Úřad pro veřejné informační systémy Havelkova 22 130 00 Praha 3
Standard ISVS stanovující povinné požadavky na metodiku atestace shody IS se Standardem ISVS pro náležitosti životního cyklu IS
017/01.01
Verze . modifikace standardu ISVS
Datum schválení verze / modifikace
Datum vyhlášení standardu ISVS
Datum zveřejnění na webu ÚVIS
Uveřejněn ve Věstníku ÚVIS
01.01
2. 5. 2002
25. 6. 2002
31. 5. 2002
2002/částka 2
Strana 1
017/01.01
Standard ISVS stanovující povinné požadavky na metodiku atestace shody IS se Standardem ISVS pro náležitosti životního cyklu IS
Obsah Standard ISVS stanovující povinné požadavky na metodiku atestace shody IS se Standardem ISVS pro náležitosti životního cyklu IS 017/01.01 Obsah ---------------------------------------------------------------------------------------------------------------------2 Úvod ----------------------------------------------------------------------------------------------------------------------3 1 Předmět standardu -------------------------------------------------------------------------------------------------3 2 Odkazy --------------------------------------------------------------------------------------------------------------4 3 Vymezení pojmů --------------------------------------------------------------------------------------------------4 4 Postup při atestaci -------------------------------------------------------------------------------------------------4 4.1 Požadované dokumenty ................................................................................................................ 4 4.2 Atestace komerčního, konfekčního softwaru ................................................................................. 6 4.3 Příprava na atestaci ..................................................................................................................... 6 4.4 Typy atestací ................................................................................................................................. 6 4.5 Výběr dokumentů k atestační zkoušce ........................................................................................... 6 4.6 Posuzování dokumentů ................................................................................................................. 7 5 Atestační zkouška -------------------------------------------------------------------------------------------------7 5.1 Průběh atestační zkoušky .............................................................................................................. 7 5.2 Dokumentace atestačního řízení ................................................................................................... 8 6 Výrok o výsledku atestační zkoušky --------------------------------------------------------------------------8 7 Platnost atestu ------------------------------------------------------------------------------------------------------8 8 Seznam příloh ------------------------------------------------------------------------------------------------------9 Příloha A (informativní) Informace o povinnosti atestace .................................................................. 10 Příloha B (informativní) Evidenční list ISVS ...................................................................................... 11
Strana 2
Standard ISVS stanovující povinné požadavky na metodiku atestace shody IS se Standardem ISVS pro náležitosti životního cyklu IS
017/01.01
Úvod Dokumentace vývoje informačního systému je pro jeho další rozvoj, pro provoz, údržbu a migraci zcela zásadní. Bez důsledného a přesného popisu stávajícího stavu bude každý následný rozvoj komplikovaný a bude finančně náročnější. Standard ISVS pro náležitosti životního cyklu IS předepisuje povinný rozsah dokumentace a její strukturu. Skutečnost, že je takto vývoj IS dokumentován, je jednou ze záruk toho, že budovaný a provozovaný informační systém splňuje všechny požadované technické parametry. Standard ISVS pro náležitosti životního cyklu tak dává správcům ISVS (zejména v roli zákazníka) do rukou nástroj, pomocí kterého může kontrolovat kvalitu informačního systému. Dodržování standardu dále usnadní pokračování ve vývoji nebo údržbě systému i v případě, že původní řešitel není, z jakéhokoliv důvodu, schopen tyto práci provádět. Atestace shody vedené dokumentace k IS se Standardem ISVS pro náležitosti životního cyklu IS lze využít pro kontrolu, zda správci IS důsledně uplatňují své povinnosti spojené se správou IS zejména v případech financování vývoje nebo rozvoje IS ze státního rozpočtu. Tato shoda bude podmínkou uvolnění finančních prostředků na vývoj a rozvoj ISVS ze státního rozpočtu. Z informací získaných pomocí údajů v Evidenčních listech pak lze sestavit základní model ISVS, který bude součástí metainformačního systému veřejné správy. Při připojování k referenčnímu rozhraní bude možné analýzou dokumentace posoudit, zda je informační systém způsobilý k tomuto připojení a zda po tomto připojení nedojde k nežádoucímu ovlivňování ostatních IS.
