INFORMAČNÍ KONCEPCE Zákon č. 365/2000 Sb., o informačních systémech veřejné správy
Město Sokolov
2 /52
Obsah: 1.
Identifikace dokumentu ...................................................................................................................... 5
1.1.
Základní údaje ....................................................................................................................................... 5
1.2.
Verze...................................................................................................................................................... 5
1.2.1.
Verze 2.0............................................................................................................................................ 6
1.2.2.
Verze 1.0............................................................................................................................................ 6
2.
Informační koncepce ........................................................................................................................... 8
2.1.
Manažerské shrnutí................................................................................................................................ 8
2.1.1.
Identifikace dokumentu ..................................................................................................................... 8
2.1.2.
Informační koncepce: ........................................................................................................................ 8
2.1.3.
Informační systémy: .......................................................................................................................... 8
2.1.4.
Záměry rozvoje informačních systémů: ............................................................................................ 8
2.1.5.
Řízení kvality informačních systémů: ............................................................................................... 9
2.1.6.
Řízení bezpečnosti informačních systémů: ....................................................................................... 9
2.1.7.
Správa informačních systémů:........................................................................................................... 9
2.1.8.
Financování informačních systémů: .................................................................................................. 9
2.1.9.
Naplňování informační koncepce:..................................................................................................... 9
2.1.10.
Odpovědnosti osob: ........................................................................................................................... 9
2.1.11.
Přílohy ............................................................................................................................................... 9
3.
Informační systémy ........................................................................................................................... 11
4.
Záměry rozvoje informačních systémů ........................................................................................... 14
4.1.
Plán rozvoje informačních systémů..................................................................................................... 14
4.2.
Portfolio IT projektů............................................................................................................................ 14
4.2.1. 4.3.
IT projekty ....................................................................................................................................... 14 Rámcová specifikace IT projektů ........................................................................................................ 15
4.3.1.
Konsolidace IT a nové služby TC ORP Sokolov ............................................................................ 15
4.3.2.
Elektronizace a automatizace vnitřních procesů úřadu ................................................................... 15
4.3.3.
Rámcová specifikace IT projektu „Rozvoj IS pro Městskou policii“ ............................................. 16
4.3.4.
Rozšíření současného objednávkového systému na MěÚ ............................................................... 17
4.3.5.
Finanční závazky vůči městu........................................................................................................... 17
4.3.6.
Nasazení a rozšíření aplikace pro mobilní zařízení ......................................................................... 18
3 /52
4.3.7.
Modernizace MAN, LAN................................................................................................................ 18
5.
Řízení kvality informačních systémů............................................................................................... 19
5.1.
Systém řízení kvality informačních systémů....................................................................................... 19
5.1.1.
Lidské zdroje systému řízení kvality informačních systémů........................................................... 19
5.2.
Základní dlouhodobé cíle kvality informačních systémů.................................................................... 20
5.3.
Charakteristiky kvality informačních systémů .................................................................................... 20
5.3.1.
Kvalita zpracovávaných dat a informací ......................................................................................... 20
5.3.2.
Kvalita poskytovaných služeb ......................................................................................................... 20
5.3.3.
Kvalita používaných technologických a programových prostředků................................................ 21
5.4.
Plán řízení kvality informačních systémů............................................................................................ 21
5.4.1.
Nástroje řízení kvality dat informačních systémů ........................................................................... 22
5.4.2.
Stanovení dlouhodobých cílů kvality dat ........................................................................................ 23
5.4.3.
Stanovení požadavků na kvalitu dat ................................................................................................ 24
5.4.4.
Stanovení nezbytných činností v oblasti řízení kvality dat ............................................................. 26
6.
Řízení bezpečnosti informačních systémů ....................................................................................... 27
6.1.
Zákon o kybernetické bezpečnosti ...................................................................................................... 27
6.2.
Systém řízení bezpečnosti informací................................................................................................... 27
6.3.
Bezpečnostní politika .......................................................................................................................... 28
6.3.1.
Bezpečnost zpracovávaných dat a informací................................................................................... 28
6.4.
Plán řízení bezpečnosti informačních systémů.................................................................................... 29
7.
Správa informačních systémů .......................................................................................................... 35
7.1.
Životní cyklus informačního systému ................................................................................................. 35
7.2.
Základní role správy informačního systému........................................................................................ 35
7.2.1.
Systémový správce .......................................................................................................................... 35
7.2.2.
Bezpečnostní správce ...................................................................................................................... 36
7.2.3.
Klíčový uživatel............................................................................................................................... 36
7.3.
Příprava informačního systému ........................................................................................................... 36
7.3.1.
Sběr podnětů k novému IS............................................................................................................... 36
7.3.2.
Zpracování záměru pořízení IS dodavatelským způsobem ............................................................. 37
7.3.3.
Zpracování záměru vytvoření (vývoje) IS vlastními zdroji............................................................. 38
7.4.
Pořízení/Vývoj (vytvoření) informačního systému ............................................................................. 38
7.4.1.
Pořízení IS dodavatelským způsobem............................................................................................. 38
7.4.2.
Vývoj (vytvoření) IS vlastními zdroji ............................................................................................. 39
4 /52
7.4.3.
Instalace a testování IS .................................................................................................................... 39
7.4.4.
Příprava nasazení IS do rutinního provozu...................................................................................... 39
7.5.
Provoz a údržba informačního systému............................................................................................... 40
7.5.1.
Nasazení IS do rutinního provozu ................................................................................................... 40
7.5.2.
Zajištění provozu a údržby IS.......................................................................................................... 40
7.5.3.
Řízení změn IS ................................................................................................................................ 41
7.6.
Ukončení provozu a činnosti informačního systému........................................................................... 41
7.6.1.
Ukončení provozu IS ....................................................................................................................... 41
7.6.2.
Ukončení činnosti IS ....................................................................................................................... 42
8.
Financování informačních systémů ................................................................................................. 43
8.1.
Plán financování informačních systémů.............................................................................................. 43
8.1.1.
Rozpočet informačního systému ..................................................................................................... 43
8.1.2.
Rozpočet IT ..................................................................................................................................... 43
8.2.
Zdroje financování informačních systémů .......................................................................................... 44
8.2.1.
Rozpočet města................................................................................................................................ 44
8.2.2.
Dotace.............................................................................................................................................. 44
9.
Naplňování informační koncepce..................................................................................................... 45
9.1.
Provádění změn informační koncepce................................................................................................. 45
9.1.1.
Zajištění včasné změny informační koncepce ................................................................................. 45
9.1.2.
Zápis změny informační koncepce – nová verze............................................................................. 45
9.1.3.
Schvalování změny informační koncepce ....................................................................................... 46
9.1.4.
Příprava nové informační koncepce ................................................................................................ 46
9.2. 9.2.1. 10.
Vyhodnocování dodržování informační koncepce .............................................................................. 46 Vyhodnocované oblasti ................................................................................................................... 46 Odpovědnosti osob............................................................................................................................. 49
10.1.
Odpovědnosti za realizaci informační koncepce ............................................................................. 49
10.2.
Odpovědnosti za splnění zákonných povinností.............................................................................. 50
11.
Přílohy a seznamy.............................................................................................................................. 52
11.1.
Přílohy ............................................................................................................................................. 52
11.2.
Seznam tabulek................................................................................................................................ 52
11.3.
Seznam obrázků............................................................................................................................... 52
5 /52
1.
Identifikace dokumentu
1.1.
Základní údaje
Tabulka 1: Základní identifikační údaje dokumentu
Název dokumentu
Informační koncepce Města Sokolov
Název a sídlo organizace
Město Sokolov Rokycanova 1929 356 01 Sokolov
Identifikační číslo:
00259586
Typ orgánu veřejné správy
Obec s rozšířenou působností
Zpracovatel
Ing. Jiří Krotil Vedoucí odboru informatiky +420 359 808 317
[email protected]
Schvalovatel
Mgr. Miroslava Kurcová Tajemnice městského úřadu +420 359 808 280
[email protected]
Datum zpracování
28. 11. 2014
Datum schválení
1. 12. 2014
Datum platnosti
15. 12. 2014
Datum ukončení platnosti
14. 12. 2019
Počáteční verze
1.0
Aktuální verze
2.0
Elektronická verze
Informacni_koncepce_Sokolov.pdf
Počet stran
52
Počet příloh
4
Důvěrnost
Veřejné informace
1.2.
Verze
Verze dokumentu jsou chronologicky řazené od nejnovější k nejstarší. Tabulka změn obsahuje popis a odůvodnění změn v předchozí verzi dokumentu a identifikaci příslušných částí, které byly změněny.
6 /52
1.2.1.
Verze 2.0
Tabulka 2: Základní identifikační údaje verze 2.0 dokumentu
Název dokumentu
Informační koncepce Města Sokolov
Verze
2.0
Zpracovatel
Ing. Jiří Krotil Vedoucí odboru informatiky +420 359 808 317
[email protected]
Schvalovatel
Mgr. Miroslava Kurcová Tajemnice městského úřadu +420 359 808 280
[email protected]
Datum zpracování
28. 11. 2014
Datum schválení
1. 12. 2014
Datum platnosti
15. 12. 2014
Elektronická verze
Informacni_koncepce_Sokolov.pdf
Počet stran
52
Počet příloh
4
Tabulka 3: Změny provedené mezi verzemi 2.0 a 1.0 dokumentu
Identifikace změněné části
Popis a odůvodnění změny
-
Doplnění kapitoly „2. Informační koncepce“ obsahující manažerské shrnutí dokumentu.
Kapitola 2. Informační veřejné správy (ISVS)
systémy Služby a charakteristiky informačních systémů popsány v příloze č. 2 - dokumentu „Katalog informačních systémů“.
Ostatní kapitoly
Aktualizace obsahu kapitol.
-
Doplnění kapitoly „11. Přílohy“ obsahující výčet příloh dokumentu.
1.2.2.
Verze 1.0
Tabulka 4: Základní identifikační údaje verze 1.0 dokumentu
Název dokumentu
Informační koncepce Města Sokolov
Verze
1.0
Zpracovatel
Ing. Jiří Krotil Vedoucí odboru informatiky
7 /52
Schvalovatel
Mgr. Miroslava Kurcová Tajemník MěÚ
Datum zpracování
4. 12. 2009
Datum schválení
7. 12. 2009
Datum platnosti
15. 12. 2009
Elektronická verze
Sokolov_IK.pdf
Počet stran
62
Počet příloh
0
Tabulka 5: Změny provedené mezi verzemi 1.0 a "0.0" dokumentu
Identifikace změněné části
Popis a odůvodnění změny
Celý dokument
První verze dokumentu
8 /52
2.
Informační koncepce
2.1.
Manažerské shrnutí
2.1.1.
Identifikace dokumentu
-
Verze dokumentu jsou chronologicky řazené od nejnovější k nejstarší.
-
Verze dokumentu obsahuje popis a odůvodnění změn oproti předchozí verzi a identifikaci příslušných částí, které byly změněny.
2.1.2. -
-
-
-
2.1.3.
