ITIL CHECKLIST: Algemeen A-1: Zijn de procedures omtrent het beheer van de IT infrastructuur vastgelegd? A-2: Wordt gebruik gemaakt van een geautomatiseerd administratie systeem waar alle gegevens in kunnen worden geregistreerd, gevolgd en (de status) bewaakt, dat voor alle betrokkenen bereikbaar is? Service Desk SD-1: Kunnen gebruikers met vragen, opmerkingen en meldingen op een centraal punt terecht? SD-2: Wordt onderscheidt gemaakt in de calls tussen incidenten en (Request for) changes? SD-3: Wordt onderscheid gemaakt in de aard van de incidenten (storingsmeldingen, vragen, klachten over dienstverlening, service requests)? SD-4: Worden calls alleen geregistreerd of wordt getracht deze eerst op te lossen alvorens door te sturen? SD-5: Is het eigendom van de call geregeld en is voor monitoring en follow-up gezorgd? SD-6: Wordt voor de registratie, monitoring en follow-up gezorgd en zijn deze verantwoordelijkheden duidelijk gedocumenteerd en bekend bij de medewerkers. SD-7: Zijn calls traceerbaar voor alle betrokkenen en is de status en het eigendom bekend of zichtbaar te maken? SD-8: Is het bij de gebruikers duidelijk welke ondersteuning van de Service Desk verwacht kan worden? Incident Management IM-1: Zijn de richtlijnen voor het stellen van categoriën en prioriteiten bij de incidenten (impact, urgentie) vastgelegd? IM-2: Is het eigendom van het incident geregeld en is voor monitoring en follow-up gezorgd? IM-3 Worden afgesproken behandel tijden nageleefd en kan een incident geëscaleerd worden volgens vooraf afgesproken procedures en is het duidelijk wie de beslissing neemt te escaleren? IM-4: Wordt bij escalatie onderscheid gemaakt tussen Functionele(horizontaal) en Hiërarchische(verticaal) escalatie? IM-5: Zijn de verschillende levels van support (bij escalatie) bekend en is beschikbaarheid bij de betreffende (lijn) afdelingen afgesproken? IM-6: Worden incidenten geregistreerd en ge-monitored en krijgt ieder incident een uniek nummer toegewezen?
IM-7: Wordt een archief/database bijgehouden van incidenten en wordt dat geraadpleegd als een nieuw incident wordt aangemeld? IM-8: Wordt een incident afgesloten in overleg met de aanmelder? IM-9: Worden, in geval het incident niet snel kan worden opgelost, Work-arounds aangeboden en hebben die een eigenaar? IM-10: Is er een functionaris verantwoordelijk voor de coördinatie van de incidenten? Problem Management PM-1: Wordt een duidelijk verschil gemaakt tussen Incidenten, problems, Known Errors en changes en wordt die door iedereen begrepen en gehanteerd? PM-2: Zijn er procedures om incidenten te voorkomen; pro-actief (dmv identificatie van zwakke plekken in de IT infrastructuur) of re-actief (als gevolg van reeds voorgekomen incidenten)? PM-3: Worden gemelde incidenten (uit IM) gestructureerd en iteratief verder onderzocht om de achterliggende oorzaak te vindenen op te lossen? PM-4: Wordt de IT infrastructuur stelselmatig onderzocht op eventuele zwakke plekken of gebreken? PM-5: Worden geïdentificeerde problemen geclassificeerd naar categorie, impact, urgentie en prioriteit en wordt de status bijgehouden? PM-6: Worden ontdekte Known Errors (fouten) en hun eventuele work-arounds en/of oplossingen geregistreerd in een database/archief? PM-7: Worden aan de hand van mogelijke oplossingen voor Known Errors, Requests for Changes (RfC) opgesteld en aan Change Management doorgegeven? PM-8: Wordt een problem(en de eventueel daarmee geasocieerde incidenten) pas afgesloten als de noodzakelijke change succesvol is geïmplementeerd? PM-9: Worden de problems en Known Errors gemonitored en wordt het pad naar de oplossing bewaakt? PM-10: Bestaat een goede samenwerking tussen Incident Managment en Problem Management en is het verschil tussen beide processen duidelijk voor iedereen? PM-11: Is er een functionaris verantwoordelijk voor het coördineren van probleemanalyse en foutafhandeling en is het eigendom van problemen duidelijk geregeld? Configuration Management CIM-1: Wordt een Configuratie Management Database (CMDB) bijgehouden en regelmatig onderhouden? CIM-2: Worden alle (IT) productiemiddelen, diensten en licenties in de CMDB opgenomen? CIM-3: Worden de financiële aspecten van de productiemiddelen en diensten in de CMDB opgenomen?
