zodat de titel beter past bij de scope van de maatregel.
Bij maatregel "Het project levert in elke fase vastgestelde producten en informatie op" (M01): de tabel uitgebreid met product backlog, en de lopende tekst aangevuld en aangepast opdat deze consistent is met de tabel.
Bij maatregel "Het project zorgt dat het product continu aan de kwaliteitsnormen voldoet" (M02): "Ook zorgt het project dat de performance van de software regelmatig wordt getest." toegevoegd.
Template Kwaliteitsplan
Bijlage met periodieke (kwaliteits)controles toegevoegd.
Beschrijvingen van release notes en performancetest toegevoegd.
Template Niet-Functionele Eisen
Axe-core bijgewerkt naar versie 4.3 in de tabel met de WCAG 2.1 succescriteria.
Template Plan van Aanpak Realisatiefase
UX: aanpassing producten uit de voorfase; verantwoordelijkheden van rol UX-designer aangevuld.
Toelichting op te maken afspraken voor: release notes, vrijgaveadvies, beveiligingstest, performancetest.
In hoofdstuk Verwachte inzet ICTU een tabel toegevoegd met te verwachten kosten voor door ICTU te benutten diensten.
Definities toegevoegd: release notes en vrijgaveadvies.
Self-assessment checklist
Invulinstructie uitgebreid.
Duidelijk gemaakt dat als maatregelen submaatregelen hebben alleen de status van submaatregelen hoeft te worden ingevuld.
Inwerkplan Kwaliteitsmanager
Inwerkplan voor de rol van kwaliteitsmanager toegevoegd.
Versie 2.3.0, 14 mei 2021
Kwaliteitsaanpak
Verwijzingen naar BIRT en de Releasemanager verwijderd uit de maatregel "Het project gebruikt tools voor vastgestelde taken" (M16) omdat deze tools niet meer ondersteund worden.
Manifest verwijderd omdat de inhoud grotendeels terugkomt op andere plekken in de Kwaliteitsaanpak.
Samenvatting Kwaliteitsaanpak
Een samenvatting van de Kwaliteitsaanpak als los document toegevoegd.
Presentatie Kwaliteitsaanpak
Een presentatie van de Kwaliteitsaanpak als los document toegevoegd.
Alle templates
Lijst van reviewers toegevoegd aan colofon.
Leeswijzer uitgebreid met een beschrijving van de (standaard) bijlagen van de templates.
Hoofdstuk "Managementsamenvatting" toegevoegd.
Template Detailtestplan
Verwijzingen naar BIRT en de Releasemanager verwijderd.
Template Globaal Functioneel Ontwerp
Template aangepast naar het gebruik van use cases om de functionaliteit te beschrijven.
Kaders die niet relevant waren voor een GFO verwijderd.
Template Niet-Functionele Eisen
Tabel met de WCAG 2.1 succescriteria toegevoegd. Per succescriterium geeft de tabel aan of Axe-core, en zo ja met welke regels, het succescriterium geautomatiseerd kan controleren.
Template Kwaliteitsplan
Het kwaliteitsplantemplate sprak van een verantwoordingsparagraaf in alle documenten, maar deze paragraaf zat niet in de andere templates. Deze verantwoordingsparagrafen waren bedoeld om de eisen traceerbaar te maken. Omdat niet alle projecten dit nodig hebben, en er andere manieren in gebruik zijn om eisen traceerbaar te maken (bijvoorbeeld een losse administratie in Confluence) is de tekst over verantwoordingsparagrafen vervangen door een optionele paragraaf over tracering van eisen die nader kan worden ingevuld.
Uit de bijlage "Gebruik van Jira" is de paragraaf "Velden in Jira" verwijderd omdat deze out-of-date en incompleet was en bovendien niet ging over velden in Jira, maar over metrieken die met behulp van de informatie in Jira gemeten kunnen worden. In plaats van deze paragraaf verwijst het kwaliteitsplantemplate naar de lijst op GitHub van metrieken die Quality-time kan meten.
Uit de bijlage "Gebruik van Jira" is het issue type "Sprint bug" verwijderd omdat bugs die tijdens sprints worden gevonden normaal gesproken niet worden vastgelegd in Jira.
Uit de bijlage "Gebruik van Jira" is het issue type "Custom issue" verwijderd omdat custom issues optioneel zijn en in de praktijk te weinig worden toegepast om apart te beschrijven.
Het hoofdstuk "Kwaliteitsmaatregelen projectafsluiting" bevatte een lijst van activiteiten voor de software delivery manager. Die activiteiten zijn verplaatst naar het template plan van aanpak realisatiefase. De kwaliteitsmaatregelen bij projectafsluiting zijn beperkt tot een controle door de kwaliteitsmanager van de uitvoering van die activiteiten.
Template Plan van Aanpak Voorfase
Paragraaf over projectafsluiting toegevoegd.