Informační koncepce: Město Sokolov je dle zákona č. 365/2000 Sb., o ISVS, v rámci dlouhodobého řízení ISVS, povinno vytvářet a vydávat informační koncepci, uplatňovat ji v praxi a vyhodnocovat její dodržování. V informační koncepci mj. stanoví své dlouhodobé cíle v oblasti řízení kvality a bezpečnosti spravovaných informačních systémů a vymezí obecné principy jejich pořizování a provozování. Vedení města si uvědomuje důležitost koncepčního řízení informačních systémů a prostřednictvím Řídícího výboru IT svou činností vytváří podmínky pro naplňování této informační koncepce v souladu se zákonem č. 365/2000 Sb., o informačních systémech veřejné správy. Komponentami informačních systémů jsou informační a komunikační technologie, data a lidé. Pokud tedy hovoříme o řízení informačních systémů, tak hovoříme o řízení všech tří komponent, resp. celého IT města. Řízení informačních systémů prostřednictvím informační koncepce využívá: o
principy procesního a projektového řízení,
o
praktiky řízení služeb IT - z rámce ITIL, příp. metodologie CobiT,
o o
prvky systému správy IT služeb (norma ISO/IEC 20000), prvky systému správy bezpečnosti informací (norma ISO/IEC 27001, 27002),
o
prvky systému řízení kvality (norma ISO/IEC 9001).
Informační systémy:
-
Informační systémy města a jejich služby a charakteristiky jsou popsány v dokumentu „Katalog informačních systémů“ (příloha č. 2). V informační koncepci je uveden pouze seznam (portfolio) informačních systémů.
-
Příloha č. 2 se aktualizuje průběžně, minimálně 1x ročně.
2.1.4.
Záměry rozvoje informačních systémů:
-
Záměry rozvoje informačních systémů jsou popsány v dokumentu „Plán rozvoje informačních systémů“ (příloha č. 3). V informační koncepci je uveden pouze seznam (portfolio) IT projektů a jejich rámcová specifikace.
-
Příloha č. 3 se aktualizuje průběžně, minimálně 1x ročně.
9 /52
2.1.5. -
-
2.1.6.
Řízení kvality informačních systémů: Systém řízení kvality informačních systémů města funguje dle cyklu „plánuj – dělej – kontroluj – jednej“ a vytváří řízenou kvalitu informačních systémů, která splňuje požadavky a očekávání všech zainteresovaných stran. Plán řízení kvality informačních systémů se připravuje 1 x za 5 let v souvislosti s přípravou nové informační koncepce města, aktualizován je minimálně 1 x za 2 roky.
Řízení bezpečnosti informačních systémů:
-
Systém řízení bezpečnosti informačních systémů (informací) města funguje dle cyklu „plánuj – dělej – kontroluj – jednej“ a vytváří řízenou bezpečnost informačních systémů (informací), která splňuje požadavky a očekávání všech zainteresovaných stran.
-
Plán řízení bezpečnosti informačních systémů (informací) se připravuje 1 x za 5 let v souvislosti s přípravou nové informační koncepce města, aktualizován je minimálně 1 x za 2 roky.
2.1.7. -
2.1.8. -
2.1.9.
Správa informačních systémů: Správa informačních systémů probíhá průběžně dle stanovených zásad a postupů pro všechny fáze životního cyklu informačního systému (příprava, pořízení/vývoj (vytvoření), provoz a údržba, ukončení provozu a činnosti).
Financování informačních systémů: Financování informačních systémů je popsáno v dokumentu „Plán financování informačních systémů“ (příloha č. 4). Příloha č. 4 se aktualizuje průběžně, minimálně 1x ročně.
Naplňování informační koncepce:
-
Za jeden z nejdůležitějších mechanismů dlouhodobého řízení lze považovat vyhodnocování, zda se dodržují a naplňují požadavky, které jsou stanoveny v informační koncepci. Na základě tohoto vyhodnocení se formulují závěry a v případě zjištěných nedostatků jsou přijímána přiměřená opatření k jejich odstranění.
-
Vyhodnocování dodržování informační koncepce probíhá min. 1 x za 2 roky a je popsáno v dokumentu „Zápis o vyhodnocení informační koncepce“ (příloha č. 1).
-
Příloha č. 1 se aktualizuje minimálně 1x za 2 roky.
-
Revize informační koncepce probíhá minimálně 1x za 2 roky.
-
Vypracování nové informační koncepce probíhá minimálně 1x za 5 roků.
2.1.10. Odpovědnosti osob: Vrcholnou odpovědnost za naplnění informační koncepce má Odbor informatiky.
2.1.11. Přílohy -
Příloha č. 1 – Zápis o vyhodnocení informační koncepce.
-
Příloha č. 2 – Katalog informačních systémů. Příloha č. 3 – Plán rozvoje informačních systémů.
10 /52
-
Příloha č. 4 – Plán financování informačních systémů.
11 /52
3. -
Informační systémy
-
Informační systémy města a jejich služby a charakteristiky jsou popsány v dokumentu „Katalog informačních systémů“ (příloha č. 2). Příloha č. 2 se aktualizuje průběžně, minimálně 1x ročně.
-
Seznam (portfolio) informačních systémů je obsahem následující tabulky
12 /52
Tabulka 6: Portfolio informačních systémů města Sokolov ID
Název
Zkratka
Typ
Specifikace
Dodavatel
IS 1
IS Proxio
Proxio
ISVS
IS pro výkon agend veřejné správy
Marbes Consulting s.r.o.
IS 2
IS EVI 8
EVI
ISVS
IS pokrývající evidenci odpadů
Inisoft s.r.o.
IS 3
IS ESPI 8
ESPI
ISVS
IS pro evidenci správních řízení OŽP
Inisoft s.r.o.
IS 4
IS Spisová služba ELISA
ELISA
ISVS
IS pro sledování oběhu dokumentů
CNS a.s.
IS 5
CityWare
CityWare
ISVS
IS pro strateg. a operat. řízení města
Geovap, spol. s r.o.
IS 6
Správní agendy
SA
ISVS
IS pro výkon agend veřejné správy
Vita Software s.r.o.
IS 7
Evidence myslivosti
EM
ISVS
IS pro mysliveckou problematiku
Ing. Karel Janeček - YAMACO Software
IS 8
Evidence rybářských a mysliveckých průkazů
ERM
ISVS
IS pro vedení rybář. a mysliv. lístků
Ing. Karel Janeček - YAMACO Software
IS 9
Evidence dopravních agend
EDA
ISVS
IS pro agendy odborů dopravy
Ing. Karel Janeček - YAMACO Software
IS 10
Matrika
Matrika
ISVS
Evidence narození, manželství, úmrtí
MIRODATA – Pohořal
IS 11
Avensio
Avensio
PIS
IS pro účetnictví i personální agendu
Alfa Software s.r.o.
IS 12
Archiv
Archiv
PIS
IS pro archivaci dokumentů
MIRODATA – Pohořal
IS 13
Kancelářské potřeby
KP
PIS
IS pro skladové hospodářství
Ing. Karel Janeček - YAMACO Software
IS 14
ASPI
ASPI
PIS
IS pro právní informace
Wolters Kluwer, a.s.
IS 15
PowerKey
PowerKey
PIS
IS pro řízení identifikačních systémů
TETRONIK – výrobní družstvo Terezín
13 /52
ID
Název
Zkratka
Typ
Specifikace
Dodavatel
IS 16
Tetronik zvací
Zvací
PIS
-
TETRONIK – výrobní družstvo Terezín
IS 17
Prodej Bytů
Prodej Bytů
ISVS
IS pro evidenci prodeje bytů
CTM s.r.o.
IS 18
Základní technické popisy
ZPS
ISVS
IS pro evid. technické způsob. vozidel
Autimo CZ s.r.o.
IS 19
Lesní hospodářská kniha
LHK
ISVS
IS pro hospodaření s lesním majetkem
FORESTA SG, a.s.
IS 20
AVG
AVG
PoIS
IS pro ochranu PC proti virům
Systém NET Karlovy Vary s.r.o.
14 /52
4.
Záměry rozvoje informačních systémů
Záměry rozvoje informačních systémů jsou podrobně popsány v dokumentu „Plán rozvoje informačních systémů“ (příloha č. 3). V informační koncepci je uveden pouze seznam (portfolio) IT projektů a jejich rámcová specifikace.
4.1.
Plán rozvoje informačních systémů
-
Plán rozvoje informačních systémů je plán pořizování, vytváření, provozování, změn a ukončení činnosti informačních systémů města. Součástí plánu je tedy přehled informačních systémů, které mají vzniknout, které mají být upraveny, které nahrazeny a které ukončeny bez náhrady.
-
Komponentami informačních systémů jsou informační a komunikační technologie, data a lidé. Pokud tedy hovoříme o rozvoji informačních systémů, tak hovoříme o rozvoji všech tří komponent, resp. celého IT města.
-
Plán rozvoje informačních systémů je upřesněním projektů, záměrů a cílů (dále jen souhrnně projektů) uvedených v informační koncepci. Ve svém jádru se v podstatě jedná o každoroční akční operativní plán, ve kterém jsou projekty podrobně specifikovány, vč. časového harmonogramu provádění příslušných aktivit.
4.2. -
-
4.2.1.
Portfolio IT projektů IT projekt je projekt vyvolaný za účelem pořízení nebo adaptace (změny) IT, směřující k dosažení předem určených cílů. Komplexnost IT projektů je dána skutečností, že projekty směřují k realizaci svých cílů ve vyvíjejícím se světě uživatelských cílů, požadavků, průběžně zlepšovaných věcných (business) procesů, rychle se vyvíjejících technologií a integrujících se systémů. Portfolio IT projektů chápeme jako kolekci projektů, které sdílí stejné strategické cíle a využívají stejné zdroje, o které navzájem soutěží. Portfolio IT projektů obsahuje aplikační IT projekty (týkající se aplikací) a ostatní IT projekty, které mohou být technologického, datového, organizačního, či jiného charakteru.
IT projekty
Uvedené projekty vycházejí z rozpočtu města pro rok 2015. Veškeré projekty jsou jinak definované v dokumentu Informační strategie města Sokolov, který je vypracován na období 2014-2018. Dokument je k dispozici na odboru informatiky. Plánované a předpokládané rozvojové aplikační IT projekty s předpokládaným termínem realizace v letech 2015–2019: -
Konsolidace IT a nové služby TC ORP Sokolov
-
Elektronizace a automatizace vnitřních procesů úřadu Rozvoj IS pro Městskou policii
-
Rozšíření současného objednávkového systému na MěÚ
-
Finanční závazky vůči městu
-
Nasazení a rozšíření aplikace pro mobilní zařízení
-
Modernizace MAN, LAN
15 /52
4.3.
Rámcová specifikace IT projektů
4.3.1.
Konsolidace IT a nové služby TC ORP Sokolov
Tabulka 7: Rámcová specifikace IT projektu „Konsolidace IT a nové služby TC ORP Sokolov“
ID
1
Název
Konsolidace IT a nové služby TC ORP Sokolov
Navrhovatel
Město Sokolov
Popis
Jedná se o výzvu 22 IOP z kontinuální výzvy pro 6.2.1 – konsolidace IT a nové služby TC obcí. Projekt má vazbu na zákon o bezpečnosti. Projekt si klade za cíle rozšíření technologického centra a infastruktury o systém zálohování, terminálové služby a zabezpečení LAN a WAN infrastruktury. Dále zvýšení bezpečnosti provozované infrastruktury prostřednictvím systému pro centrální logování, rozšíření VPN a funkcí Checkpoint a certifikační autoritu PKI. Dále elektronizaci agend veřejné správy v oblastech jednání rady a zastupitelstva, vyvolávacího zařízení a integrace elektronické úřední desky s portálem občana a zvýšení transparentnosti veřejné správy prostřednictvím publikace podrobného rozklikávacího rozpočtu v prostředí webové prezentace města.
Termín
Předpokládaný termín zahájení 03. 03. 2014, ukončení realizace projektu 30. 09. 2015 – termín bude z nedostatku financí ze strany ministerstva posunut nejspíše na rok 2015
Finance
Předpokládané celkové způsobilé výdaje projektu: Kč 5.994.580,00
Priorita
vysoká
4.3.2.