CIM-4: Worden de onderlinge verhoudingen(Fysieke of Logische relaties) tussen de Configuratie Items (CI) geregistreerd en bijgehouden in een datamodel of op andere wijze? CIM-5: Zijn procedures ingericht om CI‟s te registreren of te wijzigen? CIM-6: Wordt de status(bijv. „ontwikkeling‟, „test‟, „voorraad‟, „in gebruik‟, „uitgefaseerd‟) van een CI geregistreerd en onderhouden? CIM-7: Wordt regelmatig gecontroleerd of de inhoud van de CMDB overeen komt met de werkelijkheid? CIM-8: Wordt een geautomatiseerd systeem gebruikt voor de administratie van de CMDB? Change Management CHM-1: Worden veranderingen (aan de CI‟s uit de CMDB) gestructureerd uitgevoerd volgens vooraf afgesproken procedures? CHM-2: Worden veranderingen door Request for Changes (RfC) aangevraagd? CHM-3: Zijn autoriteiten “change manager” en “Change Advisory Board” aanwezig om veranderingen in goede banen te leiden en te controleren? CHM-4: Wordt onderscheid gemaakt tussen Service Requests (standaardchanges) en Request for Changes? CHM-5: Worden alle RfC‟s via de Change Manager in behandeling genomen en kan/mag deze RfC‟s filteren? CHM-6: Worden verzoeken tot (zwaardere) changes eerst voorgelegd aan de CAB, die ze dan inplant? CHM-7: Worden RfC‟s geregistreerd en geclassificeerd volgens vooraf afgesproken richtlijnen of zoals in SLA‟s geregeld? CHM-8: Wordt, bij de goedkeuring van aangevraagde changes, rekening gehouden met financiële, technische en zakelijke aspecten? CHM-9: Worden vaste periodes afgesproken wanneer changes (in releases) worden doorgevoerd? CHM-10: Is het duidelijk wie de changes gaat uitvoeren (bouwen), testen en implementeren en wie dit coördineert? CHM-11: Worden de changes eerst geëvalueerd alvorens de RfC‟s worden afgesloten? CHM-12: Zijn fall-back plannen gemaakt voor het geval de change niet aan de verwachtingen voldoet? CHM-13: Zijn afspraken gemaakt zodat urgente changes voorrang krijgen bij de behandeling en is het duidelijk wanneer een change urgent is? Release Management
RM-1: Worden nieuwe (software) releases op gecontroleerde wijze, gepland, in productie/exploitatie gebracht? RM-2: Wordt een Definitive Software Library (DSL) bijgehouden waar de definitieve software releases (items) in kunnen worden opgeslagen? RM-3: Krijgt iedere release een uniek (versie)nummer toegekend rekening houdend met de soort release? RM-4: Wordt een onderscheid gemaakt tussen de grootte en impact van de releases (Major, Minor, Emergency fixes)? RM-5: Wordt een onderscheid gemaakt tussen de verschillende type samenstelling van releases (Delta, Full, Package Release). RM-6: Zijn standaardprocedures aanwezig voor het ontwerpen bouwen en samenstellen van releases? RM-7: Worden releases, alvorens in exploitatie te gaan, eerst opgebouwd en getest in een “laboratorium” of test omgeving? RM-8: Worden alle aspecten van een release getest en wordt daarvoor eerst een testplan opgesteld? RM-9: Zijn de betreffende (eerdere) kopieën van software items beschikbaar bij de in werking stelling van een fall back of back out plan in geval van nood bij de invoering van een nieuwe release? RM-10: Wordt de kant-en-klare release als standaardconfiguratie item in het CMDB opgenomen? RM-11: Wordt, voor het definitief uitbrengen van de release, een roll-out planning gemaakt, waarbij rekening wordt gehouden met de noodzakelijke resources voor de uit te brengen release. RM-12: Worden alle betrokkenen tijdig ingelicht over de nieuwe release, de gevolgen daarvan en hun verantwoordelijkheden daarbij? RM-13: Zijn de logistieke processen voor de distributie en installatie van de release duidelijk (vastgelegd)? Service Level Management SLM-1: Is een Service Quality Plan opgesteld met als doel de dienstverlening van de organisatie te optimaliseren. SLM-2: Worden niveaus van dienstverlening van de organisatie gedefinieerd en samen met de streefwaarden vastgelegd (bijv in Service Level Requirements)? SLM-3: Is een Service Catalogue (dienstencatalogus) opgezet waarin alle diensten van de organisatie zijn weergegeven en wordt die onderhouden? SLM-4: Worden afspraken met de klant omtrent de service verlening en het niveau daarvan, vastgelegd in Service Level Agreements (SLA‟s) of vergelijkbare documenten?
