[
Dossier Afspraken en Procedures
VUW Werkplekdienstverlening
Informatiseringsgroep Universiteit Leiden Snelliusgebouw Niels Bohrweg 1 2300 RA Leiden April 2007
Documentbeheer Document
Versie
Datum
Aangepast
Status
Auteur(s)
DAP VUW 01.doc
0.1
21-02-2007
Eerste concept
Concept
Nell Hoogzand
DAP VUW 02.doc
0.2
12-03-2007
Review
Concept
Diana Baak
DAP VUW 03.doc
0.3
16-04-2007
Opmerkingen CAB VUW en I-groep medewerkers
Concept
Nell Hoogzand
DAP VUW 1.0.doc
1.0
19-04-2007
Vaststelling in CAB VUW
Definitief
Nell Hoogzand
DAP VUW 1.1.doc
1.1
18-10-2007
Aanvulling toegevoegd op de onderwerpen functioneel account en functionele mailbox. Zoals besproken in CABVUW d.d. 18-10-2007
Definitief
Harry van Nierop
Inhoudsopgave 1
Inleiding............................................................................................................ 4
2
De operationele processen ................................................................................... 5 2.1
Incidentbeheer....................................................................................................... 5
2.2
Probleembeheer ..................................................................................................... 5
2.3
Wijzigingsbeheer .................................................................................................... 6
2.4
Configuratiebeheer ................................................................................................. 7
2.5
Reactie- en hersteltijden voor gemelde incidenten....................................................... 8
3
Communicatie en overleg..................................................................................... 9
4
Procedures per dienst van de virtuele werkplekomgeving ....................................... 12
5
6
4.1
Exchangediensten (E-mail en agenda) ......................................................................13
4.2
Programmatuur.....................................................................................................14
4.3
Gegevensopslag ....................................................................................................15
4.4
Telefoneren ..........................................................................................................15
4.5
Toegangsfuncties voor de persoonlijke VUW-omgeving ...............................................15
Procedures per dienst van de fysieke werkplekomgeving ........................................ 18 5.1
Werkpleksystemen ................................................................................................18
5.2
Randapparatuur ....................................................................................................19
5.3
Pda’s en Smartphones............................................................................................19
5.4
Telefoontoestellen .................................................................................................20
5.5
Netwerkaansluitingen.............................................................................................20
5.6
Algemene afspraken ..............................................................................................21
Managementrapportages ................................................................................... 22
Bijlage Bijlage Bijlage Bijlage Bijlage Bijlage
1 2 3 4 5 6
Overzicht van aanvraagprocedures ................................................................ Getalsmatige onderbouwing per kwartaal........................................................ Overzicht concernsystemen .......................................................................... VUW PLUS-dienstenpakket per 1-1-2007 ........................................................ VUW compliance aan set minimale maatregelen............................................... Voorbeeld security rapportage.......................................................................
23 26 28 29 31 36
1
Inleiding
In aanvulling op de DNO’s die zijn afgesloten met de diverse Opdrachtgevers wordt in dit document de afspraken en procedures weergegeven die gehanteerd worden bij de uitvoering van de dienstverlening. Het betreft de werkafspraken op operationeel, tactisch en strategisch niveau, zoals die in de CAB VUW worden vastgesteld en bewaakt. De Informatiseringsgroep (I-groep) draagt er zorg voor dat de serviceorganisatie conform deze afspraken functioneert. De afspraken hebben betrekking op: Wijzigingen in de functionaliteit van de VUW omgeving Het aanvragen van wijzigingen op bestaande voorzieningen door gebruikers Het dagelijkse gebruik van de voorzieningen Het Dossier Afspraken en Procedures (DAP) is een document dat regelmatig wordt aangepast op veranderende inzichten naar aanleiding van het werken met de omgeving in de dagelijkse praktijk. De houder van het DAP is de CAB VUW. Geaccordeerde aanpassingen in het document worden doorgevoerd door de Servicemanager werkplekdiensten van de I-groep. Tevens draagt deze er zorg voor dat de gewijzigde informatie die relevant is voor de eindgebruikers op de website http://www.vuw.leidenuniv.nl/ wordt geplaatst. De Informatiemanagers en Functioneel beheerders per eenheid zijn verantwoordelijk voor de communicatie over de veranderde afspraken richting eindgebruikers.
Opbouw van dit document In Hoofdstuk 2 worden in het kort de operationele ITIL processen beschreven. In Hoofdstuk 3 worden de overlegvormen en interfaces beschreven op de diverse niveaus binnen de dienstverlening. Ook de diverse rollen en verantwoordelijkheden binnen de diensverlening komen hier aan de orde. In Hoofdstuk 4 worden de procedures per dienst beschreven. In Hoofdstuk 5 komt de managementsrapportage aan de orde. Tot slot is een aantal bijlagen aan dit document toegevoegd, nl: • • • • • •
Schematisch overzicht van de aanvraagprocedures per dienst; Rapportage voorbeeld Lijst met applicaties en contactpersonen Standaard hardware lijst Rapport VUW compliance aan minimale beveiligingsmaatregelen Voorbeeld security rapportage
Pagina 4 van 37
2
De operationele processen
In dit hoofdstuk wordt in het kort uitgelegd hoe de I-groep invulling geeft aan de operationele ITIL processen. 2.1
Incidentbeheer
INCIDENTBEHEER Incidentbeheer verzorgt de primaire afhandeling van vragen, wensen en verstoringen, inclusief de communicatie van en naar de melder van het incident. Het proces regelt de afhandeling van vragen en incidenten
Doel
Het vormen van een 1e, 2e en 3e lijns aanspreekpunt voor vragen en problemen, het in behandeling nemen en bewaken van geplaatste calls 1 en het bewaken van de continuïteit in de dienstverlening wanneer er een afwijking is geconstateerd.
1e lijn
Gebruikers kunnen incidenten die betrekking hebben op de bij de I-groep ondergebrachte dienstverlening melden bij de helpdesk van de I-groep. De helpdesk van de I-groep is bereikbaar via
[email protected] en toestel 7777. De helpdesk zorgt voor de registratie van calls, het routeren van calls naar de juiste kennisgroep binnen de I-groep, het bewaken van de voortgang van calls en het afsluiten van calls.
2e lijn
De kennisgroep binnen het VUW Serviceteam waaraan het incident wordt toegewezen onderzoekt de oorzaak van het incident en bepaalt de mogelijke oplossing. De oplossing wordt uitgevoerd binnen de daartoe gestelde service niveaus (zie Hoofdstuk 2.5). Indien incidenten niet binnen de gestelde serviceniveaus worden opgelost, wordt dit geëscaleerd naar de Servicemanager.
PROCES
Definitie
AFSPRAKEN
Afsluiten incident
Wanneer een incident de status 'opgelost' heeft wordt deze door de Helpdesk afgemeld bij de klant. De klant wordt geïnformeerd over de oplossing. Het kan voorkomen dat de oplossing door de klant nog getest moet worden, de call wordt afgesloten als de klant getest heeft en de oplossing door de klant is goedgekeurd. Als er geen terugkoppeling van de klant wordt ontvangen wordt de call na een week afgesloten. Door de helpdeskmedewerker wordt in elke call vermeld wanneer is teruggemeld en de wijze waarop dat is gedaan. De status wijzigt in 'gesloten'.
2.2
Probleembeheer
PROBLEEMBEHEER
PROCES 1
Definitie
Een probleem is een ongewenste situatie in de ICT-infrastructuur, die een nog onbekende oorzaak heeft. Problemen zijn vaak af te leiden uit incidenten. Dat wil niet zeggen dat ieder incident ook in een probleem resulteert, maar wel dat vaak voorkomende incidenten zonder bekende oorzaak tenminste als probleem moeten worden onderzocht.
Doel
Het achterhalen en wegnemen van fouten in de ICT-infrastructuur om een zo hoog mogelijke stabiliteit in de ICT-dienstverlening te bereiken.
Een call is de vastlegging van de vraag, incident of standaard aanvraag door de helpdesk in het helpdesksysteem.
Pagina 5 van 37
AFSPRAKEN
In het probleembeheer overleg, dat iedere twee weken wordt gehouden, probeert de I-groep uit de incidentendatabase problemen af te leiden. In dit overleg zitten technisch specialisten van de diverse disciplines binnen de I-groep. Vanuit probleembeheer worden de problemen uitgezet bij die kennisgroepen die naar de oorzaken op zoek kunnen gaan en het probleem kunnen verhelpen. Probleembeheer overleg
Naast het achteraf constateren van problemen is het ook belangrijk om problemen te voorkomen. Iedere kennisgroep analyseert voor het eigen werkgebied welke situaties in de toekomst kunnen leiden tot verstoring van de dienstverlening. De kennisgroep meldt eventuele problemen bij Probleembeheer aan, die vervolgens de voortgang bewaakt.
Voor de probleemanalyse en -oplossing is een testomgeving beschikbaar waarmee oplossingen voor problemen worden getest.
2.3
Wijzigingsbeheer
WIJZIGINGSBEHEER
Definitie
PROCES
Doel
Wijzigingsbeheer is het mechanisme om de gewenste veranderingen aan de dienstverlening te inventariseren, prioriteren, initiëren, evalueren en bij te sturen. Het zorgt ervoor dat elke aanpassing in de ICT-infrastructuur op een efficiënte en directe wijze wordt afgehandeld, zodat noodzakelijke veranderingen geen verstoringen in de bedrijfsprocessen veroorzaken. Doel van wijzigingsbeheer is noodzakelijke wijzigingen zodanig uit te voeren dat verstoringen en afwijkingen van het dienstenniveau als gevolg van de wijzigingen zo min mogelijk optreden. Hiertoe wordt erop toegezien dat beproefde methoden en technieken worden gebruikt voor de voorbereiding, bouw, test en implementatie van nieuwe of gewijzigde onderdelen van de ICT-infrastructuur. De door de Opdrachtgever gewenste wijzigingen worden op door de Opdrachtgever gewenste tijdstippen in productie genomen.
