Algemene eisen aan de IT-dienstverlening

Transcriptie

1

2 Inhoudsopgave 1 TOEPASSING TEMPLATE INLEIDING CONTEXT FEEDBACK AFKORTINGEN SERVICE LEVEL MANAGEMENT EN SERVICE NIVEAU RAPPORTAGE BEHEERPROCESSEN EN PROCEDURES INCIDENTBEHEER PROBLEEMBEHEER WIJZIGINGENBEHEER CONFIGURATIEBEHEER RELEASEBEHEER TECHNISCH BEHEER BESCHIKBAARHEIDSBEHEER, CAPACITEITSBEHEER EN PERFORMANCE BEVEILIGINGSBEHEER ICT CONTINUÏTEITSBEHEER KETENBEHEER Pagina 2 van 24

3 Wijzigingsblad Versiebeheer Versie Datum versie Samenvatting van de aanpassingen Gemarkeerde wijzigingen juni 2008 Oplevering template t.b.v. toepassing door ITMG-specialisten. Initiële template IT Management Group De IT Management Group is een samenwerkingsverband van adviseurs en specialisten op het gebied van Outsourcing, Servicemanagement, Risico- en Kostenbeheersing. ITMG ondersteunt zowel profit als nonprofit organisaties bij het inrichten en veranderen van het IT Management. ITMG biedt adviseurs en specialisten de mogelijkheid om als team te opereren en binnen de verbondenheid van dat team kennis, kunde en ervaringen te delen terwijl zij volledig zelfstandig blijven ITMG biedt organisaties gedreven, deskundige professionals die kunnen rekenen op ondersteuning van hun teamgenoten. U als opdrachtgever kunt vertrouwen op de kracht, kennis en kunde van een team van goed op elkaar afgestemde en verbonden professionals. Voor meer informatie over de kwaliteit en klanten van ITMG, zie. Pagina 3 van 24

4 1 Toepassing template 1.1 Inleiding Dit document is een startdocument om te komen tot een definitieve set van eisen en wensen en kan worden toegepast in bijvoorbeeld een (Europees) aanbestedingstraject dan wel in een situatie waarin de klantorganisatie een audit wil laten uitvoeren op de dienstverlening die is uitbesteed aan een bedrijf dat gespecialiseerd is in technisch beheer. In deze template zijn de algemene eisen en wensen beschreven die kunnen worden gesteld aan een technisch beheerpartij wanneer een (regie)organisatie overgaat tot outsourcing van het technisch beheer. Voor de eisen op het gebied van beveiliging is het aan te bevelen een apart document op te stellen. Hiervoor is door ITMG eveneens een template ontwikkeld onder de naam Template Beveiligingseisen. 1.2 Context Het is van belang dit document in de juiste context te plaatsen. Zo dient de ITMG-specialist die dit document gaat toespitsen op de klantorganisatie op de hoogte te zijn van de structuur van de organisatie en de ontwikkelingen op korte en (half)lange termijn. Denk hierbij aan de strategie van de organisatie in de vorm van een Referentie Architectuur of aan overige regels en richtlijnen van de klantorganisatie. Ook dient de specialist op de hoogte te zijn van de ontwikkelingen in de markt ten einde voor de klantorganisatie maximale aansluiting te kunnen vinden bij de markt. Dit vergroot de herkenbaarheid van processen en procedures en zorgt ervoor dat medewerkers die betrokken zijn bij de outsourcing - dus zowel van de klantorganisatie als van de leverancier van de uitbestede dienst - elkaar begrijpen. De template dient als leidraad en zal in samenspraak met de klant moeten worden uitgewerkt tot een door de klant gewenste set van eisen en wensen. Bij elke eis bestaat de mogelijkheid om in de derde kolom aan te geven of het daadwerkelijk een Eis van de klantorganisatie betreft, of dat deze eis minder prioriteit heeft en als Wens kan worden gecategoriseerd (E/W). 1.3 Feedback Heeft u vragen over de toepassing van dit document of opmerkingen over de inhoud van het document? Wij verzoeken u vragen over of feedback op dit document via de ITMG Specialistensite aan de IT Management Group door te geven. Vermeld daarbij a.u.b. duidelijk de documentnaam, het versienummer van het document, paginanummer en de eigen naam. Pagina 4 van 24

5 1.4 Afkortingen Tot slot een overzicht van de gebruikte afkortingen in dit document: Afkorting CI CMDB IPH LCI RfC SLA SNR Voluit Configuratie Item Configuratie Management Database Infrastructuur Productie Handleiding Logisch Configuratie Item Request for Change Service Level Agreement Service Niveau Rapportage Pagina 5 van 24

