Auteur Bart Lieben Advocaat
Onderwerp “Best practices” voor de ASP-industrie
Datum mei 2001
Copyright and disclaimer Gelieve er nota van te nemen dat de inhoud van dit document onderworpen kan zijn aan rechten van intellectuele eigendom, die toebehoren aan bepaalde betrokkenen, en dat er u geen recht wordt verleend op die desbetreffende rechten. M&D Seminars wil u met dit document de nodige informatie verstrekken, zonder dat de in dit document vervatte informatie bedoeld kan worden als een advies. Bijgevolg geeft M& D Seminars geen garanties dat de informatie die dit document bevat, foutloos is, zodat u dit document en de inhoud ervan op eigen risico gebruikt. M&D Seminars, noch enige van haar directieleden, aandeelhouders of bedienden zijn aansprakelijk voor bijzondere, indirecte, bijkomstige, afgeleide of bestraffende schade, noch voor enig ander nadeel van welke aard ook betreffende het gebruik van dit document en van haar inhoud.
© M&D Seminars - 1 oktober 2002
M&D CONSULT BVBA HUBERT-FRERE-ORBANLAAN 47 – 9000 GENT TEL 09/224 31 46 – FAX 09/225 32 17 – E-mail:
[email protected] – www.mdseminars.be
INHOUDSTABEL “BEST PRACTICES” VOOR DE ASP-INDUSTRIE ................................................................................ 2 (I) INFRASTRUCTURE PLANNING EN MANAGEMENT .................................................................................... 2 CONNECTIVITY PLANNING EN MANAGEMENT .................................................................................... 3 (II) (III) SECURITY PLANNING EN MANAGEMENT............................................................................................. 4 (IV) APPLICATION MANAGEMENT ............................................................................................................. 6 (V) IMPLEMENTATION PLANNING EN MANAGEMENT ................................................................................ 8 (VI) SUPPORT PLANNING EN MANAGEMENT .............................................................................................. 9
“Best practices” voor de ASP-industrie De World Intellectual Property Organization (WIPO) 1 en het Application Service Provider Industry Consortium (ASPIC) 2 hebben, specifiek voor de ASP-industrie, enkele operationele best practices opgesteld, waarbij enkele industrie-specifieke thema’s nader worden uitgewerkt teneinde een goede relatie tussen de leverancier(s) en de uitbesteder te garanderen en geschillen te vermijden. Deze operationele best practices bestrijken volgende domeinen : (i) (ii) (iii) (iv) (v) (vi)
infrastucture planning en management; connectivity planning en management; security planning en management; applications planning en management; implementation planning en management; support planning en management
Hieronder wordt kort ingegaan op bovenstaande modellen.
(i)
infrastructure planning en management
Infrastructure planning en het management ervan heeft voornamelijk betrekking op het operationeel in stand houden van het data center, de configuratie van de servers en de planning en het beheer van de beschikbaarheid van het systeem. Voor wat het data center aangaat, dienen er best practices te worden gehanteerd met betrekking tot de controle van de omgeving en bescherming tegen kritische problemen. De toegang tot het systeem (voornamelijk shared cabinets of rack infrastructuren) dient enerzijds te worden verzekerd en anderzijds continu van dichtbij te worden gecontroleerd en geëvalueerd; hieromtrent dienen duidelijke richtlijnen te worden uitgeschreven die in gezamenlijk overleg op regelmatige tijdstippen te worden herzien. Met betrekking tot de configuratie van de servers dienen aandachtspunten vast te stellen aangaande aan een specifieke klant toegewezen (dedicated) hardware-omgevingen en door verschillende klanten gedeelde (shared) hardware-omgevingen. Tevens dient er, in het kader van de planning en het beheer van de beschikbaarheid van het systeem, een duidelijke opgave te worden gemaakt van de load-balancing, de clustering en de geografische redundancy van het systeem. Bij load balancing, tezamen met zogenaamde fail-over capabilities wordt de reactie gemeten van een aantal lokale servers met het oog op het doorverwijzen en alloceren van clients aan de snelst of best reagerende server in die set. Op grotere schaal, teneinde de 1 2
http://www.wipo.int. http://www.allaboutasp.org. 2
problematiek van beperkte bandbreedte weg te werken, kan tevens de mogelijkheid geboden worden om zogenaamde mirror-servers op te zetten, desgevallend met een beperktere capaciteit, die sommige of meerdere specifieke taken op zich nemen. Een algemene methode van clustering heeft betrekking op het met elkaar verbinden van verschillende computers, waarbij connecties worden aangewend om data tussen verschillende servers te versturen en software-applicaties met elkaar gelinkt worden, hetgeen als voordeel heeft dat de eindgebruiker geen of weinig problemen ondervindt indien één van de servers buiten werking is. Geografische redundancy verzekert de beschikbaarheid van systemen en applicaties in geval een volledig local area network of zelfs een data center niet meer of niet meer naar behoren functioneren omwille van een lokaal probleem. Door geografische redundancy te voorzien, wordt de impact van dergelijk lokaal probleem omzeild, vermits andere systemen op een andere geografische locatie overnemen. Het spreekt voor zich dat geografische redundancy enkel en alleen aangeboden kan worden door meer mature dienstverleners op dit vlak, vermits de kosten voor het operationeel houden van dergelijk back-up systeem aanzienlijk zijn.