1 Předmět standardu Tento standard stanovuje povinné požadavky na metodiku atestačních středisek, kterým Úřad pro veřejné informační systémy (dále ÚVIS) vydal pověření k výkonu atestací, při atestaci shody IS se Standardem ISVS pro náležitosti životního cyklu (dále Standard). V příslušném řádku a sloupci znamená, že daný dokument je pro daný typ IS povinný. Veškerá ustanovení tohoto standardu, která se odkazují na standard 005/02.01 vstupují v platnost až současně s platností uvedeného standardu. Atestační středisko provádí atestační zkoušku ve shodě s tímto standardem, pokud dodržuje postup atestace IS podle kapitoly 4 tohoto standardu a výsledky atestace dokumentuje podle ustanovení kapitoly 5 tohoto standardu a výrok o výsledku atestace je ve shodě s kapitolou 6 a 7 tohoto standardu. Součástí IS může být komerční, konfekční SW. Předmětem dodávky tohoto SW mohou být i některé dokumenty požadované Standardem ISVS pro náležitosti životního cyklu. V případě potřeby si jednotlivá atestační střediska pro výkon atestace zpracují detailní metodiky, které postup atestační zkoušky, použité metriky a dokumentaci atestační zkoušky jednoznačně vymezí. Tyto metodiky, které musí plně vyhovovat tomuto standardu, nemusí atestační střediska registrovat na ÚVIS, musí však být v atestačním středisku archivovány po dobu pěti let (viz Standard ISVS pro pověřování k výkonu atestací a pro náležitosti provozu atestačních středisek, Věstník 2001/částka 1, článek 7.7). Komentář: Součástí detailní metodiky budou pouze organizační záležitosti, úprava tabulek, precizování protokolu o atestační zkoušce. Vzhledem k rozhodování ano/ne není nutné rozpracovávat metriky pro jednotlivá posuzování.
Strana 3
017/01.01
Standard ISVS stanovující povinné požadavky na metodiku atestace shody IS se Standardem ISVS pro náležitosti životního cyklu IS
2 Odkazy • • •
• •
•
•
Zákon č. 365/2000 Sb., o informačních systémech veřejné správy. Vyhláška č. 40/2000 Sb., o účasti státního rozpočtu na financování programu reprodukce majetku. ČSN ISO/IEC 12 119:1996 Informační technologie. Softwarové balíky. Požadavky na jakost a zkoušení. Standard ISVS pro náležitosti životního cyklu IS, 005/01.01, Věstník ÚVIS 2000/částka 5. Standard ISVS pro pověřování k výkonu atestací a pro náležitosti provozu atestačních středisek, 006/01.01, Věstník ÚVIS 2001/částka 1. Standard ISVS pro náležitosti procesu a metodiky atestace jakosti produktů, 007/01.01, Věstník ÚVIS 2001/částka 2. Standard ISVS pro atestace shody informačních systémů veřejné správy se standardy ISVS, 014/01.01, Věstník ÚVIS 2001/částka 9.
3 Vymezení pojmů Pro tento standard jsou užívány pojmy uvedené v citovaných standardech ISVS. 3.1 Komerční, konfekční SW – software vytvořený pro zvolenou třídu aplikací u většího počtu zákazníků; vzniká generalizací uživatelských požadavků a standardizací jejich řešení. 3.2 Konzistence dokumentace – vlastnost dokumentace spočívající v tom, že neobsahuje vnitřní rozpory a ve všech dokumentech je jednotná terminologie. 3.3 Pověřený obecní úřad – obce určené zákonem o stanovení obcí s pověřeným obecním úřadem a stanovení obcí s rozšířenou působností, na které budou přecházet pravomoci okresních úřadů. 3.4 Přehlednost dokumentace – vlastnost dokumentace spočívající v tom, že umožňuje rozpoznat vzájemné vztahy; pro zvýšení přehlednosti se doporučuje, aby každý rozsáhlejší dokument měl obsah a rejstřík. 3.5 Správnost dokumentace – vlastnost dokumentace spočívající v tom, že všechny informace jsou přesné, neobsahují dvojznačnosti a chyby. 3.6 Srozumitelnost dokumentace – vlastnost dokumentace spočívající v tom, že je pro uživatele srozumitelná, zejména volbou vhodných termínů, grafických znázornění, podrobných vysvětlivek a odkazů na použité informační zdroje. 3.7 Úplnost dokumentace – vlastnost dokumentace spočívající v tom, že dokumentace obsahuje všechny dokumenty požadované Standardem a v předepsané struktuře. Význam použitých zkratek Informační systém IS Informační systém (y) veřejné správy ISVS Informační systém měst a obcí ISMO Úřad pro veřejné informační systémy ÚVIS
4 Postup při atestaci 4.1
Požadované dokumenty
Přehled dokumentů vyžadovaných pro provedení atestace je uveden v následující tabulce. Dokumenty, které musí žadatel o atestaci předložit, jsou označeny v příslušném sloupci „x“. Pokud byla dokumentace a její identifikační část informačního systému zpracována podle Standardu ISVS pro náležitosti životního cyklu IS, 005/01.01, není nutná její zpětná úprava tak, aby odpovídala požadavkům 005/02.01. Je nutné doplnit pouze dokumenty označené v následující tabulce číslicemi 2, 3 a 6. V prvním sloupci tabulky jsou uvedeny dokumenty požadované Standardem ISVS pro náležitosti životního cyklu IS, 005/02.01. Ve druhém sloupci jsou uvedeny dokumenty požadované Standardem ISVS pro náležitosti životního cyklu, 005/01.01. Hierarchie řazení dokumentů byla převzata ze Standardu ISVS pro náležitosti životního cyklu IS, 005/02.01. V tomto standardu není uváděna povinná struktura dokumentu. Závazná je ta, která je uvedena v Standardu ISVS pro náležitosti životního cyklu IS, 005/02.01.
