Příloha č. 2
Informační koncepce Zlínský kraj zákon č. 365/2000 Sb., o ISVS vyhláška č. 529/2006 Sb., o dlouhodobém řízení ISVS
Zpracoval
Ing. Jiří Fux Bezpečnostní správce ICT
[email protected] 577 043 262
Schválil
RNDr. Ivo Skrášek Vedoucí oddělení informatiky
[email protected] 577 043 260
Obsah OBSAH...............................................................................................................................................2 1 IDENTIFIKACE DOKUMENTU .........................................................................................................5 1.1 Základní údaje...........................................................................................................................5 1.2 Verze informační koncepce ........................................................................................................6 1.2.1
Verze 2.0 ...........................................................................................................................................................6
1.2.2
Verze 1.0 ...........................................................................................................................................................7
2 KONTEXT INFORMAČNÍ KONCEPCE ...............................................................................................8 2.1 Manažerské shrnutí ...................................................................................................................8 2.2 Informační koncepce .................................................................................................................9 3 INFORMAČNÍ SYSTÉMY ZLÍNSKÉHO KRAJE...................................................................................10 4 ZÁMĚRY ROZVOJE INFORMAČNÍCH SYSTÉMŮ .............................................................................12 4.1 Plán rozvoje informačních systémů ..........................................................................................12 4.2 Záměry na pořízení nebo vytvoření nových informačních systémů............................................12 4.3 Záměry rozvoje stávajících informačních systémů.....................................................................12 4.4 Informační strategie Zlínského kraje ........................................................................................12 4.4.1
21Net – Komunikační infrastruktura Zlínského kraje......................................................................................13
4.4.2
Zákon o kybernetické bezpečnosti..................................................................................................................13
4.4.3
Správa mobilních zařízení................................................................................................................................13
5 ŘÍZENÍ KVALITY INFORMAČNÍCH SYSTÉMŮ..................................................................................14 5.1 Systém řízení kvality informačních systémů..............................................................................14 5.2 Kvalita informačních systémů ..................................................................................................14 5.2.1
Kvalita zpracovávaných dat - atributy .............................................................................................................14
5.2.2
Kvalita poskytovaných služeb - atributy..........................................................................................................15
5.2.3
Kvalita používaných technologických a programových prostředků - atributy ................................................16
5.3 Dlouhodobé cíle v oblasti řízení kvality informačních systémů ..................................................16 2/54
5.3.1
Kvalita zpracovávaných dat.............................................................................................................................17
5.3.2
Kvalita zajišťovaných služeb ............................................................................................................................18
5.3.3
Kvalita technologických a programových prostředků .....................................................................................19
5.4 Požadavky na kvalitu informačních systémů.............................................................................20 5.5 Plán řízení kvality informačních systémů ..................................................................................21 5.5.1
Činnosti v oblasti řízení kvality ........................................................................................................................21
5.5.2
Časové harmonogramy plnění cílů kvality a požadavků na kvalitu .................................................................23
6 ŘÍZENÍ BEZPEČNOSTI INFORMAČNÍCH SYSTÉMŮ..........................................................................25 6.1 Systém řízení bezpečnosti informačních systémů......................................................................25 6.2 Bezpečnost informačních systémů ...........................................................................................25 6.2.1
Bezpečnost zpracovávaných dat - atributy .....................................................................................................26
6.3 Dlouhodobé cíle v oblasti řízení bezpečnosti informačních systémů ..........................................26 6.4 Požadavky na bezpečnost informačních systémů......................................................................27 6.5 Plán řízení bezpečnosti informačních systémů..........................................................................29 6.5.1
Činnosti v oblasti řízení bezpečnosti ...............................................................................................................29
6.5.2
Časové harmonogramy plnění cílů bezpečnosti a požadavků na bezpečnost ................................................30
7 SPRÁVA INFORMAČNÍCH SYSTÉMŮ.............................................................................................32 7.1 Životní cyklus informačního systému........................................................................................32 7.2 Příprava informačního systému................................................................................................33 7.2.1
Sběr podbětů k novému informačnímu systému............................................................................................33
7.2.2
Zpracování záměru pořízení informačního systému dodavatelským způsobem ............................................33
7.3 Pořízení informačního systému ................................................................................................37 7.3.1
Pořízení informačního systému dodavatelským způsobem............................................................................37
7.3.2
Instalace a testování informačního systému...................................................................................................38
7.3.3
Příprava nasazení informačního systému do rutinního provozu ....................................................................38
7.4 Provoz a údržba informačního systému ....................................................................................39 7.4.1
Nasazení informačního systému do rutinního provozu ..................................................................................39
7.4.2
Zajištění provozu a údržby informačního systému..........................................................................................39
7.4.3
Řízení změn informačního systému ................................................................................................................40
7.5 Ukončení provozu a činnosti informačního systému .................................................................40 3/54
7.5.1
Ukončení provozu informačního systému.......................................................................................................41
7.5.2
Ukončení činnosti informačního systému .......................................................................................................41
8 FINANCOVÁNÍ INFORMAČNÍCH SYSTÉMŮ ...................................................................................42 8.1 Způsoby financování informačních systémů .............................................................................42 8.2 Plán financování informačních systémů....................................................................................42 9 NAPLŇOVÁNÍ INFORMAČNÍ KONCEPCE.......................................................................................43 9.1 Postupy při provádění změn Informační koncepce....................................................................43 9.1.1
Postup pro zajištění včasné změny Informační koncepce...............................................................................44
9.1.2
Postup zápisu změny do dokumentu Informační koncepce............................................................................44
9.1.3
Postup schvalování změny Informační koncepce............................................................................................44
9.1.4
Postup přípravy nové Informační koncepce....................................................................................................45
9.2 Postupy při vyhodnocování dodržování Informační koncepce ...................................................45 9.2.1
Oblasti pro vyhodnocování Informační koncepce...........................................................................................45
9.2.2
Pravidla pro vytváření zápisu z vyhodnocování Informační koncepce............................................................47
10 ODPOVĚDNOSTI OSOB..............................................................................................................49 10.1 Odpovědnost za realizaci Informační koncepce.......................................................................49 10.2 Splnění zákonných povinností ................................................................................................51 11 PŘÍLOHY...................................................................................................................................53 11.1 Příloha č. 1 – Pasport aplikací.................................................................................................53 11.2 Příloha č. 2 – Plán rozvoje informačních systémů....................................................................53 11.3 Příloha č. 3 – Plán financování informačních systémů .............................................................53 11.4 Příloha č. 4 – Zápis o vyhodnocení informační koncepce .........................................................53 12 SEZNAM TABULEK A OBRÁZKŮ .................................................................................................54
4/54
1
Identifikace dokumentu
1.1 Základní údaje Název dokumentu
Informační koncepce Zlínského kraje
Název organizace
Zlínský kraj
IČ
70891320
Typ organizace
kraj - vyšší územně samosprávný celek
Adresa
tř. Tomáše Bati 21, 761 90 Zlín
Počátek platnosti
1. 12. 2013
Doba platnosti
5 let
Konec platnosti
30. 11. 2018
Počáteční verze
1.0
Aktuální verze
2.0
Důvěrnost
Veřejné informace
Tabulka č. 1: Základní údaje o informační koncepci.
Role
Osoba
Datum
Zpracoval:
Ing. Jiří Fux
18. 11. 2013
Podpis
Bezpečnostní správce ICT
[email protected] 577 043 262 Schválil:
RNDr. Ivo Skrášek
20. 11. 2013
Vedoucí oddělení informatiky
[email protected] 577 043 260 Tabulka č. 2: Autorizace a schválení informační koncepce.
5/54
1.2 Verze informační koncepce Verze dokumentu jsou chronologicky řazené od nejnovější k nejstarší. Tabulka změn obsahuje popis a odůvodnění změn v předchozí verzi a identifikaci příslušných částí, které byly změněny, a to vždy při zachování souladu obsahu informační koncepce se skutečným stavem a aktuálními požadavky kraje.
