Page tree
Skip to end of metadata
Go to start of metadata

Architektúra

Boli zvážené (prípadne zdokumentované) alternatívne architektonické riešenia okrem navrhovaného? Boli zdokumentované rozhodnutia v prospech navrhovanej/neprospech alternatívnych architektúr?

Aké zahraničné best practices boli pri návrhu architektúry zhodnotené a použité?

Je v architektúre komunikovaná adekvátna vízia systému, ktorá usmerňuje jeho vývin v čase (budúce verzie) a vývoj v súčasnej verzií?

Ako boli pri návrhu architektúry zohľadnené všetky princípy strategickej architektúry?

Je architektúra uskutočniteľná vzhľadom na implementáciu?

Je úroveň formálnosti v súlade s veľkosťou projektu, projektovými cieľmi a skúsenosťami realizačného tímu?

Je architektúra systému dobre organizovaná a poskytuje ucelený prehľad, východiskové informácie, obmedzenia, a jasnú štruktúru pre všetky nadväzujúce architektonické/dizajnové aktivity?

Je architektúra v rámci súčasných možností navrhnutá tak, aby umožňovala uskutočniť očakávané/predpokladané zmeny?

Umožňuje architektúra implementáciu všetkých známych dôležitých požiadaviek?

Je možné spojiť/stopovať prvky architektúry spätne s požiadavkami?

Vyhýba sa architektúra nepotrebnej redundancii? Je redundancia opodstatnená?

Je nejaká logika v rámci architektúry vynechaná alebo neúplná?

Je pre architektúru špecifikovaná a schválená úroveň robustnosti?
(Pod robustnosťou myslíme, že architektúra umožňuje správnu funkčnosť alebo aspoň nekatastrofálne zlyhanie systému za rozmanitých podmienok.)

 

Je dostupná a spísaná stratégia spracovania chybových stavov a výnimiek?

Uspokojí navrhovaná architektúra všetky špecifikované kvalitatívne a výkonnostné požiadavky?

Boli adekvátne adresované potreby udržovateľnosti?

Boli adekvátne adresované potreby spoľahlivosti?

Boli adekvátne adresované potreby výkonnosti?

Boli adekvátne adresované potreby bezpečnosti?

Boli adekvátne adresované potreby interoperability a integrovateľnosti?

Sú všetky externé rozhrania (vrátane používateľských rozhraní) adekvátne špecifikované a schválené?

Je architektúra vhodne vrstvená (používateľská/prezentačná vrstva, vrstva biznis logiky, dátová vrstva...)?

Sú pre architektúru špecifikované prechodné architektúry, kedy je možné testovať a/alebo nasadiť časti architektúry do produkcie inkrementálne?

Je v rámci možností architektúra špecifikovaná nezávisle od technológií, ktoré budú použité na jej implementáciu?

Sú vždy keď je to možné použité štandardné alebo všeobecne dostupné komponenty namiesto proprietárnych?

Sú dokumentované, analyzované a vyhodnocované riziká vyplývajúce z návrhu architektúry?

Dizajn

Spĺňa dizajn ciele z hľadiska architektúry, riešenia a projektu?

Je dizajn uskutočniteľný z technologického, cenového a časového hľadiska?

Sú dokumentované, analyzované a vyhodnocované riziká vyplývajúce z návrhu dizajnu?

Je úroveň formálnosti v súlade s veľkosťou projektu, projektovými cieľmi a skúsenosťami realizačného tímu?

Ak je to možné, boli znovu použité komponenty existujúcich dizajnov?

Vytvára dizajn znovu použiteľné komponenty ak je to vhodné a zmysluplné?

Je dizajn v rámci súčasných možností navrhnutý tak, aby umožňoval uskutočniť očakávané/predpokladané zmeny?

Umožňuje dizajn jednoduchú údržbu?

Uprednostňuje dizajn jednoduchosť a zrozumiteľnosť pred „chytrosťou" ak nie je opodstatnene vyžadovaný opak?

Je dizajn dostatočne úplný ale zároveň akurát účelný pre nadväzujúce aktivity?