Standaard wijzigingen worden door gebruikers via daartoe bestemde webformulieren op de website http://www.vuw.leidenuniv.nl aangevraagd. In bijlage 1 is een overzicht te vinden van de standaard wijzigingen die door middel van webformulieren kunnen worden aangevraagd. Een standaard wijziging wordt conform de wijze waarop incidenten worden afgehandeld, uitgevoerd (zie ook hoofdstuk 4)
AFSPRAKEN
Niet-standaard wijzigingen die een organisatie-eenheid (faculteit of expertisecentrum) wenst worden door de Informatiemanager ingediend bij de Servicemanager van de I-groep. De specialisten binnen de I-groep analyseren het wijzigingsverzoek op technische haalbaarheid. De Servicemanager stelt de Informatiemanager op de hoogte of het verzoek kan worden uitgevoerd of welke aanvullende maatregelen nodig zijn om het wijzigingsverzoek alsnog te kunnen uitvoeren. Aanvragen, accepteren en verwerken
Van elke voorgestelde wijziging zal de I-groep vooraf de impact bepalen. Indien een wijziging niet binnen de dienstverleningsafspraken, zoals in de DNO overeengekomen valt, zal voorafgaand aan de wijziging een offerte worden opgesteld. Na accorderen van de offerte door de Opdrachtgever/Budgethouder, zal de I-groep zorg dragen voor uitvoering van de wijziging. Afhankelijk van de omvang van de activiteiten kan de I-groep besluiten de wijziging binnen de I-groep projectmatig uit te voeren onder leiding van een projectleider. De Servicemanager zorgt voor een adequate terugkoppeling van de voortgang aan de Opdrachtgever. Wijzigingen in functionaliteit van het VUW concept worden via de CAB VUW ingediend bij de Servicemanager, waarna een vergelijkbaar traject wordt uitgevoerd zoals hierboven beschreven. Ook wijzigingen die voor de oplossing van vastgestelde problemen noodzakelijk geacht worden verlopen via het wijzigingsproces.
Pagina 6 van 37
De acceptatie is een formele acceptatie van de goede werking van de gewijzigde functionaliteit. Het doel van het testen is aan te tonen dat de resultaten van de wijziging aan de gestelde specificaties voldoen.
Acceptatieprocedure
Het uitvoeren van de technische acceptatietest is een verantwoordelijkheid van de I-groep. Het testen op de goede werking van de applicatie en de geboden functionaliteiten is de verantwoordelijkheid van de Functioneel beheerder, de Informatiemanager of de aangewezen key-user afhankelijk van de soort applicatie. De in productie name van de wijziging zal in overleg met de Informatiemanager worden gepland. Wijzigingsverzoeken die vanuit het oogpunt van technisch beheer in opdracht van de I-groep worden uitgevoerd, zullen dezelfde acceptatieprocedure doorlopen.
Communicatie
2.4
De Informatiemanager verzorgt de communicatie naar eindgebruikers. De I-groep levert hiertoe desgewenst delen van de benodigde informatie aan. De Informatiemanager stemt dit af met de Servicemanager. De Service manager zorgt, indien nodig, tevens voor een aanpassing van informatie op de website.
Configuratiebeheer
CONFIGURATIEBEHEER
PROCES
Definitie
Configuratiebeheer beslaat de processen rondom het registreren, bijhouden en verstrekken van meta-informatie over onderdelen van de ICT-infrastructuur.
Doel
Doel van het proces is het onder controle brengen van de configuratie componenten voor zover de verantwoordelijkheid daarvan belegd is bij de I-groep. Voorts zal binnen dit proces de benodigde informatie over de ICT-infrastructuur aan belanghebbenden verstrekt worden.
AFSPRAKEN
Rapportages
In het CAB VUW worden de wensen ten aanzien van structurele rapportages bepaald. De kwartaalrapportage wordt voorzien van diverse bijlagen waarin de componenten zijn opgenomen die financiële consequenties met zich meebrengen, zoals werkplekken, netwerkpoorten, accounts, etc.
Pagina 7 van 37
2.5
Reactie- en hersteltijden voor gemelde incidenten
URGENTIE
Prioriteit >
Kritiek
Belangrijk
Gewenst
Cosmetisch of nieuw
Impact op business
Aantal gebruikers
Kan niet meer werken
Kan werken, wel beperkt
Kan gewoon blijven werken
Verzoek om informatie of standaard wijzigingsverzoek
Groot
Alle
Niveau 0
Niveau 1
Niveau 2
nvt
Middel
10 - 100
Niveau 1
Niveau 2
Niveau 3
nvt
Laag
< 10
Niveau 1
Niveau 2
Niveau 3
Niveau 4
Urgentieniveau
Reactietijd
Hersteltijd
Niveau 0
Direct
Zo spoedig mogelijk
Niveau 1
Direct
70% binnen 2 uur, 30 % binnen 1 werkdag
Niveau 2
< 1 uur
70 % binnen 4 uur, 30 % binnen 1 werkdag
Niveau 3
< 4 uur
50% binnen 4 uur 50 % binnen 1 werkdag
Niveau 4
< 1 werkdag
80% binnen 1 werkweek 20% binnen 1 maand
Pagina 8 van 37
3
Communicatie en overleg
Onderstaand een schematische weergave van de overlegvormen in het kader van VUW.
Dap overlegvormen Universiteit
I-groep ICT Beraad
Strategisch
Tactisch
Strategisch
Tactisch
CAB VUW
Operationeel
Operationeel Service overleg
Dap interface operationeel Opdrachtgever
I-groep
Incident melding
(via FB)*
Standaard aanvraag
Gebruikers
Helpdesk via FB
Meldingen aan gebruikers
via SM
via FB
Niet-standaard aanvraag
via SM
Dap interface tactisch/strategisch I-groep
Opdrachtgever via ICT Beraad
Nieuwe Releases
via ICT Beraad
Directie
Directie Wijziging contracten
via CAB VUW
Functionele wijzigingen
Informatie Managent
via CAB VUW Service Management
Wijzigingen dienstverlening
*
*
Lees FB of budgethouder. Aanvragen met financiële consequenties dienen te worden geautoriseerd.
Pagina 9 van 37
OVERLEGVORMEN
ICT-BERAAD
CAB VUW
Grote vernieuwingstrajecten die projectmatig worden aangepakt worden gestart en gevolgd door het ICT beraad. De CAB VUW (zie hieronder) heeft richting het ICT Beraad een adviserende rol in het vaststellen van prioriteiten. In het ICT Beraad zijn leden van de verschillende faculteitsbesturen en directieleden van expertisecentra/centrale eenheden vertegenwoordigd. Het secretariaat wordt gevoerd door Informatiemanagement/Bestuursbureau. De Change Advisory Board (CAB) heeft tot doel de ontwikkelingen in de behoeften rond functies en diensten van het basisdeel van VUW te stroomlijnen. De Informatiemanagers brengen vanuit hun gebruikersachterban eisen en wensen in de CAB in. Zo ook de I-groep op basis van ervaringen vanuit het dagelijkse beheer en ontwikkelingen in de markt op het gebied van technologie en dienstverlening. Zowel Informatiemanagement Bestuursbureau als de I-groep heeft elk vanuit een ander perspectief ook zicht op de samenhang tussen VUW met andere bedrijfsinformatiesystemen.
OVERLEG
De CAB heeft tot taak al deze wensen en eisen te inventariseren, te beoordelen, te prioriteren en om te zetten in concrete ontwikkel- en wijzigingsopdrachten aan de Igroep. Daartoe heeft de CAB een releasebeleid voor VUW ontwikkeld, dat zijn concrete vertaling krijgt in een Wijzigingskalender VUW.
Service overleg
Gebruikers overleg
Periodiek vindt er overleg plaats tussen de individuele Informatiemanagers en het servicemanagement van de I-groep. Kwantitatieve informatie over de dienstverlening (aantallen incidenten, respons- en hersteltijden, e.d.) levert de belangrijkste input voor dit overleg . Met behulp van deze informatie kan worden beoordeeld of de dienstverlening voldoet aan de binnen de DNO/DAP afgesproken normen. Binnen de faculteit is ook een gebruikersvertegenwoordiger aangewezen, deze is tevens de voorzitter van de Gebruikerscommissie ICT. Deze Gebruikerscommissie komt periodiek bij elkaar om van gedachten te wisselen over (a) wensen voor nieuwe of gewijzigde voorzieningen en (b) om de huidige dienstverlening te evalueren. De commissie kan naar behoefte de Servicemanager en/of specialisten van de I-groep uitnodigen om de praktische haalbaarheid van de ideeën en wensen te laten onderzoeken.
De gebruikercommissie adviseert de Opdrachtgever over gewenste wijzigingen in de ICT-omgeving en/of de afspraken over diensten, service- en beveiligingsniveaus, zoals die zijn vastgelegd in de DNO’s.
Pagina 10 van 37
ROLLEN Opdrachtgever
Informatie manager
De Directeuren (Bedrijfsvoering) van de faculteiten en expertisecentra fungeren als Opdrachtgever en contractpartij. Zij zijn degenen die de DNO’s voor hun organisatie ondertekenen. De verantwoordelijkheid voor de verdere ontwikkeling van de dienstverlening en de bewaking van de kwaliteit zal over het algemeen worden gedelegeerd aan de Informatiemanager binnen de eenheid. De Informatiemanagers van de faculteiten en expertisecentra monitoren de kwaliteit van de dienstverlening en de behoefte aan nieuwe functies. Via bijvoorbeeld een gebruikersoverleg en/of periodieke gesprekken met key-users binnen de eigen organisatie wordt informatie verzameld over de ontwikkelingen in de gebruikersbehoefte.
ROLLEN EN VERANTWOORDELIJKHEDEN
Voorts nemen de Informatiemanagers samen met een vertegenwoordiger van de Igroep deel aan de CAB VUW, waar gezamenlijke beslissingen worden genomen over de basisvoorzieningen en diensten van VUW.
Service management
Functioneel Beheer
Key-users
De Servicemanager van de I-groep heeft als taak de kwaliteit van de dienstverlening te bewaken en verder te ontwikkelen. Richting de klant van VUW (vertegenwoordigd door de Informatiemanager) betekent dit initieel het vastleggen van afspraken over diensten en dienstenniveaus in een DNO en afspraken over procedures in een DAP. Het is tevens de taak van de Servicemanager om in samenspraak met de beheerorganisatie van de I-groep tot afspraken te komen die tot doel hebben de kwaliteit van de dienstverlening verder te ontwikkelen. Dit betreft zowel de korte termijn maatregelen die eventueel getroffen moeten worden in gevallen dat de Igroep niet aan afgesproken normen voldoet, als de langere termijn ontwikkeling van de services. Gebruikers dienen dagelijks verzoeken in voor specifieke dienstverlening zoals die in een DNO met een eenheid zijn afgesproken. Te denken valt aan een verzoek om een nieuwe applicatie beschikbaar te krijgen, een extra pc of randapparatuur, een groepsdirectory of een verhuizing. Dergelijke verzoeken hebben veelal financiële consequenties en dienen -alvorens de I-groep deze uitvoert- te worden geautoriseerd door een daartoe bevoegde persoon aan klantzijde. Dit Functioneel beheer kan in de praktijk worden uitgevoerd door de (facultair) Informatiemanager, een afdelingshoofd, een manager bedrijfsvoering zelf, of een door hen gemandateerde functionaris. De Functioneel Beheerders hebben de bevoegdheid om opdrachten aan de I-groep te verstrekken met financiële consequenties. Als het gaat om het beschikbaar stellen van nieuwe applicaties, spelen de key-users van de applicaties een belangrijke rol. Zij geven richting de I-groep aan hoe de applicatie moet functioneren, testen de applicatiescripts en dragen zorg voor functionele acceptatie van de applicatie.