1.2.1 Verze 2.0 Označení verze
2.0
Datum vzniku
18. 11. 2013
Datum schválení
20. 11. 2013
Počátek platnosti
1. 12. 2013
Autor verze
Ing. Jiří Fux
Funkce
Bezpečnostní správce ICT
Útvar / organizace
Oddělení informatiky, Krajský úřad Zlínského kraje
Verzi schválil
RNDr. Ivo Skrášek
Útvar / organizace
Oddělení informatiky, Krajský úřad Zlínského kraje
Název souboru
Informacni_koncepce_ Zlinsky_kraj.pdf
Umístění souboru
intranet
Počet stran
54
Funkce
Vedoucí oddělení informatiky
Verze souboru
2.0
Počet příloh
4
Tabulka č. 3: Údaje o verzi 2.0 informační koncepce. Změněná část
Popis a odůvodnění změny
Terminologie
Odstranění tabulky obecně známých pojmů.
Kontext informační koncepce
Doplnění manažerského shrnutí informační koncepce.
Informační systémy
Aktualizace seznamu provozovaných informačních systémů.
Záměry rozvoje IS
Obecně specifikován Plán rozvoje IS. Doplněny rozvojové IT oblasti Informační strategie.
Řízení kvality IS
Definován systém řízení kvality IS. Doplněny základní atributy kvality IS. Aktualizován plán řízení kvality IS.
Řízení bezpečnosti IS
Definován systém řízení bezpečnosti IS. Doplněny základní atributy bezpečnosti IS. Aktualizován plán řízení bezpečnosti IS.
Správa IS
Doplněn životní cyklus IS. Doplněny základní role správy IS. Doplněny, konkretizovány a prohloubeny zásady správy IS dle všech fází životního cyklu IS.
Financování IS
Obecně specifikován Plán financování IS.
6/54
Změněná část
Popis a odůvodnění změny
Přílohy
Doplněn seznam povinných příloh informační koncepce.
Tabulka č. 4: Změny ve verzi 2.0 informační koncepce oproti verzi 1.0 informační koncepce.
1.2.2 Verze 1.0 Označení verze
1.0
Datum vzniku
1. 10. 2008
Datum schválení
1. 11. 2008
Počátek platnosti
1. 12. 2008
Autor verze
Ing. Tomáš Kuba
Funkce
konzultant
Ing. Tomáš Hrabík
konzultant
Útvar / organizace
CORTIS Consulting s.r.o.
Verzi schválil
RNDr. Ivo Skrášek
Útvar / organizace
Oddělení informatiky, Krajský úřad Zlínského kraje
Název souboru
IK KUZK v1.00
Umístění souboru
intranet
Počet stran
34
Funkce
vedoucí oddělení informatiky KUZK
Verze souboru
1.0
Počet příloh
1
Tabulka č. 5: Údaje o verzi 1.0 informační koncepce.
7/54
2
Kontext informační koncepce
2.1 Manažerské shrnutí Zlínský kraj je dle zákona č. 365/2000 Sb., o ISVS, v rámci dlouhodobého řízení ISVS, povinen vytvářet a vydávat informační koncepci, uplatňovat ji v praxi a vyhodnocovat její dodržování. Vedení Zlínského kraje si uvědomuje důležitost koncepčního řízení informačních systémů a ostatní informační a komunikační infrastruktury kraje a svou činností vytváří podmínky pro naplňování informační koncepce v souladu se zákonem č. 365/2000 Sb., o informačních systémech veřejné správy. Informační koncepce kraje je v souladu s Informační strategií kraje, kterou dále rozvíjí v oblasti informačních systémů, přičemž respektuje její vize a cíle. Informační systémy kraje a jejich charakteristiky jsou popsány v dokumentu „Pasport aplikací“, jež je přílohou informační koncepce. Plán rozvoje informačních systémů kraje je přílohou informační koncepce a připravuje se 1x ročně v souvislosti s přípravou rozpočtu IT. Plán rozvoje je ve své podstatě akční operativní plán projektů rozvoje IS a ostatních informačních technologií. Systém řízení kvality informačních systémů (cyklus plánuj – dělej – kontroluj – jednej) vytváří řízenou kvalitu informačních systémů kraje, která splňuje požadavky a očekávání všech zainteresovaných stran. Plán řízení kvality informačních systémů se připravuje 1 x za 5 let v souvislosti s přípravou nové informační koncepce kraje, aktualizován je průběžně. Systém řízení bezpečnosti informačních systémů (cyklus plánuj – dělej – kontroluj – jednej) vytváří řízenou bezpečnost informačních systémů kraje, která splňuje požadavky a očekávání všech zainteresovaných stran. Plán řízení bezpečnosti informačních systémů se připravuje 1 x za 5 let v souvislosti s přípravou nové informační koncepce kraje, aktualizován je průběžně. Správa informačních systémů kraje probíhá dle stanovených zásad a postupů pro všechny fáze životního cyklu informačního systému (příprava, pořízení/vývoj, provoz a údržba, ukončení provozu a činnosti). Plán financování informačních systémů kraje je přílohou informační koncepce a připravuje se 1x ročně v souvislosti s přípravou rozpočtu IT. Obsahuje mj. přehled financování plánu rozvoje informačních systémů kraje. Revize informační koncepce kraje probíhá 1x ročně. Vyhodnocování dodržování informační koncepce kraje probíhá 1x za 2 roky. Zápis o vyhodnocení informační koncepce kraje je přílohou informační koncepce. Vypracování nové informační koncepce kraje probíhá 1x za 5 roků. Vrcholnou odpovědnost za naplnění informační koncepce kraje má Oddělení informatiky. Vrcholnou odpovědnost za splnění zákonných povinností má Ředitel krajského úřadu. 8/54
2.2 Informační koncepce Informační koncepce mj. popisuje:
seznam (a charakteristiky) provozovaných informačních systémů a jejich předpokládané změny;
záměry na pořízení nebo vytvoření nových informačních systémů, záměry rozvoje stávajících informačních systémů;
dlouhodobé cíle v oblasti řízení kvality;
dlouhodobé cíle v oblasti řízení bezpečnosti;
zásady pro správu informačních systémů s postupy pro jejich naplnění;
financování oblasti informačních systémů;
postupy při vyhodnocování dodržování informační koncepce;
postupy při provádění změn informační koncepce;
útvar/funkční zařazení zaměstnanců odpovědných za naplňování informační koncepce a splnění zákonných povinností.
Za jeden z nejdůležitějších mechanismů dlouhodobého řízení ISVS lze považovat vyhodnocování, zda jsou dodržovány požadavky stanovené v informační koncepci. Na základě tohoto vyhodnocení jsou formulovány závěry, a v případě zjištěných nedostatků přijmuta přiměřená opatření k jejich odstranění. O průběhu vyhodnocování, závěrech a opatřeních přijatých na základě poznatků z vyhodnocení se pořizuje „Zápis o vyhodnocení informační koncepce“. Legislativně informační koncepce respektuje především:
zákon č. 365/2000 Sb., o informačních systémech veřejné správy (ISVS) a jeho novelu č. 81/2006 Sb.;
vyhlášku č. 529/2006 Sb., o dlouhodobém řízení ISVS;
vyhlášku č. 530/2006 Sb., o postupech atestačních středisek při posuzování dlouhodobého řízení ISVS.
9/54
3
Informační systémy Zlínského kraje
V informační koncepci je uveden pouze výčet informačních systémů provozovaných Krajským úřadem Zlínského kraje. Jedná se buď o informační systémy veřejné správy (ISVS) nebo o provozní informační systémy (PIS), příp. o provozní informační systémy s vazbou na ISVS (PIS - ISVS). Všechny tyto informační systémy jsou v detailu, požadovaném vyhláškou č. 529/2006 Sb., popsány v Příloze č. 1 - Pasport aplikací. ID 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35
INFORMAČNÍ SYSTÉM AirSoft - Ovzduší SQL Dotace 200x EDA Elektronická podatelna ESPI EVI 8.9 EVPE IS FKVS MPP (modul podpory plánování) Myslivecké a rybářské průkazy Portál Rozpočet JASU Stavební úřad T-WIST ENZZ Válečné hroby Zoner Context - Systém jakosti v oboru pozemních komunikací Zpracování JŘ pro CIS JŘ 2011/2012 E testy Komisař 39083 MEDIS ALARM 108D PDS KoPla Živnostenský rejstřík ETZ- elektronické testy Evidence myslivosti Perm3 IntraDoc 2.0 Portál kr-zlinsky Tagra.eu Control EZOP 1.0.1.7 Kukátko 1.2.14.1 ActiveDirectory Anet ArcGIS Desktop v. 10.1 ArcIMS 9.2. ArcGIS Server Enterprise Basic v. 10.0 ASPI Systém právních norem Cardpay 10/54
ID 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72
INFORMAČNÍ SYSTÉM ELZA BENEFIT EOS3 ver. 3 (2005) GILDA Ginis Gordic UCR HelpDesk HSMAP Kevis LHK SSL MaP/PiS MONIT Project Server SmtpGateway Sproxy Thomas key T-WIST 1.2a T-WIST METIS 4 T-WIST NEMO-EVIDENCE MAJETKU T-WIST REN T-WIST ÚIR-ADR 602 FormServer FaMa+ TopoL xT Reduced Kissos Telefonní seznam 1.0 SafeQ® PCAS 3.1.5.17 Hfx 2010-105 41063 EMNKP - Evidence movitých a nemovitých kulturních památek Střet zájmů AuditPro 7.1 ArcGIS Server 41284 eSPS Datový sklad DWH/BI CA Clarity/PPM Gist MIS ZK Exchange 2010 Sharepoint Foundation 2013
Tabulka č. 6: Přehled informačních systémů provozovaných Krajským úřadem Zlínského kraje.