Elektronizace a automatizace vnitřních procesů úřadu
Tabulka 8: Rámcová specifikace IT projektu „Elektronizace a automatizace vnitřních procesů úřadu“
ID
2
Název
Elektronizace a automatizace vnitřních procesů úřadu
16 /52
Navrhovatel
Město Sokolov
Popis
Elektronizace a automatizace vnitřních procesů úřadu (rozvoj platformy Sharepoint & Nintex – dokumenty mimo spisovou službu) – cestovní příkazy, žádost o volno, žádost o zvýšení kvalifikace
Termín
2015
Finance
Kč 200.000,00
Priorita
4.3.3.
Rámcová specifikace IT projektu „Rozvoj IS pro Městskou policii“
Tabulka 9: Rámcová specifikace IT projektu „Rozvoj IS pro Městskou policii“
ID
3
Název
Rozvoj IS pro Městskou policii
Navrhovatel
Městská policie
Popis
Operační mapa událostí, lokalizace událostí, Vazba operační evidence událostí s MKDS, Evidence pokutových bloků, Mapa kriminality, Predikce událostí, Sdílení operačních informací s okolními městy, Sdílení operačních informací se složkami IZS, Vazba Operační evidence událostí s PCO, Podpora kontrolních činností strážníků, Silniční hospodářství, Podpora evidence přestupků, Rozvoj mobilní aplikace - události
Termín
2014 - 2018
Finance
Kč 8.000.000,00
Priorita
17 /52
4.3.4.
Rozšíření současného objednávkového systému na MěÚ
Tabulka 10: Rozšíření současného objednávkového systému MěÚ
ID
4
Název
Rozšíření současného objednávkového systému na MěÚ
Navrhovatel
Město Sokolov
Popis
Rozšíření současného objednávkového systému na MěÚ (tzv. rezervace času úředníka) o on-line komunikaci, Virtuální úředník - analýza, integrace, HelpDesk, ve vazbě na pořizovanou ústřednu ReDat
Termín
2015
Finance
Kč 500.000,00
Priorita
4.3.5.
Finanční závazky vůči městu
Tabulka 11: Finanční závazky vůči městu
ID
5
Název
Finanční závazky vůči městu
Navrhovatel
Město Sokolov
Popis
Finanční závazky vůči městu - co má občan společného s městem
Termín
2015
Finance
Kč 500.000,00
Priorita
18 /52
4.3.6.
Nasazení a rozšíření aplikace pro mobilní zařízení
Tabulka 12: Nasazení a rozšíření aplikace pro mobilní zařízení
ID
6
Název
Nasazení a rozšíření aplikace pro mobilní zařízení
Navrhovatel
Město Sokolov
Popis
Nasazení a rozšíření aplikace pro mobilní zařízení (mapa města, místa na parkování, veřejné WC, kontakty na muzea, restaurace, veřejné instituce včetně na integraci vlastních řešení typu Maruschka Foto)
Termín
2015
Finance
Kč 500.000,00
Priorita
4.3.7.
Modernizace MAN, LAN
Tabulka 13: Modernizace MAN, LAN
ID
7
Název
Modernizace MAN, LAN
Navrhovatel
Město Sokolov
Popis
provedení upgrade prvků LAN a MAN - obnova zastaralých technologií, využití nových technologií s důrazem na bezpečnost (upgrade aktivních prvků metropolitní sítě)
Termín
2015
Finance
Kč 1.200.000,00
Priorita
19 /52
5.
Řízení kvality informačních systémů
5.1.
Systém řízení kvality informačních systémů
-
Systémem řízení kvality informačních systémů se rozumí část systému řízení založená na přístupu k aktivům informačních systémů, která stanoví způsob ustavení, zavádění, provoz, monitorování, přezkoumání, udržování a zlepšování kvality zpracovávaných dat a informací, poskytovaných služeb a používaných technologických a programových prostředků.
-
Systém řízení kvality informačních systémů přijímá požadavky a očekávání zainteresovaných stran na kvalitu informačních systémů a pomocí nezbytných činností a procesů vytváří řízenou kvalitu, která splňuje tyto požadavky a očekávání.
-
Základní cyklus systému řízení kvality informačních systémů: o
Plánuj – plánování v oblasti řízení kvality informačních systémů.
o
Dělej – realizace požadavků na kvalitu informačních systémů.
o
Kontroluj - ověřování splnění požadavků na kvalitu informačních systémů.
o
Jednej – vyhodnocení požadavků na kvalitu informačních systémů.
Obrázek 1: Základní cyklus systému řízení kvality IS (PDCA cyklus)
-
5.1.1.
Kvalitou informačních systémů se rozumí především: o
Kvalita dat (a informací), která jsou v těchto systémech zpracovávána.
o o
Kvalita služeb, které jsou prostřednictvím těchto systémů poskytovány. Kvalita používaných technologických a programových prostředků (HW/SW), jejichž prostřednictvím jsou prováděny informační činnosti v oblasti řízení kvality.
Lidské zdroje systému řízení kvality informačních systémů
-
Základní lidské zdroje a jejich role v rámci systému řízení kvality informačních systémů:
-
Vedoucí odborů (a jiných organizačních jednotek) – odpovědnost za data a jejich kvalitu.
3
20 /52
-
5.2.
Interní auditor – osoba nezávislá na ostatních organizačních jednotkách provádějící vyhodnocování naplňování a dodržování informační koncepce. Externí dodavatelé informačních systémů.
Základní dlouhodobé cíle kvality informačních systémů
-
Zajištění kvality zpracovávaných dat a informací.
-
Zajištění kvality poskytovaných služeb.
-
Zajištění kvality používaných technologických a programových prostředků.
5.3.
Charakteristiky kvality informačních systémů
5.3.1.
Kvalita zpracovávaných dat a informací
-
Základní charakteristiky kvality zpracovávaných dat a informací: o
Přesnost dat - reprezentace skutečné hodnoty v IS by měla být v kontextu jejího použití dostatečně přesná.
o
o
Úplnost dat - v IS by měly být vedeny hodnoty pokud možno pro všechny atributy entity, a také všechny ostatní relevantní entity. Konzistence dat - různé údaje ke stejné entitě v IS by neměly být ve zřejmém logickém rozporu. Aktuálnost dat - IS by měl využívat a poskytovat aktuální data.
o
Důvěryhodnost dat - data, poskytovaná IS by měla být pravdivá a důvěryhodná.
o
Přístupnost dat - data vedená v IS by měla být vedena v takové formě, aby byla přístupná, a to zejména pro osoby, které vyžadují podpůrné technologie.
o
Dostupnost dat - data vedená v IS by měla být vždy dostupná všem uživatelům s oprávněním k přístupu.
o
Utajitelnost dat - data vedená v IS by měla být přístupná pouze oprávněným uživatelům.
o
Srozumitelnost dat - data vedená v IS by měla být snadno interpretovatelná uživatelem a vyjádřena ve vhodném jazyce a jednotkách.
o
Efektivita dat - při zpracování dat v IS by měl být zajištěn odpovídající výkon systému a mělo by být využito odpovídající množství systémových zdrojů.
o
Přenositelnost dat - data vedená v IS by měla umožňovat převod na odlišnou platformu při zachování své kvality.
o
Sledovatelnost dat - při přístupu k datům, vkládání nebo změně dat v IS by mělo probíhat sledování kdo a kdy k datům přistupoval a kdo a kdy vložení nebo změny provedl.
o
Soulad dat v IS s právními předpisy - data v IS musí být uložena v souladu s platnými obecně závaznými právními předpisy. Data v IS by měla být uložena podle veřejně dostupných standardů a datových formátů.
o
5.3.2. -
Kvalita poskytovaných služeb Základní charakteristiky kvality poskytovaných služeb:
3
21 /52
o o o o
Přístupnost služeb - služby IS, zejména ty, které využívají grafického uživatelského rozhraní, by měly být přístupné i uživatelům, kteří pro přístup vyžadují speciální technologie.
o
Interoperabilita služeb - služby IS by měly být způsobilé ke komunikaci s jinými informačními systémy. Dohledatelnost služeb - služby IS by měly být dohledatelné za pomoci běžných nástrojů.
o
5.3.3. -
Kvalita používaných technologických a programových prostředků Základní charakteristiky kvality používaných technologických a programových prostředků: o Funkčnost software - IS by měl poskytovat funkce, které uspokojují stanovené a předpokládané potřeby. o o o o o o
-
Interoperabilita software - IS by měl být schopen interakce s dalšími IS. Použitelnost software - IS by měl být pro své uživatele srozumitelný, zvládnutelný a atraktivní. Efektivita software - IS by měl poskytovat odpovídající výkon při odpovídajícím využití systémových zdrojů. Bezporuchovost software - IS by měl poskytovat bezporuchový provoz. Udržovatelnost software - IS by měl být způsobilý k úpravám a implementaci nových funkcí dle nových legislativních a dalších požadavků. Přenositelnost software - IS by měl být způsobilý k převodu na odlišnou platformu při zachování své kvality.
o
Dostupnost software - IS by měl být dostupný pro všechny oprávněné uživatele.
o
Certifikace hardware - technologické prostředky IS by měly mít platnou certifikaci pro zamýšlené programové prostředky. Odolnost hardware vůči poruchám - technologické prostředky IS by měly být odolné vůči poruchám.
o
5.4.
Dostupnost služeb - služby IS by měly být dostupné za předem určených podmínek (místo, formát, čas). Přehlednost služeb - služby IS, zejména ty, které využívají grafického uživatelského rozhraní, by měly být přehledné. Srozumitelnost služeb - služby IS, zejména ty, které využívají grafického uživatelského rozhraní, by měly být srozumitelné.
o
Úroveň služeb síťové infrastruktury - síťová infrastruktura města nezbytná pro provoz IS by měla být na odpovídající úrovni.
o
Úroveň internetové konektivity - konektivita do internetu nezbytná pro provoz IS by měla být na odpovídající úrovni.
Plán řízení kvality informačních systémů Plán řízení kvality informačních systémů pokrývá všechny základní oblasti kvality informačních systémů, především však oblast kvality zpracovávaných dat jako nejcennějšího informačního aktiva. Data jsou kvalitní tehdy, pokud o nich uživatelé (zjednodušeně) řeknou, že jsou přesná a použitelná ke svému určení. Zodpovědní za data a jejich kvalitu tedy nejsou lidé z odboru informatiky, ale přímo
3
22 /52
-
uživatelé systémů (prostřednictvím klíčového uživatele), kteří mají k datům nejblíže, rozumí jim a ví, jestli jsou správná a úplná. Kvalita zpracovávaných dat není statická, ale dynamická - v čase se mění. Řízení datové kvality je nekonečný proces s dílčími kroky a přínosy (viz. PDCA cyklus). Formulace plánu řízení kvality dat má několik kroků: o
stanovení relevantních nástrojů řízení kvality dat,
o o
stanovení relevantních charakteristik kvality dat – viz. kap. 5.3.1., stanovení dlouhodobých cílů kvality dat,
o
stanovení požadavků na kvalitu dat,
o
stanovení nezbytných činností v oblasti řízení kvality dat a stanovení odpovědností osob za tyto činnosti, stanovení časového harmonogramu plnění cílů kvality a požadavků na kvalitu dat.
o
5.4.1. -
Nástroje řízení kvality dat informačních systémů Řízení datové kvality je uskutečňováno dodržováním stanovených pravidel a postupů za použití vhodných nástrojů: o nástroje „data profiling“ - popisuje již uložená data v informačních systémech, a identifikuje tak jejich úplnost nebo nedostatky (vč. dohledání vzájemných vztahů mezi objekty i napříč několika systémy), o nástroje „data monitoring“ - upozorňují uživatele v reálném čase na základě stanovených pravidel a postupů a zabraňují tak opětovnému vzniku nedostatků (uživatelé jsou upozorňováni, pokud byly zadány hodnoty mimo stanovený rámec, pokud nebyla splněna stanovená pravidla, nebo když je vývoj a postup procesu v rozporu s jeho definicí), o nástroje „data cleansing“ – specializované nástroje čištění dat používající složitější a sofistikovanější metody, které mají vestavěné různé vzory a předdefinované operace (několik základních „manuálních“ čisticích operací provádějí pracovníci odboru informatiky, např. prostřednictvím SQL skriptů), o nástroje verifikace dat – data se povinně ověřují vůči interním či externím číselníkům (prostřednictvím systému základních registrů), o nástroje obohacování dat – data se doplňují za využití externích, volně přístupných zdrojů informací.
