Opdrachtbeschrijving
Prestatie-opdracht voor zelfstandig opleveren van gap-analyse tussen huidige GitOps werkwijze van het Logius Private Cloud platform (LPC) en de vigerende en relevante wet- en regelgeving; advies uitbrengen om de geconstateerde delta op te lossen en GitOps voor LPC compliant te maken. Zie het kopje deelresultaten – deliverables voor de specifiek op te leveren deelproducten. Aanbieder stelt een gap-analyse op tussen de huidige GitOps werkwijze en relevante wet- en regelgeving, stelt maatregelen voor om de geconstateerde delta op te lossen en vat deze samen in een actieplan voor implementatie van de maatregelen. Deze opdracht ziet erop toe om advies te geven en een actieplan op te leveren voor implementatie van de maatregelen voor LPC om toe te kunnen werken naar een situatie waar continuous compliance het uitgangspunt is.
Criteria voor de deliverables adviesrapport en implementatieplan
- Moeten aansluiten bij capabilities die in de ART & bij het LPC platform aanwezig zijn;
- Moeten passen binnen architectuur ontwerp LPC;
- Moeten voorzien in informatiebehoefte van de LPC architecten;
Deelresultaten – deliverables
- Analyse en advies rapport van de bestaande GitLab inrichting en beveiliging van de voortbrengingsketen met voorstel voor maatregelen en advies voor verbeterpunten op basis van geconstateerde delta.
- Met daarin opgenomen (deel opleveringen):
- Ontwerp GitLab inrichting voor refactor van configuratie, pipelines, en aanbrengen van SecOps tooling.
- Ontwerp van een standaard inrichting en opbouw van componenten die samen het platform vormen, uitgaande van de bestaande situatie (geen greenfield).
- Ontwerp standaard component voor geautomatiseerd testen, patchen en promoten.
- Ontwerp voor het (geautomatiseerd) toepassen van beveiligingsmaatregelen, zoals SAST, DAST, (runtime) vulnerability scanning, threat detection, etc.
- Ontwerp security architectuur Gitlab, waaronder secret management voor secrets beleid op basis van een externe kluis. Uitgaande van stricte toepassing van normen.
- Continuous compliance dashboard voor informatievoorziening continuous compliance.
- Kennisoverdracht en documentatie aan het team om zelfstandig de implementatie en het onderhoud van de maatregelen te kunnen voortzetten.
Eindresultaat
Na analyse een gefundeerd advies (obv de opgeleverde deelresultaten) aan trojka zodat besluitvorming op basis van bovenstaande producten plaats kan vinden. Daarnaast kennisoverdracht naar andere architecten en dev-ops engineers om zichzelf na afronding opdracht overbodig te maken.
Achtergrond opdracht
Bij LPC wordt van meet af aan gebruik gemaakt van een GitOps werkwijze. Het gebruik van GitLab en tools als Flux en ArgoCD staan hierbij centraal. Alle configuratie wordt as-code beheerd. Het container platform moet voldoen aan verschillende eisen die worden gesteld aan inrichting, beveiliging en werkwijzen, zoals benoemd in de ISO 27001/2, BIO 2, de Cyberbeveiligingswet, NIST2 en de AVG. Hiervoor worden regelmatig audits uitgevoerd. In de loop der tijd heeft het platform verschillende ontwikkelingen ondergaan waardoor de consistentie in de GitOps workflow tussen componenten en teams uit elkaar loopt. Hierdoor kost het meer tijd en moeite om te voldoen aan de steeds strengere normen. Compliancy moet het eenvoudiger maken om aan te tonen dat aan alle wet en regelgeving is voldaan, en versterkt daarmee de basisbeveiliging van het platform. Een andere belangrijke factor is dat de complexiteit van het platform kan afnemen door standaardisering. Onboarding van nieuwe medewerkers moet eenvoudiger worden door duidelijke standaarden die goed zijn gedocumenteerd.
Organisatorische context en cultuur
Logius
Logius gelooft in een overheid die altijd, overal en voor iedereen beschikbaar en toegankelijk is. Daarom bieden we publieke organisaties producten en diensten waarmee we er samen voor zorgen dat burgers en bedrijven digitaal zaken kunnen regelen met de overheid. Dat doen wij betrouwbaar, vakkundig en in eenvoud. Ga je bij Logius aan de slag, dan zet je jouw kennis en ervaring in voor heel Nederland. Samen met fijne en behulpzame collega’s werk je (agile) aan een digitale overheid voor iedereen. En dat in een omgeving waar je de vrijheid en verantwoordelijkheid krijgt om de zaken op te pakken die jij belangrijk vindt. Waar innovatie centraal staat. En waar je alle kansen krijgt om je verder te ontwikkelen. Wees welkom in het hart van de digitale overheid!
KOOP
KOOP, het Kennis- en Exploitatiecentrum voor Officiële Overheidspublicaties, is de drijvende kracht achter de grootste portalen met overheidsinformatie op internet: overheid.nl, wetten.nl en officiëlebekendmakingen.nl. KOOP ondersteunt daarmee alle overheidsorganisaties in Nederland om elke dag informatie zoals wet- en regelgeving, parlementaire stukken, vergunningen en internationale verdragen te publiceren.
- Iedereen heeft recht op betrouwbare en toegankelijke overheidsinformatie.
- Het Kennis- en Exploitatiecentrum Officiële Overheidspublicaties (KOOP) is de digitale uitgever van de overheid en de drijvende kracht achter digitale ontsluiting van wet- en regelgeving.
- Wij staan voor laagdrempelige toegang tot officiële overheidsinformatie.