6 2 Service Level Management en Service Niveau Rapportage 2 Service Level Management E/W 2.1 Tussen Opdrachtnemer en Opdrachtgever zal een SLA worden afgesloten waarin wordt vastgelegd het kwaliteitsniveau van de dienstverlening dat door Opdrachtgever is geëist tijdens de exploitatiefase. De SLA heeft betrekking op alle ondersteunende diensten voor het betreffende informatiesysteem die noodzakelijk en wenselijk zijn om de processen volwaardig en ongestoord te laten verlopen. De structuur van de SLA wordt door Opdrachtgever bepaald. De procedures en afspraken over de dienstverlening worden per informatiesysteem in een DAP verwoord. Voor toekomstige informatiesystemen worden SLA s en DAP s afgesproken met de Opdrachtnemers die eenzelfde structuur zullen hebben waarbij afwijkende normen, procedures en afspraken kunnen worden overeengekomen. 2.2 Opdrachtnemer toont aan, zowel regulier als op verzoek, dat zij het afgesproken niveau van dienstverlening nakomt dan wel de nodige acties onderneemt om dit na te kunnen komen. 2.3 Opdrachtnemer signaleert aan Opdrachtgever vooraf of waar dit niet mogelijk is zo spoedig mogelijk indien het afgesproken niveau niet kan worden nagekomen of is nagekomen. 2.4 Opdrachtnemer is verantwoordelijk voor de leverprestaties van de door hem ingeschakelde onderaannemers en rapporteert hier periodiek over aan Opdrachtgever. 2.5 De toetsing en rapportages door of namens Opdrachtnemer richten zich naast het terugkijken op naar de in het verleden geleverde prestaties tevens op het benoemen van verbeteractiviteiten voor de toekomst. 2.6 Opdrachtnemer maakt trendanalyses ten aanzien van ontwikkelingen die de exploitatie negatief kunnen beïnvloeden. 2.7 Opdrachtnemer rapporteert over maatregelen om negatieve trends, zoals benoemd onder 2.6, te kunnen ondervangen. 2.8 De maandelijkse rapportage door Opdrachtnemer bevat naast actuele meetwaarden en cumulatieve jaargegevens tevens trendinformatie in de vorm van grafisch weergegeven leverprestaties over langere periodes. 2.9 Opdrachtnemer benadert Opdrachtgever op eigen initiatief en benoemt correctieve acties in geval een ongewenste trend optreedt SLA en DAP en daaruit voortkomende rapportages of overige documenten die gerelateerd zijn aan de dienstverlening die Opdrachtgever afneemt van Opdrachtnemer dienen te zijn opgesteld in de Nederlandse taal De SLA is de basis waarop aan de Opdrachtgever zal worden gerapporteerd Er moet zijn gewaarborgd dat de nieuw overeen te komen SLA periodiek en minimaal jaarlijks gezamenlijk geëvalueerd wordt De SNR wordt zowel schriftelijk als elektronisch beschikbaar gesteld aan Opdrachtgever De definitieve SNR wordt na bespreking en vaststelling nogmaals in definitieve vorm, zowel schriftelijk als elektronisch, opgeleverd aan Opdrachtgever. Pagina 6 van 24

7 2.15 Op verzoek van Opdrachtgever moeten alle historisch geleverde SNR s aan Opdrachtgever zowel schriftelijk als elektronisch ter beschikking kunnen worden gesteld Diensten die door Opdrachtnemer worden afgenomen van derden, en die deel uitmaken van de dienstverlening in zijn geheel moeten door Opdrachtnemer worden aangeboden als onderdeel van de dienstverlening richting Opdrachtgever Opdrachtnemer rapporteert periodiek conform de eisen in de SLA aan Opdrachtgever de gerealiseerde service levels. Naast de standaard rapportages die de Opdrachtnemer kan aanbieden vereist Opdrachtgever in ieder geval één overall rapportage waarin de kwaliteit van de dienstverlening over de gehele keten wordt weergegeven. Deze rapportage omvat: de hardware en software component monitorgegevens in het door Opdrachtgever vastgestelde formaat zoals de conversie van de meetgegevens van CI naar LCI; de geïmporteerde gegevens van E2E monitoring (uit een door Opdrachtgever aan te wijzen E2E monitoring tool); de verklaring van afwijkingen; gegevens over E2E-metingen van onbeschikbaarheid afgezet tegen de gerelateerde en beschikbare LCI s en vice versa; SLA-normafwijkingen (bijv. lagere E2E beschikbaarheid dan componentbeschikbaarheid); een analyse van de oorzaken van de verstoringen, problemen en bekende fouten; aanbevelingen voor het voorkomen van incidenten (SIP). Pagina 7 van 24

8 3 Beheerprocessen en procedures 3 Beheerprocessen en - procedures E/W 3.1 De beheerprocessen en -procedures zoals beschreven in SLA en DAP worden door Opdrachtnemer geaccepteerd. 3.2 Er moet te allen tijde een actuele vastlegging/beschrijving zijn van de beheerprocessen zoals bedoeld onder 3.1. Minimaal zijn de volgende zaken per proces beschreven: doel van het proces; de procesverantwoordelijke; de relatie met andere processen; de relatie met de beheerprocessen van Opdrachtgever evenals de bijbehorende koppelvlakken; het procesverloop; toelichting per processtap, wie doet wat wanneer; de taken, bevoegdheden en verantwoordelijkheden van de bij het proces betrokken medewerkers. 3.3 Er moet een actuele vastlegging zijn van de bij de beheerprocessen behorende procedures. 3.4 Ter waarborging van de kwaliteit van elk beheerproces moet het proces periodiek worden geëvalueerd. De bevindingen uit de beoordelingen worden gerapporteerd aan Opdrachtgever en gaan vergezeld van aanbevelingen tot verbetering van het proces. 3.5 Er moet te allen tijde een actuele vastlegging zijn van de eisen die aan een beheerproces worden gesteld. 3.6 Er moeten maatregelen zijn getroffen om de continuïteit van elk beheerproces te kunnen waarborgen. Dit betekent tenminste dat in lijn met de eisen die aan elk beheerproces afzonderlijk worden gesteld: mensen beschikbaar, oproepbaar en vervangbaar zijn; de beschikbaarheid van hulpmiddelen (zoals ondersteunende tools, automatiseringsomgeving en telefooncentrale) gewaarborgd is; er in het geval van calamiteiten richtlijnen zijn om het beheerproces te kunnen continueren; maandelijks managementinformatie beschikbaar wordt gesteld over de mate waarin de beoogde doelstellingen van het beheerproces worden gerealiseerd; alle activiteiten die in het kader van een beheerproces moeten plaatsvinden, belegd zijn; in geval van abnormale omstandigheden escalatie plaatsvindt naar het voor de IT-dienstverlening verantwoordelijke management van Opdrachtnemer teneinde noodmaatregelen te kunnen nemen. 3.7 Vastlegging van de beheerprocessen en procedures geschiedt in de Nederlandse taal. 3.8 In de communicatie die plaatsvindt tussen Opdrachtgever en Opdrachtnemer is de voertaal Nederlands. Pagina 8 van 24