23 /52
5.4.2. -
Stanovení dlouhodobých cílů kvality dat Dlouhodobé cíle kvality dat a informací informačních systémů městského úřadu by měly být v souladu s celkovou strategií rozvoje města. Každý dlouhodobý cíl kvality dat a informací má stanovený požadovaný termín naplnění. Dlouhodobé cíle kvality dat a informací informačních systémů města jsou obsahem následující tabulky.
Tabulka 14: Dlouhodobé cíle kvality dat a informací informačních systémů města
Charakteristiky kvality dat
Dlouhodobé cíle kvality dat a informací informačních systémů města
Označení cíle
Termín
Přesnost dat
Přesné údaje v informačních systémech (typu evidence).
CKD1
Probíhá průběžně
Úplnost dat
Zaznamenané všechny povinné údaje u všech dotčených subjektů.
CKD2
Probíhá průběžně
Konzistence dat
Konzistentní data ve všech informačních systémech.
CKD3
Probíhá průběžně
Aktuálnost dat
Informační systémy poskytují aktuální data.
CKD4
Probíhá průběžně
Důvěryhodnost dat
Informační systémy využívají a poskytují důvěryhodné údaje.
CKD5
Probíhá průběžně
Přístupnost dat
Data informačních systémů jsou přístupná všem oprávněným uživatelům CKD6 vč. handicapovaných.
Dostupnost dat
Data informačních systémů jsou dostupná všem oprávněným uživatelům.
CKD7
Probíhá průběžně
Utajitelnost dat
Data informačních systémů jsou odpovídajícím způsobem chráněna před CKD8 zneužitím.
Probíhá průběžně
Srozumitelnost dat
Data na výstupu informačních systémů jsou snadno pochopitelná.
CKD9
Probíhá průběžně
Efektivita dat
Data jsou v informačních systémech efektivně zpracovávána.
CKD10
Probíhá průběžně
Přenositelnost dat
Data jsou přenositelná na jinou platformu.
CKD11
2018-2019
Sledovatelnost dat
Přístup k datům je auditovatelný.
CKD12
Probíhá průběžně
Soulad dat s právními předpisy
Data jsou v informačních systémech vedena v souladu s požadavky platné CKD13 legislativy a obecných standardů.
Probíhá průběžně
2015
24 /52
5.4.3.
Stanovení požadavků na kvalitu dat
-
Požadavky na kvalitu dat a informací jsou konkretizací dlouhodobých cílů kvality dat a informací. Požadavky by měly být měřitelné a termínované.
-
U požadavků na kvalitu dat a informací vztahujících se k danému cíli se stanoví dílčí termíny (milníky) takové, aby byl splněn konečný termín požadovaného naplnění cíle.
-
Požadavky na kvalitu dat a informací informačních systémů města jsou obsahem následující tabulky.
Tabulka 15: Požadavky na kvalitu dat a informací informačních systémů města
Požadavky na kvalitu dat
Označení požadavku
Školení uživatelů o povědomí kvality dat.
PKD1
Implementace SQL skriptů pro automatické čištění dat.
PKD2
Pořízení SW nástroje pro data profiling, monitoring, cleansing.
PKD3
CKD2
Při vkládání evidenčních údajů požadovat přesné vyplnění všech povinných položek.
PKD4
Probíhá průběžně
CKD3
Při vkládání údajů provádět kontroly správnosti (např. IČ, RČ) implementací PKD5 automatizovaných kontrolních mechanizmů.
Probíhá průběžně
CKD4
Povinná verifikace dat oproti základním registrům veřejné správy.
Probíhá průběžně
CKD5
Při návrhu nových informačních systémů aplikovat zásadu pro import aktuálních dat PKD7 přímo z registrů městského úřadu a ze základních registrů veřejné správy.
Probíhá
CKD6
V informačních systémech ukládat data v podobě přístupné i handicapovaným PKD8
2015
Označení cíle
CKD1
PKD6
Milník
Probíhá průběžně
25 /52
uživatelům. CKD7
Zavést a definovat bezpečnostní politiku přístupů uživatelů.
PKD9
Používat datové prvky vyhlášené v ISDP (Informační systém o datových prvcích).
PKD10
Používat unifikované kódování textů (UTF-8).
PKD11
Homogenizace datové základny.
PKD12
Používat otevřené datové formáty a formáty nezávislé na platformě.
PKD13
Využívat definovaných rozhraní pro sdílení dat mezi různými systémy.
PKD14
CKD11
Zajistit účtovatelnost uživatelských přístupů ke všem informačním systémům.
PKD15
Probíhá průběžně
CKD12
Sledování a naplňování požadavků relevantní legislativy (zákon č. 101/2000 Sb., o ochraně osobních údajů, zákon č. 106/1999 Sb., o svobodném přístupu k informacím, vyhláška č. 442/2006 Sb., kterou se stanoví struktura informací zveřejňovaných o PKD16 povinném subjektu způsobem umožňujícím dálkový přístup, vyhláška č. 64/2008 Sb. o přístupnosti).
Probíhá průběžně
CKD8
CKD9
CKD10
Probíhá průběžně
probíhá
2016
2015
26 /52
5.4.4. -
Stanovení nezbytných činností v oblasti řízení kvality dat V oblasti řízení kvality dat budou periodicky (PDCA cyklus) vykonávány následující činnosti: o Stanovení cílů kvality:
-
Stanovení požadavků na kvalitu: o
obecné cíle kvality jsou předány osobám odpovědným za data, které buď konstatují, že jejich IS a zpracovávaná data již cíl splňuje, nebo sestaví požadavky, jejichž postupným splněním bude tento cíl naplněn,
o
u požadavků stanoví dílčí termíny takové, aby byl splněn termín požadovaného naplnění cíle, manažer kvality IT sestaví seznam požadavků na kvalitu, který je součástí katalogu cílů kvality.
o -
manažer kvality IT vymezí obecné cíle kvality, popíše je, přidělí jim příslušné atributy (charakteristiky) včetně požadovaného termínu naplnění a sestaví katalog cílů kvality.
Implementace požadavků na kvalitu: o
vychází z požadavků na kvalitu a časového harmonogramu jejich naplnění,
provádí externí dodavatelé informačních systémů nebo manažer kvality IT v závislosti na způsobu budování, resp. údržby informačních systémů. Prověrka naplnění a dodržování požadavků na kvalitu: o
-
o o
provádí interní auditor, impuls dává manažer kvality IT,
o
prověřuje se buď konkrétní implementace požadavku na konkrétním IS, nebo konkrétní požadavek na všech relevantních IS nebo všechny požadavky na vybraném IS, apod., z prověření se vytváří zápis, který obdrží členové Řídícího výboru pro IT.
o -
Vyhodnocení řízení kvality: o
minimálně jednou za rok provádí manažer kvality IT,
o
součástí je vyhodnocení závěrů z provedených prověrek dodržování požadavků na kvalitu,
o o
provede se též revize dlouhodobých cílů kvality a jejich aktualizace, vyřadí se implementované a prověřené požadavky na kvalitu a vytvoří se nové.
27 /52
6.
Řízení bezpečnosti informačních systémů
6.1.
Zákon o kybernetické bezpečnosti
-
6.2.
Základní povinnosti ze zákona o kybernetické bezpečnosti: o
řízení rizik,
o
vytvoření a schválení bezpečnostní politiky v oblasti systému řízení bezpečnosti informací, která obsahuje hlavní zásady, cíle, bezpečnostní potřeby, práva a povinnosti ve vztahu k řízení bezpečnosti informací a na základě bezpečnostních potřeb a výsledků hodnocení rizik stanoví bezpečnostní politiku i v dalších oblastech a zavede příslušná bezpečnostní opatření,
o
aktualizace zprávy o hodnocení rizik, bezpečnostní politiky, plánu zvládání rizik a plánu rozvoje bezpečnostního povědomí.
Systém řízení bezpečnosti informací
-
Systémem řízení bezpečnosti informací (ISMS - Information Security Management System) se rozumí část systému řízení města založená na přístupu k rizikům informačních systémů, která stanoví způsob ustavení, zavádění, provoz, monitorování, přezkoumání, udržování a zlepšování bezpečnosti informací.
-
ISMS přijímá požadavky a očekávání zainteresovaných stran na bezpečnost informací a pomocí nezbytných činností a procesů vytváří řízenou bezpečnost, která splňuje tyto požadavky a očekávání.
-
ISMS primárně vychází z následujících bezpečnostních norem, rámců a metodik: o ISO/IEC 27001:2005 – Systémy řízení bezpečnosti informací – Požadavky o
ISO/IEC 27002:2005 – Soubor postupů pro management bezpečnosti informací
o
ISO/IEC 27001:2013 – Systémy řízení bezpečnosti informací – Požadavky
o o
ISO/IEC 27002:2013 – Soubor postupů pro opatření bezpečnosti informací ISO/IEC 20000-1:2011 – Řízení služeb – Požadavky na systém řízení služeb
COBIT 5 for Information Security – metodika pro strategické a operativní řízení informační bezpečnosti PDCA cyklus – základní cyklus systému řízení bezpečnosti informací: o
-
o
Plánuj – plánování v oblasti řízení bezpečnosti informací.
o
Dělej – realizace požadavků na bezpečnost informací.
o
Kontroluj - ověřování splnění požadavků na bezpečnost informací.
o
Jednej – vyhodnocení požadavků na bezpečnost informací.
28 /52
Obrázek 2: Základní cyklus ISMS
-
6.3.
Manažer bezpečnosti IT – základní role řízení bezpečnosti informací.
Bezpečnostní politika
-
Bezpečnostní politika tvoří jeden ze základních pilířů, na kterém stojí systém řízení bezpečnosti informací. Definuje základní bezpečnostní požadavky, opatření a nařízení, které mají za cíl zajistit ochranu a bezpečnost informací města.
-
Struktura bezpečnostní politiky dle zákona o kybernetické bezpečnosti:
6.3.1. -
o
systém řízení bezpečnosti informací,
o
organizační bezpečnost,
o o
řízení dodavatelů, klasifikace aktiv, která zahrnuje pravidla pro bezpečné nakládání s aktivy,
o
bezpečnost lidských zdrojů,
o
řízení provozu a komunikací,
o
řízení přístupu,
o
bezpečné chování uživatelů,
o
používání kryptografické ochrany,
o
nasazení a používání nástroje pro detekci kybernetických bezpečnostních událostí,
o
ochrana před škodlivým kódem.
Bezpečnost zpracovávaných dat a informací Základním cílem bezpečnosti zpracovávaných dat a informací je zajištění jejich integrity, dostupnosti a důvěrnosti, a to při současném zajištění dohledatelnosti aktivit ve vztahu k informacím a prostředkům pro jejich zpracování:
29 /52
o
Dostupnost dat - data v IS jsou k dispozici vždy, když jsou oprávněně autorizovaným uživatelem vyžadována. Důvěrnost dat - data v IS jsou chráněna před neautorizovaným přístupem, rozšiřováním, modifikací a před ztrátou či zničením dle principu identifikace, autentizace a autorizace uživatele.
o
Integrita dat - data v IS jsou autentická, přesná a úplná.
o
6.4.