SLM-5: Worden de service levels bewaakt en de afgesproken normen en waarden gecontroleerd, zo nodig bijgesteld? SLM-6: Wordt regelmatig gerapporteerd aan de klant over de gang van zaken betreffende de met hen overeengekomen SLA‟s? SLM-7: Worden afspraken met andere, interne, IT dienstverleners vastgelegd in Operational Level Agreements (OLA‟s), die operationele invulling geven aan de SLA‟s? SLM-8: Worden afspraken met externe IT leveranciers voor het vervullen van diensten vastgelegd in “Underpinning Contracts”? Financial Management for IT Services FIM-1: Word financiële plannen ten behoeve van de IT services in budgetten vastgelegd? FIM-2: Worden de kosten geïdentificeerd in kostensoorten om de uitgaven inzichtelijk te maken? FIM-3: Wordt getracht de kostenposten in te delen naar service (output) of locatie (klant, afdeling enz.) zodat eventueel kosten kunnen worden doorberekend? FIM-4: Wordt financiële verslaglegging gebruikt om de kosten te beheersen, door bijvoorbeeld het (inkoop) gedrag van de klant te beïnvloeden? Capacity Management CAM-1: Wordt de bestaande capaciteit en de te verwachten ontwikkeling in de vraag naar ITdiensten alsmede de resources noodzakelijk voor de handhaving van service-levels (uit de SLA‟s) gedocumenteerd in een Capacity Plan? CAM-2: Worden veranderingen in de IT infrastructuur eerst ingeschat (bijv. dmv testen, trendanalyse of simulatie) op eventuele gevolgen voor de capaciteit? CAM-3: Worden voorspellingen gedaan over de gevolgen van nieuw in te voeren CI‟s op de capaciteit en worden aanbevelingen gedaan voor oplossingen? CAM-4: Worden de in gebruik zijnde infrastructuuronderdelen gevolgd en bewaakt om zodoende de afgesproken service levels na te kunnen blijven komen? CAM-5: Worden aan de hand van de monitoring van de service levels analyses en voorspellingen gemaakt ter handhaving van de service levels? CAM-6: Wordt de capaciteit van de infrastructuuronderdelen aangepast aan de verwachte of geconstateerde afwijkende capaciteitsvraag? Continuity Management COM-1: Zijn plannen en procedures aanwezig voor de continuïteit van de IT-dienstverlening in geval van calamiteiten? COM-2: Is bij de totstandkoming van de continuïteitsplannen rekening gehouden met de (gevolgen voor de) gehele organisatie en zijn alle relevante onderdelen daarvan erbij betrokken geweest?
COM-3: Komen de continuïteitsplannen overeen met de in de SLA‟s afgesproken dienstenniveaus? COM-4: Is een analyse gemaakt van de (calamiteiten) risico‟s die de organisatie loopt en zijn daar voorzorgsmaatregelen en uitwijk- dan wel herstelopties aan gekoppeld? COM-5: Worden de voorzorgsmaatregelen, uitwijk- en herstelplannen en de daarbij behorende procedures uit het continuïteitsplan getest? COM-6: Zijn de continuïteitsplannen bekend bij de voor de plannen relevante medewerkers? COM-7: Worden de continuïteitsplannen regelmatig gecontroleerd en getoetst op actualiteit en zo nodig aangepast? Availability Management AM-1: Wordt in een vroegtijdig stadium bekeken wat de beschikbaarheideisen aan de organistatie zijn en of die haalbaar zijn met de huidige infrastructuur? AM-2: Zijn er duidelijke plannen en/of procedures om de beschikbaarheid op peil te houden in geval van verstoringen van de beschikbaarheid? AM-3: Worden onderhoudsactiviteiten vooraf gepland, rekening houdend met de beschikbaarheidseisen en normen? AM-4: Worden de beschikbaarheideisen en normen regelmatig gemeten en wordt daarover gerapporteerd aan de klant? AM-5: Wordt een lange termijn plan opgesteld voor de te verwachten veranderingen in beschikbaarheid? Security Management SEM-1: Zijn maatregelen getroffen ter beveiliging van de informatie in de IT infrastructuur en zijn die opgenomen in een beveiligingsplan en/of SLA‟s (of dezelfde soort documenten)? SEM-2: Wordt beleid op het gebied van informatiebeveiliging gemaakt aan de hand van de gevoeligheid van informatie en de IT infrastructuur? SEM-3: Worden verschillende niveaus van beveiligingsnoodzaak bepaald aan de hand van aspecten van vertrouwelijkheid, integriteit en beschikbaarheid? SEM-4: Zijn de beveiligingsmaatregelen bekend bij de relevante partijen? SEM-5: Zijn voorzieningen getroffen voor de personele beveiliging (bijv middels geheimhoudingsverklaringen, trainingen, funktiebeschrijvingen). SEM-6: Zijn de informatiedragers fysiek beveiligd (bijv. afgesloten ruimtes maar ook firewalls)? SEM-7: Wordt de toegangsbeveiliging voor gebruikers (en applicaties) tot de informatie en de IT-infrastructuur daadwerkelijk gebruikt en actief onderhouden? SEM-8: Worden de IT infrastructuur en de informatie regelmatig aan beveiligingscontroles onderworpen (bijv. ongewenst gebruik/toegang)?