9 4 Incidentbeheer 4 Incidentbeheer E/W 4.1 Incidentbeheer is het proces dat zich richt op het opnemen, registreren, analyseren, oplossen en herstellen, controleren en rapporteren van (potentiële) verstoringen van de IT-dienstverlening, om daarmee de ITdienstverlening op een zo hoog mogelijk niveau te stabiliseren. Dit betekent dat ten minste de volgende of gelijkwaardige maatregelen getroffen zijn: voor elk incident wordt geregistreerd op welk fysiek CI en LCI dit betrekking heeft; van elk incident wordt actuele informatie bijgehouden over de aard, de ernst en de duur van de verstoring; aan elk incident wordt een prioriteit toegekend door classificatie van de urgentie, impact en de ernst zoals beschreven in de SLA van het betrokken informatiesysteem; van elk incident wordt de wijze van afhandeling geregistreerd; van elk incident wordt de historie bewaard. Daarnaast is het, om te kunnen voldoen aan de gestelde algemene norm voor het Incidentbeheerproces, nodig te voldoen aan de navolgende, meer gedetailleerde normen. 4.2 Er moet zijn gewaarborgd dat de Servicedesk van Opdrachtnemer het centrale meldpunt is voor het melden van technische en direct aan de overeengekomen dienstverlening gerelateerde functionele of technische incidenten. 4.3 Er moet zijn gewaarborgd dat de Servicedesk van Opdrachtnemer voor gebruikers bereikbaar is voor het doorgeven van incidenten volgens de eisen die Opdrachtgever aan de bereikbaarheid van de Servicedesk stelt. 4.4 Er moet zijn gewaarborgd dat bij de Servicedesk binnenkomende gesprekken binnen de door Opdrachtgever gestelde norm worden aangenomen. 4.5 Er moet zijn gewaarborgd dat van elke melding de volgende zaken worden vastgelegd: call/itsm-nummer; betrokken LCI en CI; datum en tijd van aanmelding; datum en tijd van afmelding; naam en organisatie aanmelder; naam Servicedeskmedewerker; aard van de melding; oplossing/afhandeling; urgentiecode; status. 4.6 Er moet zijn gewaarborgd dat de urgentiecode van elk incident wordt bepaald in overeenstemming met bepalingen zoals opgenomen in de SLA dan wel naar aanleiding van nader gemaakte afspraken. 4.7 Er moet zijn gewaarborgd dat verstoringen met mogelijk ernstige gevolgen Pagina 9 van 24

10 4 Incidentbeheer E/W direct worden gemeld aan Opdrachtgever. 4.8 Er moet zijn gewaarborgd dat niet door de gebruiker gedetecteerde verstoringen (waargenomen door apparatuur of Opdrachtnemer) worden vermeld in de periodieke rapportage omtrent de dienstverlening. 4.9 Er moet zijn gewaarborgd dat Opdrachtnemer bij het oplossen van incidenten gebruikmaakt van een lijst met problemen en een lijst van bekende fouten. Deze lijst kan te allen tijde worden opgevraagd door Opdrachtgever en wordt dan zowel schriftelijk als elektronisch ter beschikking gesteld aan Opdrachtgever op locatie van Opdrachtgever Er moet zijn gewaarborgd dat Opdrachtnemer het verloop van de afhandeling (historie) en de genomen stappen registreert, inclusief de escalaties die hebben plaatsgevonden. Deze lijst kan te allen tijde worden opgevraagd door Opdrachtgever en wordt dan zowel schriftelijk als elektronisch ter beschikking gesteld aan Opdrachtgever op locatie van Opdrachtgever Er moet zijn gewaarborgd dat van elk incident geregistreerd staat wie de melding in behandeling heeft Procedures moeten waarborgen dat de voortgang van het oplossen van incidenten voortdurend wordt bewaakt Er moet zijn gewaarborgd dat Opdrachtnemer de status van in behandeling zijnde meldingen frequent, conform de aard van het incident, terugmeldt aan de gebruiker Er moet zijn gewaarborgd dat lang openstaande informatieaanvragen en meldingen die niet tijdig dreigen te kunnen worden afgehandeld, gesignaleerd worden Escalatieprocedures moeten waarborgen dat incidenten op efficiënte wijze worden opgelost binnen de daarvoor gestelde tijdsduur. Dit betekent dat deze procedures moeten voorzien in escalatie op het moment dat dreigt dat niet voldaan kan worden aan gestelde kwaliteitseisen Procedures moeten waarborgen dat gebruikersvragen welke niet direct kunnen worden beantwoord, worden geëscaleerd binnen de organisatie van Opdrachtnemer Escalatieprocedures moeten zijn afgestemd op en in gang worden gezet naar aanleiding van de toegekende prioriteit en de al verstreken tijd vanaf het moment van aanmelding en registratie van het incident Er moet zijn gewaarborgd dat een RfC wordt ingediend door de Servicedesk van Opdrachtnemer wanneer een incident niet middels een work-around of andere bekende oplossing verholpen kan worden Er moet zijn gewaarborgd dat de status van de melding wordt veranderd in afgemeld nadat de gereedmelding is teruggekoppeld en/of in de aangevraagde informatie is voorzien Er moet zijn gewaarborgd dat de gereedmelding die wordt teruggekoppeld aan de gebruiker wordt voorzien van de gevraagde informatie Er moet zijn gewaarborgd dat de Servicedesk van Opdrachtnemer verifieert bij de melder van het incident of de verstoring daadwerkelijk is verholpen Er moet zijn gewaarborgd dat Opdrachtgever te allen tijde recht heeft op toegang tot de incidentenregistratie van Opdrachtnemer Er moet zijn gewaarborgd dat Opdrachtnemer direct rapporteert over Pagina 10 van 24