Plán řízení bezpečnosti informačních systémů
-
Plán řízení bezpečnosti informačních systémů (informací) vychází z požadavků zákona o kybernetické bezpečnosti.
-
Odpovědnost za naplnění Plánu řízení bezpečnosti informačních systémů má vedoucí odboru OI.
-
Konečným termínem naplnění Plánu řízení bezpečnosti informačních systémů je 31. 12. 2019.
-
Plán řízení bezpečnosti informačních systémů je obsahem následující tabulky
30 /52
Tabulka 16: Plán řízení bezpečnosti informačních systémů (informací)
PLÁN ŘÍZENÍ BEZPEČNOSTI INFORMAČNÍCH SYSTÉMŮ (INFORMACÍ) I. Organizační opatření bezpečnosti informací ID
Organizační opatření Systém řízení bezpečnosti informací (cyklus plánuj – dělej – kontroluj – jednej):
OOI.1
- požadavky vychází z PDCA cyklu ISO/IEC 27001 - omezeny úkony v oblasti zpětné vazby - pouze aktualizace existujících plánů Řízení rizik:
OOI.2
- identifikace a hodnocení rizik primárních aktiv významných informačních systémů - určí a schválí zbytková rizika, vytvoří zprávu o hodnocení rizik a provádí její pravidelnou aktualizaci, vytvoří prohlášení o aplikovatelnosti, zpracuje a zavede plán zvládání rizik Bezpečnostní politika:
OOI.3
OOI.4
- stanovení pravidel pro 10 základních oblastí kybernetické bezpečnosti (ISMS, aktiva, rizika, …) - hodnocení účinnosti politik a jejich aktualizace Organizační bezpečnost: - dokumentace o bezpečnostních rolích Stanovení bezpečnostních požadavků na dodavatele:
OOI.5
- využití dodavatelů při rozvoji, provozu ICT nebo zajištění bezpečnosti podmíněno smlouvou včetně ujednání o bezpečnosti informací Řízení aktiv:
OOI.6
- identifikování a ohodnocení primárních aktiv, určení garanta aktiva - stanovení a prosazení pravidel pro ochranu aktiv podle jejich klasifikace - spolehlivé mazání a likvidace
31 /52
Bezpečnost lidských zdrojů: OOI.7
- poučení o bezpečnosti informací, kontrola dodržování pravidel, plán rozvoje bezpečnostního povědomí, vrácení svěřených prostředků Řízení provozu a komunikací:
OOI.8
- detekce kybernetických bezpečnostních událostí a jejich vyhodnocení - zajištění bezpečného provozu, stanovení provozních pravidel a postupů Řízení přístupu a bezpečné chování uživatelů:
OOI.9
OOI.10
- povinnost řízení přístupu - závazek ochrany autorizačních údajů ze strany všech uživatelů Akvizice, vývoj a údržba: - stanovení bezpečnostních požadavků na systémy Zvládání kybernetických bezpečnostních událostí a incidentů:
OOI.11
OOI.12
- zajistit hlášení kybernetických bezpečnostních incidentů: - připravit prostředí pro vyhodnocení kybernetických bezpečnostních událostí - provést neprodlené hlášení kybernetického bezpečnostního incidentu - dokumentuje systém zvládání kybernetických bezpečnostních incidentů Řízení kontinuity činností: - dokumentace strategie a cílů řízení kontinuity + postupy pro provedení protiopatření Kontrola a audit:
OOI.13
- dokumentace požadavků relevantních právních a regulatorních předpisů a smluvních závazků: - provádění a dokumentování kontrol dodržování stanovených pravidel
II. Technická opatření bezpečnosti informací ID
Technická opatření
32 /52
Fyzická bezpečnost: TOII.1
- ochrana neoprávněného vstupu, poškození, kompromitace aktiv - prostředky fyzické bezpečnosti – mechanické zábranné, EZS, vstupní systémy, kamerové systémy, UPS, klima … Nástroj pro ochranu integrity komunikačních sítí:
TOII.2
- ochrana integrity rozhraní vnější a vnitřní sítě: - bezpečné řízení komunikace mezi vnější a vnitřní sítí - segmentace pomocí DMZ k zamezení přímé komunikace mezi vnější a vnitřní sítí - šifrování pro vzdálený přístup a bezdrátové technologie - blokování informací, které neodpovídají požadavkům Nástroje pro ověřování identity uživatelů:
TOII.3
- nástroje pro ověření identity musí zajistit: - ověření identity všech uživatelů - minimální délku hesla 8 znaků - minimální složitost – alespoň jedno velké písmeno, jedno malé písmeno, číslici a speciální znak - maximální dobu platnosti hesla 100 dní Nástroje pro řízení přístupových oprávnění:
TOII.4
- nástroje pro řízení přístupových práv musí zajistit: - řízení oprávnění uživatelů k aplikacím a datovým entitám - řízení oprávnění: čtení, zápis a změna oprávnění Nástroj pro ochranu před škodlivým kódem:
TOII.5
- povinné použití nástrojů pro antivirovou ochranu: - ověření a kontrola komunikace mezi interní a veřejnou sítí - ověření a kontrola serverů a sdílených prostředků - ověření a kontrola pracovních stanic - pravidelná aktualizace
33 /52
Nástroj pro zaznamenávání činností významných informačních systémů, jejich uživatelů a správců:
TOII.6
- povinné použití nástrojů pro zaznamenávání činností, které zajistí: - sběr informací o událostech a jejich ochranu - zaznamenání následujících událostí – přihlášení a odhlášení, činnosti privilegovaných účtů, činnosti vedoucí k navýšení oprávnění neúspěšné činnosti, spuštění a ukončení práce systému, varování a chybová hlášení, přístupy a manipulace s logy, použití mechanismů autentizace, odmítnuté činnosti v důsledku nedostatku oprávnění - synchronizace času Nástroj pro detekci kybernetických bezpečnostních událostí:
TOII.7
TOII.8
- povinné použití nástroje pro detekci kybernetických bezpečnostních událostí - kontrola a případné blokování komunikace mezi vnitřní a vnější sítí Aplikační bezpečnost: - provádí bezpečnostní testy aplikací přístupných z vnější sítě před uvedením do provozu Kryptografické prostředky:
TOII.9
- stanovení politiky kryptografické ochrany: - typ a síla kryptografického algoritmu - ochrana přenosu po komunikačních sítích, uložení na mobilní zařízení nebo vyměnitelná média
III. Bezpečnostní dokumentace ID
Bezpečnostní dokumentace Bezpečnostní politika Metodika pro identifikaci a hodnocení aktiv a pro identifikaci a hodnocení rizik
BDIII.1
Zpráva o hodnocení rizik Prohlášení o aplikovatelnosti Plán zvládání rizik Plán rozvoje bezpečnostního povědomí
34 /52
Zvládání kybernetických bezpečnostních incidentů Strategie řízení kontinuity činností Přehled obecně závazných právních předpisů, vnitřních předpisů a jiných předpisů a smluvních závazků IV. Certifikace ISMS ID CIV.1
Certifikace Certifikace systému řízení bezpečnosti informací
35 /52
7.
Správa informačních systémů
7.1.
Životní cyklus informačního systému
-
-
Fáze životního cyklu IS: o
fáze přípravy - shromáždění a posouzení požadavků, formulace zadání IS,
o
fáze pořízení/vývoje – pořízení/tvorba, přizpůsobení zákaznickým požadavkům customizace, testování, instalace, implementace,
o
fáze provozu a údržby,
o fáze ukončení provozu. Zásady správy informačního systému dle jednotlivých fází životního cyklu jsou obsahem následující tabulky.
Tabulka 17: Zásady správy informačního systému dle jednotlivých fází životního cyklu
Fáze životního cyklu IS
Zásady správy IS Sběr podnětů k novému IS
1. Příprava
Zpracování záměru pořízení IS dodavatelským způsobem Zpracování záměru vytvoření (vývoje) IS vlastními zdroji Pořízení IS dodavatelským způsobem
2. Pořízení/Vývoj (vytvoření)
Vývoj (vytvoření) IS vlastními zdroji Instalace a testování IS Příprava nasazení IS do rutinního provozu Nasazení IS do rutinního provozu
3. Provoz a údržba
Zajištění provozu a údržby IS Řízení změn IS
4. Ukončení provozu a činnosti
Ukončení provozu IS Ukončení činnosti IS
7.2.
Základní role správy informačního systému
7.2.1.
Systémový správce
-
Základní pravomoci a odpovědnosti systémového správce: o od různých zdrojů shromažďuje veškeré náměty a požadavky na IS, o
formuluje zadání pro vytvoření/úpravu IS nebo jeho části (subsystému, modulu),
o
posuzuje analýzu řešitele (dodavatele) a ve formě nabídky ji předkládá prostřednictvím vedoucího odboru ke schválení odpovědným orgánům města,
36 /52
o
o o
o
7.2.2. -
-
upřesňuje podmínky realizace, navrhuje a konzultuje s dodavatelem IS platformu pro budoucí realizaci IS a začlenění do stávajícího informačního systému a je odpovědný za její zřízení a funkčnost, v součinnosti s dodavatelem a bezpečnostním správcem provádí instalaci a konfiguraci IS dle dodané instalační dokumentace,
o
je odpovědný za životní cyklus IS,
o
je odpovědný za pořízení takového IS, který koresponduje s celkovou koncepcí a plánovaným rozvojem informačního systému města,
o
je odpovědný za obsah a provedení akceptačního testování a za akceptaci IS po stránce funkčnosti a spolehlivosti.
Bezpečnostní správce Základní pravomoci a odpovědnosti bezpečnostního správce: o
provádí uplatňování a kontrolu funkčnosti bezpečnostních opatření a mechanismů, a na základě zkušeností přezkoumává a navrhuje pozitivní změny bezpečnostní politiky,
o
je odpovědný za vytvoření bezpečnostních směrnic, přípravu a realizaci potřebných školení,
o
zabezpečuje plynulý, bezporuchový a bezpečný průběh rutinního provozu IS v oblasti bezpečnosti HW, systémového SW a bezpečnosti provozu IS, je odpovědný za řízení bezpečnostních incidentů.
o
7.2.3.
prostřednictvím vedoucího odboru předkládá požadavky a návrhy na finanční krytí IS z investičních nebo neinvestičních prostředků správci rozpočtu k posouzení a konečnému rozhodnutí odpovědných orgánů města, předkládá požadavky na počet licencí a garantuje majetková, licenční a užívací práva k IS,
Klíčový uživatel Základní pravomoci a odpovědnosti klíčového uživatele: o
zaměstnanec daného odboru či oddělení městského úřadu, který IS v rozsahu svých uživatelských oprávnění používá jako prostředek k automatizovanému provádění konkrétních činností v rámci svého pracovního pověření a jako zdroj pro něj nezbytných informací,
o
z uživatelského hlediska zodpovídá (a provádí kontrolu) za kvalitu zpracovávaných dat a informací, provádí kontrolu kvality poskytovaných služeb a kontrolu kvality používaných technologických a programových prostředků,
o
poskytuje součinnost systémovému a bezpečnostnímu správci v rámci realizace celého životního cyklu IS,
o
je spoluodpovědný za zajištění či vytvoření uživatelských příruček.
7.3.
Příprava informačního systému
7.3.1.