Je navrhnutý dizajn implementovateľný za daných technologických a environmentálnych požiadaviek a obmedzení?

Boli zvážené aj všetky ostatné zmysluplné alternatívne dizajny, vrátane vynechania automatizácie častí systému (ak je to zmysluplné a účelné). Boli zdokumentované rozhodnutia v prospech navrhovaného/neprospech alternatívnych dizajnov?

Nie-funkčné aspekty dizajnu/architektúry

Boli nasledovné oblasti zobrané do úvahy pri návrhu a tvorbe architektúry/dizajnu?

 

Právne a regulatívne obmedzenia

Bolo vypracované odôvodnenie riešenia a CBA analýza?

Informačná bezpečnosť a prístup k informáciám

Používateľské rozhranie a interakcia s používateľom

Výkonnosť a dostupnosť

  • SLA/OLA
  • Kapacitné plánovanie
  • Monitoring
  • Biznis kontinuita a obnovenie prevádzky

Rozšíriteľnosť (Scalability)

Znovu použitie komponentov

Ukladanie a dlhodobé uchovávanie údajov (Storage and Retention)

Manažment chybových stavov a výnimiek

Manažment kvality

Migrácia/konverzia

Interoperabilita

Reportovanie a manažment informácie

Vzdelávanie, tréningy, školenia

Biznis

Je známa biznis motivácia pre zmeny v architektúre?

Je biznis architektúra adekvátne podporovaná aplikačnou architektúrou?

Bolo pre biznis vrstvu zvážené, či je vhodné nechať niektoré jej časti nepokryté/nepodporované aplikačnou architektúrou (ak je to zmysluplné a účelné)?

Ako reflektuje návrh architektúry operačne programy OPII, ESO, EVS?

Biznis aplikácie

Je aplikačná architektúra navrhnutá v súlade so štandardami organizácie? Ak nie, uveďte výnimky, ich zdôvodnenia a súvisiace požiadavky.
Je dodávateľ oboznámený so všetkými relevantnými štandardami pre aplikácie? Uveďte zoznam štandardov s ktorými ste boli oboznámený.

Aké sú biznis a aplikačné požiadavky, ktorých naplnenie vyžaduje použitie neštandardných technológií?

Aké možnosti použitia open source SW boli pri návrhu architektúry zhodnotené?

Aké životné situácie napĺňa navrhovaná architektúra?

Aký je strategický prínos IS pre ostatné povinné osoby VS SR a používateľov mimo VS SR?

Je aplikačná architektúra alebo jej časť pokrytá štandardnými riešeniami (COTS, bežne dostupné, konfigurovateľné, ...)?
Ak bude použité štandardné riešenia, popíšte proces a spôsob jeho výberu.
Ak nebude použité štandardné riešenia, uveďte zdôvodnenie a súvisiace požiadavky.

Sú v rámci aplikačnej architektúry navrhované komponenty, ktoré majú v existujúcom architektonickom prostredí existujúce podobné/príbuzné komponenty čo sa týka dát, služieb a podobne? Ako veľmi sú príbuzné a prečo nie sú zlúčené? Uveďte zdôvodnenie a súvisiace požiadavky.

Aký typ používateľov budú používať tento IS? Ako sa bude používateľská základňa meniť v čase?

Uveďte, aká je očakávaná životnosť relevantných komponentov aplikačnej architektúry.

S ktorými inými systémami sa bude systém integrovať?

Je v návrhu využívaná centrálna orchestračná a integračná platforma?

Bol definovaný rozsah protopypu IS a naplánované jeho verejné testovanie?

Aké cloudové služby sú využívané navrhovanou architektúrou?

Popíšte charakter jednotlivých integrácií (peer-to-peer, ESB, ...). Vyžaduje systém peer-to-peer integrácie? Ak áno, uveďte zdôvodnenie a súvisiace požiadavky.

Na akých úrovniach sa bude systém integrovať (na úrovni používateľského rozhrania, procesnej, aplikačnej, dátovej, ...)?