Strana 4
Standard ISVS stanovující povinné požadavky na metodiku atestace shody IS se Standardem ISVS pro náležitosti životního cyklu IS
017/01.01
Tab. 1 Přehled požadovaných dokumentů Standard 005/02.01
Standard Atestace 005/01.01 ano/ne
B
A B1 akvizice
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39
8.1 Záměr IS – Evidenční list 8.2 Informační strategie 8.3 Bezpečnostní politika 8.4 Projektové postupy 8.5 Plán zajištění jakosti 8.6 Principy monitorování a aktualizace požadavků 8.7 Projektový záměr – Evidenční list 8.8 Plán akvizice 8.9 Plán koordinace subprojektů 8.10 Plán provozu IS 8.11 Plán údržby 8.12 Plán vývoje IS 8.13 Plán zavádění IS 8.14 Systémové požadavky IS 8.15 Úvodní studie IS 8.16 Projektová bezpečnostní dokumentace IS 8.17 Žádost o nabídku 8.18 Smlouva 8.19 Návrh IS – redukovaný postup 8.20 Detailní návrh IS 8.21 Globální návrh IS 8.22 Evidence poruch a mimořádných událostí 8.23 Návrh migrace 8.24 Návrh modifikace 8.25 Protokol o kvalifikačním testování softwaru 8.26 Protokol o kvalifikačním testování systému 8.27 Systémová příručka IS 8.28 Uživatelská příručka IS 8.29 Školící a učební texty 8.30 Zpráva o provedení migrace – Evidenční list 8.31 Zpráva o zavedení IS a konverzi dat 8.32 Protokol o převzetí IS 8.33 Protokol o převzetí IS do provozního užívání – Evidenční list 8.34 Provozní bezpečnostní dokumentace IS 8.35 Provozní statistika 8.36 Přehled připomínek a požadavků uživatelů 8.37 Ukončení projektu – Evidenční list 8.38 Protokol o vyřazení IS z provozu – Evidenční list 8.39 Evidenční list ISVS
– – – – – –
A A A A A A
7.14 7.7 7.8 7.9 7.10 7.11 7.12 7.25 7.28 7.13 7.32 7.23 7.4 7.1 7.3 7.2 7.5 7.6 7.15
A N N N N N N A A A N N A A A A A N N
7.16 7.24 7.29 7.26 7.30
A A A A A
7.31 7.17 7.18
A A N
7.20 7.21 7.22 7.27 7.19
A N N N N
x
–
A
x
Strana 5
2)
x x2)
2)
x
x
B2
B3
základní redukovaný vývoj vývoj
x2) x2) x2) x2) x2) x2)
x2) x2) x2) x2) x2) x2)
x2) x2) x2)
x
x
x
x3) x3) x3)
x x x
x
x2) x2)
x
x x x x
x x
x1)
x1)
x1)
x x x x x1)
x x x x x1)
x x x x x1)
x1) x
x1) x
x1) x
x
x
x
017/01.01
Standard ISVS stanovující povinné požadavky na metodiku atestace shody IS se Standardem ISVS pro náležitosti životního cyklu IS
Dokumenty vytištěné tučně (Evidenční listy) se, v souladu s ustanovením Standardu ISVS pro náležitosti životního cyklu IS, zasílají na ÚVIS. A ISVS, jejichž vývoj skončil před 2001-01-01 B ostatní ISVS B1 IS, které byly vyvinuty s použitím projektu akvizice (nákup SW) B2 IS vytvořené nebo rozšířené s použitím projektu základního postupu vývoje B3 IS vytvořené nebo rozšířené s použitím redukovaného postupu projektu vývoje Poznámky u křížků mají tento význam: 1) je-li provedeno 2) povinné od 2003-01-01 3) dokumenty není nutné předkládat a ověřovat, pokud dodavatel předložil atest osvědčující vlastnosti těchto dokumentů požadované Standardem ISVS pro náležitosti životního cyklu IS.