(ii)
connectivity planning en management
Een gedegen ontwerp van de netwerkinfrastructuur is van cruciaal belang, voornamelijk wanneer er applicaties ter beschikking worden gesteld waarvoor een grotere capaciteit is vereist of ingezet worden voor complexe berekeningen. Zijn in dit verband relevant : (a) vermindering van de vertraging op de datatransmissie en packet loss, hetgeen hogere wachttijden veroorzaakt aan de kant van de eindgebruiker, (b) onmogelijk maken van zogenaamde single point failures, waarbij het netwerk op dergelijke manier geconfigureerd dient te worden dat het dataverkeer onmiddellijk moet worden afgeleid in geval van fouten, met het oog op het vermijden van onderbrekingen van de dienstverlening. Ook omtrent schaalbaarheid moeten er bepaalde garanties worden gegeven, waarbij rekening dient te worden gehouden met een hoger of lager aantal gebruikers en een hogere of lagere transmissie van data via het netwerk, desgevallend gerelateerd aan piek- en daluren. Tevens dienen uitbesteders niet alleen gedegen te worden geïnformeerd met betrekking tot toekomstige investeringen in connectiviteit, waarbij desgevallend bijkomende mogelijkheden worden geboden, maar tevens met betrekking tot de beperkingen van het systeem, hoe de leverancier met deze beperkingen zal omgaan en wat desgevallend aanvullende opties zijn voor de cliënt.
3
(iii)
security planning en management
Eén van de belangrijkste bekommernissen en – zo blijkt uit de praktijk – tevens succesfactoren van een uitbestedingsproject betreft de beveiliging die er met betrekking tot het systeem en de verschillende applicaties wordt geboden. Veel leveranciers reageren – om begrijpelijke redenen – nogal terughoudend wanneer er garanties worden geëist met betrekking tot beveiliging. Echte garanties kunnen hieromtrent meestal niet worden gegeven, hetgeen evenwel niet wegneemt dat het uiterst belangrijk is om duidelijke afspraken te maken met betrekking tot beveiliging. Een eerste aandachtspunt betreft de authenticatie. Hieromtrent dient de leverancier op gedetailleerde wijze weer te geven welke procedures en systemen er worden gebruikt voor de verificatie, niet alleen van de gebruikers van het systeem, maar ook van de geldigheid van interagerende applicaties en netwerkbronnen. Vervolgens dienen zorgvuldig de procedures te worden gedocumenteerd die dienen te worden gevolgd om fysiek toegang te krijgen tot het data center : wordt er voorzien in (permanente) bewaking van het gebouw, welke toegangsprotocollen dienen te worden gevolgd om toegang te krijgen tot de verschillende ruimtes, o.m. door gebruik te maken van een kaartlezer, irisscan, stemherkenning, paswoord of -code, e.d.m. Voor wat het gebruik van paswoorden betreft, dient er tevens te worden gespecifieerd voor welke termijn deze paswoorden geldig zijn, hoe deze periodiek dienen te worden gewijzigd en welke procedure hiervoor dient te worden gerespecteerd. Tevens dient de integriteit van het systeem zoveel als mogelijk te worden gewaarborgd : (a) applicaties en data moeten beveiligd worden tegen niet-geautoriseerde wijzigingen; (b) het minimaliseren van onderbrekingen in de dienstverlening naar aanleiding van hardware-problemen door voldoende wisselstukken ter beschikking te hebben in het data center; (c) het instellen van verschillende connecties of fysische mogelijkheden om te voorzien in data-overdracht door gebruik te maken van verschillende dragers (LAN, tape back-ups, etc.); (d) instellen van voldoende tests op netwerk- en applicatieniveau, zowel tijdens de ontwerpfase als in de productiefase teneinde tijdig bugs en errors te detecteren en te verhelpen; (e) het opstellen, bij voorkeur geval per geval, van een disaster recovery plan en een business continuity plan, waarbij er rekening dient te worden gehouden met een maximaal aantal problemen die mogelijkerwijze kunnen