Akými technológiami sa bude systém integrovať? Uveďte protokoly, dátové formáty, synchrónnosť, ...

Uveďte zoznam externých rozhraní systému. Pridajte odkazy na ich špecifikácie.

Popíšte navrhované aspekty aplikačnej architektúry z hľadiska n-tier/layer architektúry:

  • klient/server architektúry (jednovrstvová, dvojvrstvová, trojvrstvová...)
  • vrstvenia aplikačnej logiky (prezentačná vrstva, vrstva biznis funkčnosti, vrstva prístupu k dátam...)
    *

Uveďte požiadavky (objemové, frekvenčné, ..., bežne očakávané, vrcholné) na dátové toky medzi jednotlivými aplikačnými komponentami systému a externými systémami.

Popíšte kapacitné požiadavky aplikačnej architektúry na infraštruktúru.

Uveďte stav životného cyklu jednotlivých technológií využívaných systémom na úrovni aplikačnej architektúry. Zvýraznite komponenty po konci životného cyklu alebo blížiace sa ku koncu životného cyklu v horizonte jedného, dvoch, a troch rokov od predpokladaného uvedenia systému do prevádzky.

Uveďte, ako sa pristupuje k životnému cyklu technológií využívaných systémom na úrovni aplikačnej architektúry. Uveďte, ako je zosúladený (ako sa ovplyvňuje) životný cyklus týchto technológií a systému.

Manažment informácií a dát

Je dátová architektúra navrhnutá v súlade s politikami a odporúčaniami organizácie? Ak nie, uveďte výnimky, ich zdôvodnenia a súvisiace požiadavky.
Je dodávateľ oboznámený so všetkými relevantnými politikami pre manažment informácií a dát? Uveďte zoznam politík a odporúčaní s ktorými ste boli oboznámený.

Uveďte zoznam dostupnej dokumentácie popisujúcej jednotlivé aspekty manažmentu informácií a dát.

Uveďte dátový model prípadne zoznam (hlavných) dátových entít, s ktorými systém pracuje.

Sú z pohľadu dátového managmentu v organizácií definovaní a identifikovaní dátový stewardi? Sú títo zapojený do aktivít návrhu a zmien dátového modelu?

Boli dáta klasifikované z pohľadu master data managementu? Ktoré dáta v systéme sú master data? Bolo uvažované a presune master dát spracovaných systémom do samostatného MDM systému?

Je spracovaný a popísaný životný cyklus dát z hľadiska data manažmentu, teda ako sú dáta zbierané, ukladané, udržované, aktualizované, používané, prenášané, reportované a odstraňované?

Boli pri návrhu alebo zmene dátového modelu vyhodnotené dopady na závislé systémy? Je implementácia takýchto zmien koordinovaná?

Uveďte zoznam (hlavných) dátových tokov, ktoré smerujú do systému a zo systému a spôsobu ich zabezpečenia.

Sú pre jednotlivé dátové toky špecifikované kontrakty, v zmysle účelu a rozsahu použitia tečúcich dát, požiadaviek na ich zabezpečenie cieľovým systémom a z pohľadu master data managmenetu.

Uveďte aké politiky a procesy sú uplatňované pri zabezpečovaní dátovej kvality. Uveďte roly a ich zodpovednosti pri zabezpečovaní dátovej kvality. Uveďte, ako systém podporuje udržovanie dátovej kvality.

Uveďte, akým spôsobom sa dajú vykonať/vykonávajú audity dátovej kvality pre účely dodržovania a zlepšenia samotnej dátovej kvality a zlepšenia procesov dátového a informačného managementu.

Uveďte, ako sa pristupuje k zabezpečeniu dát. Akým spôsobom sa obmedzuje a monitoruje prístup k dátam? Aké úrovne oprávnenia na prístup sú definované a ako sú tieto mapované na dáta?

Boli dáta klasifikované z pohľadu senzitívnych dát – teda dát podliehajúcich utajeniu, osobných dát respektíve dát identifikujúcich osobu (či už samostatne alebo vo svojich kombináciách)?

Uveďte, kto a s akými oprávneniami má prístup k senzitívnym dátam.