4.2
Atestace komerčního, konfekčního softwaru
Atestace komerčního, konfekčního SW osvědčující vlastnosti dokumentace požadované Standardem ISVS pro náležitosti životního cyklu IS, která je prováděna na objednávku dodavatele komerčního, konfekčního SW, sestává z posouzení dokumentů: a) Systémová příručka IS b) Uživatelská příručka IS c) Školící a učební texty Jiné dokumenty životního cyklu IS budou testovány pouze v případě, že budou na základě smlouvy zákazníka a dodavatele předmětem dodávky.
4.3
Příprava na atestaci
Přípravu dokumentace k atestaci zajišťuje správce IS veřejné správy s dodavatelem systému. Atestační středisko může při této přípravě plnit funkci odborného dozoru, nesmí se však přímo podílet na zpracovávání některých dokumentů. Pokud by takový případ nastal, musí vlastní atestaci provést jiné středisko. V průběhu atestačního řízení lze dokumentaci podle pokynů atestačního střediska doplňovat.
4.4
Typy atestací Atestační zkoušku lze podle postupu atestačního střediska při zkoušce rozdělit na: a) atestaci shody dokumentace IS se Standardem ISVS pro náležitosti životního cyklu IS před uvedením výsledku projektu jeho vývoje nebo dalšího rozvoje (projekty akvizice, základního nebo redukovaného postupu vývoje a kombinované projekty) do provozu, b) atestaci shody dokumentace IS se Standardem ISVS pro náležitosti životního cyklu IS za jeho provozu (uvedení IS do souladu se zákonem č. 365/2000 Sb.), c) atestaci přírůstkovou pro nové verze komerčního, konfekčního SW.
V případě atestace typu a) pro kombinovaný projekt je nutné posoudit i dokumentaci jeho subprojektů. Atestace typu c) se provádí posouzením dokumentů uvedených ve sloupci B1, pokud se jich týká provedený přírůstek.
4.5
Výběr dokumentů k atestační zkoušce
Od typu atestace a typu atestovaného IS se následně odvozuje výčet posuzovaných dokumentů. Zdůvodněný výpis dokumentů bude vstupní informací pro zahájení atestačního řízení. Tento výpis bude uveden ve veřejné části protokolu o vykonané zkoušce.
Strana 6
Standard ISVS stanovující povinné požadavky na metodiku atestace shody IS se Standardem ISVS pro náležitosti životního cyklu IS
4.6
017/01.01
Posuzování dokumentů
Komentář: Podle ČSN ISO/IEC 12119 se u uživatelské dokumentace posuzuje úplnost, správnost, konzistence, srozumitelnost a přehlednost. Dokumentace bude posuzována podle těchto parametrů: a) úplnost – existence či neexistence dokumentů vyžadovaných podle tabulky 1. U evidenčních listů jejich prokazatelné zaslání na ÚVIS, b) správnost – splnění požadované struktury dokumentů a úplnosti informací v nich obsažených, c) konzistence dokumentace, d) srozumitelnost a přehlednost dokumentace, e) jakost konkrétních řešení. Splnění bodu a) je zásadní. Neexistence některého z dokumentů je důvod k neudělení atestu. Při hodnocení struktury dokumentu a úplnosti informací v něm obsažených podle bodu b) lze neexistenci některé části dokumentu zdůvodnit jeho irelevantností. Neúplnost dokumentu však musí být ve veřejné části protokolu o atestační zkoušce uvedena. Pro hodnocení plnění bodů c) a d) nelze stanovit objektivní, jednoznačně měřitelné a vyhodnotitelné kriterium. Bude vždy subjektivní, závislé na přístupu atestačních středisek, významu IS v rámci ISVS a zřejmě na mnoha dalších okolnostech. Z tohoto důvodu nebudou negativní závěry příslušných hodnocení důvodem k neudělení atestu. Posouzení dokumentace z těchto hledisek je povinné a hodnocení bude uvedeno ve veřejné části protokolu o atestační zkoušce. Výsledkem posuzování jakosti konkrétních řešení podle bodu e) bude stanovisko, zda jsou technická a organizační opatření uvedená v dokumentaci v souladu s běžně užívanými postupy. Toto hodnocení bude uvedeno ve veřejné části protokolu o vykonané zkoušce. Poukázat lze nejen na nízkou jakost řešení, ale i na zbytečně náročná a proto nákladná řešení. Toto obecné subjektivní posouzení nesmí být, v případě negativních výsledků nebo výhrad, důvodem k neudělení atestu. Závěry posouzení budou vždy uvedeny ve veřejné části protokolu o vykonané zkoušce. Posuzování podle bodu e) se bude provádět jen u těch opatření, jejichž řešení nejsou standardizována nějakým zvláštním standardem ISVS (tyto standardy lze očekávat zejména v oblasti bezpečnosti).