opduiken, met het oog op het verhelpen van onvoorzienbare onderbrekingen in de dienstverlening. Een aandachtspunt waaraan een groot aantal sectoren – denken we maar aan magistraten, advocaten, bedrijfsrevisoren, dokters, research-ondernemingen, e.d.m. – zeer veel belang aan hechten is het vrijwaren van de confidentialiteit van de inhoud van de verstuurde data. In dit verband dient de leverancier ondubbelzinnig inzage te geven in de bescherming, zowel op netwerk-, applicatie en desktop-niveau, tegen niet-geautoriseerde toegang tot het systeem, de applicaties, data en het gebruik ervan. Dit kan gedaan worden door (a) een continue en intensieve controle van het netwerk (o.m. tegen port-scans, pings, toegang tot dedicated cabinets, e.d.m.); (b) het beperken van de visibiliteit van verschillende systeemfuncties door gebruik te maken van beveiligde kanalen (multi-layer, VPN, e.d.m.); en (c) het verwijderen van alle sporen van data van harde schijven, geheugen en andere media die voorzien in een tijdelijke opslag vooraleer deze media hergebruikt worden, zodat eerder verwijderde data niet kan worden teruggezet.
4
Non-repudiation, of de onmogelijkheid tot het ontkennen van bepaalde handelingen kan door gebruik te maken van adequate logging-systemen en authenticatieprocedures, dient zoveel als mogelijk te worden gegarandeerd, maar is onlosmakelijk verbonden met het correct functioneren van de controle op de toegang tot het netwerk en correcte authenticatie. Verantwoording en audit. Het systeem en/of de applicatie dient op dergelijke manier geconfigureerd te zijn dat er een te allen tijde door het systeem een complete opgave kan worden gegenerereerd van de systeem- en gebruikersactiviteit, hetgeen de leverancier en de uitbesteder moet toelaten om eventuele fouten en moeilijkheden op te sporen. Dergelijke opgave bepaalt meer bepaald hoe, wanneer en waarom het systeem op een bepaalde manier gegevens genereert, abnormaal gebruik van systeembronnen of bepaalde evenementen detecteert buiten het kader van de gewone werkzaamheid en/of beschikbaarheid van zulk systeem. Wat de beschikbaarheid en de continuïteit van de systeembronnen aangaat, moet de ASP tevens bepaalde procedures ontwerpen, plannen en implementeren om de continuïteit van de activiteiten te verzekeren, ongeacht het opduiken van hard- en softwareproblemen in het systeem en/of in één of meerdere applicaties, overmacht (met, zoveel als mogelijk, een duidelijke opgave van gevallen die al dan niet als overmacht kwalificeren en in acht genomen de mogelijkheid om de aansprakelijkheid van de dienstverlener(s) op dit vlak te beperken) door het maken van een impact van dergelijke evenementen op de bedrijfsvoering van de onderneming, het plannen van de continuïteit van de onderneming, risicobeheer en –vermijding, reactie- en herstelplanning. Beveiliging houdt bijgevolg tevens in dat er duidelijke procedures moeten worden vastgelegd met betrekking tot onvoorziene of onvoorzienbare omstandigheden. Voor bedrijfskritische omgevingen wordt dikwijls opgave gedaan van de opvolging van gebeurtenissen bij brand, uitvallen van elektriciteit en het volledige verlies, om welke reden dan ook, van het data center. Wat brandpreventie en –remediëring betreft, wordt in eerste instantie een beschrijving gegeven van de omgeving waarbinnen de applicatie zich bevindt, namelijk welke brandvertragende en brandwerende materialen en –gassen er worden gebruikt in het gedeelte van het gebouw waar het data center is ondergebracht. Anderzijds worden dikwijls ook het alarmsysteem en de –procedure omschreven. Procedurele beveiliging. Een ASP en de dienstverleners waarop een beroep dient te worden dienen ervoor te zorgen dat het personeel waarop zij een beroep doen voor het verzekeren van hun dienstverlening voldoende op de hoogte zijn en gehouden worden van risico’s die verband houden met de beveiliging van de omgeving en de applicatie. De security policies die dienen te worden ontwikkeld of ontwikkeld zijn dienen op regelmatige tijdstippen onderworpen te worden aan diepgaande controles, geëvalueerd en desgevallend aangepast. Daarenboven dienen klanten duidelijk te worden geïnformeerd met betrekking tot de acties die er door de leverancier(s) wordt/worden ondernomen ingeval de beveiliging in het systeem doorbroken wordt en hoe daarmee intern wordt omgegaan.