Sběr podnětů k novému IS
-
Podnětem k novému ISVS mohou být:
37 /52
o
mise, poslání, strategické cíle města,
o
novely právních předpisů či nově vzniklé legislativní předpisy (zákony, vyhlášky, nařízení),
o
místní legislativní předpisy (např. vyhlášky), interní směrnice a nařízení,
o
požadavky uživatelů IS reprezentované klíčovým uživatelem,
o
podněty správců IS (změny topologie počítačové sítě, změna HW a SW platformy, ztráta dat a jiné havárie, atp.), další jiné podněty (např. podněty vzešlé z porad, analýza chybových hlášení, aj.).
o -
Základní realizované postupy: o o o
7.3.2. -
Zpracování záměru pořízení IS dodavatelským způsobem Základní realizované postupy: o o o o o o
o
o -
shromáždění podnětů a požadavků z různých míst a od různých subjektů u systémového správce, posouzení došlých požadavků správci IS a jejich prvotní eliminace - schválení nebo zamítnutí, předání požadavků ke schválení vedoucím orgánům města.
definování potřeby IS, analýza zdrojů pro jeho pořízení, očekávaná finanční náročnost (v případě potřeby též analýza časové dostupnosti zdrojů apod.), analýza výchozího stavu (též s ohledem na možnost využití služeb nebo zdrojů jiných IS), stanovení požadovaného cílového stavu IS (vyplývající z definice potřeby IS), stanovení požadavků na kvalitu a bezpečnost IS (vyplývající z dlouhodobých cílů a obecných požadavků), analýza důsledků, které pořízení IS může vyvolat (např. dopad na procesy, činnost městského úřadu, organizační opatření apod.), definice požadavků na dokumentaci IS, požadavky na oprávnění nezbytná pro provádění údržby a změn v IS, a to v závislosti na tom, zda hodlá údržbu a změny systémový či bezpečnostní správce IS provádět vlastními silami, nebo bude údržbu a změny provádět taktéž dodavatel, požadavky na projektové řízení u dodavatele, přičemž je možné ponechat výběr metody na dodavateli; doporučuje se vycházet z obecně uznávaných českých norem v této oblasti (např. ČSN ISO/IEC 15288 Systémové inženýrství - Procesy životního cyklu systému), požadavky na testování IS a podmínky akceptace.
Zadávání veřejných zakázek v oblasti IS se řídí zákonem o veřejných zakázkách. Základní realizované postupy: o
vypracování a schválení záměru a zadání IS,
o
předání poptávky (zadání) řešitelům (uchazečům, dodavatelům) k vypracování návrhu na řešení,
o
vypracování nabídek řešiteli (mj. analýza problematiky včetně dopadů na informační a komunikační infrastrukturu, cenová kalkulace, návrh smluvního ujednání, návrh řešení ochrany autorských práv),
38 /52
o o o
7.3.3. -
posouzení předložených nabídek a předání vzešlých připomínek a námětů k jejich doplnění, finální posouzení předložených nabídek, předložení smluvního ujednání ke schválení (u malých zakázek do určité finanční výše je možno smluvní ujednání vynechat a nahradit objednávkou).
Zpracování záměru vytvoření (vývoje) IS vlastními zdroji Základní realizované postupy: o
definování potřeby IS, analýza zdrojů pro jeho vytvoření, očekávaná finanční náročnost (v případě potřeby též analýza časové dostupnosti zdrojů apod.),
o
analýza výchozího stavu (též s ohledem na možnost využití služeb nebo zdrojů jiných IS), stanovení požadovaného cílového stavu IS (vyplývající z definice potřeby IS),
o o
stanovení požadavků na kvalitu a bezpečnost (vyplývající z dlouhodobých cílů a obecných požadavků),
o
analýza důsledků, které vytvoření IS může vyvolat (např. dopad na procesy, činnost městského úřadu, organizační opatření apod.), náležitosti dokumentování procesů vytváření IS, přičemž je vhodné apelovat na průběžnou tvorbu dokumentace,
o o
zásady projektového řízení dle vhodné normy (např. ČSN ISO/IEC 15288 Systémové inženýrství - Procesy životního cyklu systému), která stanoví projektové postupy, pokud se při vytváření IS projektové řízení uplatňuje.
7.4.
Pořízení/Vývoj (vytvoření) informačního systému
7.4.1.
Pořízení IS dodavatelským způsobem
-
Základní realizované postupy: o o
principy a postupy projektového řízení, customizace (úprava hotového IS, např. typového dodavatelského řešení, a jeho přizpůsobení požadavkům a zvyklostem města) a implementace IS (proces přizpůsobení IS konkrétní informační a komunikační infrastruktuře) za součinnosti systémového správce,
o
testování IS, které prokazuje, že IS vyhovuje požadovaným specifikacím a je připraven pro použití v daném prostředí (u dodávaného IS v rozsahu a způsobem stanoveným ve smlouvě),
o
vyžádání dodavatelské provozní dokumentace (především bezpečnostní směrnice pro bezpečnostního správce, systémové příručky pro systémového správce a uživatelské příručky pro uživatele IS), převzetí provozní a instalační dokumentace od dodavatele IS (uživatelské příručky musí obsahovat i popis bezpečnostních funkcí IS),
o o
akceptační řízení - vyhodnocení splnění akceptačních kritérií (akceptování je možné v jednotlivých etapách dílčího plnění),
39 /52
o
akceptace a převzetí IS systémovým a bezpečnostním správcem a klíčovým uživatelem oproti podpisu akceptačního a předávacího protokolu, akceptace je odmítnuta v případě, že předávaná část díla vykazuje na základě vyhodnocení akceptačních kritérií natolik vážné vady, že nemůže sloužit svému účelu vůbec nebo s výraznými omezeními,
o
v případě méně vážných vad se použije akceptace s výhradami (postup při jejich odstranění se stanoví na základě vzájemné dohody).
o
7.4.2. -
Vývoj (vytvoření) IS vlastními zdroji Základní realizované postupy: o
principy a postupy projektového řízení,
o o
konkrétní analytické a programátorské práce – vlastní vývoj IS, vývoj IS – proces tvorby, customizace, testování, instalace a implementace IS včetně právního, organizačního a technického zajištění IS,
o
testování IS, které prokazuje, že IS vyhovuje požadovaným specifikacím a je připraven pro použití v daném prostředí (u vlastního IS podle platných interních pravidel),
o
vypracování provozní dokumentace (především bezpečnostní směrnice pro bezpečnostního správce, systémové příručky pro systémového správce a uživatelské příručky pro uživatele IS) tvůrci IS, převzetí provozní a instalační dokumentace od tvůrců IS (uživatelské příručky musí obsahovat i popis bezpečnostních funkcí IS), akceptační řízení - vyhodnocení splnění akceptačních kritérií (akceptování je možné v jednotlivých etapách dílčího plnění),
o o o
akceptace a převzetí IS systémovým a bezpečnostním správcem a klíčovým uživatelem oproti podpisu akceptačního a předávacího protokolu,
o
akceptace je odmítnuta v případě, že předávaná část díla vykazuje na základě vyhodnocení akceptačních kritérií natolik vážné vady, že nemůže sloužit svému účelu vůbec nebo s výraznými omezeními, v případě méně vážných vad se použije akceptace s výhradami (postup při jejich odstranění se stanoví na základě vzájemné dohody).
o
7.4.3. -
7.4.4. -
Instalace a testování IS Základní realizované postupy: o o
pilotní instalace a konfigurace IS, školení uživatelů - za jeho přípravu a průběh je odpovědný systémový správce, v oblasti bezpečnosti bezpečnostní správce a v oblasti uživatelské klíčový uživatel,
o
testování požadovaných funkcí a zátěžových vlastností IS (případně akceptační řízení) o obsahu a rozsahu testování rozhoduje systémový správce, potřebnou součinnost mu poskytuje bezpečnostní správce,
o
kompletace požadavků z testování, případně z pilotního provozu.
Příprava nasazení IS do rutinního provozu Základní realizované postupy:
40 /52
o
kompletace prerekvizit instalace IS a požadavků na infrastrukturu (prerekvizita instalace IS - konkrétní podmínka, která je kladena na infrastrukturu nebo zdroje za účelem jejich přípravy, zajištění a ověření ještě před zahájením instalace z důvodu minimalizace rizika selhání instalačního procesu kvůli nedostatečné připravenosti některé z komponent infrastruktury nebo včasného nezajištění zdrojů nezbytných k provedení instalace),
o o
sestavení detailního harmonogramu nasazení IS do rutinního provozu, příprava infrastruktury v cílovém prostředí,
o
finalizace a akceptace provozní a instalační dokumentace,
o o
akceptace harmonogramu, postupů a nástrojů pro finální migraci dat do rutinního prostředí, implementace požadavků vzešlých z výsledků pilotního běhu,
o o
změny metodických pokynů vyvolané novým IS, aktualizace uživatelských příruček a pokynů pro uživatele IS, školení uživatelů.
7.5.
Provoz a údržba informačního systému
7.5.1.
Nasazení IS do rutinního provozu
-
Základní realizované postupy: o
o
7.5.2. -
provoz IS – programově řízené procesy, jejichž cílem je získávání informací a jejich převod do datové podoby; ukládání, shromažďování, vyhodnocování a poskytování informací prostřednictvím provozovaného IS, nasazení konkrétní verze IS do rutinního provozu/prostředí ve formě dané standardem Release Managementu podle stanoveného harmonogramu a za podpory dodavatele/tvůrců IS,
o
ostrá migrace dat,
o
o nasazování IS do rutinního provozu a jeho akceptování je sepsán protokol, který je archivován po celou dobu životního cyklu ISVS,
o
vystavení informací o nasazení IS, vystavení uživatelských příruček a pokynů pro uživatele na intranetu či jinou všem uživatelům přístupnou formou.
Zajištění provozu a údržby IS Základní realizované postupy: o
autorský dozor dodavatelů/tvůrců IS do doby stabilizace rutinního provozu IS,
o
nastavení a změny přístupových práv, včetně nastavení bezpečnostních vlastností přístupných danému uživateli pro zajištění požadavku bezpečnosti provozu a ochrany osobních údajů - provádí bezpečnostní správce na základě schválené žádosti od oprávněných osob; uživatelské, administrátorské i operátorské přístupy schvaluje systémový správce, aktualizace parametrů a číselníků, modifikace výstupů, provozování dávkových úloh, poskytování statistik, apod., ze strany systémového správce,
o o
uživatelská práce s daty za podpory klíčového uživatele,
41 /52
o
zajištění bezpečnostních činností/opatření (zálohování, archivování, skartace, obnova po havárii (včetně přípravy plánů obnovy a testů), administrace bezpečnosti HW a systémového SW (dohled a řešení chybových či nestandardních stavů, administrátorské spouštění úloh), dohled nad databázemi a jejich administrace) bezpečnostním správcem,
o
běžná údržba, sběr požadavků na další rozvoj, update a upgrade IS, ze strany systémového správce, údržba a update IS – modifikace IS na základě zjištěných problémů, potřeby zdokonalení nebo adaptace na změnu, sloužící k zajištění bezporuchového provozu; jedná se o drobné opravy systému, které zásadně nemění jeho funkčnost nebo datové rozhraní, a které jsou řešeny v rámci provozních činností/výdajů IS, upgrade IS – úpravy, opravy a rozšíření obsahu a rozsahu řešení na základě změny zákonných předpisů, inovace procesů města a naléhavých uživatelských požadavků (v rámci investičních výdajů IS), podpora uživatelů, aktualizace pokynů pro uživatele, doškolování uživatelů.
o
o
o
7.5.3. -
Řízení změn IS Řízením změn se rozumí zajištění činností, definice rolí a odpovědností při řízení procesů navrhování, schvalování a realizace změn. Za řízení změn IS je odpovědný systémový správce. V souvislosti s řízením změn je třeba stanovit hranice mezi dvěma odlišně spravovanými oblastmi: o údržba IS (údržba a update IS) představuje provádění činností, které vedou k zachování funkcí IS v požadovaném a nezměněném stavu (například opravy chyb, bezpečnostní záplaty apod.), o
-
provádění změn v IS (upgrade IS) zahrnuje kvalitativní změny vždy spojené se změnami funkčnosti nebo datového rozhraní (např. potřeba rozšíření funkcionality, změna datového obsahu, změna datových rozhraní, změna procesů, ve kterých je IS používán, reagování na novelizaci právních předpisů apod.).