11 4 Incidentbeheer E/W beveiligingsincidenten en de daarop ondernomen acties Periodiek wordt door Opdrachtnemer aan Opdrachtgever gerapporteerd over Incidentbeheer Opdrachtnemer kan door Opdrachtgever aangewezen worden als regievoerder voor incidenten waarbij meerdere ketenpartners betrokken zijn Opdrachtnemer kan door Opdrachtgever aangewezen worden als centraal meldpunt voor incidenten die door andere beheerpartijen van het betreffende informatiesysteem worden gesignaleerd Opdrachtnemer zorgt voor een automatische koppeling van zijn incidentregistratiesysteem met dat van Opdrachtgever, zodat medewerkers van Opdrachtgever en/of een Call Center pro-actief naar de klanten, afnemers en gemeenten kunnen handelen doordat meldingen en bijbehorende informatie in het eigen incidentenregistratiesysteem zijn geïmporteerd Opdrachtnemer stelt een Servicedesk ter beschikking aan Opdrachtgever. De openingstijd van de Servicedesk van Opdrachtnemer is conform de openingstijd zoals geëist in de (concept) SLA tussen Opdrachtgever en Opdrachtnemer. Pagina 11 van 24

12 5 Probleembeheer 5 Probleembeheer E/W 5.1 Het Probleembeheerproces moet waarborgen dat verbeteringsvoorstellen worden opgesteld naar aanleiding van onderzoek naar de achterliggende structurele oorzaak van incidenten. Om te kunnen voldoen aan deze algemeen gestelde norm voor het Probleembeheerproces is het nodig te voldoen aan de navolgende, meer gedetailleerde eisen. Er moet zijn gewaarborgd dat problemen worden onderkend door: afspraken met Incidentbeheer over in welke omstandigheden escalatie naar Probleembeheer plaatsvindt om parallel aan het Incidentbeheerproces alvast te werken aan een structurele oplossing; analyse van incidenten in de verschillende beheerdomeinen; elk incident wordt niet alleen gematcht met andere incidenten en work-arounds, maar wordt ook gematcht met bestaande problemen. In geval geen match voor een bestaand probleem wordt gevonden, wordt een nieuw probleem aangemaakt. 5.2 Er moet zijn gewaarborgd dat van elk onderkend probleem een vastlegging wordt gemaakt in de probleemadministratie. Onderdeel daarvan vormt een inschatting van de urgentie waarmee de achterliggende oorzaak van het probleem moet worden achterhaald, op basis van: Wat is de (toekomstige) impact van het probleem? Op welke termijn gaat c.q. kan deze impact zich manifesteren? Hoe groot is de verwachte moeite die in het implementeren van een structurele oplossing van het incident gestoken moet worden? Is een work-around voor het probleem beschikbaar? 5.3 Er moet zijn gewaarborgd dat naar aanleiding van de classificatie van een probleem besloten wordt of al vervolgstappen genomen worden om de structurele oorzaak achter het probleem te verhelpen. 5.4 Er moet zijn gewaarborgd dat achterhaalde structurele oorzaken geadministreerd worden in een lijst met bekende fouten. 5.5 Er moet zijn gewaarborgd dat het realiseren van de feitelijke oplossing loopt via wijzigingenbeheer en start met het indienen van een RfC. 5.6 Ten behoeve van de voortgangsbewaking voor Probleembeheer dient een administratie bijgehouden te worden waaruit blijkt welke problemen onderkend zijn en in welk stadium van oplossing deze zich bevinden. 5.7 Procedures dienen te waarborgen dat de voortgang van het oplossen van problemen voortdurend wordt bewaakt. 5.8 Er moet zijn gewaarborgd dat geëscaleerd wordt wanneer oplossingen voor problemen te lang uitblijven. 5.9 Er moet zijn gewaarborgd dat de status van de melding wordt veranderd in afgemeld nadat het probleem is verholpen Er moet zijn gewaarborgd dat, op basis van de terugkoppeling uit Wijzigingenbeheer, de voorgestelde oplossing geëvalueerd wordt. Pagina 12 van 24