Pagina 11 van 37
4
Procedures per dienst van de virtuele werkplekomgeving
In dit hoofdstuk wordt per dienst beschreven wat de richtlijnen zijn voor het aanvragen dan wel wijzigen daarvan. De kwantitatieve gegevens worden opgenomen in Bijlage 1. Onderstaand een samenvattend overzicht van de diverse procedures voor het aanvragen van wijzigingen.
Aanvragen voor…
Door
Autorisatie
Middel
Reden voor autorisatie
Mailvoorzieningen Extra Mailquotum
Gebruiker
FB
Webformulier
Maximum totaalquotum
Functionele Mailbox
Gebruiker
FB
Webformulier
Maximum totaalquotum
Distributielijsten
Gebruiker
FB
Webformulier
Organisatie policies
Forwarding van e-mail
Gebruiker
FB
Helpdesk
Beperkt toegestaan
Mail alias
Gebruiker
FB
Helpdesk
Beperkt toegestaan
Nieuw BASIS
IM
CAB VUW
CAB
Impact voor alle gebruikers
Nieuw BASIS PLUS
Gebruiker
FB
Webformulier
Licentiekosten
Nieuw SELECT
Gebruiker
FB
Webformulier
Licentiekosten
Gebruik bestaande software
Gebruiker
FB
Webformulier
Licentiekosten
Update van software
Gebruiker
FB
Webformulier
Licentiekosten
Gebruiker
FB
Webformulier
Maximum totaalquotum
Gebruiker
TC
Direct via netwerken
Kosten
Aanmaken account
Automatisch
SAP/ISIS
Administratie
Opheffen account
Automatisch
SAP/ISIS
Administratie
Blokkeren van accounts
IM
IM
Servicemanager
Min-kosten
Mutaties gebruikersbevoegdheden
Gebruikers
FB
Webformulier
Vertrouwelijkheid
Verhuizing virtuele werkplekomgeving
Gebruikers
Geen
Helpdesk
Primair self-service
Nieuwe pc
Gebruiker
FB
Webformulier
Kosten
Verhuizing pc
Gebruiker
FB
Webformulier
Kosten (soms)
Opheffen van pc
Gebruiker
FB
Webformulier
Min-kosten
Zelf beheerde apparatuur (notebooks)
Gebruiker
FB
Servicemanager
Kosten
Aanvragen netwerkprinter, scanner en overige randapparatuur
Gebruiker
FB
Webformulier
Kosten
Vervanging van een pc of randapparaat
Automatisch
IM
Planning
Aanvragen PDA
Gebruiker
FB
Webformulier
Kosten
Aanvragen of upgraden vaste telefoon
Gebruiker
TC
Webformulier
Kosten
Vaste poort
IM
IM
Webformulier
Kosten
Draadloos accespoint
IM
IM
Servicemanager
Kosten
Netwerksegment in eigen beheer
IM
IM
Servicemanager
Kosten
FB = Functioneel Beheer of Budgethouder
IM-Informatiemanager
Applicaties
Gegevensopslag Verhogen diskquotum
Telefoneren Wijzigingen in functionaliteit
Accounts
Werkplek- en randapparatuur
Mobiele devices en telefoons
Netwerkpoorten
TC= Telefoniecoördinator
Pagina 12 van 37
4.1
Exchangediensten (E-mail en agenda)
OUTLOOK Elke organisatie-eenheid krijgt een quotum toegewezen voor het totale volume aan mailboxen. Dit quotum omvat het maximum quotum per individuele mailbox, aangevuld met een surplus van 10% voor grootgebruikers. Extra mailquotum
Indien een organisatie 80% van de totaal beschikbare hoeveelheid schijfruimte overschrijdt, ontvangt de Informatiemanager hierover bericht van de I-groep. Initieel krijgt elke gebruiker de standaard omvang voor een e-mailbox. Op verzoek van de gebruiker kan deze standaard omvang uitgebreid worden in twee stappen (groot en extra groot). Functioneel Beheer accordeert de verzoeken tot uitbreiding.
Aanvragen functionele mailboxen
Functionele mailboxen kunnen door een ieder met een persoonlijk account via een webformulier worden aangevraagd en worden geaccordeerd door Functioneel Beheer. Wijzigingen of het opheffen van een functionele mailbox kunnen door de aangewezen eigenaar van de mailbox via een webformulier, zonder tussenkomst van Functioneel Beheer, worden aangevraagd.
PROCEDURES
Bij de aanvraag van een functionele mailbox wordt hiervoor een groep aangemaakt. Hieraan worden de gebruikers toegevoegd die toegang moeten hebben tot de functionele mailbox. De beheerinspanning hiervoor is minimaal. Gebruikers dienen zelf de mailbox te koppelen. Hiervoor is een handleiding beschikbaar gesteld.
Aanvragen distributielijsten
Elke organisatie eenheid krijgt op basis van haar organigram een aantal distributielijsten ter beschikking. Additionele distributielijsten kunnen door de Informatiemanager worden aangevraagd via de Helpdesk.
Forwarding email
Op beperkte schaal kan automatische forwarding van een e-mail naar een ander emailadres worden aangevraagd. Deze aanvraag kan de Informatiemanager direct bij de Helpdesk indienen. Bij wijze van uitzondering kan een alias voor het e-mailaccount worden aangevraagd. Deze aanvraag kan de Informatiemanager direct bij de Helpdesk indienen. Dit wordt uitgevoerd volgens naamgevingrichtlijnen van ULCN. Het gaat daarbij om:
Mail alias
o o o o
een lange of dubbele naam en/of met veel initialen; een gehuwde vrouw die mans+ meisjesnaam wil iemand met diacrieten in de achternaam iemand met een volgnummer
RAPPORTAGE
Er wordt gerapporteerd over: Rapportage items
•
Omvang van de e-mailboxen per gebruiker en hun vastgesteld quotum;
•
Omvang beschikbare en gebruikte e-mailcapaciteit per organisatie eenheid.
Pagina 13 van 37
4.2
Programmatuur
APPLICATIEDIENSTEN Er worden drie soorten applicaties binnen VUW onderscheiden:
Applicaties
•
BASIS: basisapplicaties
•
BASIS+: doelgroepspecifieke applicaties (universiteitsbreed)
•
SELECT: organisatiespecifieke applicaties
Omwille van de beschikbaarheid en betrouwbaarheid van de individuele werkplek omgevingen van gebruikers worden applicaties in gescripte vorm aangeboden. Voor de basisapplicaties en de universiteitsbreed gebruikte doelgroepspecifieke applicaties (BASIS+) geldt dat deze altijd op deze wijze worden aangeboden. De kosten voor het scripten van deze applicaties en/of een snelkoppeling naar een website (exclusief de licentiekosten) zijn in de prijs per werkplek inbegrepen. Voor de BASIS+ applicaties geldt dat in een aantal gevallen wel licentiekosten worden doorberekend per extra gebruiker (zie ook verderop). Voor organisatiespecifieke applicaties (SELECT) geldt dat –afhankelijk van het aantal gebruikers- in overleg met de opdrachtgevende eenheid, wordt beoordeeld of de applicatie wordt gescript of via een semi-managed werkplekomgeving beschikbaar komt. Het scripten van organisatiespecifieke applicaties wordt apart in rekening gebracht. Verzoeken voor het opnemen van nieuwe (of bestaande) applicaties binnen de set aan basisprogrammatuur en de set van universiteitsbrede doelgroepspecifieke applicaties (BASIS+), worden afgehandeld binnen de CAB VUW.
PROCEDURES
Aanvragen BASIS(+) applicaties en updates
Aanvraag nieuwe specifieke software
Er geldt een maximum aan het aantal gescripte applicaties binnen de VUW omgeving, dat door de CAB VUW wordt vastgesteld. Voor elke applicatie wordt een key-user aangewezen. Voor verzoeken tot het implementeren van een nieuwe versie van bestaande BASIS(+) programmatuur, gelden de volgende uitgangspunten: •
Van elk softwarepakket wordt in principe 1 versie (de nieuwste) beschikbaar gesteld. Maximaal worden 2 versies beschikbaar gesteld, veelal de laatste en de voorlaatste versie.
•
De key-user van de applicatie pleegt overleg met de gebruikers over de consequenties van het doorvoeren van een update (conversie- en uitwisselingsvraagstukken) en adviseert de CAB over te nemen beslissingen over upgrade.
De gebruiker kan nieuwe software aanvragen via een webformulier. Functioneel Beheer beoordeelt het verzoek en verzoekt de I-groep de software te scripten, dan wel handmatig te laten installeren op basis van de door CAB VUW vastgestelde criteria.
(SELECT)
Om de goede werking van de software binnen VUW te kunnen garanderen wordt een intakeprocedure uitgevoerd en een test- en acceptatietraject doorlopen.
Uitbreiding gebruikersgroep
Wanneer een gebruiker verzoekt om een bepaalde applicatie te mogen gebruiken en deze is reeds beschikbaar, dan wordt deze na autorisatie door Functioneel Beheer, aan de gebruiker beschikbaar gesteld. Zo nodig wordt een extra licentie aangeschaft.
Licentiekosten
Voor alle basisprogrammatuur geldt dat de kosten voor de benodigde campuslicenties zijn inbegrepen in de prijs per werkplek. Voor doelgroepspecifieke programmatuur geldt veelal dat per individuele gebruiker licentiekosten moeten worden afgedragen aan Surfdiensten of een andere leverancier. Deze kosten worden doorbelast aan de Opdrachtgever.
Licentiebeheer
De I-groep zal de media van de applicatie, die door de key-user is aangeleverd, of die door de I-groep in opdracht is besteld, op een veilige plaats bewaren en de
Pagina 14 van 37
bijbehorende licentie registreren. RAPPORTAGE 4.3
Rapportage items
Een up-to-date overzicht van de beschikbare applicaties, hun versienummer, de eventuele licentiekosten per gebruiker en de key-user of Functioneel beheerder is beschikbaar op de VUW website.
Gegevensopslag
STORAGE & BACK-UP
PROCEDURES
Ophogen diskquota
Indien het totaal aan klantquotum dreigt te worden overschreden kan de Informatiemanager bij de Servicemanager een verzoek tot uitbreiding indienen. Restore van data
RAPPORTAGE 4.4
Standaard krijgt elke gebruiker de standaard omvang voor gegevensopslag. De gebruiker kan via een webformulier een uitbreiding op deze standaard omvang in twee stappen aanvragen (groot en extra groot). De Informatiemanager accordeert de verzoeken tot uitbreiding.
Het verzoek tot het restoren van data kan de gebruiker direct aan de helpdesk richten.