5
(iv)
application management
Intellectuele eigendomsrechten. Het is vanzelfsprekend van het grootste belang om duidelijk te stellen wie over het (intellectueel) eigendomsrecht van de applicatie beschikt. In gemengde omgevingen – waarover in de meeste gevallen althans gesproken wordt – is een dergelijke aflijning geen sinecure, zeker wanneer er bepaalde (standaard)software van (onafhankelijke) derden wordt betrokken. Consultancy-ondernemingen gaan vervolgens dergelijke software gebruiken, configureren, van bepaalde interfaces voorzien, aanpassen en er bepaalde applicaties, waarvan zij al dan niet zelf eigenaar zijn, aan toevoegen. Wanneer de uitbesteder hieraan zelf dan nog programma’s en bedrijfsinterne applicaties gaat toevoegen, wordt het intellectueel eigendomsrecht over “het systeem” of “de applicatie” al vlug geen sinecure. Al te dikwijls wordt in IT-uitbestedingscontracten bepaald dat het intellectueel eigendomsrecht over “de applicatie” wordt overgedragen aan de uitbesteder, en worden er zelfs garanties geboden aangaande deze rechten, hetgeen leveranciers mogelijkerwijze in een erg moeilijk parket kan brengen. Vandaar de noodzaak om, op grond van een gedetailleerde due diligence duidelijk te bepalen wie over welke rechten beschikt met betrekking tot welk deel van de applicatie. Indien software van derden wordt betrokken, geldt hetzelfde aandachtspunt. Zowel uitbesteder als leverancier dienen met de grootste zorg afspraken te maken omtrent het gebruiksrecht van de software, meer bepaald met betrekking tot de duur van het gebruiksrecht, het aantal gebruikers dat op het systeem wordt toegelaten, de door de producent/leverancier van de software verstrekte garanties en assistentie bij de implementatie van de software, het al dan niet voorhanden zijn van een helpdesk en/of trainingfaciliteiten, waar gebruikers terecht kunnen voor vragen en/of opleiding, mogelijkheden om het systeem uit te breiden, upgrades en patches te voorzien, het bepalen van een termijn tussen twee verschillende releases, enz. Prijspolitiek. Een erg belangrijk aandachtspunt, hetwelk rechtstreeks verbonden is met het bepalen van service levels, betreft het voeren door de leverancier van een duidelijke en transparante prijspolitiek. Het ligt voor de hand dat het hanteren van een veelvoud van service levels een rechtstreekse impact heeft op deze transparantie, waardoor het voeren van een adequate politiek op dit vlak dikwijls een uitdaging zal betekenen voor de leverancier. Application readiness. ASP’s dienen een duidelijk beleid te voeren met betrekking tot de applicatie die zij beheren en waartoe zij toegang verschaffen aan de klant. Hierbij dienen zij voldoende aandacht te verschaffen aan de definitie van de vereisten van de klant met betrekking tot de bandbreedte die hem ter beschikking wordt gesteld voor het toegankelijk maken van zijn applicatie, alsmede de hypotheses waarin deze bandbreedte desgevallend kan worden beperkt (of uitgebreid). Dikwijls worden klanten ook geïnformeerd over de totale hoeveelheid bandbreedte die ter beschikking staat van de service provider en bij welke telecommunicatie-bedrijven deze bandbreedte betrokken wordt, welk gedeelte van het intern netwerk deze bandbreedte gebruikt en de mogelijkheden voor de klant om desgevallend combinaties te maken van verschillende elementen in deze verschillende spectra.