13 5 Probleembeheer E/W 5.11 Er moet zijn gewaarborgd dat periodiek wordt gerapporteerd aan Opdrachtgever door Opdrachtnemer over Probleembeheer Opdrachtgever moet de mogelijkheid hebben een probleem bij Opdrachtnemer te kunnen aandragen/indienen. Pagina 13 van 24

14 6 Wijzigingenbeheer 6 Wijzingenbeheer E/W 6.1 Er moet gewaarborgd zijn dat alle aanvragen voor wijzigingen en onderhoud van systemen en relaties gestandaardiseerd zijn en worden behandeld volgens de afgesproken procedures rondom wijzigingenbeheer. 6.2 Wijzigingen aan en/of vervanging van de programmatuur mag niet tot gevolg hebben dat diensten niet meer aan de eisen en specificaties voldoen zoals vastgelegd in de SLA en/of andere documenten die verband houden met de tussen Opdrachtgever en Opdrachtnemer overeengekomen dienstverlening. 6.3 Er moet zijn gewaarborgd dat alleen gecontroleerd aangeleverde RfC s (via de Service Level Manager, Functioneel Beheerder of andere specifiek benoemde contactpersonen van de beheerorganisatie van Opdrachtgever) in behandeling worden genomen. 6.4 Er moet zijn gewaarborgd dat elk RfC wordt geregistreerd in de wijzigingenadministratie en dat daarbij het moment van ontvangst, het moment van indienen bij Opdrachtgever, het moment van acceptatie door Opdrachtgever en het moment van implementatie van het RfC wordt vastgelegd. 6.5 Er moet zijn gewaarborgd dat van elk wijzigingsverzoek middels urgentie en impact - de prioriteit wordt vastgesteld door de door Opdrachtgever daartoe aangewezen Service Level Manager. 6.6 Er moet zijn gewaarborgd dat de afgesproken procedure wordt doorlopen voor het vaststellen van de urgentie, impact en ernst van de wijziging. 6.7 Er moet zijn gewaarborgd dat Opdrachtgever op de hoogte wordt gebracht van de overeengekomen urgentie, impact en ernst van de wijziging. 6.8 Er moet zijn gewaarborgd dat de status van het RfC in de wijzigingenadministratie wordt bijgewerkt naar aanleiding van elk genomen besluit. 6.9 Er moet zijn gewaarborgd dat een actuele planning beschikbaar is van de realisatie en voorziene implementatie van elk geautoriseerd RfC, rekening houdend met de afspraken die gemaakt zijn over beschikbaarheid Er moet zijn gewaarborgd dat bij de implementatie van een RfC een actueel en met Opdrachtgever overeengekomen implementatie- c.q. stappenplan gebruikt wordt Er moet zijn gewaarborgd dat ten tijde van implementatie een fallbackscenario beschikbaar is om in geval van onvoorziene problemen de wijziging terug te kunnen draaien Er moet zijn gewaarborgd dat het in gebruik nemen van nieuwe/gewijzigde diensten geschiedt aan de hand van vooraf vastgelegde afspraken over de acceptatie van de dienst door Opdrachtgever Er moet zijn gewaarborgd dat uitgevoerde wijzigingen tijdig worden teruggekoppeld aan de Servicedesk, Incidentbeheer en Probleembeheer van Opdrachtnemer, alsmede aan de Service Level Manager en Functioneel Beheerder(s) van Opdrachtgever ter communicatie binnen de organisatie van Opdrachtgever. Pagina 14 van 24

15 6 Wijzingenbeheer E/W 6.14 Er moet zijn gewaarborgd dat het realiseren en testen van wijzigingen geen onvoorziene en niet overeengekomen neveneffecten kan hebben op de afgesproken beschikbaarheideisen Er moet zijn gewaarborgd dat elke gerealiseerde wijziging aan de hand van formele procedures getest wordt voor implementatie. De test dient erop gericht te zijn om vast te stellen in welke mate de wijziging invloed heeft op: de werking en functionaliteit van de dienstverlening; effect op de (kwaliteit van) de dienstverlening zoals gedefinieerd in de SLA; impact op de beveiliging, capaciteit, performance en betrouwbaarheid van de IT-dienstverlening Er moet zijn gewaarborgd dat testrapporten worden opgesteld naar aanleiding van uitgevoerde testwerkzaamheden en dat deze door Opdrachtnemer ter beschikking worden gesteld aan Opdrachtgever Er moet zijn gewaarborgd dat voor elke implementatie formele toestemming is gegeven van Opdrachtgever op grond van onder andere de aanwezigheid van testrapporten, impactanalyses en fallbackscenario s Er moeten voldoende maatregelen zijn getroffen om te waarborgen dat onderhoud aan de dienst geautoriseerd plaatsvindt. Dit wil zeggen dat aan elke onderhoudshandeling een geautoriseerd RfC of geautoriseerd onderhoudsplan ten grondslag dient te liggen en dat dit uitsluitend conform verzoek wordt uitgevoerd Er moet zijn gewaarborgd dat onderhoud uitsluitend plaatsvindt binnen de grenzen van de afgesproken beschikbaarheid Er moet zijn gewaarborgd dat Opdrachtnemer inzicht heeft in de planning van werkzaamheden die aan (onderdelen van) de dienstverlening moeten worden verricht door door Opdrachtnemer ingeschakelde onderaannemers Er moet zijn gewaarborgd dat door Opdrachtnemer ingeschakelde onderaannemers die werkzaamheden hebben verricht aan (onderdelen van) de dienst daarvan terugkoppeling geven, waarbij aangegeven wordt welke handelingen uitgevoerd zijn en tot welke wijzigingen deze handelingen hebben geleid Er moet zijn gewaarborgd dat de uitvoering van werkzaamheden van door Opdrachtnemer ingeschakelde onderaannemers geen onvoorziene en niet overeengekomen neveneffecten heeft op de afgesproken beschikbaarheideisen Er moet zijn gewaarborgd dat documentatie en procedures, behorend bij gewijzigde (onderdelen van) de dienst, vóór het doorvoeren van de wijziging worden geactualiseerd Procedures moeten waarborgen dat de voortgang van het implementeren van wijzigingen voortdurend wordt bewaakt Er moet zijn gewaarborgd dat lang openstaande RfC s die niet tijdig dreigen te kunnen worden afgehandeld, gesignaleerd worden Er moet zijn gewaarborgd dat Opdrachtgever tijdig op de hoogte wordt gesteld wanneer RfC s niet binnen de afgesproken termijn kunnen worden afgehandeld Escalatieprocedures moeten waarborgen dat wijzigingen op efficiënte Pagina 15 van 24