Uveďte, ktoré výstupy (GUI, reporty, dátové toky, tlač...) obsahujú ktoré senzitívne dáta.

Uveďte, ako sa pristupuje k zabezpečeniu senzitívnych dát (vo všetkých formách relevantných formách ako elektronickej, papierovej...). Je zabezpečenie v súlade s požadovanými štandardami?

Sú špecifikované potreby archivácie dát? Sú tieto v súlade s platnými politikami a obmedzeniami?

Aké open data budú poskytované navrhovanou architektúrou?

Infraštruktúra

Je navrhovaná architektúra infraštruktúry v súlade so štandardami a politikami organizácie? Ak nie, uveďte výnimky, ich zdôvodnenia a súvisiace požiadavky.
Je dodávateľ oboznámený so všetkými relevantnými štandardami a politikami pre infraštruktúru? Uveďte zoznam politík a odporúčaní s ktorými ste boli oboznámený.

Je potreba infraštruktúrnych funkčností/schopností, ktoré v súčasnosti nie sú pokryté existujúcimi infraštruktúrnymi komponentami a štandardami a politikami organizácie?

Bude systém prevádzkovaný v cloude alebo v rezortnom datacentre? Uveďte dôvody.

Je prevádzka systému zviazaná s konkrétnym hardvérom (výrobcovia, typy, modely). Ak áno, odôvodnite prečo.

Bolo rozhodnutie o voľbe hardvérových platforiem urobené pred návrhom architektúry/dizajnu? Ak áno, odôvodnite prečo.

Je prevádzka systému zviazaná s konkrétnym systémovým softvérom? Ak áno, odôvodnite prečo.

Bolo rozhodnutie o voľbe systémového softvéru urobené pred návrhom architektúry/dizajnu? Ak áno, odôvodnite prečo.

Je prevádzka používateľských častí systému (ako napríklad tučný klient, GUI, ...) možná iba na vybraných typoch hardvéru alebo vybraných typoch systémového softvéru (teda nie je možná na všetkých bežne dostupných a rozšírených)? Ak áno, uveďte na ktorých a odôvodnite prečo.

Je architektúra ako taká ovplyvnená rozhodnutiami, zmluvami alebo záväzkami ohľadom infraštruktúry (hardvér, systémový softvér, ...) mimo rámca týkajúceho sa tohto systému? Ak áno, popíšte ako ovplyvňujú architektúru/dizajn tohto systému.
Môžu byť tieto externé obmedzenia pri návrhu architektúry/dizajnu tohto systému ovplyvňované/menené?

Aká ja regionálna distribúcia systému a jeho častí?

Sú infraštruktúrne požiadavky pokryté štandardnými riešeniami (COTS, bežne dostupné, konfigurovateľné, ...) alebo sú vyžadované proprietárne komponenty? Ak sú vyžadované proprietárne komponenty, odôvodnite prečo. Môžu byť proprietárne komponenty dodávané/vyvinuté aj inými stranami ako dodávateľom systému?

Uveďte stav životného cyklu jednotlivých infraštruktúrnych komponentov. Zvýraznite komponenty po konci životného cyklu alebo blížiace sa ku koncu životného cyklu v horizonte jedného, dvoch, a troch rokov od predpokladaného uvedenia systému do prevádzky.

Uveďte, ako sa pristupuje k životnému cyklu infraštruktúrnych komponentov. Uveďte, ako je zosúladený (ako sa ovplyvňuje) životný cyklus infraštruktúrnych komponentov a systému.

 

Bezpečnosť

Je systém tvorený v súlade s najnovšími bezpečnostnými politikami a odporúčaniami organizácie? Ak nie, uveďte výnimky, ich zdôvodnenia a súvisiace požiadavky.
Sú tieto pre dodávateľa systému dostupné? Je dodávateľ systému oboznámený so všetkými relevantnými procesmi kontroly IT bezpečnosti a posudzovania bezpečnostného rizika?
Uveďte zoznam politík a odporúčaní s ktorými ste boli oboznámený.

