Volg Software Zaken

Succesvol overdragen van software: NPR 5325

| Joost Krapels | Software

NPR 5325 in een norm/standaard voor het overdragen van software aan een nieuwe leverancier of beheerspartij. De standaard zorgt ervoor dat bij een overdracht de kwaliteit en continuïteit van het product in stand blijft. De overdracht omvat drie software attributen: beheerdocumentatie, broncode en rechten, en testmiddelen. Als een van deze drie ontbreekt, zal de software niet even goed beheerd kunnen worden als onder de vorige eigenaar.

NPR 5325 achtergrond

NPR staat voor Nederlandse Praktijk Richtlijn. NPR 5325 is dus een praktijkrichtlijn, uitgegeven door de Nederlandse standaardorganisatie NEN. De NPR kan door iedereen gebruikt worden, bijvoorbeeld door de overheid bij aanbestedingen, in IT-contracten of bij controles van bijvoorbeeld broncode-escrow. De richtlijn wordt binnenkort aangevuld met een aanvullende standaard; 5326 voor risicomanagement bij software-ontwikkeling en onderhoud. Dit is echter geen opvolger: de richtlijnen kunnen naast elkaar worden gebruikt: 5325 voor overdrachten, en 5326 voor onderhoud tussen de overdrachten door.

De standaard richt zich op drie soorten gebruikers: klanten, leveranciers, en evaluators. Klanten kunnen het gebruiken om afspraken met leveranciers te maken en deze te vergelijken, leveranciers om de taakomschrijving en afspraken duidelijk te krijgen, en evaluators om overdraagbaarheid op een onafhankelijke en transparante manier te beoordelen.

De opbouw van NPR 5325

De richtlijn is als volgt opgebouwd:

  1. Onderwerp en toepassingsgebied
  2. Verwijzingen
  3. Termen, definities en afkortingen
  4. Introductie
  5. Basisoverdrachtseigenschappen voor beheerdocumentatie
  6. Basisoverdrachtseigenschappen voor broncode en rechten
  7. Basisoverdrachtseigenschappen voor testmiddelen

De standaard definieert dus vooral basisoverdrachtseigenschappen: eigenschappen van software die belangrijk zijn voor een goede overdracht. De basisoverdrachtseigenschappen zijn:

Tot slot zijn in het document ook een aantal appendix toegevoegd.

  • Bijlage A: Softwarekwaliteitsmodel ISO25010
  • Bijlage B: BOE’n en mapping van ISO25010 kenmerken
  • Bijlage C: template zelfverklaring NPR 5325
  • Bijlage D: juridisch kader NPR 5325

Wat staat er eigenlijk in de standaard?

Onderwerp en toepassingsgebied

NPR 5325 begint met een algemene uitleg. Dit stuk geeft aan dat de standaard tot doel heeft de overdraagbaarheid van software en de verbonden risico’s inzichtelijk te maken. Dit doen zij aan de hand van BasisOverdraagbaarheidsEigenschappen van softwareattributen, ook wel BOE’n genoemd.

De standaard heeft een brede scope, en omvat eigenlijk alle overdrachten van software voor bedrijven van alle formaten. Expliciet buiten scope zijn risicomanagement, risico’s m.b.t. eigendom, overdracht van security verantwoordelijkheden, en de transitie naar een andere software- en systeemomgeving.

Verwijzingen

NPR 5325 verwijst veel naar ISO25010 voor kwaliteitsaspecten van systemen en software en ISO20000 voor eisen aan servicemanagementsystemen. Hieronder een simpel overzicht wat de kwaliteitsaspecten van ISO25010 ook alweer waren:

Termen, definities en afkortingen

Enkele belangrijke termen:

Overdracht is gedefinieerd als “afstaan van verantwoordelijkheid en beheer en onderhoud van op maat ontwikkelde software”

Softwareattributen zijn beheerdocumentatie, broncode + bijbehorende rechten en testmiddelen.  Deze drie attributen zijn volgens de standaard nodig om overgedragen software succesvol te onderhouden.

