SLA - Checkliste

Auf dieser Seite stelle ich eine Liste möglicher Themen zur Verfügung, die bei Abschluss von Outsourcing-Vereinbarungen zu beachten sind. Vieles davon ist natürlich auch relevant, wenn es um SLAs zwischen den Fachabteilungen und der internen EDV geht.

Die Details des Inhalts und des Umfangs sind abhängig

vom Typ der Dienstleistung,
d.h. ist es eine standardisierte Dienstleistung mit Massencharakter (Utility Style) oder eine eher maßgeschneiderte Zusammenarbeit mit strategischem Einschlag
vom Verhältnis zwischen Dienstleister und Kunde (intern/extern)
und anderen Parametern

Allgemeines

Business Hintergrund des Services
Art der Geschäftsbeziehung
(Utility Service bis Partnerschaft, Joint Venture)
- Partnerschaft:
  Gegenseitig erwartete Leistungen und Dienste
- Utility Deal:
  geforderte EDV-Leistung und Qualität
  (Durchsatz, Antwortzeiten, Plattenkapazität, Übertragungsleistungen)
Liste der Dienste, Anwendungen
Prioritäten zwischen verschiedenen Systemen und Anwendungen
Beschreibung der Funktionalität, detaillierte Featureliste, z.B. Zugriff von außerhalb
Antwortzeiten - genaue Definition ist wichtig
Durchsatz, Bandbreite, Fehlerrate
Verfügbarkeit, Up-time
(genaue Definition, zu welchen Zeiten, wie werden geplante Wartungszeiten gerechnet, etc.)
Qualifikation des Personals

Helpdesk, Support

Helpdesk-Service, Anwendersupport
- Verfügbarkeitszeiten
- jeweiliger Service Level
- Rufbereitschaft
Evt. schnellere Reaktionszeiten zum Monatsende, Jahresende
Sprachen, Dialekte
Remote Support, z.B. XP Remote Support
Reaktionszeiten
Kritikalität von Software-Problemen
- Definition der Kritikalität
- wer entscheidet über Kritikalität und Priorität?
- Beginn der Fehlerbehebung
Eskalationsprozeduren im Konfliktfall
Anwenderschulung / Superuser-Konzept
- Angebot
- Pflicht der Nutzung

Governance (Kontrolle, Überwachung)

Status-Reports, Inhalt, Häufigkeit
Auditierungs- und Protokollierungsanforderungen
Einsetzung eines Krisenstabes, Zusammensetzung

Business Continuity

maximale Unterbrechungen (Verfügbarkeitsbedarf/HA, geplante Wartungsunterbrechungen)
Abhängigkeiten (z.B. Infrastruktur, Höhere Gewalt)
Kritikalität, auch im Katastrophenfall (Wiederanlaufzeiten)
Umfang der Datensicherungen (Häufigkeit, Aufbewahrungszeit)
Details der Eskalation im Katastrophenfall
Zusammensetzung des Krisenstabs

Administration und Sicherheit

Verantwortung bez. Benutzeradministration
Verantwortung bez. Systempflege
Verantwortung bez. Sicherheitsvorkehrungen
(physischer Zugang, Verschlüsselung)
Wer hat Systempassworte ?

Strategisches, z.B. Cloud-Dienstleister

Steering Commity (Lenkungsausschuss)
Wer ist eigentlich für was zuständig, z.B. wer kümmert sich um die Sicherheit, welche Aspekte der Sicherheit?
Strategie-Review Meetings
Change Management für den Vertrag, Weiterentwicklungsoptionen
Ausstiegsoption, Mediation
- Kündigungsklausel, beidseitig
- Transferprozedur zu einem anderem Anbieter - bekomme ich meine Daten zurück, wie, zu welchem Preis?
Gerichtsstand
Vorkaufsrecht, Aktionen bei Aufkauf / Merger
Konkurrenzklausel
Abwerben von Personal

Finanzielles

Entgeltregelung, Kostenverteilung
Metrics, Messkriterien für Erfolg, Leistungserfüllung
Pönale bei Untererfüllung
Rewards/Prämien für Übererfüllung
Haftung
Kundenzufriedenheitsmessungen, Feedback Prozess

Einige sehr interessante Gedanken zum Thema SLA und Verfügbarkeiten (und was schwarze Schwäne damit zu tun haben) wirft Joel Spolsky auf. Und hier geht's zurück zum Thema Sicherheitsorganisation.