Er wordt gerapporteerd over: Rapportage items
•
Omvang schijfruimte per gebruiker en hun vastgesteld quotum;
•
Omvang beschikbare en gebruikte schijfruimte per organisatie eenheid.
Telefoneren
TELEFONEREN PROCEDURES 4.5
Wijzigingen in functionaliteit telefonie
Wijzigingen in de functionaliteit binnen de IP-telefonie verlopen via de Telefoniecoördinator.
Toegangsfuncties voor de persoonlijke VUW-omgeving
HET VUW-ACCOUNT
Automatische account generatie
De accounts van medewerkers en studenten worden automatisch gegenereerd op basis van informatie die vanuit de ULCN Metadirectory wordt doorgegeven aan de VUW Active Directory. ULCN ontvangt op zijn beurt de informatie uit de bronbestanden SAP (medewerkers) en ISIS (studenten). In de toekomst zal daar het derde bronbestand GMS (gasten) aan worden toegevoegd. •
Zolang het GMS niet als bronbestand operationeel is, worden gasten via ISIS of SAP ingevoerd en UB-pashouders via de daartoe bestaande procedure.
Pagina 15 van 37
Accounts worden automatisch geblokkeerd als de status van de medewerker of student in resp. SAP of ISIS wijzigt in “uitgeschreven”. Na uitschrijving in een van de bronbestanden, geldt het volgende: Opheffen van accounts
•
De gebruiker ontvangt vanuit FB-ULCN bericht van de voorgenomen opheffing van het account
•
Het account blijft nog 2 maanden beschikbaar en wordt daarna definitief verwijderd, inclusief alle (e-mail)bestanden. De gebruiker heeft in de tussentijd de gelegenheid bestanden, die bewaard moeten blijven, te archiveren.
Beveiligingsuitgangspunt binnen de universiteit is dat gebruikersaccounts tot individuele personen herleidbaar moeten zijn. In een aantal situaties is het echter gewenst om een groep gebruikers een account te laten delen en daartoe een functioneel account te creëren. Aan een functioneel account zijn kosten verbonden. Situaties waarin nu een functioneel account aangevraagd kan worden: •
Studieverenigingen
•
Universitaire medewerkers die in een groep één baan vervullen (b.v. portiers van een kantoor).
In alle andere gevallen zal er een nieuwe afweging gemaakt moeten worden. Voorwaarden die hierbij gelden zijn: •
In principe geen medewerkeraccount beschikbaar. Standaard krijgen de deelnemers in een functioneel account ook een persoonlijk account. Indien dit niet gewenst is, zal in SAP de VUW code op ‘no account’ gezet moeten worden door personeelszaken. Indien dat niet gebeurd betaald men zowel voor het persoonlijke account als voor het functionele account. Functionele accounts zijn feitelijk bedoeld voor deelnemers zonder een eigen omgeving, maar het kan voorkomen dat iemand daarnaast ook een persoonlijk account nodig heeft ten behoeve van een andere functie.
•
Aanvraag loopt via de Informatiemanager. Omdat het een uitzondering betreft is voor de gebruiker geen webformulier beschikbaar gesteld.
•
De informatiemanager die de aanvraag goedkeurt, is verantwoordelijk voor het account en ziet toe op een juist gebruik ervan.
Functionele accounts
Overige kenmerken zijn: •
Functionele accounts hebben standaard geen toegang tot afdelingsschijven. De benodigde resources (werkgroepen, printers, etc.) moeten bij de aanvraag worden aangegeven door de Informatiemanager. De persoonlijke schijf van het functionele account (P-schijf) is beschikbaar om informatie te delen en functioneert in die zin als afdelingsschijf.
Nadeel: Geen universitaire e-mails. Dit kan later opgelost worden door functionele accounts op te nemen in het GMS. Zolang het GMS nog niet in productie is, worden de functionele accounts handmatig gemaakt.
Blokkeren van accounts
BEVOEGDHEDEN
Gebruikers bevoegdheden
Vanuit de bronbestanden worden accounts gegenereerd waarvan te verwachten valt dat een aantal nooit gebruikt worden. De Informatiemanager kan op basis van de accountlijsten aangeven welke accounts geblokkeerd dienen te worden. Op basis van aan een gebruikersaccount gekoppelde rollen/kenmerken (organisatieeenheid en afdeling; doelgroep: medewerker, student of gast) worden automatisch bevoegdheden binnen de VUW-omgeving verleend. Het gaat hierbij om de toegang tot gemeenschappelijk te gebruiken resources per organisatie-eenheid, afdeling en doelgroep (applicaties, randapparatuur, groepsdirectories). Voorts wordt van elke gebruiker vastgelegd welke additionele toepassingen deze mag gebruiken. Bij herinstallatie van een werkplekomgeving, worden alle applicaties en andere resources waarvoor ooit op individuele basis toestemming is verleend, alsook de rechten die een gebruiker heeft op basis van zijn rol in de organisatie, automatisch weer beschikbaar gesteld.
Pagina 16 van 37
Mutaties in bevoegdheden gebruiker
Indien aanvullingen nodig zijn op de basisbevoegdheden van een individuele gebruiker, kunnen deze worden aangevraagd via webformulieren. Functioneel Beheer accordeert deze aanvragen.
RAPPORTAGE
Er wordt gerapporteerd over: Rapportage items
•
Het aantal actieve accounts;
•
Het aantal inactieve accounts;
•
Het aantal speciale accounts.
Pagina 17 van 37
5
Procedures per dienst van de fysieke werkplekomgeving
5.1
Werkpleksystemen
WERKPLEKSYSTEMEN Aanvraag nieuwe fysieke werkplek
Wijziging type werkplek
Een nieuwe werkplek kan door Functioneel Beheer via een webformulier worden aangevraagd. Het is hierbij nodig een SAP-nummer in te vullen. Hierbij kan ook worden aangegeven of het een (semi)managed of self managed werkplek moet worden. Indien de hardware configuratie afwijkt van de standaard (bijvoorbeeld een groter beeldscherm of Apple Macintosh) kan dat worden aangegeven en wordt een meerprijs in rekening gebracht. Functioneel Beheer kan de I-groep verzoeken een managed werkplek om te zetten in een semi-managed of self managed werkplek.
Uitgangspunt is dat fysieke werkplekken niet worden verhuisd, tenzij. Tenzij speelt dan een rol als de fysieke werkplek met speciale voorzieningen is uitgerust.
PROCEDURES
Verhuizing van een fysieke werkplek
Een fysiek verhuizing kan door Functioneel Beheer worden aangevraagd via een webformulier.
Verhuizing van een gebruikersaccount
Gebruikers kunnen bij verhuizing naar een andere kamer, zelfstandig de pc opnieuw uitrollen (via de F12 self service). Op dat moment worden eventueel lokaal aanwezige applicaties van de vorige gebruiker van de pc verwijderd en die van de nieuwe gebruiker geïnstalleerd. Dit proces duurt ongeveer een uur. Indien gewenst kan de gebruiker hierbij ondersteuning van de servicedienst van de I-groep krijgen.
Opheffen werkplek
Het opheffen van een fysieke werkplek en/of gebruikersaccount kan door Functioneel Beheer via een webformulier worden aangevraagd. Het is hierbij nodig een SAP-nummer in te vullen. De doorbelasting van kosten stopt in dat geval met ingang van de eerstvolgende maand.
Aanvraag self managed werkplek
Voor grootschalige verhuizingen binnen een gebouw en naar een ander gebouwencomplex geldt dat deze projectmatig worden aangepakt. De Informatiemanager maakt hierover afspraken met de Servicemanager.
Indien een werkplek (vaste pc of notebook) wordt aangevraagd die niet door de I-groep in beheer genomen hoeft te worden, is er sprake van een self managed werkplek. Hierbij wordt de aanschaf van de hardware direct doorberekend. De Igroep fungeert hier als inkoper en zorgt voor registratie en garantieafhandeling. De Informatiemanager kan de werkplek ook leasen, waarbij de werkplek in de looptijd kan wijzigen van status selfmanaged in bijvoorbeeld managed. De werkplek wordt opgenomen in de CMDB en in de vervangingsronde meegenomen. Bij uitleenlaptops kan een image beschikbaar gesteld worden waarmee de laptop na gebruik in de oorspronkelijke staat kan worden terug gebracht.
Vervanging
Jaarlijks worden werkplekken vervangen die 4 jaar of ouder zijn. In overleg met de Informatiemanager wordt een dergelijke vervangingsslag voorbereid. De Informatiemanager/Opdrachtgever is daarbij verantwoordelijk voor de wijze waarop communicatie richting gebruikers dient plaats te vinden.
RAPPORTAGE
Er wordt gerapporteerd over: Rapportage items
•
Het aantal werkplekken per locatie en status (managed, semi-managed en self managed).
Pagina 18 van 37
5.2
Randapparatuur
PRINTERS EN SCANNERS
PROCEDURES
Aanvraag netwerkprinter of scanner
Via de Functioneel beheerder kan een printer of scanner worden aangevraagd. De Functioneel beheerder kan op basis van de behoefte een printer of scanner selecteren uit de standaard hardware lijst. Indien er op de standaard lijst geen geschikte optie voorhanden is kan de Informatiemanager de Servicemanager verzoeken een nieuw type te selecteren. De I-groep doet hiervoor een voorstel en neemt het nieuwe apparaat op in de standaard hardware lijst. Indien een bepaald type printer niet meer leverbaar is, zorgt de I-groep voor een vervangend type.
RAPPORTAGE
Rapportage onderwerpen
Er wordt gerapporteerd over: •
Het aantal printers per locatie
•
Het aantal scanners per locatie
OVERIGE RANDAPPARATUUR
PROCEDURES
Op specifieke werkplekken zullen ook andere randapparaten worden ingezet zoals webcams, mouse-tablets, headsets, externe opslagmedia, e.d. Principe voor deze randaapratuur is dat uit een lijst van standaardapparatuur kan worden gekozen. Zelf aangeschafte randapparatuur wordt niet door de I-groep ondersteund. Diverse randapparaten
Indien er op de standaard lijst geen geschikte optie voorhanden is kan de Informatiemanager de Servicemanager verzoeken een nieuw type of nieuw randapparaat te selecteren. De I-groep doet hiervoor een voorstel en neemt het nieuwe apparaat op in de standaard hardware lijst. Indien een bepaald type van de “standaard” randapparatuur niet meer leverbaar is, zorgt de I-groep voor een vervangend type.
RAPPORTAGE 5.3
Er wordt gerapporteerd over: Rapportage items
•
Aantellen overige randapparatuur per type per locatie
Pda’s en Smartphones
PDA EN SMARTPHONES PROCEDURES
Aanvragen
PDA’s kunnen door de Informatiemanager via een webformulier worden aangevraagd inclusief of exclusief een Vodafone Corporatie Net abonnement en/of inclusief een Servicepack. Opties staan beschreven in de standaard hardware lijst.