11/54
4
Záměry rozvoje informačních systémů
4.1 Plán rozvoje informačních systémů Zásady a postupy pro správu informačních systémů (kap. 7. Správa informačních systémů) představují pravidla pro vytvoření plánu pořizování, vytváření, provozování, změn a ukončení činnosti informačních systémů kraje – plánu rozvoje informačních systémů. Plán rozvoje informačních systémů kraje je upřesněním záměrů a cílů uvedených v informační koncepci na základě konkrétních požadavků a dalších okolností. Vlastní plán není součástí informační koncepce, která obsahuje pouze zásady a postupy pro jeho vytváření, ale je její přílohou (Příloha č. 2 – Plán rozvoje informačních systémů). Plán rozvoje informačních systémů obsahuje následující části:
plán pořizování a vytváření nových IS,
plán provozování a údržby provozovaných IS,
plán provádění změn stávajících IS,
plán ukončení provozu a činnosti rušených IS.
Součástí plánu rozvoje je přehled IS, které mají vzniknout, které mají být upraveny, které nahrazeny a které ukončeny bez náhrady. Dále je v plánu uveden časový harmonogram provádění příslušných akcí v jednotlivých systémech. Plán rozvoje se nemusí týkat pouze IS, ale i ostatních informačních a komunikačních technologií kraje a související informační a komunikační infrastruktury. Plán rozvoje se připravuje 1x ročně v souvislosti s přípravou rozpočtu IT. Jedná se v podstatě o každoroční akční operativní plán projektů rozvoje IS a ostatních informačních a komunikačních technologií. Plán rozvoje informačních systémů kraje je pojítkem mezi Informační koncepcí a Informační strategií Zlínského kraje.
4.2 Záměry na pořízení nebo vytvoření nových informačních systémů V současnosti nejsou žádné záměry na pořízení nových informačních systémů dodavatelským způsobem. V současnosti nejsou žádné záměry na vytvoření nových informačních systémů vlastními zdroji.
4.3 Záměry rozvoje stávajících informačních systémů V současnosti nejsou žádné záměry rozvoje stávajících informačních systémů.
4.4 Informační strategie Zlínského kraje V průběhu roku 2014 bude zpracována nová Informační strategie Zlínského kraje, a v návaznosti na to aktualizována Informační koncepce Zlínského kraje vč. Plánu rozvoje informačních systémů. V dokumentech se budou mj. analyzovat důsledky a dopady následujících oblastí rozvoje informačních technologií: 12/54
21Net – Komunikační infrastruktura Zlínského kraje
Zákon o kybernetické bezpečnosti
Správa mobilních zařízení
4.4.1 21Net – Komunikační infrastruktura Zlínského kraje 21Net – ve výsledku rychlá, robustní a bezpečná celokrajská datová síť pro podporu krizového řízení, integrovaného záchranného systému, pro naplnění cílů e-Governmentu a zvýšení efektivity výkonu veřejné správy. K přenosu informací mezi jednotlivými lokalitami bude využito optických vláken. Optická datová síť dosáhne přenosové rychlosti 1 Gbit/s, přičemž technologicky bude připravena na vyšší rychlost 10 Gbit/s bez nutnosti vysokých investic. Celá infrastruktura bude odolná proti výpadku napájení ve všech kritických lokalitách s podmínkou zachování funkčnosti sítě na dobu 72 hodin. Více informací na http://www.21net.cz/. V souvislosti s provozem této sítě vzniká provozní dokumentace, mj. Bezpečnostní politika 21Net a provozní řády.
4.4.2 Zákon o kybernetické bezpečnosti Připravovaný zákon o kybernetické bezpečnosti bude na povinné osoby v oblasti kybernetické bezpečnosti pravděpodobně klást některé nové požadavky, naplněné tzv. „Systémem zajištění kybernetické bezpečnosti“. Systém zajištění kybernetické bezpečnosti tvoří bezpečnostní opatření, hlášení kybernetických bezpečnostních incidentů, protiopatření, oznamování kontaktních údajů a činnost Národního bezpečnostního úřadu a dohledových pracovišť. Stavem kybernetického nebezpečí se rozumí stav, ve kterém je ve velkém rozsahu ohrožena bezpečnost informací v informačních systémech nebo bezpečnost služeb nebo sítí elektronických komunikací, a tím dojde nebo by mohlo dojít k porušení nebo ohrožení zájmu České republiky.
4.4.3 Správa mobilních zařízení Používání mobilních zařízení (mj. a především smartphone a tablet) způsobuje nová bezpečnostní rizika. Oprávnění uživatelé mohou používat mobilní zařízení a pracovat s využitím vzdáleného přístupu k informacím a prostředkům pro jejich zpracování za splnění striktně definovaných podmínek. Správa mobilních zařízení musí poskytovat možnost rychlé registrace mobilního zařízení v datovém prostředí, konfiguraci a aktualizaci nastavení zařízení na dálku, vynucování bezpečnostních zásad a konformit, zabezpečování mobilního přístupu k datovým zdrojům, a také uzamykání a vymazávání těchto zařízení.
13/54
5
Řízení kvality informačních systémů
5.1 Systém řízení kvality informačních systémů Systém řízení kvality informačních systémů přijímá požadavky a očekávání zainteresovaných stran na kvalitu informačních systémů a pomocí nezbytných činností a procesů vytváří řízenou kvalitu, která splňuje tyto požadavky a očekávání. Základní cyklus systému řízení kvality informačních systémů:
Plánuj – plánování v oblasti řízení kvality informačních systémů.
Dělej – realizace požadavků na kvalitu informačních systémů.
Kontroluj - ověřování splnění požadavků na kvalitu informačních systémů.
Jednej – vyhodnocení požadavků na kvalitu informačních systémů.
Obrázek č. 1: Cyklus systému řízení kvality informačních systémů
5.2 Kvalita informačních systémů Kvalitou informačních systémů se rozumí především:
Kvalita zpracovávaných dat.
Kvalita poskytovaných služeb.
Kvalita používaných technologických a programových prostředků.
5.2.1 Kvalita zpracovávaných dat - atributy Základní atributy kvality zpracovávaných dat:
Integrita dat – data v IS jsou autentická, přesná a úplná.
14/54
Přesnost (správnost) dat - reprezentace skutečné hodnoty v IS by měla být v kontextu jejího použití dostatečně přesná.
Úplnost (kompletnost) dat - v IS by měly být vedeny hodnoty pokud možno pro všechny atributy entity, a také všechny ostatní relevantní entity.
Konzistence dat - různé údaje ke stejné entitě v IS by neměly být ve zřejmém logickém rozporu.
Aktuálnost dat - IS by měl využívat a poskytovat aktuální data.
Důvěryhodnost dat - data, poskytovaná IS by měla být pravdivá a důvěryhodná.
Přístupnost dat - data vedená v IS by měla být vedena v takové formě, aby byla přístupná, a to zejména pro osoby, které vyžadují podpůrné technologie.
Dostupnost dat - data vedená v IS by měla být vždy dostupná všem uživatelům s oprávněním k přístupu.
Utajitelnost dat - data vedená v IS by měla být přístupná pouze oprávněným uživatelům.
Srozumitelnost dat - data vedená v IS by měla být snadno interpretovatelná uživatelem a vyjádřena ve vhodném jazyce a jednotkách.
Efektivita dat - při zpracování dat v IS by měl být zajištěn odpovídající výkon systému a mělo by být využito odpovídající množství systémových zdrojů.