Beheerdocumentatie is informatie over het beheren en onderhouden van de software; een soort beheerhandleiding dus. De documentatie moet toegankelijk, te lokaliseren, consistent, en onderhoudbaar zijn. Daarnaast moeten het juist, actueel, volledig, nauwkeurig, en controleerbaar zijn.

Broncode is volgens de NPR standaard “code geproduceerd in de gehanteerde programmeertaal”. In de praktijk gaat dit dus om code in bijvoorbeeld C#, Python, Java, etc., en alle code die de code zelf genereert.

Testmiddelen zijn alle middelen die aangewend kunnen worden om een test uit te voeren, zoals testontwerpen, testscenario’s, scripts en testdata.

Certificerende instellingen zijn organisaties of instanties die een proces of dienst van een andere partij beoordelen en certificeren. In de standaard worden geen voorbeelden van certificerende instellingen genoemd.

Evaluatiemethodes zijn de manieren waarop de overdraagbaarheid van software beoordeeld kan worden. Er zijn vier opties:

C – te Certificeren
A – te Auditen
M – te Meten
P – te Presenteren (aanwezigheidscheck)

Wanneer gebruik je NPR 5325?

De norm bespreek de volgende drie overdrachtsscenario’s:

  1. Zelf onderhouden, als de software zelf ontwikkeld is en door een beheerteam beheerd gaat worden.
  2. Onderhoud uitbesteden, als de software voor het eerst aan een externe beheerpartij uitbesteed wordt.
  3. Onderhoud opnieuw uitbesteden, als er een nieuwe externe partij gekozen wordt die het beheer over gaat nemen.

Ook worden enkele risico’s voor de overdracht van broncode besproken. Deze risico’s zijn gebaseerd op de softwareattributen, en wat daar mis mee kan gaan.

Wanneer gebruik je NPR 5325 niet?

ICT Institute doet regelmatig IT Due Diligence onderzoeken (ITDD). Hierbij wordt gekeken naar de kwaliteit van software en IT-processen in opdracht van een investeerder. Hierbij gebruiken we de standaard niet, omdat deze te formeel is. Als er intern software wordt ontwikkeld volgens een Agile proces, en de software hoeft niet aan een ander team te worden overgedragen, dan zijn de documenten uit deze standaard niet nodig.

Meer weten

NPR 5325 is, in tegenstelling tot veel andere normen en standaarden, gratis te downloaden. Om de gratis versie te ontvangen moet je wel een account aanmaken en ontvang je een factuur van 0 euro. Hoewel de standaard gratis is, mag hij niet zomaar verspreid worden. Bij het “kopen” van de gratis standaard ontvang je het document in PDF, met onderop een watermerk wie de het “gekocht” heeft.

Mocht u een vraag hebben, of assistentie bij broncode (overdracht) beoordeling willen, neem dan contact met ons op door middel van de contactgegevens onderaan deze pagina. Mocht u ons tijdens een opdracht broncode versturen, dan vragen wij u kennis te nemen van onze handleiding veilige codeoverdracht.

Ook dit artikel bediscussiëren wij graag in de open Linkedin Groep ‘Information Security NL’.  Information Security NL is een (gratis) discussiegroep voor kennisdeling over informatiebeveiliging, en daarmee een goede plek om meer te weten te komen over informatiebeveiliging. Voor meer artikelen over information-security, kijk dan op onze pagina met alle security-artikelen.

 

Image credit: @Erika Giraud via Unsplash

Author: Joost Krapels
Joost Krapels MSc. heeft zijn BSc. in Artificial Intelligence en zijn MSc. in Information Sciences gehaald aan de VU Amsterdam. Bij ICT Institute adviseert hij over informatiebeveiliging (CISSP, Security+, IRCA/CQI Lead Auditor), privacy (CIPP/E), praktisch toepassen van de AVG, en voert hij IT Due Diligence onderzoek uit.