6
De (on)mogelijkheid van ontwikkeling, aanpassing, upgrading en de overdracht of het verstrekken van gebruiksrechten op de interface waarlangs het systeem en de applicaties toegankelijk moeten worden gemaakt dient tevens aan een klant duidelijk te worden gemaakt, teneinde een optimaal gebruiksgemak te verzekeren. In dit verband moet de klant de mogelijkheid hebben om zijn eisen aangaande lay-out, en inhoud duidelijk te maken aan de leverancier(s). Een belangrijke factor in het aangaan van verplichtingen rond het hanteren van bepaalde service levels aan de kant van de leverancier betreft het voeren van een efficiënte en transparante politiek aangaande capaciteitsplanning en –beheer van de applicatie, hetgeen strikt genomen losstaat van de connectiviteit met het netwerk (zie hoger). Het gaat hier meer bepaald om de datacapaciteit en berekeningssnelheid van de applicatie zelf, hetgeen veelal afhangt van de interoperabiliteit van andere toepassingen, zoals bijvoorbeeld databanken, en van de gebruikte hardware. Rechtstreeks hiermee gerelateerd is de schaalbaarheid van de applicatie. Wordt de mogelijkheid geboden om gebruikers en/of content toe te voegen aan de applicatie en, zo ja, in welke mate ? Wat zijn de consequenties indien er meerdere gebruikers worden toegevoegd ? Vandaag de dag is er bepaalde software op de markt verkrijgbaar waardoor dagdagelijkse applicaties (tekstverwerkers, spreadsheets, edm.) die nog niet aangepast zijn aan een ASP-omgeving toch “ASP-enabled” worden, al is de capaciteit van deze software eerder beperkt te noemen. Procedures dienen tevens duidelijk te maken in welke fase van de dienstverlening en op regelmatige tijdstippen in de productie-fase de applicatie zal worden onderworpen aan een gedetaillerde en diepgaande test. Dergelijke tests zijn en blijven in ieder geval nodig in het geval er voortdurend nieuwe ontwikkelingen zullen worden gedaan op het geïnstalleerde platform. In sommige gevallen zullen voor bepaalde cruciale onderdelen van de verschillende applicaties, teneinde de continuïteit van het systeem en de dienstverlening te verzekeren, aanhoudend tests worden gedaan. Operationeel rechtstreeks verband houdend met de schaalbaarheid van de applicatie, de connectiviteit en de beschikbaarheid van het netwerk is de beschikbaarheid van de applicatie op zich. Toch moet de beschikbaarheid van de applicatie in de berekening van de service levels als een apart onderdeel worden beschouwd, vermits een applicatie omwillen van een soft- of hardwareprobleem niet beschikbaar kan zijn, ofschoon zowel hardware als connectiviteit gegarandeerd zijn. Procedures dienen te voorzien hoe en binnen welke termijn de leverancier dient op te treden indien de applicatie onbeschikbaar blijkt te zijn, welke handelingen hij dient te ondernemen om beschikbaarheid te garanderen en te meten welke impact deze niet-beschikbaarheid had op de algemene beschikbaarheid. Indien de problemen die zich manifesteerden een repititief karakter kunnen hebben, dient desgevallend op andere vlakken te worden ingegrepen teneinde algemene beschikbaarheid te verzekeren. Niet alleen de gebruiksinterfaces, maar ook de gehele of gedeeltelijke applicatie moet in zekere mate aan te passen zijn. De leverancier dient hierbij in te gaan op change requests van de klant, aan de hand van een gedetailleerde analyse de klant op de hoogte te brengen van zijn antwoord op dergelijke vraag tot wijziging van de applicatie en, zo de gevraagde aanpassingen aan de applicatie kunnen worden doorgevoerd, hieromtrent een duidelijke planning en prijsofferte aan de klant te overhandigen. 7