Přenositelnost dat - data vedená v IS by měla umožňovat převod na odlišnou platformu při zachování své kvality.
Sledovatelnost dat (odpovědnost za data) - při přístupu k datům, vkládání nebo změně dat v IS by mělo probíhat sledování kdo a kdy k datům přistupoval a kdo a kdy vložení nebo změny provedl.
Soulad dat v IS s právními předpisy - data v IS musí být uložena v souladu s platnými obecně závaznými právními předpisy. Data v IS by měla být uložena podle veřejně dostupných standardů a datových formátů.
5.2.2 Kvalita poskytovaných služeb - atributy Základní atributy kvality poskytovaných služeb:
Funkčnost služeb - IS by měl poskytovat služby - funkce, které uspokojují stanovené a předpokládané potřeby.
Efektivnost služeb – IS by měl poskytovat služby relevantní potřebám uživatelů.
Dostupnost služeb - služby IS by měly být dostupné za předem určených podmínek (místo, formát, čas).
Přehlednost služeb - služby IS, zejména ty, které využívají grafického uživatelského rozhraní, by měly být přehledné.
Srozumitelnost služeb - služby IS, zejména ty, které využívají grafického uživatelského rozhraní, by měly být srozumitelné.
Přístupnost služeb - služby IS, zejména ty, které využívají grafického uživatelského rozhraní, by měly být přístupné i uživatelům, kteří pro přístup vyžadují speciální technologie.
Interoperabilita služeb - služby IS by měly být způsobilé ke komunikaci s jinými informačními systémy.
15/54
Dohledatelnost služeb - služby IS by měly být dohledatelné za pomoci běžných nástrojů.
Řízení dokumentace – podrobné návody k použití služeb IS by měly být popsány a aktualizovány v uživatelské dokumentaci.
5.2.3 Kvalita používaných technologických a programových prostředků atributy Základní atributy kvality používaných technologických a programových prostředků:
Funkčnost software - IS by měl poskytovat funkce, které uspokojují stanovené a předpokládané potřeby.
Interoperabilita software - IS by měl být schopen interakce s dalšími IS.
Použitelnost software - IS by měl být pro své uživatele srozumitelný, zvládnutelný a atraktivní.
Efektivita software - IS by měl poskytovat odpovídající výkon při odpovídajícím využití systémových zdrojů.
Bezporuchovost software - IS by měl poskytovat bezporuchový provoz.
Udržovatelnost software - IS by měl být způsobilý k úpravám a implementaci nových funkcí dle nových legislativních a dalších požadavků.
Přenositelnost software - IS by měl být způsobilý k převodu na odlišnou platformu při zachování své kvality.
Dostupnost software - IS by měl být dostupný pro všechny oprávněné uživatele.
Certifikace hardware - technologické prostředky IS by měly mít platnou certifikaci pro zamýšlené programové prostředky.
Odolnost hardware vůči poruchám - technologické prostředky IS by měly být odolné vůči poruchám.
Obnova harware - technologické prostředky IS by neměly být zastaralé.
Úroveň služeb síťové infrastruktury - síťová infrastruktura kraje nezbytná pro provoz IS by měla být na odpovídající úrovni.
Úroveň internetové konektivity - konektivita do internetu nezbytná pro provoz IS by měla být na odpovídající úrovni.
Dodávka software a hardware – jednotná strategie řízení vztahů s dodavateli technologií.
Integrace software a hardware – sjednocení technologií (používaných technologických a programových prostředků).
5.3 Dlouhodobé cíle v oblasti řízení kvality informačních systémů Dlouhodobé cíle v oblasti řízení kvality IS byly stanoveny ve třech oblastech:
zajištění kvality dat, která jsou v IS zpracovávána;
zajištění kvality služeb, které jsou prostřednictvím IS poskytovány;
zajištění kvality technologických a programových prostředků.
16/54
Dlouhodobé cíle vychází z dokumentu Globální systémová architektura, zpracovaného v rámci projektu Systémová integrace, který nastavil dlouhodobé směrování informačního systému na úrovni celého kraje a stanovil hlavní cíle. Dlouhodobé cíle v oblasti řízení kvality IS jsou uvedeny v tabulce, a to v členění do tří výše uvedených oblastí. U každého cíle je dále uveden atribut kvality IS, ke kterému cíl směřuje.
5.3.1 Kvalita zpracovávaných dat Označení cíle
Název cíle
Popis cíle
Atribut kvality
CK01
Integrita
Ve všech systémech budou využity maximální možnosti pro kontrolu integrity dat, a to na všech úrovních (databáze, aplikační logika, vstupní formuláře apod.).
integrita dat
CK02
Aktualizace
Cílem je, aby všechny údaje vedené primárně krajským úřadem byly aktualizovány v nejbližší možné době po jejich změnách. Podobně nové údaje by se měly objevit v ISVS s minimální prodlevou.
aktuálnost dat
CK03
Správnost
Předmětem je zavést kontroly dat proti primárním registrům (především RES, UIR-ADR, ISKN) a kontroly na obsah dat s cílem zvýšení čistoty dat.
správnost dat
CK04
Kompletnost dat
Cílem je zavedení datové základy bez chybějících atributů znamenající nejednoznačnost údajů. Zároveň maximalizovat množství informací a dokumentů, zpracovávaných elektronicky v digitální, strukturované formě.
kompletnost dat
CK05
Odpovědnost
Ve všech systémech budou ukládány auditní záznamy o autorech změn vedených údajů. Bude zajištěna bezpečnost těchto záznamů.
odpovědnost za data
Tabulka č. 7: Cíle v oblasti zpracovávaných dat.
17/54
5.3.2 Kvalita zajišťovaných služeb Označení cíle
Název cíle
Popis cíle
Atribut kvality
CK06
Funkčnost
Rozvoj systému provádět na základě zadání / cílové architektury v konfrontaci s požadavky uživatelů.
funkčnost služeb
CK07
Efektivnost
Pokračovat v zavádění principu vnímání ICT jako poskytovatele (interních) služeb.
efektivnost služeb
Zavést standardy IT Governance1 do vnitřních procesů ICT. CK08
Dostupnost
Dále přibližovat veřejné služby občanovi, zajistit jejich maximální dostupnost a kvalitu s důrazem na bezpečný a jednoduchý přístup.
dostupnost služeb
Podpořit prezentaci úřadu a regionu. CK09
Interoperabilita
Podpořit integraci a sdílení dat a prostřednictvím webových služeb a jednotný způsob autorizace a autentizace.
služeb zavést
CK10
Řízení dokumentace
Podpořit využívání funkcionality IS s dostupností uživatelské dokumentace a konkrétních návodů postupu řešení problémů.
interoperabilita služeb
řízení dokumentace
Tabulka č. 8: Cíle v oblasti zajišťovaných služeb.
1
Manažerské metody a nástroje, zaměřené na řízení informatiky s cílem maximalizovat přidanou hodnotu informačních systémů a technologií pro realizaci strategie organizace. Zahrnuje jednotný přístup k řízení požadavků, zdrojů, procesů a projektů probíhajících v ICT se snahou o zvyšování kvality poskytovaných služeb, redukci nákladů a maximalizaci přidané hodnoty informatiky pro organizaci.
18/54
5.3.3 Kvalita technologických a programových prostředků Označení cíle
Název cíle
Popis cíle
Atribut kvality
CK11
Řízení dodavatelů
Cílem je zavedení jednotné strategie řízení vztahů s dodavateli ICT.
dodávka
CK12
Sjednocení technologií
Sjednocení technologií na základě Technologické strategie.
sjednocení technologií
CK13
Obnova ICT
Pokračovat v pravidelné obnově HW.
obnova HW
Tabulka č. 9: Cíle v oblasti technických a programových prostředků.
19/54
5.4 Požadavky na kvalitu informačních systémů Požadavky na kvalitu informačních systémů vznikly konkretizací výše stanovených cílů řízení kvality. Souhrn požadavků včetně vazeb na cíl, který naplňují, a vazeb na IS, pro které platí, je uveden v následující tabulce. Cíl kvality
Označení požadavku
Popis požadavku
Platí pro
CK01: Integrita
PK01
Rozšíření kontrol integrity a promítnutí problémových oblastí do plánu rozvoje.
všechny IS
PK02
Podporovat převedení strukturované.