Je systém tvorený v súlade s najnovšími dostupnými poznatkami v oblasti bezpečnosti?

Autentifikácia
Popíšte proces autentifikácie používateľa voči systému. Popíšte proces autentifikácie používateľovej identity aplikáciou. Popíšte obojstranne toky súvisiace s autentifikáciou medzi používateľským rozhraním, aplikáciou, databázou, adresárovou službou (back-endom), atď. Uveďte dokumentáciu, ktorá obsahuje detaily. Je autentifikácia a uloženie autentifikačných údajov (mená, heslá, ...) v súlade s vyžadovanými štandardami/najnovšími poznatkami?

Autorizácia
Popíšte proces autorizácie autentifikovaného používateľa v systéme. Popíšte, ako systém verifikuje oprávnenie používateľa na prístup k jednotlivým autorizovaným funkčnostiam.

Popíšte proces akým používateľ požaduje a získava prístup do systému, vrátane pridružených procesov ako je overenie identity žiadateľa, získanie a overenie autorizácie na časti systému/funkčnosti, oddelenie právomocí a povinností pri vytváraní používateľského prístupu/konta. Popíšte ako akým je požiadavka na prístup schvaľovaná, ako a na základe čoho sa používateľovi prideľuje prístupový profil (skupiny, oprávnenia), ako sa používateľovi prideľuje používateľské ID a heslo, prístup/konto a ako sú údaje o prístupe/konte sprostredkované používateľovi.
Taktiež popíšte, ako je používateľ informovaný

  • o svojich právach a povinnostiach vyplývajúcich z pridelenia prístupu/konta v systéme,
  • o zmluve/dohode o prístupe k systému,
  • o spôsobe zmeny a zabezpečenia autentifikačných údajov,
  • o spôsobe získania podpory pri práci so systémom.

Audit
Identifikujte a popíšte aké (skupinové) kontá sú v systéme potrebné pre používateľov a aplikačnú podporu, vrátane kont stotožnených na úrovni operačného systému. Identifikujte a popíšte individuálne kontá alebo roly, ktoré majú super-user prístupové práva, popíšte tieto práva a na čo sú potrebné, kto má prístup k takýmto kontám, ako je kontrolovaný a zaznamenávaný prístup k takýmto kontám, ako sa menia a distribuujú autentifikačné údaje takýchto kont, vrátane kont stotožnených na úrovni operačného systému.
Identifikujte jednotlivé audit logy tvorené systémom, ako sú tieto ukladané a chránené, kto môže čítať audit logy, kto môže modifikovať audit logy, kto môže mazať audit logy. Uveďte, v akom rozsahu sú zapisované údaje do audit logov alebo iných logov (typy údajov a jednotlivé udalosti kedy sa zapisujú). Uveďte, či a ako sú do audit logov (iných logov) zapisované údaje o prístupe k autorizovaným častiam systému. Uveďte, ktoré údaje identifikujúce používateľov/osoby sú systémom zapisované do audit logov alebo iných logov a či a ako sú tieto obfuskované. Uveďte, či môže nastať možnosť, že by sa v audit logoch alebo iných logoch vyskytli autentifikačné údaje používateľov.

Assurance
Uveďte, akým spôsobom sa preukazuje a dokumentuje splnenie jednotlivých požiadaviek kladených na systém z hľadiska bezpečnosti a splnenie požadovaných bezpečnostných politík.

Availability
Uveďte, aká biznis kontinuita ja požadovaná a akým spôsobom je zabezpečená pre biznis služby/procesy/jednotky, ktoré podporuje tento systém, pre prípad obmedzenej dostupnosti alebo nedostupnosti jednotlivých služieb systému, obmedzenia výkonu systému alebo zlyhania systému ako takého. Popíšte, ktoré biznis služby budú obmedzene dostupné alebo nedostupné v prípade uvedených problémov systému.