16 6 Wijzingenbeheer E/W wijze worden doorgevoerd binnen de daarvoor gestelde tijdsduur. Dit betekent dat deze procedures moeten voorzien in escalatie op het moment dat niet kan worden voldaan aan de afspraken Er moet zijn gewaarborgd dat indien een RfC een mutatie tot gevolg heeft voor een CI dat onderdeel uitmaakt van de totale dienst, dit CI en eventueel LCI tijdig wordt bijgewerkt in de CMDB Er moet zijn gewaarborgd dat RfC s periodiek geëvalueerd worden, waarbij ingegaan wordt op de vraag of er onvoorziene en/of ongewenste neveneffecten zijn (geweest) voor de functionaliteit, beschikbaarheid, capaciteit, performance en beveiliging van de IT-dienstverlening Periodiek wordt door Opdrachtnemer aan Opdrachtgever gerapporteerd over wijzigingenbeheer Opdrachtnemer neemt deel aan de acceptatieprocedure zoals deze door Opdrachtgever is gedefinieerd. Hiertoe volgt de Opdrachtnemer de procedures, templates en planning die Opdrachtgever opstelt en zet tijdig de mensen met de juiste competenties in om de afgesproken resultaten juist, volledig en tijdig op te leveren Opdrachtnemer participeert op verzoek van Opdrachtgever in projecten en wijzigingen aangaande de informatiesystemen van Opdrachtgever Opdrachtnemer draagt zorg voor het definiëren van nieuwe standaard wijzigingen door per kwartaal de wijzigingen over het afgelopen jaar te evalueren en te kijken welke nieuwe standaard wijzigingen mogelijk zijn. Nadat de nieuwe standaard RfC s door het CAB van Opdrachtgever zijn geaccordeerd, worden deze toegevoegd aan het DAP. Pagina 16 van 24

17 7 Configuratiebeheer 7 Configuratiebeheer E/W 7.1 Elk CI heeft een unieke identificatie. Deze identificatie wordt in de CMDB geregistreerd. De CMDB bevat de actuele configuratiegegevens van alle componenten die onderdeel zijn van de dienst en van de middelen die worden ingezet voor de IT-dienstverlening. 7.2 Er moet zijn gewaarborgd dat in de CMDB een relatie wordt gelegd tussen de LCI s en CI s. 7.3 Er moet zijn gewaarborgd dat in de vastgelegde configuratierecords zowel de actuele status als de geschiedenis van de statuswijzigingen is en blijft opgenomen. 7.4 Het configuratiebeheersysteem bevat van elk CI dat onderdeel uitmaakt van de dienst, de naam van de eigenaar. In geval van CI s die onderhouden worden door derden is dat de naam van de betreffende organisatie. 7.5 Er moet zijn gewaarborgd dat de CI s zoals geregistreerd in de CMDB in overeenstemming zijn met de feitelijke configuratie van de dienst. 7.6 Er moet zijn gewaarborgd dat periodiek wordt gecontroleerd dat geen gebruik wordt gemaakt van ongeautoriseerde componenten. 7.7 Er moet zijn gewaarborgd dat te allen tijde actuele configuratie-informatie beschikbaar is voor Incident-, Probleem- en Wijzigingenbeheer alsmede voor andere doeleinden en op verzoek van medewerkers van Opdrachtgever en Opdrachtnemer. 7.8 Op verzoek van Opdrachtgever dient een uitdraai beschikbaar te worden gesteld aan Opdrachtgever van de actuele vastlegging van de LCI s, de koppeling daarvan met de CI s alsmede de bijbehorende opgeslagen informatie zoals attributen, historie, status, eigenaar e.d. Pagina 17 van 24