5 5.1
Atestační zkouška Průběh atestační zkoušky
Zkouška musí probíhat v následujících krocích: Příprava na atestaci (příprava dokumentace v případech dodatečného zpracovávání dokumentace). Lze provádět pod odborným a metodickým dohledem atestačního střediska. a) výpis povinně posuzovaných dokumentů podle typu atestace a podle životního cyklu IS, b) posouzení úplnosti dokumentace povinně zasílané na ÚVIS (Evidenční listy IS), viz článek 4.6 a), c) posouzení úplnosti ostatní povinné dokumentace, viz článek 4.6 a), d) posouzení správnosti dokumentů a případné zdůvodnění (nebo konstatování) odchylek od požadované struktury dokumentace, viz článek 4.6 b), e) posouzení dokumentace z hlediska konzistence, srozumitelnosti a přehlednosti, viz článek 4.6 c), d), f) posouzení jakosti konkrétních řešení, viz článek 4.6 e), g) zpracování protokolu o atestační zkoušce, viz článek 5.2, h) výrok o výsledku atestační zkoušky, viz článek 6.
Strana 7
017/01.01
5.2
Standard ISVS stanovující povinné požadavky na metodiku atestace shody IS se Standardem ISVS pro náležitosti životního cyklu IS
Dokumentace atestačního řízení
Protokol o zkoušce musí ve své veřejné části obsahovat jednoznačnou identifikaci informačního systému a projektu, podle kterého byl IS realizován, stanovení jeho aktuálního stavu životního cyklu a důvod proč se atestační zkouška provádí (např. před uvedením do provozu, po ukončení projektu údržby, přírůstková atestace atp.). Dále musí být identifikováno atestační středisko, které uzavřelo smlouvu se žadatelem o atest a konkrétní subjekt, který zkoušku provedl (fyzická osoba-zaměstnanec atestačního střediska, testovací laboratoř nebo expert) a datum a místo, kde se zkouška provedla. V neveřejné části protokolu bude zaprotokolována veškerá dokumentace vedená mezi atestačním střediskem a žadatelem o atest. Vlastní test bude zpracován a vyhodnocen ve veřejné části protokolu formou seznamu, respektive tabulek pro každou etapu zkoušky podle bodů a)–f) článku 5.1, s respektováním ustanovení kapitoly 4. Splnění podmínky dílčího testu bude v tabulce nebo v seznamu vyznačeno „ano“, jeho nesplnění „ne“. V případě posuzování jakosti je nutno doplnit komentář.
6 Výrok o výsledku atestační zkoušky Výrok „splňuje“ náleží IS veřejné správy, jehož dokumentace obsahuje všechny dokumenty podle článku 4.1 a v požadované struktuře a jakosti. Výrok „splňuje s výhradami“ náleží IS veřejné správy, jehož dokumentace obsahuje všechny dokumenty podle článku 4.1. Nesplňuje však nepodstatné náležitosti týkající se struktury a jakosti dokumentů. Tyto výhrady musí být uvedeny ve veřejné části protokolu o atestační zkoušce. Výrok „nesplňuje“ bude vysloven v případech, kdy dokumentace IS veřejné správy není úplná a závady se nepodaří odstranit ani ve spolupráci správce s atestačním střediskem postupujícím podle článku 4.3. Protokol o vykonané zkoušce bude, v tomto případě, ve všech svých částech neveřejný.