Afbakening van aansprakelijkheid. Het is ontegensprekelijk in het voordeel van de dienstverlener om aan zijn klanten duidelijk te maken waar zijn aansprakelijkheid voor het systeem en haar verschillende applicaties begint en waar deze ophoudt. De toegang tot het systeem kan niet alleen afhankelijk worden gemaakt van een aantal hardware-vereisten, ook bepaalde infrastructuurproblemen (zoals onder meer connectiviteit) kunnen niet onder alle omstandigheden worden gegarandeerd. De virtuele globale aanwezigheid van een ASP impliceert bijgevolg niet dat de dienstverlening overal vlekkeloos zal verlopen. Beheer. Het moet duidelijk zijn welke administratieve taken er kunnen worden opgenomen door de ASP en door de klant zelf en hoe de beveiliging van de applicatie dient te worden beheerd en in stand gehouden. Support : de klant dient op diens verzoek een duidelijke opgave te krijgen van de mogelijkheden die er geboden worden om de applicatie te ondersteunen, welke procedures en methodes er in dit verband worden gehanteerd, alsmede de systemen die worden opgezet om deze ondersteuning binnen bepaalde tijdsintervallen te verzekeren.
(v)
implementation planning en management
Hetzij op basis van informatie verkregen van de uitbesteder, hetzij op basis van een in samenspraak met de klant opgestelde behoefteanalyse, dient duidelijk te blijken welk soort applicatie geschikt is voor de klant, rekening houdend met het gebruik dat hij van de applicatie wenst te maken, de beoogde doelstellingen van de organisatie en – in al dan niet belangrijke mate – rekening houdend met de schaalbaarheid ervan. Grosso modo kunnen volgende verschillende activiteiten worden onderscheiden : 1. keuze van het hardwareplatform op grond van de behoeftenanalyse die werd uitgevoerd, rekening houdend met de omvang van de data en het gebruik dat ervan zal worden gemaakt. Dit platform dient te worden geïnstalleerd en voorbereid op de installatie van de basissoftware; 2. installatie van de hardware bij de ASP; 3. installatie van client hardware en voorbereiding ervan op de installatie van de software; 4. configuratie van de hardware en software; afstemmen van het systeem op de behoeften van de gebruiker; 5. conversie van de data van de uitbesteder en migratie ervan naar het nieuwe platform; 6. rapportering; 7. testen van de omgeving en kwaliteitscontrole;
8
8. integratie van het systeem in het data center van de ASP; 9. training van de eindgebruikers.
(vi)
Support planning en management
Support van de applicatie. Aan de gebruikerszijde van de applicatie, dient er desgewenst assistentie te worden verleend bij het beheer van de eigen werkomgeving (zgn. desktop management), waarbij de klemtoon dient te liggen op het gebruik van de nieuwe omgeving en de applicaties vanuit client-perspectief. Dit houdt tevens in dat er connectiviteit verzekerd dient te worden voor o.m. thuiswerkers, handelsreizigers, e.d.m. Vervolgens kan er toegang worden verleend tot en gebruik worden gemaakt van nieuwe versies of nieuwe releases van software-toepassingen of hardware-onderdelen; de best practices dienen in dit verband te specifiëren hoe een klant hiertoe toegang kan krijgen, waarbij deze laatste voldoende geïnformeerd dient te worden aangaande de implicaties die dergelijke overgang met zich mee kunnen brengen. Rechtstreeks verband hiermee houdend, betreft de implementatie van nieuwe applicaties op het platform (aanvankelijk in een testomgeving, later desgevallend in een productieomgeving) en de behandeling van eventuele upgrades van het systeem. Ook hier dient de klant voldoende informatie te verkrijgen aangaande de implicaties die dergelijke ingrepen kunnen betekenen voor het systeem, het gebruik van de applicatie en – in het algemeen – de gehele omgeving. Tevens dient de leverancier de klant voldoende op de hoogte te houden met betrekking tot fouten die in het systeem werden geconstateerd. Deze rapportering gebeurt bij voorkeur op