RAPPORTAGE
Er wordt gerapporteerd over: Rapportage onderwerpen
•
Het aantal PDA’s per organisatie eenheid.
Pagina 19 van 37
5.4
Telefoontoestellen
TELEFOONTOESTELLEN
PROCEDURES RAPPORTAGE 5.5
Aanvragen
Bij de aanvraag van een nieuwe werkplek kan direct ook een standaard toestel worden aangevraagd. In geval van een niet-standaard toestel dient de aanvraag via de telefonie coördinator te verlopen.
Wijzigingen
Aanvragen die betrekking hebben op bv. het wisselen van telefoonnummers, wijzigen van verkeersklasse, wijzigen groepsschakelingen, etc. dienen via de telefonie coördinator te worden aangevraagd.
Er wordt gerapporteerd over: Rapportage items
•
Het aantal telefoons per organisatie onderdeel.
Netwerkaansluitingen
NETWERKAANSLUITINGEN
PROCEDURES
Aanvraag netwerk aansluiting
De Functioneel beheerder kan via een webformulier een (extra) netwerkaansluiting aanvragen. Indien er een wandcontactdoos aanwezig is kan hierop een actieve netwerkaansluiting worden gemaakt. Indien dit niet het geval is gaat de aanvraag door naar Vastgoed die de bekabeling in orde maakt en de kosten afstemt met de afnemende organisatie.
Aanvraag UNoA aansluiting
De Informatiemanager kan een netwerkaansluiting laten omzetten naar een UNoA (=Universitaire Notebook Aansluiting) poort. Dit verzoek kan direct aan de helpdesk worden gericht.
Netwerksegment in eigen beheer
De Informatiemanager kan bij de Servicemanager een verzoek indienen om een bepaald netwerksegment in te richten ten behoeve van experimenteer- of onderzoekswerkzaamheden. Hiervoor wordt een aparte offerte opgesteld.
RAPPORTAGE
Er wordt gerapporteerd over: Rapportage items
•
Het aantal actieve netwerkpoorten per locatie per soort netwerk (VLan)
Pagina 20 van 37
5.6
Algemene afspraken
ONDERHOUD
PROCEDURES
Gepland onderhoud
Communicatie
Gepland onderhoud waarbij toepassingen en/of onderliggende systemen tijdelijk niet beschikbaar zijn, gebeurt in de regel op de 4e maandag van de maand tussen 18.00 uur en dinsdag 8.00 uur. De Informatiemanagers worden een week van tevoren op de hoogte gesteld. Uitgangspunt is dat de onderwijsvoorziening niet onderbroken mag worden, hiermee wordt rekening gehouden bij het vast stellen van de aanvangstijd van de werkzaamheden. De onderhoudsacties die in een jaarplanning bij de I-groep zijn opgenomen worden tijdig aan de Informatiemanager bekend gemaakt. De I-groep is verantwoordelijk voor berichtgeving over de beschikbaarheid van het systeem in verband met regulier onderhoud en storingen. Communicatie hierover richting medewerkers geschiedt over het algemeen via Informatiemanagement/Functioneel Beheer. Het gebruik van eventuele alternatieve communicatiekanalen kan in onderling overleg worden afgestemd.
FACTURATIE Structurele kosten
Voor aanvang van een nieuw jaar worden de structureel verwachte kosten in een financieel overzicht opgestuurd aan de Opdrachtgever. Hierin wordt inzichtelijk gemaakt welke kosten per dienst worden doorgerekend in het lopende jaar.
PROCEDURES
De structurele kosten worden per kwartaal gefactureerd. Wijze van facturatie
Uitbreiding van diensten wordt direct gefactureerd. De structurele kosten die dit eventueel met zich meebrengt worden zichtbaar in de kwartaalfactuur en worden vervolgens in de nieuwe financiële jaarbijlage opgenomen. Additionele dienstverlening wordt apart geoffreerd en op basis van nacalculatie in rekening gebracht. Voorbeelden daarvan zijn:
Meerwerk
•
projectmatige verhuizingen
•
speciale verzoeken die niet binnen de standaard dienstverlening vallen
Pagina 21 van 37
6
Managementrapportages
De kwartaalrapportage wordt per organisatie-eenheid opgesteld en binnen een maand na afloop van het kwartaal opgeleverd aan de Opdrachtgevers. De volgende onderwerpen worden opgenomen in de kwartaalrapportage.
Algemeen Per dienst worden de bijzonderheden die zich in het afgelopen kwartaal hebben voorgedaan beschreven. Te denken valt aan: • Nieuwe software die in gebruik is genomen; • Software pakketten die zijn geüpdatet in de rapportage periode; • Verstoringen worden nader verklaard; • Andere bijzonderheden.
Getalsmatige onderbouwing In de kwartaalrapportage komt tot uitdrukking: • De beschikbaarheid van de dienst als geheel. (Voor de VUW2 omgeving moet nog worden bepaald op welke onderdelen van de dienstverlening beschikbaarheid gemeten kan worden). • Het aantal gemelde incidenten uitgesplitst naar storingen en standaard aanvragen; • Het percentage van de gemelde storingen dat is opgelost binnen 1 werkdag; • Het percentage van de gemelde standaard aanvragen dat is opgelost binnen 1 werkweek; • De gemiddelde wachttijd voordat een gebruiker een helpdeskmedewerker aan de telefoon krijgt (in seconden); • Het totaal aantal fysieke werkplekken en het aantal opgeheven en nieuwe werkplekken; • Het totaal aantal netwerkprinters en het aantal opgeheven en nieuwe printers; • Het totaal aantal overige randapparatuur en het aantal opgeheven en nieuwe overige randapparatuur; • Het totaal aantal telefoons en het aantal opgeheven en nieuwe telefoons; • Het totaal aantal actieve accounts en het aantal vervallen en nieuwe accounts; • Het totaal aantal scripts en het aantal updates en nieuwe scripts; • Het totaal aantal licenties en het aantal vervallen en nieuwe licenties; • Het aantal pc’s dat is vervangen volgens regulier vervangingsschema; • Het aantal notebook dat in beheer is; • Het aantal actieve netwerkpoorten en het aantal UNoA poorten. Security rapportage • Het aantal security incidenten uitgesplitst naar soort incident per maand • Het aantal aangemelde security incidenten per organisatie eenheid • Het percentage security incidenten naar soort per jaar • Het aantal spam e-mails ten opzichte van reguliere e-mails • Het aantal gereleasde spam e-mail per organisatie eenheid • Rapportage naar aanleiding van vulnerabilityscanning
Bijlages Bij de kwartaalrapportage worden de volgende lijsten toegevoegd: • Een overzicht van de fysieke werkplekken (inclusief laptops) per locatie, met status (managed, semi-managed, selfmanaged). Deze status is nog niet beschikbaar in Marval, dit dient te worden aangepast. • Een overzicht van de netwerkaansluitingen per locatie per soort vlan (netwerksegment); • Een overzicht van de netwerkoutlets met kamernummer en outletnummer (moet nog nagegaan worden of dit binnen de I-groep wordt vastgelegd) • Een overzicht van de actieve en slapende accounts; • Omvang van de e-mailboxen per gebruiker en hun vastgesteld quotum; • Omvang beschikbare en gebruikte e-mailcapaciteit per organisatie eenheid. • Omvang schijfruimte per gebruiker en hun vastgesteld quotum; • Omvang beschikbare en gebruikte schijfruimte per organisatie eenheid. • Een overzicht van de telefoons per locatie • Lijst met beschikbare programmatuur, met versienummer en key-user. • Lijst met calls die langer dan 2x de maximale normtijd open staan.
Pagina 22 van 37
Bijlage 1 Overzicht van aanvraagprocedures Aanvraag
Afhandeling Aanvraag via
Aanvrager
Autorisatie
Procedure
Rapportage
Nee
Webform
GB
FB
Akkoord naar HD
x-tal wp per soort per kwartaal
semi-managed werkplek
Nee
nieuw webform
GB
FB
Akkoord naar HD
x-tal wp per soort per kwartaal
3
nieuw (extra) account
Tot maximum
PZ
PZ
automatisch
2x per jaar meting
4
opheffen account
Ja
PZ
PZ
automatisch
2x per jaar meting
nr.
Wat
Inbegrepen
1
nieuwe werkplek
2
5
opheffen werkplek
Nee
6
verhuizing indiv/logisch
Ja
7
verhuizing groep
Nee
8
extra hardware (printers, scanners, e.d.)
Nee
9
extra schijfruimte exchange (mail en agenda)
Tot maximum
Limieten
plusdienst
Opmerkingen
Webform kan weg Webform kan weg
20% van aantal wp
op basis van standaard assortiment
GB
FB
In uitzonderingsgevallen
Webformulier
GB
FB
x
>=5 werkplekken
Projectmatig
IM
DBV
Offerte via SM
x
Eventueel is een script voor drivers nodig, zie extra software
Webformulier
GB
FB
Akkoord naar HD cc naar SM
Webformulier
GB
FB
Akkoord naar HD cc naar SM
bezetting per kwrt en op aaanvraag
80% < 1 week
Webformulier
GB
FB
Akkoord naar HD cc naar SM
bezetting per kwrt en op aaanvraag
80% < 1 week
per kwartaal naar CAB
1 tot 4 weken
standaard: 250 MB groot: 500 MB extra groot: 1 GB
extra schijfruimte fileshare
Tot maximum
groot: 1 GB extra groot: 1,5 GB
x-tal wp per kwrt
afhankelijk van levertijd apparatuur; 80% < 1 week afhankelijk van levertijd apparatuur; 80% < 1 week
Helpdesk
standaard: 750 MB 10
Akkoord naar HD cc naar SM Akkoord naar HD
Levertijd
80% < 1 week 80% < 1 week
in kwrt rapportage
afspraak afhankelijk van besteltijd
11
extra software
Tot maximum
x-tal gescripte software
Zie overzicht
Webformulier
GB
FB
naar CAB
12
extra gebruiker van software
Ja, ex licentie
licentie per stuk voor 1 versie
Zie overzicht
Webformulier
GB
FB
FB kan licentiekosten opzoeken op website
80% < 1 week
13
update softwarescript
Ja
van alle bestaande scripts en tegelijk voor alle gebruikers van een script
Webformulier
GB
CAB
Akkoord naar SM
afhankelijk van aantal gebruikers van het script
Aanvraag nr.
