Hieronder wordt beschreven hoe de keten van leveranciers, beheerpartners en afnemers binnen SURFfirewall wordt ingericht, bewaakt en geoptimaliseerd.
Ketenoverzicht, Rollen en Verantwoordelijkheden.
Actor | Rol en Verantwoordelijkheden |
SURF | - Regiseur van hele keten - Centrale aanbesteding voor inkoop en levering van beheerpartner, hardware, licenties, spares, software (het beheerportaal) - Integratie met SURFinternet |
Beheerpartner (Quanza) – (Contract gebruikelijk 4 jaar na aanbesteding) | - 24x7 Operationeel beheer: Network Operating Center, Event Management Services, Operational Support Systems – Monitoring , Syslog, configuratie backup - Incident Management - Change Management; uitbreidingen aan de infrastructuur worden opgepakt als project - Patch Management; kritische patches via het incident management proces - Configuration Management; CMDB: gebruik van VC4 IMS, Configuration Backup - Service Management - Vendor Support Management; inkoop loopt via een derde partij, maar incidenten/RMA direct via SURF NOC naar Fortinet - Spare Management; afspraken met leverancier voor leveren vervangende hardware - Faciliteren magazijn-ruimte (spares en bouwvoorraad) |
Network Operations Centre (Quanza) (Contract gebruikelijk 4 jaar na aanbesteding) | - Eerste aanspreekpunt - Triage en doorzetten tweedelijns. |
Inkoop hardware en licenties (Nomios) (Contract gesloten na aanbesteding) | - Inkooploket voor hardware en licenties. |
Leverancier/Vendor (Fortinet) | - Levering Hardware en Licenties - Onderhoud en support op product niveau zoals updates en feature release, en het oplossen van bugs. |
Afnemer dienst (Instelling) | - Beveiligingsbeleid (Configuratie van firewallregels) - Integratie met interne netwerken |
De ketenprocessen
proces | Wat | Betrokken partijen |
Aanbesteding beheer | Elke 4 jaar selecteert SURF via een aanbesteding een beheerpartner. | SURF + Marktpartijen |
Aanbesteding inkoop hardware en licenties | Elke 4 jaar selecteert SURF een partner waar hardware en licenties ingekocht kunnen worden | SURF + Marktpartijen |
Inregeling Firewall beleid en configuratie | Instellen configureren van Firewall regels | Instelling |
Technisch operationeel beheer | Technisch operationeel beheer van hardware en vdoms | Beheerpartij |
Incident mangement | Instelling meldt incident bij NOC. NOC checkt of het een Firewall of netwerk probleem is. Indien firewall incident dan wordt dit direct doorgezet naar beheerpartner. SURF coordineert waar nodig | Instellingen, NOC, Beheerpartij |
Rapportage en evalutie dienstverlening | Beheer partner levert periodieke rapportages op. SURF evalueert dienstverlening en escaleert waar nodig | Beheerpartner + SURF |
Transitie beheer naar nieuwe partners. | Bij aanbesteding nieuwe partner: overdracht kennis, documentatie, systemen | SURF, oude en nieuwe beheerpartner |
Risico’s en beheersmaatregelen in de Leveranciersketen
Risicogebied | Beheersmaatregel |
Vertraging nieuwe levering van Hardware | SURF koopt altijd tijdig in – inclusief buffer. SURF bewaakt dat bestaande licenties + hardware nog verlengd kunnen worden. |
Kwetsbaarheden in firmware | Beheerpartij monitort Fortinet updates actief en valideert updates voordat deze beschikbaar komen. SURF ziet hierop toe. |
Leveranciersafhankelijkheid. | SURF doet Europese aanbestedingen en toetst leveranciers op continuïteit en integriteit. Exitstrategie wordt opgenomen in contracten. |
Kwaliteit van dienstverlening | Kwaliteit van dienstverlening staat hoog in het vaandel. Hier wordt op tactisch als strategisch niveau op gestuurd. Waar nodig is een exitstrategie voor handen. |
Governance en Escalatie.
Situatie | In gang zetten escalatie: Verantwoordeljke partij | Actie |
Incident of storing | instelling | Meldt aan het NOC. |
Technisch probleem in hardware | SURF | Indien niet te verhelpen. Zorgt SURF voor vervanging via leverancier. |
Complex vendor probleem | SURF | Indien beheer partij er niet uit komt, wordt er door SURF geschakeld met de leverancier. |
Doorontwikkeling of strategische vraagstukken. | SURF | Consulteren instellingen om te borgen dat aanbod voldoet aan vraag. |
Issues met beheerpartij | SURF | Leverancier management. |
Ontevreden over dienst of beheerpartner | Instelling | Meldt het aan team SURFfirewall. |