GINIS - SSL
PK03
Vytvořit metadata k datům, službám a dokumentacím.
všechny IS
PK04
Zavést organizační opatření pro zajištění včasné aktualizace dat.
všechny IS
PK05
Doplnit konkrétní požadavky na výměnu dat pro konkrétní systémy.
všechny IS
PK06
Zajistit implementace kontrol subjektů/osob, adres a nemovitostí.
všechny relevantní IS
PK07
Zajistit implementaci kontrol obsahu dat (např. kontrola správnosti rodného čísla, identifikačního čísla, správnost položek typu datum a čas apod.).
všechny IS
PK08
Maximalizovat množství informací a dokumentů, zpracovávaných elektronicky v digitální, strukturované formě.
všechny IS
PK09
Zajistit historizaci záznamů, tzn. zavést mechanismus zaznamenávání historie změn záznamů a zajistit možnost sledovat postupné změny záznamu v čase a provádět časové řezy.
všechny IS
CK05: Odpovědnost
PK10
Zavést auditovatelnost záznamů ve smyslu identifikace vlastníka každé provedené změny v záznamech.
všechny IS
CK06: Funkčnost
PK11
Vytvořit cílovou architekturu.
všechny IS
CK07: Efektivnost
PK12
Zavést standardy IT Governance do vnitřních procesů ICT.
CK02: Aktualizace
CK03: Správnost
CK04: Kompletnost dat
nestrukturovaných
dat
na
identifikace
20/54
Cíl kvality
Označení požadavku
Popis požadavku
Platí pro
CK08: Dostupnost
PK13
Rozvinout webové stránky směrem k elektronizaci agend jako alternativního přístupu.
redakční systém
PK14
Vytvořit Call centrum jako alternativu k zjišťování stavu žádosti.
všechny IS
PK15
Dále rozvíjet sdílení dat na bázi webových služeb.
GIS
PK16
Zavést jednotný způsob autorizace a autentizace.
všechny IS
PK17
Zajistit dostupnost uživatelské dokumentace.
všechny IS
PK18
Rozšířit návody řešící typické postupy práce s IS.
všechny IS
PK19
Zavést dlouhodobé hodnocení monitorování kvality dodávek.
všechny IS
PK20
Vytvořit standardizované šablony s dodavateli ICT komodit a služeb.
smlouvy
všechny IS
PK21
Přenést parametry ze SLA na dodavatele, kteří dané SLA mohou ovlivnit, včetně patřičných sankcí.
všechny IS
PK22
Rozvíjet projektové řízení při dodávce ICT služeb.
všechny IS
CK12: Sjednocení technologií
PK23
Sjednotit technologie Technologické strategie.
všechny IS
CK13: Obnova ICT
PK24
Pokračovat v pravidelné obnově HW.
CK09: Interoperabilita
CK10: Řízení dokumentace
CK11: Řízení dodavatelů
na
dodavatelů,
pro
základě
stanovené
hardware
Tabulka č. 10: Požadavky na kvalitu informačních systémů.
5.5 Plán řízení kvality informačních systémů 5.5.1 Činnosti v oblasti řízení kvality V oblasti řízení kvality informačních systémů budou v rámci krajského úřadu vykonávány činnosti dle základního cyklu systému řízení kvality informačních systémů (plánuj – dělej – kontroluj – jednej): Stanovení cílů kvality:
provádí vedoucí oddělení informatiky;
21/54
vedoucí oddělení informatiky vymezí obecné cíle kvality, popíše je, přidělí jim příslušné atributy včetně požadovaného termínu naplnění a sestaví katalog cílů kvality;
cíle kvality jsou součástí informační koncepce, tzn. mohou se měnit při změně verze.
Stanovení požadavků na kvalitu:
vedoucí oddělení informatiky předá cíle kvality jednotlivým správcům IS;
správci IS pro každý cíl buď konstatují, že jejich IS již cíl splňuje, nebo sestaví požadavky, jejichž postupným splněním bude tento cíl naplněn;
u požadavků si správci IS stanoví dílčí termíny takové, aby byl splněn termín požadovaného naplnění cíle;
vedoucí oddělení informatiky požadavky sesbírá a vytvoří katalog požadavků na kvalitu, který se stává součástí informační koncepce.
Implementace požadavků na kvalitu:
provádí dodavatel nebo správce IS v závislosti na způsobu budování resp. údržby IS;
zodpovídá na jedné straně správce IS, na druhé straně vedoucí projektu;
podklady čerpá z informační koncepce - platné verze;
vychází z požadavků na kvalitu a časového harmonogramu jejich naplnění;
dokončení implementace požadavku hlásí vedoucí projektu správci IS a ten dále informuje vedoucího oddělení informatiky.
Prověrka dodržování požadavků na kvalitu:
provádí nezávislý pracovník Útvaru interního auditu;
impuls dává vedoucí oddělení informatiky;
prověřuje se buď konkrétní implementace požadavku na konkrétním IS, nebo konkrétní požadavek na všech relevantních IS nebo všechny požadavky na vybraném IS;
z prověření se vytváří zápis, který obdrží vedoucí oddělení informatiky a správce IS.
Vyhodnocení řízení kvality:
provádí vedoucí oddělení informatiky;
provádí se minimálně jednou za rok;
součástí je vyhodnocení závěrů z provedených prověrek dodržování požadavků na kvalitu;
provede se též revize dlouhodobých cílů kvality a jejich aktualizace;
vyřadí se implementované a prověřené požadavky na kvalitu a vytvoří se nové;
vyhodnocení může být podnětem k vydání nové verze informační koncepce.
22/54
5.5.2 Časové harmonogramy plnění cílů kvality a požadavků na kvalitu Šedou barvou jsou zvýrazněny cíle kvality a požadavky na kvalitu, které ke dni platnosti nové verze informační koncepce (2.0) již měly být splněny, bez zvýraznění jsou cíle a požadavky, jejichž plnění je průběžné a cíle a požadavky, jejichž splnění se očekává. Protokol o auditním testu č. 6, jež je přílohou č. 4 této informační koncepce, obsahuje podrobné závěry z praktického ověření skutečného stavu naplnění cílů kvality a požadavků na kvalitu informačních systémů. Plánované naplnění
Označení cíle
Název cíle
průběžně
CK01
Integrita
31. 12. 2011
CK02
Aktualizace
31. 12. 2013
CK03
Správnost
průběžně
CK04
Kompletnost dat
31. 12. 2010
CK05
Odpovědnost
31. 12. 2013
CK06
Funkčnost
31. 12. 2012
CK07
Efektivnost
31. 12. 2012
CK08
Dostupnost
31. 12. 2010
CK09
Interoperabilita
31. 7. 2010
CK10
Řízení dokumentace
průběžně
CK11
Řízení dodavatelů
31. 12. 2013
CK12
Sjednocení technologií
průběžně
CK13
Obnova ICT
Tabulka č. 11: Harmonogram plnění cílů kvality.
Plánované naplnění
Označení požadavku
Popis požadavků na kvalitu
průběžně
PK01
Rozšíření kontrol integrity a promítnutí problémových oblastí do plánu rozvoje.
průběžně
PK02
Podporovat převedení nestrukturovaných dat na strukturované.
průběžně
PK03
Vytvořit metadata k datům, službám a dokumentacím.
31. 12. 2010
PK04
Zavést organizační opatření pro zajištění včasné aktualizace dat.
31. 12. 2011
PK05
Doplnit konkrétní požadavky na výměnu dat pro konkrétní systémy.
23/54
31. 12. 2013
PK06
Zajistit implementace kontrol identifikace subjektů/osob, adres a nemovitostí.
31. 12. 2013
PK07
Zajistit implementaci kontrol obsahu dat (např. kontrola správnosti rodného čísla, identifikačního čísla, správnost položek typu datum a čas apod.).
průběžně
PK08
Maximalizovat množství informací a dokumentů, zpracovávaných elektronicky v digitální, strukturované formě.
31. 12. 2010
PK09
Zajistit historizaci záznamů, tzn. zavést mechanismus zaznamenávání historie změn záznamů a zajistit možnost sledovat postupné změny záznamu v čase a provádět časové řezy.
31. 7. 2010
PK10
Zavést auditovatelnost záznamů ve smyslu identifikace vlastníka každé provedené změny v záznamech.
31. 12. 2013
PK11
Vytvořit cílovou architekturu.
31. 12. 2012
PK12
Zavést standardy IT Governance do vnitřních procesů ICT.