Wat
14
Afhandeling Inbegrepen
Limieten
Autorisatie
GB
FB
Webformulier
GB
FB
Webformulier
GB
FB
Akkoord naar HD
80% < 1 week
Webformulier
GB
FB
Akkoord naar HD
80% < 1 week
Webformulier
GB
Eigenaar
Akkoord naar HD
80% < 1 week
Webformulier
GB
FB
Akkoord naar HD
80% < 1 week
Webformulier
GB
Eigenaar
Akkoord naar HD
80% < 1 week
webform TC
GB
TC
Akkoord naar HD
80% < 1 week
webform TC
GB
TC
Akkoord naar HD
80% < 1 week
Tel/mail
GB
FB
Webformulier
GB
FB
Tel/mail
GB
FB
10% van aantal accounts
Tel/mail
GB
FB
uitzondering
Tel/mail
GB
FB
Tel/mail
GB
< 1 week
Tel/mail
GB
< 1 week
Tel/mail
GB
< 1 werkdag
faculteitsgebonden 5% van aantal accounts
15
nieuwe mail distributielijst
Ja
16
wijzigen rechten of opheffen maildistributielijst
Ja
17
functionele mailbox nieuw
Ja
18
wijzigen rechten of opheffen functionele mailbox
Ja
19
nieuwe groepsdirectory Ja
20
wijzigen rechten of opheffen groepsdirectory
21
telefoon toestel mutatie (nieuw of opheffen)
Standaard toestel
22
telefoon software mutatie
Ja
Opmerkingen
Aanvraag via
Aanvrager
Ja
plusdienst
10 % van aantal accounts
binnen totale disklimieten
Type XXXX
Type 7940 (en 7960) Hogere rechten leiden tot hogere gesprekskosten
Verkeersklasse, groepschakeling e.d.
Procedure Akkoord naar SM Akkoord naar HD
Rapportage
Levertijd
80% < 1 week
Overige (incidentele) aanvragen 23
mailaccount (zonder omgeving)
Nee
24
netwerkpoort (zonder omgeving)
Nee
25
netwerkprinter
Nee
26
forwarding emailaccount
Tot maximum
27
mail-alias
Ja
28
restore individuele mailbox
Ja
29
restore gebruikersdata
Ja
30
virusverwijdering
Ja
ook voor opheffen
5% van aantal accounts 5% van aantal accounts
gedeeltelijk selfservice
Akkoord naar HD cc naar SM Akkoord naar HD cc naar SM Akkoord naar HD cc naar SM Akkoord naar Helpdesk Akkoord naar Helpdesk
Pagina 24 van 37
Aanvraag
Afhandeling
nr.
Wat
Inbegrepen
31
spamfiltering aanpassing
Ja
32
Notebooks
Nee
33
Functionele accounts
Ja
34
Gastaccounts
Ja
Limieten
plusdienst
x
Opmerkingen
Aanvraag via
Aanvrager
Autorisatie
Tel/mail
GB
IM
Tel/mail
GB
FB
zeer beperkt
Tel/mail
GB
FB
zeer beperkt
Tel/mail
GB
FB
Procedure
Rapportage
Levertijd < 1 week
Afkortingen: GB = gebruiker BH = Budgethouder FB = Functioneel beheerder bij de opdrachtgever IM = Informatiemanager CAB = Functioneel beheer VUW op centraal niveau HD = Helpdesk I-groep SM = Service Manager I-groep DBV = Directeur Bedrijfsvoering bij de opdrachtgever TC = Telefoniecoördintor bij de opdrachtgever wp = werkplek
Pagina 25 van 37
Bijlage 2 Getalsmatige onderbouwing per kwartaal Managementinformatie VUW Werkplek dienstverlening I-groep Klant:
Faculteit x
Periode
Totaal
jan
Beschikbaarheid Omgeving totaal Exchange omgeving Applicatie omgeving Terminal services
Incidenten en aanvragen Aantal gemelde incidenten waarvan storingen Waarvan aanvragen
% incidenten hersteld binnen de norm % aanvragen afgehandeld binnen de norm Gemiddelde wachttijd telefoon (sec)
Configuraties Aantal pc’s + mon Bestaand Vervangen Nieuw
Aantal printers Bestaand Vervangen Nieuw
Aantal overige randapparatuur Bestaand Vervangen Nieuw
Aantal telefoons Bestaand Vervangen Nieuw
Aantal accounts Bestaand Vervangen
feb
mrt
apr
mei
juni
juli
aug
sept
okt
nov
dec
Managementinformatie VUW Werkplek dienstverlening I-groep Klant:
Faculteit x
Periode
Totaal
jan
feb
mrt
apr
mei
juni
juli
aug
sept
okt
nov
dec
Nieuw
Aantal scripts Bestaand Updates Nieuw
Aantal licenties Bestaand Vervangen Nieuw
Wijzigingen Aantal verhuizingen werkplek Reguliere vervanging hardware
Overige Notebookdienst Netwerkpoorten UNoA poorten
Pagina 27 van 37
Bijlage 3 Overzicht concernsystemen Overzicht concernsystemen, systeemeigenaars, Functioneel beheer Door: M.J. Klaren, secretaris AGIS Datum: 6 februari 2007 Concernsysteem
Eigenaar
Gedelegeerd eigenaar
Eenheid
Functioneel beheer (hoofd)
SAP
Van der Boon Van der Boon Van der Boon ‘t Hart
-
BV
Van der Geest
-
BV
Van der Geest
-
BV
Van der Geest
-
ICS
Persoon
Haemers
‘t Hart
-
ICS
Persoon
Van der Steen
ULCN-GMS
‘t Hart
-
ICS
Persoon
Ruiter
U-Twist
‘t Hart
-
ICS
Persoon
Haemers
DISUS
‘t Hart
-
ICS
Persoon
Haemers
QCMS Tridion Beelddatabank
‘t Hart
-
ICS
De Kooker
‘t Hart
-
ICS
De Kooker
Aleph
De Belder
-
UB
Steenhuis
Planon
Dekker
Beekhuis
VG
Boom
ZRS
Teufer
Mars
UFB
Klomp
Metis
AZ/UB
Mostert
AZ/UB
Wassenaar
Blackboard
Dupuis
BV
Klaassen
Architect
Van der Boon Mostert
-
BV
Zandveld
Marval
Van Daalen
Dorleijn
IGr
Dorleijn
Docman e-Stemmen ISIS Campus Solutions ULCN
Functioneel beheer (medewerker)
Systemen die wel universiteitsbreed of eenheidsoverstijgend gebruikt worden maar geen functionele organisatie kennen: • Decos • Pardon • Stipp • Business Objects Naast deze lijst komt er een programmatuurlijst voor de overige toepassingen. Deze wordt via de website ter beschikking gesteld. Wie houdt de lijst van de concernsystemen bij (AGIS?). De programmatuurlijst wordt door de Igroep bijgehouden. Wijzigingen in namen van key-users worden door de Informatiemanagers aangeleverd.
Pagina 28 van 37
Bijlage 4 VUW PLUS-dienstenpakket per 1-1-2007 Eénmalige
Artikel
Artikelomschrijving
Lease-
meerprijs
kosten
t.o.v.
Verkoop-
per jaar
standaard
prijs
Standaard werkplek configuratie "Dell" 7407350
Dell Optiplex 745 (model small form factor)
7441392
Dell 1707 FP 17" silver Ultrasharp incl. soundbar
7441388
Dell 19" monitor t.o.v. 17" 7441392
75,00
7441394
Dell 20" monitor t.o.v. 17" 7441392
152,00
7441396
Dell 24" monitor t.o.v. 17" 7441392
op aanvraag
Eénmalige extra kosten voortijdige vervanging hardware: * pc per jaar vervroegde afschrijving * monitor per jaar vervroegde afschrijving
200,00 75,00
Extra monitor per werkplek Leasekosten per jaar
99,00
Standaard werkplek configuratie "Apple" 7407353
Apple iMac Pro 2,0 GHz Intel Core Duo 17" 1 Gb
237,00
superdrive (CD's en DVD's lezen en branden 7407349
Apple iMac 2,16 GHz Intel Core Duo 20" 1 Gb grotere harddisk en superdrive (CD's en DVD's lezen en branden
100,00
Laptopdienst 7404585
Dell Latitude D620 laptopdienst
727,00
PDA-dienst 1
7435331
PDA HP I-paq HW 6910
2
7499768
e-carepack UC914E 3 jr Pickup&Return in 5 dagen
3
éénmalige installatiekosten (1,5 uur O&S)
4
beheerkosten per jaar (4 uur WPD)
5
7404578
PDA HP I-paq RX 1950
6
7499769
e-carepack U5001E 3 jr Pickup&Return in 5 dagen
529,00 69,00 69,00 184,00 269,00 69,00
7
éénmalige installatiekosten (0,5 uur O&S)
23,00
8
beheerkosten per jaar (2 uur O&S)
92,00
Mogelijkheden klant: verkooporder
aankoop I-paq zonder carepack/installatie/beheer
zie 1 of 5, maar is voor elk type mogelijk
verkooporder
e-carepack voor HW6910 of RX 1950
reservering
aankoop HW6910 + e-carepack + installatie / beheer
reservering
aankoop RX 1950 + e-carepack + installatie / beheer
zie 2 of 6 voor 1 + 2 + 3 > éénmalige factuur door FA / voor 4 > jaarlijkse factuur FA voor 5 + 6 + 7 > éénmalige factuur door FA / voor 8 > jaarlijkse factuur FA
Randapparatuur 7491089
Hewlett Packard Scanjet 2400 / USB 2.0
131,00
7491115
Hewlett Packard Scanjet 4850
205,00
incl. installatie incl. installatie
Pagina 29 van 37
Eénmalige LeaseArtikel 7491098
Artikelomschrijving
meerprijs
kosten
t.o.v.