Template Plan van Aanpak Realisatiefase
Paragraaf over projectafsluiting en bijlage met activiteiten voor projectafsluiting toegevoegd.
Alle documenten
Vervang 'privacy impact analyse' door 'privacy impact assessment' en 'business impact analyse' door 'business impact analysis' zodat beide termen consequent op dezelfde manier geschreven worden.
Versie 2.2.0, 27 januari 2021
Kwaliteitsaanpak
Afdeling ICTU Software Realisatie vervangen door de afdelingen ICTU Software Diensten en/of ICTU Software Expertise.
ICTU ondersteunt alleen nog Quality-time als kwaliteitssysteem; HQ verwijderd.
Leeswijzer uitgebreid met uitleg over beschrijvend en voorschrijvend karakter van de Kwaliteitsaanpak.
Nieuwe maatregel "Het project beschikt over vastgestelde informatie" (M31) toegevoegd die beschrijft welke informatie de opdrachtgever aan een project beschikbaar stelt.
Bij maatregel "Het project levert in elke fase vastgestelde informatie over het product op" (M01) met een plaatje de relaties tussen de voorfase producten toegelicht.
De maatregel "Het project is gesplitst in een voorfase en een realisatiefase" (M14) hernoemd naar "Het project bereidt samen met opdrachtgever en belanghebbenden de realisatie voor".
De maatregel "ICTU geeft de voorkeur aan open source tools" (M15) is verwijderd. De inhoud van M15 is verplaatst naar "ICTU biedt ondersteuning voor verplicht gestelde tools" (M18). Reden is dat de voorkeur voor open source geen apart uitvoerbare maatregel is, maar deel uitmaakt van de ondersteuning van projecten met tools.
Bij maatregel "Het project gebruikt tools voor vastgestelde taken" (M16) performancetesttools toegevoegd.
Maatregel "ICTU zorgt dat een aantal vastgestelde tools snel beschikbaar is voor een project" (M17) verwijderd omdat projecten deze tools ofwel via de kantoorautomatisering van ICTU kunnen gebruiken of zelf kunnen draaien in de afgeschermde digitale omgeving zoals beschreven bij M19.
Bij maatregel "Het project laat de beveiliging van het ontwikkelde product periodiek beoordelen" (M26) beter toegelicht onder welke voorwaarden de beveiligingstesten alleen door de opdrachtgever kunnen worden uitgevoerd.
Bijlage "Risico's van softwareontwikkeling" verwijderd vanwege de overlap met de bijlage "Relatie met NEN NPR 5326".
Template Projectvoorstel Voorfase
Template veranderd in een template voor een plan van aanpak voor de voorfase. Gebruik voor projectvoorstellen het ICTU-brede template.
Template Projectvoorstel Realisatiefase
Template veranderd in een template voor een plan van aanpak voor de realisatiefase. Gebruik voor projectvoorstellen het ICTU-brede template.
Template Kwaliteitsplan
Toegevoegd bij projectafsluiting dat VPN-keys, LDAP-accounts, Jira-accounts en werkstations moeten worden opgeschoond.
Bij projectafsluiting de verantwoordelijke rol aangepast naar software delivery manager, conform Maatregel 27 in de Kwaliteitsaanpak.
Het hanteren van codeerstandaarden toegevoegd aan de kwaliteitsmaatregelen tijdens de realisatiefase.
Versie 2.1.0, 2 september 2020
Kwaliteitsaanpak
M30 ontbrak in de bijlage met het overzicht van alle maatregelen.
Link naar Kwaliteitsaanpak op ICTU-website toegevoegd.
Rubriceringsniveau, rubriceringsduur en totaal aantal bladzijden conform VIRBI 2013, bijlage 1, eis 6J toegevoegd.
Link naar Kwaliteitsaanpak op ICTU-website toegevoegd in de bijlage over de Kwaliteitsaanpak.
Template Projectvoorstel Realisatiefase
Projectvoorstel Realisatiefase template toegevoegd dat als basis kan dienen voor een projectvoorstel voor het uitvoeren van een realisatiefase aansluitend aan een voorfase.
Generiek template
Generiek template toegevoegd dat als basis kan dienen voor documenten waarvoor nog geen specifiek template is.
Template Kwaliteitsplan
Paragrafen 1.2, 1.5 en 1.6 uitgebreid met standaard teksten.
Stakeholder management vervangen door het bescheidener identificeren van belanghebbenden en belangen.
Template Niet-Functionele Eisen
Link naar Nederlandse vertaling van WCAG 2.1 toegevoegd aan het NFE-template.
Versie 2.0.0, 29 april 2020
Naam van de Kwaliteitsaanpak veranderd van "Kwaliteitsaanpak ICTU Software Realisatie" naar "ICTU Kwaliteitsaanpak Softwareontwikkeling". Waar relevant "softwarerealisatie" veranderd in "softwareontwikkeling".