7 Platnost atestu Udělený atest je platný max. 5 let (viz § 6, odst. 9 zákona č. 365/2000 Sb.). Povinnost opakované (přírůstkové) atestace je stanovena pro IS, které jsou rozvíjeny podle projektu vývoje nebo akvizice a to před uvedením výsledku projektu do provozu. Informační systémy, které jsou provozovány, musí mít udělen atest na shodu IS se Standardem ISVS pro náležitosti životního cyklu IS nejpozději do 2003-06-30. U informačních systémů, které jsou v etapě vývoje, je udělení atestu podmínkou uvedení do stálého provozu. Nově instalované a vyvíjené informační systémy veřejné správy krajů a pověřených obcí musí mít uděleny atesty na shodu se standardizovanými datovými prvky a na shodu se Standardem ISVS pro náležitosti životního cyklu do 2003-12-31. Tato výjimka se týká pouze informačních systémů, u kterých dochází ke změně správce IS z důvodu převodu kompetencí v rámci reformy veřejné správy. Nevztahuje se na již provozované informační systémy veřejné správy, jejichž provozu se změny způsobené reformou veřejné správy nedotknou. Tuto výjimku nelze uplatnit při testování způsobilosti IS pro připojení k referenčnímu rozhraní, při kterém je požadavek na shodu IS se standardy ISVS zásadní. Komentář: Podle Standardu ISVS pro atestace shody informačních systémů veřejné správy se standardy ISVS, 014/01.01, Věstník 2001/částka 9, měly mít všechny informační systémy, které byly uvedeny do provozu před 2000-10-23 udělen atest do 2002-10-23. Tento termín vycházel ze znění zákona č. 365/2000 Sb., o informačních systémech veřejné zprávy a z termínu zveřejnění Standard ISVS pro náležitosti životního cyklu IS, 005/01.01. Vzhledem k termínu zveřejnění tohoto standardu, je povinný termín atestace shody se standardizovanými datovými prvky posunut na 2003-06-30.
Strana 8
Standard ISVS stanovující povinné požadavky na metodiku atestace shody IS se Standardem ISVS pro náležitosti životního cyklu IS
017/01.01
O udělení atestu žádá správce informačního systému. To je v případech, kdy datový obsah informačních systémů vzniká distribuovaně, např. v městech a obcích (např. živnostenské úřady, úřady sociální péče, finanční úřady, matriky, katastrální úřady atp.), žádá vždy některý z ústředních orgánů státní správy, kterému je vedení příslušného informačního systému uloženo zvláštním zákonem.
8
Seznam příloh
Příloha A (informativní) Informace o povinnosti atestace Příloha B (informativní) Evidenční list ISVS
Strana 9
017/01.01
Standard ISVS stanovující povinné požadavky na metodiku atestace shody IS se Standardem ISVS pro náležitosti životního cyklu IS
Příloha A (informativní) Informace o povinnosti atestace Správci informačních systémů splňují své povinnosti stanové zákonem č. 365/2000 Sb., o informačních systémech veřejné správy § 5, odst. 2, písmeno c), ve vztahu ke Standardu ISVS pro náležitosti životního cyklu IS, pokud jimi provozované informační systémy mají udělen atest v souladu s kapitolou 7 a Přílohou A tohoto standardu. Dokumentace subsystému, který je pořizován akvizicí jako komerční, konfekční SW, musí být vedena v rozsahu podle článku 4.2 tohoto standardu. Vzhledem k tomu, že jsou komerční, konfekční SW dodávány více uživatelům, je nutné, aby byla atestace shody dokumentace s požadavky Standardu ISVS pro náležitosti životního cyklu IS jednou z akceptačních podmínek zakázky. Atest, který bude na komerční, konfekční SW udělen, je vztažen na produkt a tím na všechny jeho uživatele. Povinnost atestace V souladu s ustanovením Standardu ISVS pro atestace shody informačních systémů veřejné správy se standardy ISVS, se povinnost atestace vztahuje na všechny informační systémy veřejné správy, které jsou dodávány nebo byly dodány orgánům veřejné správy na zakázku, případně vyvíjené vlastními prostředky pokud cena na dodávku přesahuje 200 000 Kč. Povinnost atestace se dále vztahuje na všechny informační systémy veřejné správy (bez ohledu na způsob akvizice), které přímo komunikují, nebo se tato komunikace předpokládá, s jinými informačními systémy prostřednictvím referenčního rozhraní. Povinnost prokazovat shodu dokumentace IS se Standardem je požadována u IS měst a obcí pouze do úrovně pověřená obec. Pro identifikaci IS veřejné správy je ve složitějších případech (zejména