Verkoop-
per jaar
standaard
prijs
Hewlett Packard Scanjet 5530
332,00
7491090
Hewlett Packard Scanjet 8200
7491109
Nikon 5000 ED
op aanvraag
7491999
Dia-adapter (Nikon 5000 ED)
op aanvraag
7435283
Canon L100 fax
178,00
7435307
Brother 2820 fax
202,00
7412192
Hewlett Packard Color-Laserjet 3800DTN (middel)
689,00
7412189
Hewlett Packard Color-Laserjet 2600n
187,00
7412198
Hewlett Packard Zwart-wit Laserjet P3005x (licht)
484,00
7412169
Hewlett Packard Zwart-wit Laserjet 4250TN (middel)
682,00
7412178
564,00
extra papierinvoer 500 vel (van A5 tot folio)
145,00
uitvoereenheid 500 vel
100,00
Hewlett Packard Zwart-wit Laserjet 9050N (zwaar)
incl. installatie incl. installatie
zolang de voorraad strekt
1.650,00
Assortiments- en prijswijzigingen voorbehouden
Pagina 30 van 37
Bijlage 5 VUW compliance aan set minimale maatregelen Verslag audit informatiebeveiliging VUW (2) Inleiding Op 19 december 2006 is er een verkorte informatiebeveiligingsaudit uitgevoerd op VUW (2) met behulp van de set minimale maatregelen. Deze audit is uitgevoerd door de security manager. De formele audit is in de vorm van een vraaggesprek gehouden met medewerkers van het VUW team: John Islam en Olaf Ruiters en security officer, Paula de Nie. Als programmamanager VUW voor het bestuursbureau is ook Marie-Josée Klaren aanwezig. Set minimale maatregelen De set minimale maatregelen beschrijft de minimale maatregelen die nodig zijn om universiteits-breed een minimaal niveau van informatiebeveiliging te kunnen waarborgen. De uitgangspunten vormen hierbij: 1) het informatiebeveiligingsbeleid (juni 2004), 2) besluiten genomen in het overleg van de security manager met de security officers en de 3) code voor informatie-beveiliging. De totale set bestaat uit 54 maatregelen waaraan moet worden voldaan door VUW (2). Al deze maatregelen zijn met bovenstaande personen besproken. In onderstaand verslag staat een weergave van de bevindingen. Bij de bespreking is de indeling van de set leidend geweest. 1. Organisatie De verschillende rollen zijn aanwezig: van portefeuillehouder (Paul van Daalen) tot security officer (Paula de Nie). Het VUW team bestaat uit een ontwikkelteam en operational team. Het ontwikkelteam vertaalt wensen van de klant naar ICT mogelijkheden en is ook verantwoordelijk voor implementatie van de juiste informatiebeveiliging. Verder is er een operational team dat zorgdraagt voor het beheer. Het ontwikkelteam blijft gedurende het VUW traject aanwezig om op de wensen en eisen van bijvoorbeeld het Change Advisory Board (CAB) VUW, beheer of (beveiligings)eisen vanuit de markt te kunnen inspelen. Andere betrokkenen zijn de informatie-manager met de security officer bij de eenheden. De interactie tussen de security officers van de VUW faculteiten en het VUW team is nog onduidelijk. Oordeel: geheel voldaan; de interactie tussen de verschillende security officers en het VUW team is echter nog onduidelijk. 2. Classificatie en beheer van bedrijfsmiddelen Voor VUW (2) is een Configuration Management Data Base (CMDB) aanwezig. Deze is nog niet volledig gevuld. De functioneel beheerders van de eenheden zijn hiervoor verantwoordelijk maar nemen deze taak niet voldoende op zich. Er moet door de I-groep nog een inventarisatieslag worden gemaakt om ervoor te zorgen dat de gegevens volledig, juist en up-to-date zijn. Tevens dient er een administratie aanwezig te zijn waarin wordt bijgehouden welke informatie-systemen aanwezig zijn, voor welk doel en wie de eigenaar is. Deze informatie is niet aanwezig en ook hier zal nog een inventarisatieslag moeten geschieden door de I-groep. Het licentiebeheer voor besturingssystemen, officesoftware en Marval ligt bij de I-groep. Dit VUW document is aanwezig. Ter zijde: het is aanbevelenswaardig een overall document betreffende alle licenties te ontwikkelen. Dit is belangrijk als organisaties als de business software alliance (BSA) komen controleren naar het gebruik van licenties. Oordeel: 1) CMDB is aanwezig maar is niet compleet. I-groep moet hiervoor in overleg treden met de eenheden om de informatie aan te vullen en een procedure ontwikkelen om dit te onderhouden; 2) Hetzelfde geldt voor een actueel overzicht van de informatiesystemen; 3) Een document voor het VUW licentiebeheer is aanwezig alleen het overall overzicht van licenties ontbreekt 3. Personeel en gebruikers De gedragscode computergebruik en andere beveiligingsmaatregelen worden door de security officers van de faculteiten en I-groep onder de aandacht van medewerkers gebracht. Dit aspect zal door de Security Manager in het bewustwordingstraject in 2007 worden meegenomen. Er is een exitprocedure waarbij na het verlaten van de faculteit het account wordt ingetrokken. De security officers dienen hierop toe te zien. Deze intrekking wordt gerealiseerd via de koppeling met ULCN. Oordeel: de procedures zijn gemaakt en dus is er voldaan aan deze criteria. Het verdient aanbeveling om alert te blijven op de exitprocedure. In de loop van het jaar zou een klein onderzoek kunnen plaatsvinden over hoe het lang duurt voordat medewerkers na hun vertrek uit het systeem worden verwijderd. Over verwijdering van data wordt in het security officersoverleg gesproken. 4. Fysieke beveiliging De fysieke beveiliging betreft de deuren van werkkamers en de afsluitbaarheid van server-ruimten. Beveiligde ruimten zijn niet als zodanig herkenbaar. Er is wel een raam in de server-ruimte maar dit is niet herkenbaar van buiten. Onbevoegde personen hebben geen toegang tot de ruimte omdat deze is afgesloten. Er is een klimaatcontrole
Pagina 31 van 37
aanwezig met een UPS en deze serverruimte en archiefruimten zijn voorzien van rookmelders en handblussers. Dit alles gebeurt in samenwerking met Vastgoed. Oordeel: er is voldaan aan de fysieke beveiliging. 5. Beheer van communicatie- en bedieningsprocessen In VUW (2) bestaat de mogelijkheid om bepaalde personen – bijvoorbeeld HRM medewerkers – te voorzien van emailencryptie. Dit wordt gedaan op verzoek van de medewerkers zelf en zal dan als mogelijkheid worden opgenomen in het Service Level Agreement met de eenheden. De wachtwoorden van de desktop worden versleuteld opgeslagen. Voor de server geldt dat zij op één plaats – in een kluis - onversleuteld zijn opgeslagen; dit is noodzakelijk in het kader van een calamiteit. Alleen het VUW ontwikkelingsteam heeft toegang hiertoe. Er is echter nog geen procedure hoe hiermee om te gaan. Er wordt over het algemeen gebruik gemaakt van veilige protocollen. Het beheer wordt beveiligd gedaan o.a. https bij open en gesloten werkplekken. Oordeel: aan de meeste eisen wordt voldaan; gezien het risico is het aanvaardbaar dat de wachtwoorden voor de servers onversleuteld zijn opgeslagen maar er moet hiervoor wel een procedure worden gemaakt hoe om te gaan in geval van een calamiteit. 6. Toegangsbeveiliging Een concrete beschrijving van rollen en verantwoordelijkheden van de (soorten) gebruikers van een informatiesysteem – dat door de eenheden gemaakt moet worden - is niet aanwezig. Hierbij kan tevens onderscheid worden gemaakt tussen eindgebruiker en functioneel beheerder. Deze laatste heeft extra rechten. Ander verschil is tussen eindgebruiker bij een eenheid en functioneel beheer van VUW (2). Anderen dan bevoegd ICT personeel mogen slechts toegang hebben tot serverruimten onder begeleiding van een medewerker van die ICT afdeling. In principe moeten huisregels dit garanderen. De scheiding van het lokale netwerk in aparte segmenten voor gebruikers, servers en beheer enz. is opgenomen in een document. Het verkeer tussen de verschillende segmenten is “denied by default”. Er is een administratie aanwezig waarin wordt bijgehouden welke verkeersstromen worden toegestaan en waarom. De poortbeveiliging is standaard geactiveerd. De scherm-beveiliging staat in VUW (2) standaard op 15 minuten. Dit kan veranderen als de eenheden dit anders wensen. Moet geregeld worden in het Service Level Agreement. Oordeel: 1) er dient een procedure te worden gemaakt hoe de informatie van gebruikers naar het VUW team altijd volledig en up-to-date blijft; 2) Eventuele aanscherping huisregels voor het toelaten van personen tot de serverruimten. Aan andere eisen is voldaan. 7. Ontwikkeling en onderhoud van systemen De Security Manager zal in 2007 beginnen met een risicoanalyse van de belangrijkste systemen bij de Universiteit Leiden. Dit laat onverlet dat de I-groep en eenheden hun eigen risicoanalyse op systemen dienen te verrichten. De systeem eigenaar zal hier een leidende rol in moeten spelen. Risico’s betreffende de directory server, mailserver, fileserver, printserver, dataserver en DHCP server zullen nog moeten worden gemaakt. Deze analyses zullen door de I-groep – ook in het kader van VUW (2) – moeten worden gemaakt. Er is een scheiding aangebracht tussen productieomgeving, ontwikkelomgeving en testomgeving. Dit geldt ook voor data tussen de verschillende omgevingen. Informatie uit systemen met een verhoogd of zeer hoog risico wordt niet gebruikt voor testdoeleinden. De I-groep maakt beperkt gebruik van CIS tools ter bepaling van de level 1 en 2 baselines. De Windows systemen (servers) maken gebruik van de Microsoft Baseline Analyzer en de Microsoft Operations Manager. De niet-windows systemen (servers) maken wel gebruik van de CIS tools. Deze situatie is in principe ongewenst omdat alle systemen aan de CIS level van beveiliging dienen te worden getoetst tenzij anders is afgesproken. Dit is ook aan de orde geweest in het security officers overleg waarbij nog overlegd wordt hoe deze kwestie op te lossen. Een informatiesysteem wordt pas onderdeel van de operationele IT omgeving na een formele goedkeuring en acceptatie van de ICT-afdeling. Voor deze procedure moet nog een formulier worden gemaakt. Voor de servers en netwerkcomponenten wordt een logboek bijgehouden via het Microsoft Operations Manager monitoring tool. Hierin worden ook de integriteit van alle server en netwerksystemen geverifieerd. Wijzigingen aan IT systemen worden vooral gepland en goedgekeurd door middel van een change-procedure die door middel van een formulier aanwezig is. Er is een procedure die zorg draagt voor het tijdig en correct aanbrengen van veiligheidsupdates op systemen. Deze patching geschiedt maandelijks. Er zijn ook volledige logfiles aanwezig. Omdat deze bestanden erg groot zijn worden er rules aan verbonden zodat de relevante informatie overblijft.