Asset protection
Identifikujte senzitívne dáta ktoré vyžadujú dodatočnú ochranu. Poskytnite dokumentáciu o takýchto dátach a o prístupe k ich spracovaniu na všetkých úrovniach – biznis, aplikačnej, infraštruktúrnej. Identifikujte vlastníkov senzitívnych dát a procesy, ktoré sú používané na ich ukladanie, prenosy, distribúciu, zobrazovanie a tlač. Špecificky uveďte spôsob ochrany autentifikačných údajov. Uveďte, kto má prístup k senzitívnym informáciám a ako je zabránené neoprávnenému prístupu k senzitívnym informáciám. Špecificky uveďte potreby prístupu k osobným informáciám – kedy a komu je potrebné zobraziť aké osobné informácie a kedy nie je potrebné zobrazovať osobné informácie.
Popíšte, aké dáta (obzvlášť senzitívne) sú zo systému poskytované tretím stranám (iným systémom, organizáciám, dodávateľom, partnerom) a či existujú právne dohody o účele poskytnutia takýchto údajov a zaobchádzaní s nimi.

Administration
Uveďte, ako sa v systéme manažujú (pridávajú, menia, rušia) používatelia/používateľské ID, heslá, prístupové profily, oprávnenia, role, skupiny a podobne a ako sa táto činnosť dokumentuje. Uveďte, kto je za tieto činnosti zodpovedný a oddelenie právomocí a povinností pri manažmente používateľov.
Uveďte, ako sa tvoria a menia bezpečnostné politiky systému, kto je za tieto procesy zodpovedný. Uveďte ako sa systém prispôsobuje/konfiguruje pri zmene bezpečnostných politík.

Risk management
Popíšte, akým spôsobom sú identifikované, klasifikované, analyzované a zmierňované bezpečnostné riziká. Uveďte jednotlivé zodpovednosti za procesy manažmentu bezpečnostných rizík.

Je systém dostupný iba interne v organizácií alebo je systém dostupný aj pre externých používateľov?
Ak je systém dostupný pre externých používateľov, aké sú rozdiely v prístupe k internému a externému používateľovi systému? Akým spôsobom je systém sprístupnený externým používateľom a je tento v súlade s požiadavkami/štandardami organizácie na sprístupňovanie systémov verejnosti?

Manažment systému a prevádzka

Aká je politika manažmentu licencií systému?

Ako často sa vyskytujú zmeny systému, ktoré musia byť distribuované/nasadené?

Je možné/dovolené súčasne používať viacero verzií systému?

Je pre systém dostupný inštalačný manuál?

Je pre systém dostupný prevádzkový manuál?

Je pre systém dostupný migračný manuál?

Je pre systém dostupný zoznam verzií?

  • Obsahuje zoznam zmien?
  • Obsahuje zoznam odstránených chýb?

Je pre systém dostupný zoznam známych problémov a riešení?

Popíšte procesy/nástroje použité na distribúciu/nasadenie systému.

Popíšte procesy/nástroje dostupné na verifikáciu inštalácie systému.

Popíšte procesy/nástroje dostupné na monitorovanie zdravia a výkonu nasadeného systému.

Popíšte procesy/nástroje dostupné na odinštalovanie systému.

Aké všeobecné administračné nástroje sú dostupné/potrebné na prevádzku systému?

Aké špecifické administračné nástroje sú dostupné/potrebné na prevádzku systému?

Sú pre systém špecifikované požiadavky na zálohovanie?

  • Aký je odhadovaný objemový rámec záloh?
  • Aký je odhadovaný časový rámec záloh?
  • Ovplyvňuje zálohovanie dostupnosť systému?
  • Aký je odhadovaný časový rámec obnovy systému zo zálohy?

Popíšte audit logy systému, ktoré uchovávajú históriu behu systému, hlavne pre účely analýzy chýb a zlyhaní systému.

Popíšte schopnosť systému zasielať automaticky správy o zlyhaní na service desk/obsluhu.

Je systém zaradený do obsluhy service deskom?

Popíšte ako sa spracovávajú servisné požiadavky na systém.

Aké procesy/nástroje sa vzťahujú na obsluhu servisných požiadaviek na systém?

Ako sa v systéme vytvárajú a manažujú natívne systémové kontá?