31. 12. 2010
PK13
Rozvinout webové stránky směrem k elektronizaci agend jako alternativního přístupu.
průběžně
PK15
Dále rozvíjet sdílení dat na bázi webových služeb.
31. 12. 2010
PK16
Zavést jednotný způsob autorizace a autentizace.
31. 12. 2009
PK17
Zajistit dostupnost uživatelské dokumentace.
průběžně
PK18
Rozšířit návody řešící typické postupy práce s IS.
průběžně
PK19
Zavést dlouhodobé hodnocení dodavatelů, monitorování kvality dodávek.
31. 12. 2010
PK20
Vytvořit standardizované šablony pro smlouvy s dodavateli ICT komodit a služeb.
31. 12. 2010
PK21
Přenést parametry ze SLA na dodavatele, kteří dané SLA mohou ovlivnit, včetně patřičných sankcí.
průběžně
PK22
Rozvíjet projektové řízení při dodávce ICT služeb.
31. 12. 2013
PK23
Sjednotit technologie na základě stanovené Technologické strategie.
průběžně
PK24
Pokračovat v pravidelné obnově HW.
Tabulka č. 12: Harmonogram plnění požadavků na kvalitu.
24/54
6
Řízení bezpečnosti informačních systémů
6.1 Systém řízení bezpečnosti informačních systémů Pro řízení bezpečnosti informačních systémů kraje je aplikován přístup dle mezinárodních norem a standardů pro oblast řízení informační bezpečnosti, a to konkrétně dle ČSN ISO/IEC 27001 Systém řízení bezpečnosti systémů – požadavky, ISO/IEC 27002 Soubor postupů pro řízení informační bezpečnosti a ČSN ISO/IEC TR 13335 Směrnice pro řízení bezpečnosti IT. Systém řízení bezpečnosti informačních systémů, resp. informační bezpečnosti (ISMS – information security management system), přijímá požadavky a očekávání zainteresovaných stran na bezpečnost informačních systémů a pomocí nezbytných činností a procesů vytváří řízenou bezpečnost, která splňuje tyto požadavky a očekávání. Základní cyklus systému řízení bezpečnosti informačních systémů:
Plánuj – plánování v oblasti řízení bezpečnosti informačních systémů.
Dělej – realizace požadavků na bezpečnost informačních systémů.
Kontroluj - ověřování splnění požadavků na bezpečnost informačních systémů.
Jednej – vyhodnocení požadavků na bezpečnost informačních systémů.
Obrázek č. 2: Cyklus systému řízení bezpečnosti informačních systémů
6.2 Bezpečnost informačních systémů Bezpečností informačních systémů se rozumí především:
Bezpečnost zpracovávaných dat.
Bezpečnost poskytovaných služeb.
Bezpečnost používaných technologických a programových prostředků.
25/54
6.2.1 Bezpečnost zpracovávaných dat - atributy Základní atributy bezpečnosti zpracovávaných dat:
Dostupnost dat - data v IS jsou k dispozici vždy, když jsou oprávněně autorizovaným uživatelem vyžadována.
Důvěrnost dat - data v IS jsou chráněna před neautorizovaným přístupem, rozšiřováním, modifikací a před ztrátou či zničením dle principu identifikace, autentizace a autorizace uživatele.
Integrita dat - data v IS jsou autentická, přesná a úplná.
Základní atributy bezpečnosti zpracovávaných dat se zprostředkovaně vztahují i na poskytované služby a používané technologické a programové prostředky.
6.3 Dlouhodobé cíle v oblasti řízení bezpečnosti informačních systémů Dlouhodobé cíle v oblasti řízení bezpečnosti informačních systémů byly stanoveny v následujících třech oblastech:
zajištění bezpečnosti dat, která jsou v IS zpracovávána,
zajištění bezpečnosti služeb, které jsou prostřednictvím IS poskytovány,
zajištění bezpečnosti technických a programových prostředků.
Dlouhodobé cíle v oblasti řízení bezpečnosti IS jsou uvedeny v následující tabulce, a to v členění do výše uvedených oblastí. Uvedené cíle jsou stanoveny tak, aby byla zajištěna bezpečnost zpracovávaných informací a poskytovaných služeb, tj. aby byla zajištěna jejich dostupnost, důvěrnost a integrita. Oblast bezpečnosti
Oblast bezpečnosti dle ISO/IEC 27002
Označení cíle
Popis cíle
Zajištění bezpečnosti dat
Organizační bezpečnost
CB01
Stanovit odpovědnost za činnost uživatelů v ISVS.
Zajištění bezpečnosti dat
Klasifikace a řízení aktiv
CB02
Zajistit důvěrnost a integritu dat uchovávaných a zpracovávaných v ISVS.
Zajištění bezpečnosti dat, technických a programových prostředků
Personální bezpečnost
CB03
Snížit rizika vyplývající z lidských chyb, krádeže a podvodu nebo zneužití zařízení.
Zajištění bezpečnosti dat, služeb, technických a programových prostředků
Fyzická bezpečnost a bezpečnosti prostředí
CB04
Zabránit neautorizovanému přístupu či poškození aktiv IS.
26/54
Oblast bezpečnosti
Oblast bezpečnosti dle ISO/IEC 27002
Označení cíle
Popis cíle
Zajištění bezpečnosti dat, služeb, technických a programových prostředků
Řízení komunikací a provozu.
CB05
Zajistit řízení procesů při nasazování IS a prostředků IS/ICT, prevence a detekce škodlivého SW a počítačových virů.
Zajištění bezpečnosti dat a služeb
Řízení přístupu
CB06
Zajistit bezpečný a oprávněného přístup k požadovaným informacím a službám IS.
Zajištění bezpečnosti dat a služeb
Řízení bezpečnostních incidentů
CB07
Zavést řízení bezpečnostních incidentů.
Zajištění bezpečnosti dat a služeb
Řízení zachování kontinuity činností
CB08
Stanovit potřebnou dostupnost informací a služeb a zajistit kontinuitu činností včetně havarijního plánování.
Zajištění bezpečnosti dat a služeb, technických a programových prostředků
Řízení shody
CB09
Zajistit dodržování všech zákonných požadavků, norem a předpisů.
Bezpečnost IS obecně
Bezpečnostní politika ICT (kontrola a hodnocení)
CB10
Řídit informační rizika s cílem implementovat efektivní opatření na jejich zvládání, provádění auditů a vyhodnocování auditních záznamů.
Tabulka č. 13: Dlouhodobé cíle v oblasti řízení bezpečnosti IS
6.4 Požadavky na bezpečnost informačních systémů Požadavky na bezpečnost IS vznikly konkretizací výše stanovených cílů řízení bezpečnosti, a to pro jednotlivé informační systémy resp. záměry na vybudování nových IS, nebo jejich skupiny, případně pro všechny IS nebo záměry na jejich vybudování. Souhrn požadavků včetně vazeb na cíl, který naplňují, a vazeb na IS, pro které platí, je uveden v následující tabulce. Cíl bezpečnosti
Označení požadavku
Popis požadavku
Platí pro
CB01
PB01
Definice struktury řízení informační bezpečnosti, stanovení rolí a odpovědností, povinností a pravomocí.
všechny IS
27/54
Cíl bezpečnosti
Označení požadavku
Popis požadavku
Platí pro
CB02
PB02
Stanovení odpovídající klasifikace dat dle stupně důvěrnosti a pravidel ochrany klasifikovaných dat.
všechny IS
CB03
PB03
Stanovení odpovědnosti za bezpečnost.
všechny IS
PB04
Zavedení systému pravidelného vzdělávání uživatelů v oblasti informační bezpečnosti.
všechny IS
CB04
PB05
Zajištění ochrany informací technologickými, organizačními a fyzickými prostředky.
všechny IS
CB05
PB06
Zabezpečení komunikace uvnitř i vně úřadu.
všechny IS
PB07
Zajištění používání pouze schváleného licencovaného SW (licenční politika),
a
všechny IS
PB08
Pořizování systémových záznamů (logů), zápisů o opravách a zásazích a stanovení nezbytné doby jejich uchování a místa jejich uložení.
všechny IS
CB06
PB09
Provádění všech činností tak, aby nemohlo dojít k úniku, neoprávněnému přístupu k informacím nebo k narušení integrity HW nebo SW vybavení a jinému ohrožení.
všechny IS
CB07
PB10
Stanovení postupů pro hlášení bezpečnostních incidentů uživateli včetně jejich evidence a následného vyhodnocení.
všechny IS
CB08
PB11
Řešení krizových situací na základě definovaných rizik, stanovených dopadů a krizových scénářů (požár, záplavy, výpadek proudu, porucha HW nebo selhání SW, přírodní katastrofa, úmyslný zásah, atd.).
všechny IS
PB12
Aktualizace Havarijního plánu ICT.
všechny IS
CB09
PB13
Identifikace požadavků relevantní legislativy.
všechny IS
CB10
PB14
Provádění pravidelného auditu informační bezpečnosti
všechny IS
PB15
Provedení analýzy rizik IS.
všechny IS
HW
Tabulka č. 14: Požadavky na bezpečnost informačních systémů.