Pagina 32 van 37
Het wachtwoordbeleid van VUW (2) gaat uit boven de standaard van de minimale maatregelen. Deze standaard is 6 karakters opgebouwd uit letters en cijfers. Het VUW (2) beleid gaat uit van 8 karakters met hoofdletters, kleine letters, cijfers en/of vreemde karakters. Aan drie van deze vier voorwaarden moet zijn voldaan anders wordt het wachtwoord niet geaccepteerd. Er is geen maximum verbonden aan het aantal karakters. In principe wordt het databackupbeleid per eenheid afgesproken in het Service Level Agreement. Het overall databackupbeleid in VUW (2) kent een restore tot maximaal vijf weken terug. Dit wordt uitgevoerd op verzoek van gebruikers. De integriteit wordt gewaarborgd door het testen van een backup. Een procedurebeschrijving moet hiervan nog worden gemaakt. Bij het maken van de backup wordt soms nog gebruik gemaakt van tapes. De tapes worden op een plaats buiten het gebouw gebracht. Dit geschiedt wekelijks en niet meer maandelijks zoals in de minimale maatregelen staan vermeld. Het principe van gesloten en open werkplek is in VUW (2) uitgebreid tot managed, semi-managed en unmanaged. Managed is te vergelijken met een gesloten werkplek, unmanaged met een open werkplek en bij semi-managed wordt de werkplek voor een korte tijd open gezet zodat een gebruiker applicatie(s) kan installeren waarna de werkplek weer gesloten wordt. De verantwoordelijkheden blijven zoals ze in de minimale maatregelen staan: de systeemeigenaar en/of hoofdgebruiker is verantwoordelijk voor beide werkplekken. De I-groep treedt op als leverancier. Een antivirus concept is aanwezig en geïmplementeerd. De gekozen oplossing zorgt voor het up-to-date houden van de virussignaturen. Bij incidenten in VUW (2) wordt de helpdesktool Marval gebruikt. De classificatie van een incident blijkt vooraf moeilijk omdat aan een incident soms achteraf een andere classificatie moet worden gegeven. Hierbij is een geschreven classificatie gewenst: welke meldingen komen in welke categorie. Incidenten met een werking naar buiten toe worden doorgegeven aan de Security Manager. Voor de incidentenregistratie moet nog een procedurebeschrijving worden gemaakt. De security officer is aangewezen als verantwoordelijke hiervoor. Oordeel: 1) door de I-groep en de eenheden dienen nog risicoanalyses te worden gemaakt van de systemen; de security manager zal in 2007 ook starten met risicoanalyses van grote systemen; 2) voor de monitoring van Windows serversystemen maakt de I-groep gebruik van Microsoft tools en niet van de CIS tools ter bepaling van het voldoen van de baselines. In principe is dit ongewenst. Dit onderwerp is nog onderdeel van beraad in het security officersoverleg; 3) Er moeten nog procedures worden gemaakt voor de formele goed-keuring en acceptatie van een systeem, het back-upbeleid en de incidentenregistratie. Aan de andere maatregelen in deze categorie is voldaan. 8. Controle en naleving De I-groep scant met behulp van Microsoft Baseline Analyzer of andere tools meer dan vier keer per jaar de netwerkomgeving (instellingen, poorten, firewalls). Een overzicht van de security incidenten per jaar wordt aan het einde van het jaar aan de security manager ter beschikking gesteld. De security officer van de I-groep maakt twee keer per jaar een overzicht in hoeverre wordt voldaan aan de minimale set beveiligingsmaatregelen. Deze peiling wordt gerapporteerd aan de security manager en faculteitsdirectie. Oordeel: de security manager zal toezien dat bovenstaande rapportages tijdig worden ingeleverd door de security officer zodat er een volledig overzicht is van de stand van zaken met betrekking tot de VUW systemen. Conclusie Bij deze formele audit door de security manager is vooral gekeken naar de beveiligingseisen met betrekking tot de set minimale maatregelen. Hierbij is afgegaan op de informatie zoals verstrekt door de I-groep. Het is echter geen materiele audit geweest waarin wordt gevraagd naar bewijzen betreffende het bestaan en omvang van bepaalde maatregelen, procedures en formulieren. Hiervoor is onvoldoende tijd geweest. In materieel opzicht voldoet VUW (2) aan de meeste eisen die de set minimale maatregelen stellen, echter formeel wordt hiervan niet altijd blijk gegeven. Het volgende kan geconcludeerd worden: 1. De I-groep is zich over het algemeen bewust van de risico’s die worden gelopen. Er zijn echter geen risicoanalyses van systemen waaruit dit blijkt. Dit wordt in 2007 verbeterd omdat de security manager met een traject begint om risicoanalyses van de belangrijkste systemen te uit te voeren wat onverlet laat dat de eenheden ook zelf risicoanalyses dienen uit te voeren; 2. Met betrekking tot een aantal artikelen in de set is geconstateerd dat er geen lijst is met beschrijvingen van de informatiesystemen met eigenaren, beheerders en gebruikers in de eenheden. De I-groep heeft voldoende aandacht voor de technische aspecten maar te weinig aandacht voor de administratieve aspecten waardoor de gegevens niet volledig, juist en up-to-date zijn
Pagina 33 van 37
3.
Er ontbreken procedures of formulieren voor bepaalde werkzaamheden. Deze dienen nog te worden ontwikkeld. Dit is van belang omdat deze documenten in een materiele audit door externen worden verlangd.
Samenvattend: de I-groep voldoet aan 37 artikelen helemaal en aan 10 artikelen gedeeltelijk. Aan 7 artikelen wordt niet voldaan. Van deze laatste categorie is de I-groep niet voor alle artikelen verantwoordelijk. Van bovenstaande 3 punten worden de risicoanalyses dit jaar uitgevoerd. Als de punten 2 en 3 voor de uitrol van VUW (2) gereed zijn dan is het advies om door te gaan met de implementatie bij de eenheden. Aanbevelingen: Met betrekking tot de conclusie van deze audit worden de volgende aanbevelingen gegeven: 1. Er dienen risicoanalyses te worden uitgevoerd voor de belangrijkste systemen. Dit wordt door de security manager in samenwerking met de security officers gemaakt. 2. Naast aandacht van het VUW team van de I-groep voor de technische kant is meer aandacht voor de administratieve kant gewenst in dit project. Het beste is om dit als project issue in te dienen met een einddatum van gereed zijn. 3. Het maken van de ontbrekende procedures door verschillende partijen. De security officers dienen dit te bewaken. 4. Aandacht besteden aan bewustwording bij de medewerkers en studenten door de verschillende security officers. Tevens controleren of de exitprocedure bij uitschrijving van accounts adequaat is.
Set Minimale Maatregelen Informatiebeveiliging
Oordeel
Audit 19-12-06 Organisatie 1. De rollen -in IB beleid- zijn belegd
V
2. In functieomschrijving worden taken op IB gebied benoemd
V
3. Functiescheiding tussen ontwikkeling en auditing anderzijds
V
Classificatie en beheer van bedrijfsmiddelen 4. Aanwezigheid van een CMDB database
½
5. Administratie systemen met eigenaar en CMDB referentie
N
6. Voering sluitend licentiebeheer
V
7. Overzicht van kabels, leidingen in gebouw relevant voor infovoorziening
V
Personeel en gebruikers 8. Attendering op consequenties van Gedragscode voor Computergebruik
½
9. Exitprocedure voor toegangsrechten tot infovoorzieningen
V
Fysieke beveiliging 10. Deuren van werkkamers en serverruimten zijn afsluitbaar
V
11. Serverruimten en archiefruimten zijn niet als zodanig herkenbaar
V
12. Serverruimten bevatten geen ramen
V
13. Serverruimten beschikken over klimaatcontrole
V
14. Klimaat in serverruimten wordt gecontroleerd
V
15. Serverruimten beschikken over UPS
V
16. Serverruimten en archiefruimten beschikken over rookmelders, etc.
V
Beheer van communicatie- en bedieningsprocessen 17. Voor gevoelige (P&O) gegevens is er e-mail encryptie
V
18. Wachtwoorden worden niet in leesbare tekst opgeslagen
½
19. Alleen veilige netwerkprotocollen gebruiken (ssh, https, imaps, pop3s)
V
Toegangsbeveiliging 20. Beschrijving van rollen/verantwoordelijkheden gebruikers van infosysteem
N
21. Beschrijving nr.20 met invoerende, controle, beherende werkzaamheden
N
22. Archiefruimten met persoonsgegevens toegankelijk voor betrokkenen
½
23. Werkstations zijn voorzien van screensavers; activering na 5 minuten
V
24. Scheiding van lokale netwerk in diverse segmenten
V
25. Ingaand en uitgaand verkeer tussen segmenten is niet mogelijk
V
26. Administratie met welke verkeersstromen worden toegestaan
V
Pagina 34 van 37
27. Ethernet netwerken maken gebruik van switch-port beveiliging
V
Ontwikkeling en onderhoud van systemen 28. Alle infosystemen hebben eigenaar, funct.en techn. beheer(der)
½
29. Voor invoering van een nieuw systeem wordt risicoanalyse uitgevoerd
N
30. Voor systemen in categorie basisrisico volstaan minimale maatregelen
N
31. Voor systemen in categorie verhoogd risico geldt aanvul. risicoanalyse
N
32. Voor systemen in categorie zeer hoog risico geldt aanvul. risicoanalyse
N
33. Informatie uit verhoogd (zeer hoog) risico is verboden voor testen
V
34. Server/client/netwerksystemen voldoen aan level-1 baselines (br)
½
35. Server/client/netwerksystemen voldoen aan level-2 baselines (vr)
½
36. Goedkeuring infosysteem na goedkeuring/acceptatie ICT afdeling
½
37. Er is een logboek voor alle servers en netwerkcomponenten
V
38. Change procedure voor wijzigingen in ICT systemen
V
39. Periodieke verificatie van integriteit van server- en netwerksystemen
V
40. Aanwezigheid procedure voor tijdig en correct aanbrengen van patches
V
41. Nalopen van logfiles van alle server- en netwerksystemen
V
42. Wachtwoorden zijn min. 6 karkaters lang met letters en cijfers
V
43. Databackup beleid is aanwezig; controle tapes op leesbaarheid
½
44. Opslag van maand backuptapes off-site
V
45. Archivering wordt uitgevoerd op applicatieniveau.
V
46. Er is een antivirus concept dat automatisch in updates voorziet
V
47. Verantwoordelijkheid gesloten werkplekken
V
48. Verantwoordelijkheid open werkplekken
V
49. Registratie van security incidenten
½
50. Er is procedure en persoon voor afhandeling security incidenten
V
Controle en naleving 51. Periodiek wordt ICT netwerk gescand op zwakke plekken
V
52. Tenminste 2x pj peilt SO naleving en voortgang minimale maatregelen
V
53. Minimaal 1x pj worden incidenten verzameld en geanalyseerd.
V
54. Deze IB rapportages worden gebruikt om IB proces te sturen
V
v= geheel voldaan, ½ = gedeeltelijk voldaan, n= niet voldaan
Pagina 35 van 37
Bijlage 6 Voorbeeld security rapportage
Security incidenten 2006
Beveiliging
140 120
Inbraak / Hacking
aantal
100 80
Inbreuk gedragsregels
60
SPAM
40 Virus 20 Totaal
0 jan
feb
mrt april mei juni
juli
aug sept okt
nov dec
Aangemelde security incidenten faculteit/dienst
Letteren 114
Overige 174
UB 8
Rechten 66 I-groep 75
Bestuursburea u 26
Security incidenten 2006 Beveiliging 21% Inbraak / Hacking 2%
Virus 27%
Inbreuk gedragsregels 5% SPAM 45%
Pagina 36 van 37
Spam VUW 3.000.000 2.500.000 2.000.000 Spam
1.500.000
Clean 1.000.000 500.000 0 31
33
35
37
39
41
43
45
47
49
51 wk1 wk3 wk5 wk7
Pagina 37 van 37