Azure DevOps Governance

Onze organisatie werkt met Azure DevOps (ADO), om te voldoen aan ons beleid en eisen van security en compliance willen wij een heldere, eenduidige governance inrichten, inclusief standaarden, policies en processen. Doel van de opdracht: het ontwerpen, implementeren en borgen van ADOgovernance, inclusief praktisch handboek, migratiehandleiding, toegangsbeheer volgens RBAC/PIM/least privilege, werkende projectrichtlijnen (repo’s, pipelines, artifacts, testplans, etc), en monitoring & rapportage. 2. Scope van de Opdracht De scope omvat Azure DevOps, Repositories, Pipelines, Test Plans, Artifacts en self hosted agent hosts in Azure. Er is een functioneel beheerder voor de Azure Boards de aanpak en inrichting moet aansluiten op wat er binnen deze omgeving al staat. 3. Werkzaamheden (Taken) 1. Governance ontwerp & inrichting o Opzetten van standaarden, policies en processen voor ADO (projectstructuur, naming, templates, quality gates). o Inrichten van code review en goedkeuringsflows (PR policies, mandatory reviewers, checks). o Beleggen van securitymaatregelen (secret management, scanning, service connections, runtime isolation, Defender for Cloud). 2. Repo’s & Pipelines richtlijnen o Richtlijnen voor repositories (structuur, ownership, rechten, tagging, retention). o Pipeline standaarden (YAML templates, herbruikbare templates, environments, approvals, gates). o Integratie van security scans (SAST/DAST/SCA/OSS, container scanning), artifact signing, supplychain controls, Defender for Cloud DevOps security Advanced Security. 3. Toegangsrechten & Rollen o Ontwerp en beheer volgens RBAC, PIM (Just In Time), en least privilege. o Rollen- en rechtenmatrix, segregatie of duties (SoD), beheer van service accounts en service connections. 4. Praktisch Handboek o Samenstellen van een hands on governance handboek met alle richtlijnen, processen, checklists, standaard templates en voorbeeldconfiguraties. 5. Monitoring, Naleving & Rapportage o Dashboards en audits (technisch & proces) voor naleving governance. o Rapportages (bijv. 2 wekelijks/maandelijks) met KPI’s, bevindingen, verbeteracties. 6. Overdracht & Borging o Kennisoverdracht aan beheer/CCoE, train the trainer, en overdrachtsdocumentatie.