Základní realizované postupy: o o
řízení změn musí být dokumentováno, definování potřeby změn v IS,
o
analýza výchozího stavu pro rozvoj IS,
o o
stanovení cílového stavu IS, stanovení požadavků na kvalitu a bezpečnost vztahujících se k cílovému stavu IS,
o
návrh transformace z výchozího do cílového stavu IS (může být i více alternativ),
o
analýza důsledků, které změna může vyvolat (tyto analýzy jsou předpokládány pro každou navrženou alternativu a měly by být součástí podkladů pro rozhodování),
o
promítnutí změn do provozní dokumentace a jiných dokumentů, kterých se změna dotýká (probíhá ve fázi realizace).
7.6.
Ukončení provozu a činnosti informačního systému
7.6.1.
Ukončení provozu IS
-
Základní realizované postupy: o
stanovení harmonogramu ukončení provozu IS
42 /52
o
o
7.6.2. -
všichni zúčastnění musí ukončení provozu projednat, naplánovat a rozhodnout mj. o archivaci dat a dokumentace; podnět k ukončení provozu IS dává systémový správce za souhlasu bezpečnostního správce a klíčového uživatele, zajištění kontinuity služeb likvidovaného IS.
Ukončení činnosti IS Základní realizované postupy: o bezpečné naložení (uložení, archivace) s provozní dokumentací IS, o
bezpečné naložení s daty, která ukončovaný IS zpracovává - obvykle se jedná o jednu (či více) z následujících možností:
převedení dat do jiného IS,
zničení dat (více by mělo být součástí skartačního řádu města),
uchování dat; zde je nutné definovat celou řadu atributů:
kde budou data uchována (fyzické omezení přístupu, podmínky),
jak budou data uchována (způsob uložení, šifrování, média),
jak bude zajištěna jejich čitelnost (pravidla pro údržbu médií, kontrola čitelnosti či cyklické opakování zálohování),
stanovení odpovědnosti za dostupnost dat.
43 /52
8.
Financování informačních systémů
Financování informačních systémů je popsáno v dokumentu „Plán financování informačních systémů“ (příloha č. 4).
8.1.
Plán financování informačních systémů
-
„Plán financování informačních systémů“ je především plánem financování záměrů na pořízení/vytvoření informačních systémů, naplnění dlouhodobých cílů a správy informačních systémů. Všechny tyto oblasti jsou pokryty v položkách rozpočtu IT.
-
„Plán financování informačních systémů“ se připravuje 1x ročně v souvislosti s přípravou rozpočtu IT.
8.1.1. -
-
8.1.2.
Rozpočet informačního systému Zavádění nového informačního systému, resp. jeho inovace, je strategické rozhodnutí, jehož nedílnou součástí je rozpočet zahrnující následující náklady: o o
na analýzu výchozí situace, na projekci cílového stavu,
o
na analýzu rizik,
o
na zpracování poptávkového dokumentu a sestavení zadávací dokumentace,
o o
na vývoj a implementaci IS, na školení uživatelů,
o
na pořízení nového HW,
o
na licence operačních systémů,
o o
migrace dat, na projektový tým.
Součástí poptávkového dokumentu musí být požadavek strukturovaného rozpočtu pro porovnání nabídek a pro zahrnutí do smlouvy s dodavatelem vč. pravidel při překročení rozpočtu. Rozpočet se zajišťuje rezervou.
Rozpočet IT
-
Plánování rozpočtu IT se dělí na plánování dvou základních skupin nákladů (výdajů):
-
CAPEX (capital expenditure) – kapitálové či investiční náklady (výdaje), dle rozpočtových položek:
-
o
6111
Programové vybavení nad 60.000,- Kč
o
6125
Hardware nad 40.000,- Kč
OPEX (operational expenditure) – provozní či běžné náklady (výdaje), dle rozpočtových položek: o
5011
Platy zaměstnancům – projekt
o o
5021 5031
Dohody – projekt Sociální pojištění – projekt
o
5032
Zdravotní pojištění – projekt
o
5038
Povinné pojistné na úrazové pojištění – projekt
o
5042
Odměny za užití počítačových programů
44 /52
o
5136
Odborná literatura – projekt
o
5137
Drobný hmotný investiční a neinvestiční majetek do 40.000,- Kč
o
5139
Nákup materiálu
o
5154
Elektrická energie
o
5156
Pohonné hmoty a maziva
o
5161
Poštovní služby
o
5162
Služby telekomunikací a radiokomunikací
o
5164
Nájemné
o
5166
Konzultační, poradenské a právní služby
o
5167
Služby školení a vzdělávání
o
5168
Služby zpracování dat
o
5169
Nákup služeb
o o
5171 5172
Opravy a udržování Programové vybavení do 60.000,- Kč
o
5173
Cestovné
o
5175
Pohoštění
o
5221
Finanční příspěvek partnerovi projektu – projekt
8.2.
Zdroje financování informačních systémů
8.2.1.
Rozpočet města
-
8.2.2.
Financování IT je realizováno z rozpočtu města dle každoročního návrhu rozpočtu IT (rozpočet IT je součástí rozpočtu města). Po konečném schválení rozpočtu města zastupitelstvem lze finance čerpat v souladu s rozpočtovými pravidly města a hospodařit s nimi dle schváleného rozpočtu. Každý návrh na změnu rozpočtu musí být opětovně schválen zastupitelstvem.
Dotace
Podpůrnými zdroji financování IT mohou být různé formy dotačních programů.
45 /52
9. -
9.1. -
Naplňování informační koncepce Za naplňování informační koncepce považujeme činnosti, které zajistí: o
praktické naplnění záměrů a dlouhodobých cílů uvedených v informační koncepci,
o
praktické naplnění a dodržování postupů a zásad uvedených v informační koncepci,
o
udržování informační koncepce v aktuálním stavu,
o
pravidelné vyhodnocování a dodržování informační koncepce a realizaci opatření pro odstranění zjištěných nedostatků.
Provádění změn informační koncepce Provádění změn informační koncepce lze rozdělit na čtyři části:
o
včasná detekce změn v oblastech, které se dotýkají informační koncepce tak, aby byla zajištěna včasná změna informační koncepce, vlastní provedení změny v informační koncepci, resp. vydání její nové verze,
o
schválení změny informační koncepce, resp. její nové verze,
o
příprava nové informační koncepce v předstihu před ukončením platnosti té stávající.
o
9.1.1.
Zajištění včasné změny informační koncepce
-
Povinností úřadu je provádět změny informační koncepce tak, aby byl zachován soulad jejího obsahu se skutečným stavem a aktuálními požadavky. Z tohoto důvodu je s max. periodou 24 měsíců informační koncepce revidována z pohledu změn v oblasti dlouhodobého řízení IS, a v případě zjištění potřeby promítnutí těchto změn do informační koncepce bude vydána její nová verze.
-
Typické události, které jsou podnětem aktualizace informační koncepce i mimo stanovenou max. periodu 24 měsíců:
9.1.2.
o
významná změna organizační struktury městského úřadu,
o
vznik nového záměru pořízení nebo vytvoření IS, dokončení realizovaného IS,
o
významné změny v právních předpisech,
o
nové požadavky v oblasti kvality a bezpečnosti IS.
Zápis změny informační koncepce – nová verze
-
Změny budou prováděny formou vydání nové verze informační koncepce.
-
Jednotlivé verze informační koncepce budou číslovány dvěma čísly, oddělenými tečkou: hlavní číslo verze, které bude odlišovat verze s významnými změnami (např. kompletně přepracované kapitoly, změny zásadních postupů, apod.), o vedlejší číslo verze, které bude odlišovat drobnější změny (např. doplnění nového IS, změny v personální oblasti, drobná změna v postupech apod.). Každá verze (kromě počáteční) obsahuje tabulku změn oproti verzi předchozí. Tabulka obsahuje popis a odůvodnění změny v předchozí verzi a identifikace příslušné části, která byla změněna. o
-
46 /52
9.1.3.
Schvalování změny informační koncepce
-
Změny informační koncepce (nové verze) podléhají stejnému postupu schvalování jako původní verze informační koncepce.
-
S novou verzí jsou po jejím schválení prokazatelně (oproti podpisu) seznámeni všichni pracovníci, jichž se informační koncepce nějak dotýká. Každý zaměstnanec odpovídá za to, že pracuje s platnou verzí informační koncepce.
-
9.1.4.
Příprava nové informační koncepce
-
Pracovník odpovědný za naplnění informační koncepce společně s pracovníkem odpovědným za aktualizaci informační koncepce připraví 6 měsíců před ukončením její pětileté platnosti podklady pro strategické rozhodnutí přípravy nové informační koncepce.
-
Podklady pro strategické rozhodnutí přípravy nové informační koncepce minimálně obsahují: o vyhodnocení stávající informační koncepce a její účinnosti (míru naplnění dlouhodobých cílů, záměrů, postupů a zásad) za dobu od jejího vzniku, o
o
9.2. -
vyhodnocení způsobu vzniku a údržby stávající informační koncepce a doporučení pro postup tvorby nové informační koncepce (vlastními silami nebo s využitím externího dodavatele apod.), další podklady dle uvážení.
Vyhodnocování dodržování informační koncepce
-
Vyhodnocování dodržování informační koncepce je základním kontrolním mechanizmem zajišťujícím zpětnou vazbu. Vyhodnocování musí provádět jiný pracovník, než ten, který je zodpovědný za naplňování informační koncepce. Totéž platí pro vyhodnocování dílčích oblastí, pro které byla stanovena konkrétní dílčí odpovědnost.
-
Pro vyhodnocování dodržování informační koncepce byla stanovena perioda 1 x za 24 měsíců.
-
Vyhodnocování probíhá metodou dekompozice na dílčí oblasti a jejich následnou expertní analýzou. Z vyhodnocování je sepsán Zápis o vyhodnocení informační koncepce (příloha č. 1).
9.2.1. -
-
-
Vyhodnocované oblasti Charakteristiky IS: o IK obsahuje charakteristiky všech IS. o
IK obsahuje všechny provozní IS s vazbami na ISVS.
o
Charakteristiky současného stavu jsou včas aktualizovány.
o
Předpokládané změny IS jsou včas aktualizovány.
Záměry nových IS: o
IK obsahuje všechny záměry nových IS.
o o
Jednotlivé záměry mají vyplněny všechny základní údaje. Pro všechny záměry jsou vypracovány charakteristiky nového IS.
o
Pro všechny záměry existuje charakteristika výchozího stavu.
Řízení kvality IS:
47 /52
-
o
Požadavky na kvalitu směřují k naplnění cílů kvality.
o
Požadavky na kvalitu jsou jednotlivými IS dodržovány a vyhodnocovány.
o
Probíhá prověrka požadavků na kvalitu a vyhodnocení řízení kvality v souladu s plánem řízení kvality.