28/54
6.5 Plán řízení bezpečnosti informačních systémů 6.5.1 Činnosti v oblasti řízení bezpečnosti V oblasti řízení bezpečnosti informačních systémů budou v rámci krajského úřadu vykonávány činnosti dle základního cyklu systému řízení bezpečnosti informačních systémů (plánuj – dělej – kontroluj – jednej): Stanovení cílů bezpečnosti:
provádí bezpečnostní správce ICT;
cíle bezpečnosti jsou stanoveny na základě výsledků analýzy rizik;
cíle bezpečnosti jsou detailně rozpracovány v Bezpečnostní politice ICT.
Stanovení požadavků na bezpečnost:
na základě cílu bezpečnosti stanoví bezpečnostní správce ICT požadavky na bezpečnost, jež povedou k naplnění cíle, a předá je vedoucímu Oddělení informatiky odpovědnému za rozvoj IS,
jednotlivé požadavky na bezpečnosti jsou pak zapracovány do Plánu bezpečnosti spolu se stanovením termínu plnění.
Implementace požadavků na bezpečnost:
jednotlivé požadavky na bezpečnostních opatření;
odpovědnost za implementaci požadavků na bezpečnost, spolu se způsobem jejich implementace je definována v Plánu bezpečnosti;
za Plán bezpečnosti odpovídá bezpečnostní správce ICT;
dokončení implementace požadavku hlásí bezpečnostní správce ICT pracovníkovi zodpovědnému za naplňování IK.
bezpečnost
mohou
být
implementovány
prostřednictvím
několika
Prověrka dodržování požadavků na bezpečnost:
provádí ji Útvar interního auditu nebo externí organizace,
impuls dává pracovník zodpovědný za naplňování IK nebo bezpečnostní správce ICT,
prověřuje se konkrétní implementace jednoho nebo více požadavků na IS KÚZK,
z prověření se vytváří zápis, který obdrží pracovník odpovědný za naplnění IK a bezpečnostní správce ICT.
Vyhodnocení řízení bezpečnosti:
způsob kontroly a hodnocení řízení bezpečnosti je definován v Bezpečnostní politice ICT;
na základě vyhodnocení řízení bezpečnosti provede bezpečnostní správce ICT též revizi dlouhodobých cílů bezpečnosti a jejich aktualizaci,
vyřadí se implementované a prověřené požadavky na bezpečnost a vytvoří se nové,
vyhodnocení může být podnětem k vydání nové verze IK.
29/54
6.5.2 Časové harmonogramy plnění cílů bezpečnosti a požadavků na bezpečnost Šedou barvou jsou zvýrazněny cíle bezpečnosti a požadavky na bezpečnost, které ke dni platnosti nové verze informační koncepce (2.0) již měly být splněny, bez zvýraznění jsou cíle a požadavky, jejichž plnění je průběžné a cíle a požadavky, jejichž splnění se očekává. Protokol o auditním testu č. 6, jež je přílohou č. 4 této informační koncepce, obsahuje podrobné závěry z praktického ověření skutečného stavu naplnění cílů bezpečnosti a požadavků na bezpečnost informačních systémů. Plánované naplnění
Označení cíle
Název cíle bezpečnosti
31. 1. 2009
CB01
Stanovit odpovědnost za činnost uživatelů v IS.
Průběžně
CB02
Zajistit důvěrnost a integritu dat uchovávaných a zpracovávaných v IS.
Průběžně
CB03
Snížit rizika vyplývající z lidských chyb, krádeže a podvodu nebo zneužití zařízení.
Průběžně
CB04
Zabránit neautorizovanému přístupu či poškození aktiv IS.
Průběžně
CB05
Zajistit řízení procesů při nasazování IS a prostředků IS/ICT, prevence a detekce škodlivého SW a počítačových virů
Průběžně
CB06
Zajistit bezpečný a oprávněného přístup k požadovaným informacím a službám IS.
31. 12. 2008
CB07
Zavést řízení bezpečnostních incidentů.
31. 12. 2009
CB08
Stanovit potřebnou dostupnost informací a služeb a zajistit kontinuitu činností včetně havarijního plánování.
Průběžně
CB09
Zajistit dodržování všech zákonných požadavků, norem a předpisů.
Průběžně
CB10
Řídit informační rizika s cílem implementovat efektivní opatření na jejich zvládání, provádění auditů a vyhodnocování auditních záznamů.
Tabulka č. 15: Harmonogram plnění cílů bezpečnosti.
Plánované naplnění
Označení požadavku
Popis požadavku na bezpečnost
10/2008
PB01
Definice struktury řízení informační bezpečnosti, stanovení rolí a odpovědností, povinností a pravomocí.
2/2009
PB02
Stanovení odpovídající klasifikace dat dle stupně důvěrnosti a pravidel ochrany klasifikovaných dat.
Průběžně
PB03
Stanovení odpovědnosti za bezpečnost.
30/54
2/2009
PB04
Zavedení systému pravidelného vzdělávání uživatelů v oblasti informační bezpečnosti.
průběžně
PB05
Zajištění ochrany informací technologickými, organizačními a fyzickými prostředky.
průběžně
PB06
Zabezpečení komunikace uvnitř i vně úřadu.
6/2010
PB07
Zajištění používání pouze schváleného HW a licencovaného SW (licenční politika),
5/2009
PB08
Pořizování systémových záznamů (logů), zápisů o opravách a zásazích a stanovení nezbytné doby jejich uchování a místa jejich uložení.
průběžně
PB09
Provádění všech činností tak, aby nemohlo dojít k úniku, neoprávněnému přístupu k informacím nebo k narušení integrity HW nebo SW vybavení a jinému ohrožení.
12/2008
PB10
Stanovení postupů pro hlášení bezpečnostních incidentů uživateli včetně jejich evidence a následného vyhodnocení.
12/2009
PB11
Řešení krizových situací na základě definovaných rizik, stanovených dopadů a krizových scénářů (požár, záplavy, výpadek proudu, porucha HW nebo selhání SW, přírodní katastrofa, úmyslný zásah, atd.).
průběžně
PB12
Aktualizace Havarijního plánu ICT.
průběžně
PB13
Identifikace požadavků relevantní legislativy.
ročně
PB14
Provádění pravidelného auditu informační bezpečnosti.
6/2012
PB15
Provedení další analýzy rizik IS.
Tabulka č. 16: Harmonogram plnění požadavků na bezpečnost.
31/54
7
Správa informačních systémů
7.1 Životní cyklus informačního systému Fáze životního cyklu informačního systému:
fáze přípravy - shromáždění a posouzení požadavků, formulace zadání IS,
fáze pořízení/vývoje – pořízení/tvorba, přizpůsobení zákaznickým požadavkům - customizace, testování, instalace, implementace,
fáze provozu a údržby,
fáze ukončení provozu.
Fáze životního cyklu IS
Zásady správy IS Sběr podnětů k novému IS
1. Příprava
Zpracování záměru pořízení IS dodavatelským způsobem Zpracování záměru vytvoření (vývoje) IS vlastními zdroji Pořízení IS dodavatelským způsobem
2. Pořízení/Vývoj (vytvoření)
Vývoj (vytvoření) IS vlastními zdroji Instalace a testování IS Příprava nasazení IS do rutinního provozu Nasazení IS do rutinního provozu
3. Provoz a údržba
Zajištění provozu a údržby IS Řízení změn IS
4. Ukončení provozu a činnosti
Ukončení provozu IS Ukončení činnosti IS
Tabulka č. 17: Zásady správy informačního systému dle jednotlivých fází životního cyklu. Základní role správy informačního systému:
systémový správce – technický správce informačního systému,
bezpečnostní správce – správce bezpečnosti informačního systému,
klíčový uživatel – odborný garant informačního systému.