Maatregelen, waar mogelijk, compacter geformuleerd.
Maatregelen herverdeeld over de drie maatregelhoofdstukken.
De maatregel "Het project levert in elke fase vastgestelde informatie over het product op" (M01) beknopter geformuleerd en toelichting op documenten uitgebreid.
Bij de maatregelen "Het project zorgt dat het product continue aan de kwaliteitsnormen voldoet" (M02), "Het project maakt technische schuld inzichtelijk en lost deze planmatig op" (M08) en "Het project gebruikt tools voor vastgestelde taken" (M16) naast HQ ook Quality-time vermeld.
Bij de maatregel "Het project maakt technische schuld inzichtelijk en lost deze planmatig op" (M08) toegevoegd dat projecten regelmatig en voldoende tijd besteden aan het voorkomen en oplossen van technische schuld.
Bij de maatregel "Het project gebruikt tools voor vastgestelde taken" (M16) versiebeheer toegevoegd, met als concrete tools GitLab en Azure DevOps.
Explicieter aandacht besteed aan gebruikskwaliteit in de maatregelen "Het project levert in elke fase vastgestelde informatie over het product op" (M01) en "Het project zorgt dat het product continue aan de kwaliteitsnormen voldoet" (M02). ISO 9241-210 opgenomen als standaard die ICTU hanteert voor gebruikskwaliteit.
De maatregel "Betrokkenheid bij inzet" (M22) verwijderd.
De maatregel "Implementatie van wijzigingen aan de kwaliteitsaanpak en -normen" (M24) verwijderd.
Nieuwe maatregel toegevoegd voor het starten van projecten: "ICTU zorgt dat een project verantwoord kan starten" (M29).
Nieuwe maatregel toegevoegd voor risicomanagement: "Projecten identificeren, mitigeren en bewaken risico's" (M30).
Termen aangepast: 'projectverantwoordelijke' is vervangen door 'projectleider', 'projectenorganisatie' en 'projectorganisatie' door 'ICTU' en 'realiserend team' door 'projectteam'.
De beschrijving van de rollen van software delivery manager en kwaliteitsmanager aangescherpt.
Waar relevant bij de rationale van maatregelen verwezen naar overeenkomende risicobeheersmaatregelen uit de NPR 5326.
Referenties aan de Baseline Informatiebeveiliging Rijksdienst (BIR) omgezet naar de Baseline Informatiebeveiliging Overheid (BIO).
Referenties aan tools geactualiseerd.
Tekstuele en stilistische verbeteringen.
Actielijst toegevoegd aan self-assessment spreadsheet.
Generatie van documenttemplates is onderdeel van de Kwaliteitsaanpak.
Versie 1.3.1, 1 mei 2019
M14: Maatregeltitel ingekort zodat paginanummers in de inhoudsopgave niet overlappen.
Versie 1.3, 5 april 2019
Overbodig kopje in de wijzigingsgeschiedenis van de generieke versie verwijderd.
Bijlage met afkortingen toegevoegd.
M07: Toegankelijkheidstests toegevoegd.
M10: Aanwezigen bij periodiek projectoverleg aangepast.
M16: Een tool voor het testen van toegankelijkheid toegevoegd.
M01: Wbni, EN 301 549 en WCAG 2.1 als bron voor niet-functionele eisen toegevoegd. Toegankelijkheidsverklaring als mogelijke deliverable genoemd.
M05: Iteratief en incrementeel ontwikkelproces: Sprint retrospective en sprint backlog toegevoegd.
M16: Axe toegevoegd.
WCAG 2.1 toegevoegd aan bijlage C: Documenten voor M01.
Versie 1.2, 1 augustus 2018
M01: Op te leveren producten: Niet alle producten hoeven door het project te worden gemaakt.
M02: Continu voldoen aan kwaliteitsnormen: Zo snel mogelijk voldoen aan kwaliteitsnormen in plaats van altijd.
M13: Gebruik van NEN-ISO/IEC 25010: Verduidelijkt dat het om het toepassen van NEN-ISO/IEC 25010 in projecten gaat en verplaatsen naar hoofdstuk Producten.
M19: Afgeschermde digitale omgeving: De titel van de maatregel verduidelijkt naar "afgeschermde digitale omgeving".
M25: De inhoud is verplaatst naar M01: Op te leveren producten, M25 zelf is vervallen.
M28: Self-assessment: Maatregel met betrekking tot self-assessment toegevoegd.
Tekstuele en stilistische verbeteringen.
Manifest toegevoegd.
ICTU-specifieke invulling van maatregelen aangepast aan nieuwe organisatiestructuur en rollen zoals die in 2018 gelden.
In M16: Verplichte tools, de verwijzing naar ICTU-specifieke SonarQube kwaliteitsprofielen verwijderd omdat ICTU de standaard Sonar Way kwaliteitsprofielen gebruikt.