ISMO) rozhodující vstupní a výstupní místo (datové rozhraní IS), kterým IS veřejné správy komunikuje s ostatními IS veřejné správy. Dokumentace IS se zpracovává pro IS jako celek s tím, že musí popsat všechny systémové a datové funkce jednotlivých subsystémů a jejich vzájemnou funkční provázanost. Komentář: Povinnost prokázat shodu dokumentace IS se Standardem atestací není tedy požadována pro případy, kdy cena za dodávku IS dodávaného na zakázku nebo vyvíjeného vlastními prostředky nepřesahuje 200 000 Kč, bez započtení nákladů na vlastní provoz IS a finanční prostředky nejsou čerpány ze státního rozpočtu a v případech, kdy IS nekomunikuje s jinými ISVS prostřednictvím referenčního rozhraní a ani se tato komunikace nepředpokládá. Skutečnost, že některé IS veřejné správy jsou vyřazeny z povinnosti atestace neznamená, že nejsou povinny dodržovat příslušný standard. Dodržování povinných ustanovení standardů, u kterých není uložena povinnost atestace, budou kontrolovány při kontrolní činnosti ÚVIS, podle § 4, odst. 3a) zákona č. 365/2000 Sb. Orgánům veřejné správy se doporučuje pořizovat pouze produkty, které mají uděleny atesty na shodu s relevantními standardy ISVS. Pokud bude předmětem akvizice produkt, který tento atest udělen nemá a povinnosti atestace podléhá, musí udělení atestu zajistit správce IS vlastními prostředky.
Strana 10
Standard ISVS stanovující povinné požadavky na metodiku atestace shody IS se Standardem ISVS pro náležitosti životního cyklu IS
017/01.01
Příloha B (informativní) V příloze jsou pro informaci uvedeny dokumenty předepsané verzí Standardu ISVS pro náležitosti životního cyklu IS, 005/02.01, a které rozšiřují požadavky současně platného Standardu ISVS pro náležitosti životního cyklu IS
Evidenční list ISVS Pouze tento Evidenční list budou muset správci již provozovaných IS zasílat na ÚVIS. Evidenční list ISVS a
identifikační údaje
identifikátor IS (IS000) – přiděluje ÚVIS název IS • definice IS • správce IS • provozovatel IS uvádí se základní účel,význam, smysl a přínos provozování IS uvádějí se základní funkce, které IS zajišťuje, jako jednotlivé položky konfigurace systému uvádí se konfigurace ve členění HW, SW, komunikační a jiné položky jaké jsou možnosti či způsoby přístupu veřejnosti k IS, je-li přístup na Internetu, uvede se http://adresa a) seznam datových prvků uvádí se druh (jednoduchý, složený, dílčí), akronym,název prvku, definice prvku, datový typ hodnot, max. a min. délka hodnot, identifikátor číselníku b) u složených datových prvků seznam dílčích datových prvků (pouze číselníky používané pro komunikaci s ostatními systémy nebo externími uživateli) identifikátor číselníku – přiděluje ÚVIS • název číselníku • definice číselníku • správce číselníku • jak a kde lze číselník získat • http://adresa možnosti či způsoby spolupráce daného IS s jinými IS kdo jsou současní či potenciální uživatelé IS včetně definování toho co jim IS přinese přehled právních předpisů upravujících působnost orgánu VS a na jejichž základě je IS provozován • existuje bezpečnostní politika? • existuje bezpečnostní projekt? • •
b
účel IS
c
popis funkcí IS
d
architektura IS
e
přístup veřejnosti k IS
f
datové rozhraní
g
použité číselníky
h i
vazby na jiné IS uživatelé IS
j
legislativní rámec IS
k
úroveň zabezpečení IS
Strana 11
017/01.01
Standard ISVS stanovující povinné požadavky na metodiku atestace shody IS se Standardem ISVS pro náležitosti životního cyklu IS
Záměr IS – Evidenční list Dokument musí minimálně obsahovat: a) Informace o podkladu pro vznik IS (zákon, vyhláška atd.). b) Návrh změn dalších právních a vnitřních předpisů, nezbytných k zajištění funkce IS. c) Informace o plánovaném přístupu veřejnosti k danému systému. d) Cíle vzniku IS. e) Základní funkční požadavky na IS. f) Základní informace o plánovaném datovém rozhraní (seznam datových prvků, které jsou uvedené v „Katalogu složených datových prvků ÚVIS“ a které budou v systému užity nebo systémem poskytovány) a metodách přístupu k němu. g) Základní informace o propojení s jinými systémy (identifikace systému, metoda propojení, vyměňované datové prvky). h) Základní informace o plánované úrovni zabezpečení IS. i)
Seznam informačních systémů, které budou tímto systémem nahrazeny nebo ovlivněny.