Řízení bezpečnosti IS: o
Požadavky na bezpečnost směřují k naplnění cílů bezpečnosti.
o
Požadavky na bezpečnost jsou jednotlivými IS dodržovány a vyhodnocovány.
o
Probíhá prověrka požadavků na bezpečnost a vyhodnocení řízení bezpečnosti v souladu s plánem řízení bezpečnosti.
-
Plánování rozvoje IS:
-
o Jsou uplatňovány zásady a postupy pro plánování rozvoje IS. Budování nových IS: o o o
-
-
o
Při vytváření IS jsou všechny procesy tvorby IS náležitě dokumentovány.
o
V případě využití projektového řízení jsou uplatňovány přijaté zásady v této oblasti.
Správa IS: o o
Jsou uplatňovány zásady a postupy pro plánování rozvoje IS. Jsou uplatňovány zásady a postupy pro zajištění provozu a údržby IS – zde dochází k posouzení vhodně zvoleného vzorku činností.
o
Jsou uplatňovány zásady a postupy pro řízení změn IS.
o
Jsou uplatňovány zásady a postupy pro ukončení činnosti IS.
Financování IS: o
Financování IS probíhá v souladu se schválenými postupy a platnými předpisy.
o o
Existuje pravidelně aktualizovaný plán financování IS. Plán financování IS obsahuje dílčí plány financování: záměrů nových IS, naplnění dlouhodobých cílů a správy IS. Jednotlivé dílčí plány financování jsou tvořeny a aktualizovány v souladu s příslušnými pravidly.
o -
Aktualizace Informační koncepce: o Jsou dodržovány termíny periodické aktualizace IK. o
Významné změny jsou promítány do IK i mimo její periodické aktualizace.
o
Vydávání nových verzí IK probíhá v souladu s danými postupy, verze a v nich zahrnuté změny jsou náležitě dokumentovány a schvalovány. Všichni relevantní pracovníci mají k dispozici aktuální platnou verzi IK.
o -
Výběr formy budování nového IS je prováděn v souladu s příslušnými zásadami a postupy. Pro každý nový IS je vypracován záměr s požadovanou strukturou a v souladu s požadovanými zásadami a postupy. Při pořizování IS je vyžadováno naplnění všech oblastí dle IK platné v době pořizování IS; tyto požadavky jsou zakotveny ve smlouvě.
o Nejsou používány neplatné verze IK. Vyhodnocování dodržování Informační koncepce:
48 /52
o o
Prováděné vyhodnocení nastalo nejpozději v předepsaném časovém intervalu od minulého vyhodnocení. Zápisy z minulých vyhodnocení jsou dostupné obdobně, jako aktuální verze IK.
o
Opatření přijatá při minulých vyhodnoceních dodržování IK byla promítnuta do aktualizované verze IK.
o
Přijatá opatření jsou uplatňována v praxi.
o
Přijatá opatření přinesla předpokládaný účinek - dříve zjištěné nedostatky byly odstraněny nebo se k jejich odstranění směřuje.
49 /52
10. -
10.1. -
Odpovědnosti osob Odpovědnosti v oblasti dlouhodobého řízení informačních systémů lze rozdělit do dvou částí: o
odpovědnosti za realizaci informační koncepce,
o
odpovědnosti za splnění zákonných povinností.
Odpovědnosti za realizaci informační koncepce Vrcholnou odpovědnost za naplnění informační koncepce má Odbor informatiky.
Tabulka 18: Dílčí odpovědnosti za jednotlivé oblasti naplnění informační koncepce
Oblast odpovědnosti vytváření záměrů na pořízení nebo vytvoření nových IS schvalování záměrů na pořízení nebo vytvoření nových IS
Odpovídá Vedoucí odborů Vedoucí odboru informatiky Tajemník/tajemnice úřadu
řízení kvality IS (stanovování dlouhodobých cílů kvality a konkrétních Manažer kvality IT požadavků na kvalitu IS, sestavení a údržba plánu řízení kvality, Interní auditor vyhodnocování naplnění požadavků a dodržování plánu) řízení bezpečnosti IS (stanovování dlouhodobých cílů bezpečnosti a Manažer bezpečnosti IT konkrétních požadavků na bezpečnost IS, sestavení a údržba plánu řízení Interní auditor bezpečnosti, vyhodnocování naplnění požadavků a dodržování plánu) řízení postupů pro pořizování a vytváření IS (včetně zajištění veřejných Vedoucí odboru informatiky soutěží apod.) koordinace činností v oblasti rozvoje IS
Vedoucí odboru informatiky
příprava plánu rozvoje IS
Vedoucí odboru informatiky
schvalování plánu rozvoje IS
Tajemník/tajemnice úřadu
zajištění provozu a údržby
Vedoucí odboru informatiky
vyhodnocování dodržování souladu provozování IS
Vedoucí odboru informatiky
koordinace a vyhodnocování řízení změn
Vedoucí odboru informatiky
řízení ukončování provozu IS
Vedoucí odboru informatiky
vytváření a údržba plánu financování IS
Vedoucí odboru informatiky
schvalování plánu financování IS
Tajemník/tajemnice úřadu
příprava změn a tvorba nových verzí IK
Vedoucí odboru informatiky
schvalování změn IK a jejích nových verzí
Tajemník/tajemnice úřadu Rada města
50 /52
Oblast odpovědnosti
Odpovídá
příprava nové IK před ukončením platnosti stávající
Vedoucí odboru informatiky
provádění vyhodnocování dodržování IK a vyhotovení zápisu o něm
Interní auditor Vedoucí odboru informatiky
návrh opatření na základě zjištění při vyhodnocování
Vedoucí odboru informatiky
schvalování opatření na základě zjištění při vyhodnocování
Tajemník/tajemnice úřadu
schválení zápisu z vyhodnocení
Tajemník/tajemnice úřadu
10.2. -
Odpovědnosti za splnění zákonných povinností Vrcholnou odpovědnost za splnění zákonných povinností má odbor informatiky.
Tabulka 19: Jednotlivé oblasti splnění zákonných povinností
Oblast zákona
Zákonná povinnost
zák. č. 365/2000 Sb. spolupracovat s Ministerstvem vnitra při plnění jeho úkolů §5 odst. 2 písm. a zák. č. 365/2000 Sb. spolupracovat s Ministerstvem vnitra při provádění kontroly na místě dle zákona §5 odst. 2 písm. a o státní kontrole zák. č. 365/2000 Sb. předložit Ministerstvu vnitra k vyjádření návrhy dokumentací programů obsahující §5 odst. 2 písm. b pořízení, obnovu a provozování informačních a komunikačních technologií zák. č. 365/2000 Sb. předložit Ministerstvu vnitra k vyjádření investiční záměry akcí pořízení, obnovy a §5 odst. 2 písm. b provozování informačních a komunikačních technologií - přesné podmínky viz zákon zák. č. 365/2000 Sb. uveřejňovat číselníky, pokud jsou jejich správci a není zákonem stanoveno jinak, a to i §5 odst. 2 písm. c způsobem umožňujícím dálkový přístup předávat Ministerstvu vnitra údaje do informačního systému o datových prvcích zák. č. 365/2000 Sb. v elektronické podobě, ve formě a s technickými náležitostmi stanovenými §5 odst. 2 písm. c prováděcím právním předpisem zajistit, aby vazby jimi provozovaného informačního systému na informační systémy zák. č. 365/2000 Sb. jiného provozovatele byly uskutečňovány prostřednictvím referenčního rozhraní §5 odst. 2 písm. d s využitím datových prvků vyhlášených ministerstvem a vedených v informačním systému o datových prvcích zák. č. 365/2000 Sb. prokázat atestem způsobilost informačního systému k realizaci výše uvedených vazeb §5 odst. 2 písm. d
51 /52
Oblast zákona
Zákonná povinnost
zpřístupňovat ministerstvu v elektronické podobě, ve formě a s technickými zák. č. 365/2000 Sb. náležitostmi stanovenými prováděcím právním předpisem, bez zbytečného odkladu §5 odst. 2 písm. e informace o jimi provozovaném informačním systému a jím poskytovaných službách a používaných datových prvcích, a to za účelem uveřejnění v IS o ISVS a IS o DP zák. č. 365/2000 Sb. odstranit zjištěné nedostatky ve lhůtě stanovené Ministerstvem vnitra §5 odst. 2 písm. f zák. č. 365/2000 Sb. vytvářet a vydávat informační koncepci, uplatňovat ji v praxi a vyhodnocovat její §5a odst. 1 dodržování zák. č. 365/2000 Sb. vytvářet a vydávat provozní dokumentaci k jednotlivým ISVS, uplatňovat ji v praxi a §5a odst. 2 vyhodnocovat její dodržování zák. č. 365/2000 Sb. zajistit si atest dlouhodobého řízení ISVS §5a odst. 3 zajišťovat bezpečnost ISVS v rozsahu odpovídajícím alespoň minimálním zák. č. 365/2000 Sb. bezpečnostním požadavkům k zajištění důvěrnosti, integrity a dostupnosti §5b odst. 1 až odst. 2 zpracovávaných informací dle prováděcího předpisu
52 /52
11.
Přílohy a seznamy
11.1.
Přílohy
-
Příloha č. 1 – Zápis o vyhodnocení informační koncepce (Zapis_vyhodnoceni_IK_Sokolov.pdf)
-
Příloha č. 2 – Katalog informačních systémů (Katalog_IS_Sokolov.pdf)
-
Příloha č. 3 – Plán rozvoje informačních systémů (Plan_rozvoje_IS_Sokolov.pdf)
-
Příloha č. 4 – Plán financování informačních systémů (Plan_financovani_IS_Sokolov.pdf)
11.2.
Seznam tabulek
Tabulka 1: Základní identifikační údaje dokumentu ......................................................................................... 5 Tabulka 2: Základní identifikační údaje verze 2.0 dokumentu ......................................................................... 6 Tabulka 3: Změny provedené mezi verzemi 2.0 a 1.0 dokumentu.................................................................... 6 Tabulka 4: Základní identifikační údaje verze 1.0 dokumentu ......................................................................... 6 Tabulka 5: Změny provedené mezi verzemi 1.0 a "0.0" dokumentu................................................................. 7 Tabulka 6: Portfolio informačních systémů města Sokolov............................................................................ 12 Tabulka 7: Rámcová specifikace IT projektu „Konsolidace IT a nové služby TC ORP Sokolov“................. 15 Tabulka 8: Rámcová specifikace IT projektu „Elektronizace a automatizace vnitřních procesů úřadu“........ 15 Tabulka 9: Rámcová specifikace IT projektu „Rozvoj IS pro Městskou policii“ ........................................... 16 Tabulka 10: Rozšíření současného objednávkového systému MěÚ................................................................ 17 Tabulka 11: Finanční závazky vůči městu ...................................................................................................... 17 Tabulka 12: Nasazení a rozšíření aplikace pro mobilní zařízení..................................................................... 18 Tabulka 13: Modernizace MAN, LAN............................................................................................................ 18 Tabulka 14: Dlouhodobé cíle kvality dat a informací informačních systémů města....................................... 23 Tabulka 15: Požadavky na kvalitu dat a informací informačních systémů města........................................... 24 Tabulka 16: Plán řízení bezpečnosti informačních systémů (informací) ........................................................ 30 Tabulka 17: Zásady správy informačního systému dle jednotlivých fází životního cyklu.............................. 35 Tabulka 18: Dílčí odpovědnosti za jednotlivé oblasti naplnění informační koncepce .................................... 49 Tabulka 19: Jednotlivé oblasti splnění zákonných povinností ........................................................................ 50
11.3.
Seznam obrázků
Obrázek 1: Základní cyklus systému řízení kvality IS (PDCA cyklus) .......................................................... 19 Obrázek 2: Základní cyklus ISMS................................................................................................................... 28