regelmatige tijdstippen (voor zover de impact van het probleem op het systeem en/of de applicatie minimaal gebeurt), hetzij in het kader van het in werking treden van het disaster recovery plan. Indien de software-leverancier herstelmodules of zogenaamde “patches” ter beschikking stelt, dienen er ondubbelzinnige afspraken te worden gemaakt met betrekking tot de implementatie van deze “patches” en de (tijdelijke) impact van deze implementatie op de werking van het systeem en/of de applicatie. Voor grotere ondernemingen of voor ondernemingen die veel gegevens verwerken is het beheer van de databases dikwijls van cruciaal belang. Vermits een goed beheer van een database impliceert dat er duidelijke afspraken worden gemaakt met betrekking tot het onderhoud ervan door gekwalificeerd personeel, dienen er door de leverancier hetzij garanties geboden op dit vlak, hetzij aan dit gekwalificeerd personeel toegang verleend. Cruciaal in het kader van de disaster recovery is het nemen van back-ups, waarvoor veelal resultaatsverbintenissen worden opgenomen (zie ook hoger); hetzelfde geldt voor het restoren en opnieuw toegankelijk maken van deze data. Tevens kan het archiveren van data in sommige gevallen erg belangrijk zijn, afhankelijk van de activiteit van de klant. Archivering dient los te worden gezien van back-ups, hetgeen in de praktijk niet altijd het geval blijkt te zijn.
9
Een ASP zal in de meeste gevallen tevens voorzien in het onderhoud van het systeem, al kan het aangewezen zijn om het onderhoud van bepaalde applicaties in eigen beheer te houden of aan een derde uit te besteden. De ASP dient in dergelijk geval voldoende flexibiliteit aan de dag te leggen met betrekking tot de toegankelijkheid en het gebruik van het systeem voor onderhoudsdoeleinden. Bijstand mbt. het systeem : bijstand en upgrades van het operating system dienen toegankelijk te worden gemaakt, teneinde maximaal gebruik te kunnen maken van de applicaties en desgevallend de implementatie van nieuwe toepassingen mogelijk te maken. Tevens moet er werk worden gemaakt van procedures omtrent het oplossen van problemen, zowel op soft- als hardwareniveau, met het oog op het minimaliseren van onderbrekingen in de dienstverlening. Het beheer van de inventaris blijft tevens een belangrijk aandachtspunt, zeker wanneer de relatie tussen de (verschillende) leverancier(s) onderling of tussen de leverancier(s) en de klant spaak loopt. In dergelijk geval dient het onmiddellijk duidelijk te zijn voor de betrokken partijen wie over welke (eigendoms)rechten beschikt. Network support. Hierbij dient voornamelijk rekening te worden gehouden met hogervermelde latency issues, beveiliging van het netwerk, beheer van bandbreedte en van netwerkonderbrekingen. Controleprocedures dienen te worden ingesteld en dient er op regelmatige tijdstippen een adequate rapportering te worden overgemaakt aan de klant, bij voorkeur in een voor hem begrijpelijke taal en gesteld in een begrijpelijk jargon. Helpdesk. De overgang van het in eigen beheer houden van een applicatie naar het uitbesteden ervan kan een belangrijke impact hebben, niet alleen op de applicatie op zich, maar tevens op de gebruikers ervan. Het zijn voornamelijk deze eindgebruikers die – meestal voornamelijk in de beginfase – zullen worden geconfronteerd met een aantal problemen of vragen met betrekking tot de nieuwe of gewijzigde omgeving, nieuwe interfaces, nieuwe functionaliteiten, e.d.m. Teneinde hun voldoende vertrouwd te maken met deze aanpassingen en nieuwigheden, dienen zij voldoende bijstand te krijgen van hetzij de uitbesteder, hetzij de ASP, hetzij een gespecialiseerde onderneming. In dit kader dienen dan desgevallend ook – binnen bepaalde tijdspannes – helpdesks ter beschikking van dergelijke gebruikers.
10