j)
Prohlášení o souladu Záměru IS s dokumenty „Koncepce rozvoje ISVS“, „Státní informační politika“, „Informační politika resortu“ (pro resorty dotčené vznikem nebo úpravou IS).
k) Základní časový harmonogram rozvoje IS (datum zahájení přípravy, datum zahájení provozu). l)
Přepokládané zdroje financování (vlastní prostředky, úvěr, prostředky z veřejných rozpočtů a pod.). Harmonogram čerpání finančních prostředků.
Komentář: V případě, že správce předpokládá financování IS z prostředků státního rozpočtu, může souběžně vypracovat evidenci čerpání finančních prostředků ve formátu dle přílohy č. 1 vyhlášky č. 40/2001 Sb.
Informační strategie Dokument musí minimálně obsahovat: Zdroje a východiska a) Přehled zdrojů použitých pro tvorbu informační strategie (IST) b) Cíle a charakteristika IST c) Závěry ze strategie organizace správce jako celku Výchozí stav a) Analýza stavu IS správce Cílový stav a) Vize a cíle IS, základní požadavky na IS, kriteria hodnocení jejich dosažení b) Globální architektura IS c) Funkční a procesní architektura d) Datová architektura e) Technologická architektura f) Softwarová architektura g) Hardwarová architektura h) Organizační a legislativní požadavky a omezení i)
Požadavky na personální strukturu
Strana 12
Standard ISVS stanovující povinné požadavky na metodiku atestace shody IS se Standardem ISVS pro náležitosti životního cyklu IS
017/01.01
Transformace do cílového stavu a) Principy řízení vývoje a provozu IS b) Specifikace projektů c) Harmonogram realizace IST d) Ekonomická analýza IST Komentář: V případě, že správce předpokládá financování IS z prostředků státního rozpočtu, může souběžně vypracovat harmonogram čerpání finančních prostředků ve formátu dle přílohy č 1 vyhlášky č. 40/2001 Sb.
Bezpečnostní politika Dokument musí minimálně obsahovat: a) Definice, obsah a účel bezpečnostní politiky b) Základní bezpečnostní cíle IS c) Základní postupy řízení bezpečnosti a postupy pro dosažení bezpečnostních cílů IS d) Role a odpovědnosti v oblasti bezpečnosti e) Základní požadavky na bezpečnost Dokument Bezpečnostní politika může být vypracován i jako součást dokumentu Informační strategie za předpokladu, že tato bude obsahovat všechny výše uvedené informace. Komentář: Pro zpracování Bezpečnostní politiky vydá ÚVIS metodickou příručku.
Projektové postupy Dokument musí minimálně obsahovat: a) Specifikace rolí a jejich pravomocí v systému řízení projektů b) Dokumenty řízení projektů c) Způsob sledování řešení projektu a zprávy o řešení d) Způsob předávání informací o projektu mimo projekt e) Způsob řízení problémů a sporů projektu f) Způsob kontroly řízení rizik g) Průběh změnového řízení h) Pravidla komunikace v projektu
Plán zajištění jakosti Dokument musí minimálně obsahovat: a) Cíle jakosti b) Specifikace rolí a jejich pravomocí v systému jakosti c) Organizační zajištění jakosti • Statut týmů jakosti • Činnosti týmů jakosti d) Základní dokumenty systému jakosti Příručka jakosti informačního systému • Plány zajištění jakosti projektů rozvoje informačního systému e) Kvalitativní kritéria jakosti •
f) Procesy plánování, řízení a realizace zajištění jakosti g) Dokumenty systému zajištění jakosti
Strana 13
017/01.01
Standard ISVS stanovující povinné požadavky na metodiku atestace shody IS se Standardem ISVS pro náležitosti životního cyklu IS
Principy monitorování a aktualizace požadavků Dokument musí minimálně obsahovat: a) Procesy monitorování a aktualizace požadavků Procesy pro zařazení požadavků • Procesy pro ověření splnění požadavků • Procesy pro průběžné monitorování plnění požadavků b) Dokumenty systému monitorování a aktualizace požadavků •
c) Způsob evidence požadavků (struktura, metriky) d) Použitá technologie
Strana 14