18 8 Releasebeheer 8 Releasebeheer E/W 8.1 Opdrachtnemer beheert naast de productie-omgeving desgewenst conform beschrijving in de concept SLA ook bijvoorbeeld een acceptatieomgeving, uitwijkomgeving en/of proefomgeving die functioneel identiek is en blijft aan de productie-omgeving. 8.2 Opdrachtnemer voert alleen wijzigingen door die door Opdrachtgever zijn geaccepteerd in de acceptatie-omgeving. Uitzonderingen hierop moeten door Opdrachtgever en Opdrachtnemer zijn goedgekeurd. 8.3 Opdrachtgever kan van Opdrachtnemer aanvullende omgevingen verlangen die funcitoneel identiek zijn aan de productie-omgeving, zoals een ontwikkelomgeving, testomgeving, trainingsomgeving en dergelijke. 8.4 Voor alle omgevingen die Opdrachtnemer beheert voor Opdrachtgever worden de afwijkingen ten opzichte van de productie-omgeving besproken. Het betreft afwijkingen v.w.b. bijvoorbeeld de SLA, DAP, infrastructuur, applicaties etcetera. 8.5 De beheerkosten van een ontwikkel-, test, trainings-, acceptatie-, uitwijk-, of proefomgeving worden uitgedrukt in een percentage van de productieomgeving, tenzij dit niet mogelijk is omdat er bijvoorbeeld alleen een acceptatie-omgeving voorhanden is. 8.6 Opdrachtnemer houdt een releaseplanning bij van uit te rollen hardware en software en stemt deze af met Opdrachtgever. 8.7 Opdrachtnemer houdt een releaseline per informatiesysteem bij volgens de template van Opdrachtgever (inventarisatie van hardware en software per informatiesysteem). Bij elke wijziging wordt de releaseline geactualiseerd en aan Opdrachtgever ter goedkeuring aangeboden. 8.8 Opdrachtnemer is verantwoordelijk voor de aanschaf en het bewaken van de vereiste licenties, de verlenging daarvan, de vereiste seats en alle bijbehorende zaken op dit gebied die van belang zijn voor het gebruik van systeemprogrammatuur. 8.9 Opdrachtnemer borgt de synchronisatie van de productie-omgeving met alle andere omgevingen. Pagina 18 van 24

19 9 Technisch beheer 9 Technisch beheer E/W 9.1 Er moet zijn gewaarborgd dat de juistheid en volledigheid van de handelingen die worden uitgevoerd door technisch beheer gegarandeerd zijn door de aanwezigheid van een actuele IPH en procedures voor terugkerende werkzaamheden. Opdrachtnemer is verantwoordelijk voor het opstellen van de IPH. 9.2 Er moet zijn gewaarborgd dat handelingen van de medewerkers die belast worden met het technisch beheer worden vastgelegd/gelogd zodat daarop kan worden teruggegrepen in geval van problemen. 9.3 Opdrachtnemer borgt dat zowel de systeemprogrammatuur, maatwerkprogrammatuur, configuraties als databestanden periodiek worden veiliggesteld conform de eisen zoals gesteld in de SLA, het DAP en de Beveiligingsparagraaf. 9.4 Opdrachtnemer monitort alle in de SLA genoemde (L)CI s op beschikbaarheid, capaciteit en beveiliging, alsmede alle (L)CI s die bepalend zijn voor het realiseren van de SLA normen. De frequentie van monitoren is standaard 5 minuten. Hiervan kan in overeenstemming met Opdrachtgever worden afgeweken. 9.5 Op basis van de door Opdrachtgever en Opdrachtnemer overeengekomen drempelwaardes per meetgegeven definieert, installeert, configureert en exploiteert Opdrachtnemer alerts die automatisch worden doorgestuurd als incident naar de Servicedesk van Opdrachtnemer. 9.6 Opdrachtnemer bewaart de loggegevens van de infrastructuur, systeemprogrammatuur en maatwerkprogrammatuur gedurende de in de SLA genoemde termijn. 9.7 Opdrachtnemer voert periodiek een restore test uit voor de met de backup procedure uitgevoerde back-ups. 9.8 Opdrachtnemer voert alle technische beheertaken uit voor wat betreft de hardware, het netwerk en de netwerkcomponenten, systeemprogrammatuur, middleware en de standaardprogrammatuur. Het technisch beheer betreft het installeren, configureren en exploiteren van de genoemde middelen. 9.9 Op verzoek van Opdrachtgever dient een uitdraai zowel elektronisch als schriftelijk - beschikbaar te worden gesteld aan Opdrachtgever van de actuele vastlegging van de IPH en daaraan gerelateerde procedures. Pagina 19 van 24

20 10 Beschikbaarheidsbeheer, Capaciteitsbeheer en Performance 10 Beschikbaarheidsbeheer, Capaciteitsbeheer en Performance E/W 10.1 De processen ten behoeve van beschikbaarheid, capaciteit en performance dienen te waarborgen dat de beschikbaarheid, toereikende capaciteit en prestaties van de IT-dienstverlening gewaarborgd zijn. Genoemde processen worden generiek beschreven. De opzet, het bestaan en de werking dient binnen het contract en dus zonder extra kosten jaarlijks te worden getoetst door een onafhankelijke auditor en te worden gerapporteerd aan Opdrachtgever, inclusief een plan van aanpak waarin beschreven staat welke maatregelen worden genomen om tekortkomingen te herstellen naar het afgesproken niveau van dienstverlening Er moet zijn gewaarborgd dat de actuele prestaties en de beschikbaarheid van componenten continu gemonitord worden en dat onregelmatigheden leiden tot incidentmeldingen Er wordt een beheertool ingericht waarmee de prestaties en de beschikbaarheid van de verschillende onderdelen van de dienstverlening continu worden gemonitord. Deze beheertool geeft - in geval van overschrijding van een overeengekomen drempelwaarde automatisch een signaal af richting de technisch beheerders Er moet zijn gewaarborgd dat periodiek onderzoek en waar mogelijk trendanalyse wordt uitgevoerd naar capaciteits-, performance- en beschikbaarheidsaspecten van de dienst (zoals de toereikendheid van de back-up voorzieningen, redundante componenten, reservevoorraden). Dit onderzoek dient te leiden tot (geactualiseerde) beschikbaarheids-, capaciteits- en performanceplannen Er moet zijn gewaarborgd dat maandelijks een betrouwbaar overzicht wordt opgesteld over de actuele beschikbaarheid en prestaties van de dienst versus de afgesproken beschikbaarheideisen Overzicht van de actuele beschikbaarheid en prestatie versus afgesproken beschikbaarheideisen maakt deel uit van de SNR die wordt uitgebracht aan de door Opdrachtgever daartoe aangewezen Service Level Manager Er moet zijn gewaarborgd dat voldaan wordt aan de beschikbaarheideisen die zijn geformuleerd in de SLA Opdrachtnemer is verantwoordelijk voor de realisatie van zowel de beschikbaarheidnormen, capaciteitsnormen, performancenormen als de beveiligingsnormen. Hij dient dit te borgen door de volgende maatregelen te nemen: voor nieuwe of gewijzigde informatiesystemen worden waar nodig performance stresstesten uitgevoerd in de acceptatie-omgeving. Hierbij wordt niet alleen de norm getoetst maar worden ook de grenzen aan de performance bepaald; middels trendanalyses worden de normen pro-actief bewaakt De beschikbaarheideisen zullen minimaal bestaan uit eisen die per component worden gesteld aan de openstelling, servicetijden, responstijden, maximum aantal en duur van storingen per te hanteren Pagina 20 van 24

21 10 Beschikbaarheidsbeheer, Capaciteitsbeheer en Performance E/W periode Er moeten voldoende reservecomponenten op voorraad zijn om falende componenten te kunnen vervangen. Opdrachtnemer dient zorg te dragen voor de aanschaf van deze componenten, die vervolgens eigendom zijn van Opdrachtgever. Pagina 21 van 24

22 11 Beveiligingsbeheer De eisen ten aanzien van beveiligingsbeheer zijn beschreven in een apart document. 11 Beveiligingsbeheer E/W 11.1 Uitgangspunt voor de beveiliging bij Opdrachtnemer vormt de Beveiligingsparagraaf. In dit document dient u aan te geven dat u voldoet aan de eisen in de Beveiligingsparagraaf of u geeft gemotiveerd aan waarom u niet aan een eis voldoet Opdrachtnemer moet een Informatiebeveiligingsplan (IBP) opstellen. In dit IBP moet worden weergegeven hoe tegemoet is gekomen aan de beveiligingseisen zoals beschreven in de Beveiligingsparagraaf. Pagina 22 van 24

23 12 ICT Continuïteitsbeheer 12 ICT Continuïteitsbeheer E/W 12.1 Alle overeenkomsten van Opdrachtnemer met onderaannemers dienen dezelfde contractduur te hebben als de overeenkomst tussen Opdrachtgever en Opdrachtnemer. Het betreft die overeenkomsten die een relatie hebben met de dienstverlening die Opdrachtgever afneemt bij Opdrachtnemer In de SLA tussen Opdrachtgever en Opdrachtnemer worden de specifieke eisen en wensen ten aanzien van ICT Continuïteitsbeheer uitgewerkt voor de specifieke dienst(en). Het betreft de eisen en wensen ten aanzien van het maken van back-ups en overige voorzieningen die de continuïteit van de dienstverlening moeten borgen. Opdrachtnemer conformeert zich aan deze eisen en wensen. Pagina 23 van 24

24 13 Ketenbeheer 13 Ketenbeheer E/W 13.1 De normen in de SLA en de afspraken in het DAP zijn van toepassing op zowel de Opdrachtnemer als eventuele onderaannemers die voor Opdrachtnemer onderdelen van de dienstverlening uitvoeren Opdrachtnemer is verantwoordelijk voor het technisch (operationeel) beheer van de koppelingen naar de informatiesystemen van de ketenpartners Opdrachtnemer levert de SNR op (zie bijlage 1 bij het DAP) waarin zowel de service levels zijn opgenomen van Opdrachtnemer als van de ketenpartners. Hierbij geldt dat: Opdrachtgever zorg draagt voor de contracten, SLA s en DAP s met de betrokken ketenpartners opdat deze laatstgenoemde de juiste en volledige informatie tijdig aanreiken aan Opdrachtnemer en in het formaat dat Opdrachtnemer vereist; Opdrachtnemer bewaakt de tijdige aanlevering en escaleert naar Opdrachtgever in geval van niet nakomen van de rapportage afspraken zoals overeengekomen tussen Opdrachtgever en Opdrachtnemer Opdrachtnemer draagt zorg voor de samenwerking met de ketenpartners om niet gehaalde ketenafspraken te verklaren en maatregelen te definiëren om afwijkingen in de toekomst te voorkomen Opdrachtnemer is verantwoordelijk voor de regievoering over incidenten, problemen en wijzigingen in de keten waarbij meerdere ketenpartners betrokken zijn. Pagina 24 van 24