32/54
7.2 Příprava informačního systému 7.2.1 Sběr podbětů k novému informačnímu systému Podnětem k novému informačnímu systému mohou být:
mise, poslání, strategické cíle kraje,
novely právních předpisů či nově vzniklé legislativní předpisy (zákony, vyhlášky, nařízení),
místní legislativní předpisy (např. vyhlášky), interní směrnice a nařízení,
požadavky uživatelů IS reprezentované klíčovým uživatelem,
podněty správců IS (změny topologie počítačové sítě, změna HW a SW platformy, ztráta dat a jiné havárie, atp.),
další jiné podněty (např. podněty vzešlé z porad, analýza chybových hlášení, aj.).
Základní realizované postupy:
shromáždění podnětů a požadavků z různých míst a od různých subjektů u systémového správce,
posouzení došlých požadavků a jejich prvotní eliminace - schválení nebo zamítnutí,
předání požadavků ke schválení vedoucím orgánům kraje.
7.2.2 Zpracování záměru pořízení informačního systému dodavatelským způsobem Krajský úřad Zlínského kraje v případě potřeby nového informačního systému řeší jeho budování formou pořízení od externího dodavatele. Před zahájením pořízení nového IS musí být vypracován záměr nového IS. Tento záměr je specifikován jako požadavek v Helpdesku, u rozsáhlejších a významnějších informačních systémů je záměr rozpracován v Plánu rozvoje IS. V kompetenci vedoucího oddělení informatiky je rozhodnutí o nutnosti zpracování záměru do Plánu rozvoje IS, a to především na základě rozsahu předpokládaných dopadů, očekávané finanční náročnosti a délky a složitosti implementace. V případě ISVS je vždy zpracován záměr do Plánu rozvoje IS. Každý záměr na pořízení nebo vytvoření IS bude popsán v Helpdesku jako „požadavek na software“ ve struktuře:
definování potřeby IS, analýza zdrojů pro jeho pořízení, očekávaná finanční náročnost (v případě potřeby též analýza časové dostupnosti zdrojů apod.),
analýza výchozího stavu (též s ohledem na možnost využití služeb nebo zdrojů jiných IS),
stanovení požadovaného cílového stavu IS (vyplývající z definice potřeby IS),
stanovení požadavků na kvalitu a bezpečnost IS (vyplývající z dlouhodobých cílů a obecných požadavků),
analýza důsledků, které pořízení IS může vyvolat (např. dopad na procesy, činnost úřadu, organizační opatření apod.),
33/54
definice požadavků na dokumentaci IS, požadavky na oprávnění nezbytná pro provádění údržby a změn v IS, a to v závislosti na tom, zda bude údržbu a změny systémový či bezpečnostní správce IS provádět vlastními silami, nebo bude údržbu a změny provádět taktéž dodavatel,
požadavky na projektové řízení u dodavatele, přičemž je možné ponechat výběr metody na dodavateli; doporučuje se vycházet z obecně uznávaných českých norem v této oblasti (např. ČSN ISO/IEC 15288 Systémové inženýrství - Procesy životního cyklu systému),
požadavky na testování IS a podmínky akceptace.
Záměr rozsáhlého a významného IS je v Plánu rozvoje IS popsán formou projektového listu s následující strukturou: Název projektového záměru
název projektu, programu nebo organizačního opatření
Kód projektu
P_IST_NN (projekt) G_IST_NN (org. opatření) R_IST_NN (program)
Sponzor
hlavní propagátor projektu (politik)
Garant projektu
garant (nositel) projektu v rámci úřadu (většinou odbor)
Druh projektu
vývoj / provoz a údržba / kombinovaný
Priorita
1 – nutný projekt pro naplnění cíle 2 – silně doporučený projekt pro naplění cíle 3 – doporučený projekt pro naplnění cíle 4 – podpůrný projekt
Důvody projektu
pro
vznik
důvody pro vznik projektu - definování potřeby
Informace o podkladu pro vznik projektu
informace o podkladu
Analýza stavu
analýza výchozího stavu včetně zvážení možností využití existujících IS nebo jejich částí
výchozího
Cíle projektu
cíle projektu, programu nebo organizačního opatření
Související projekty
související projekty kód-název
Podmiňující projekty
podmiňující projekty kód-název
Opatření, které jsou projektem naplňována
opatření, které jsou projektem/programem/org. opatřením naplňována kód-název
Cíle, které jsou projektem naplňovány
cíle, které jsou projektem/programem/org. opatřením naplňována kód-název
Předmět projektu
základní vymezení předmětu projektu
(základní vymezení předmětu projektu) Hlavní
výstupy
indikátor dosažení cíle
míra
cíle
prostředky k ověření
34/54
projektu
(jednotka)
specifikace
indikátor
ano/ne
Časový harmonogram projektu
časový harmonogram
Předpokládaná spotřeba zdrojů na PŘÍPRAVU PROJEKTU
Varianta A - realizace kapacitami (počet úvazků)
vlastními
prostředek
Varianta B - realizace dodavatelsky Interní kapacity
externí náklady (tis. Kč)
počet úvazků
počet úvazků
tis. Kč
Předpokládaná spotřeba zdrojů na REALIZACI PROJEKTU
Interní náklady - spotřeba lidských zdrojů (počet úvazků)
Externí náklady - spotřeba finančních zdrojů (tis. Kč)
počet úvazků
tis. Kč
Předpokládané provozní náklady za rok
počet úvazků
tis. Kč
Doba udržitelnosti projektu
Roky
Přepokládané financování
Vlastní zdroje financování
zdroje
Možné cizí zdroje financování
(tis. Kč) tis. Kč
Předpokládaný PŘÍNOS PROJEKTU
Finanční přínos
Stanovení na kvalitu
vyplývají z dlouhodobých cílů řízení kvality
požadavků
Stanovení požadavků na bezpečnost Analýza důsledků
operační programy
Jiný přínos
Finanční přínos je odhadován na základě aktuálně dostupných informací, jeho výše je u konkrétních projektů závislá na rozsahu a kvalitě realizačního projektu. U projektů, které směřují vně úřadu, přínosy znamenají zkvalitnění služby, zlepšení kvality života – v takovém případě jsou přínosy finančně nevyčíslitelné.
vyplývají z dlouhodobých cílů řízení bezpečnosti
dopady na procesy a činnost orgánu veřejné správy,
nutná organizační opatření,
personální dopady apod.
Tabulka č. 18: Struktura pasportního listu projektového záměru. Pro každý pořizovaný nebo aktualizovaný IS určí vedoucí oddělení informatiky pracovníka oddělení informatiky, zodpovědného za dodávku tohoto IS (dále odpovědný pracovník oddělení informatiky). Není-li stanoveno jinak, je odpovědný pracovník oddělení informatiky totožný se správcem IS (v případě nového IS budoucím správcem IS). Výjimku z tohoto pravidla stanoví vedoucí oddělení informatiky.
35/54
Pořízení nového informačního systému dodavatelským způsobem je nad určitou finanční hranici realizováno formou veřejné soutěže dle zákona č. 137/2006 Sb., o veřejných zakázkách. Základní realizované postupy při zadávání veřejných zakázek:
vypracování a schválení záměru a zadání IS,
předání poptávky (zadávací dokumentace) řešitelům (uchazečům, dodavatelům) k vypracování návrhu na řešení,
vypracování nabídek řešiteli (mj. analýza problematiky včetně dopadů na informační a komunikační infrastrukturu, cenová kalkulace, návrh smluvního ujednání, návrh řešení ochrany autorských práv),
posouzení předložených nabídek a předání vzešlých připomínek a námětů k jejich doplnění,
finální posouzení předložených nabídek,
předložení smluvního ujednání ke schválení (u malých zakázek do určité finanční výše je možno smluvní ujednání vynechat a nahradit objednávkou).
Zadávací dokumentace k vypracování návrhu na řešení a pro výběr nejvhodnějšího řešení musí být min. v rozsahu:
funkční specifikace;
rozsah analýzy a Koncepce nasazení;
požadavky na provozní dokumentaci IS;
požadavky na projektové řízení u dodavatele;
požadavky na kvalitu, vyplývající z dlouhodobých cílů řízení kvality;
požadavky na bezpečnost, vyplývající z dlouhodobých cílů řízení bezpečnosti;
požadavky na testování;
podmínky akceptace.
Odpovědný pracovník oddělení informatiky je zodpovědný za to, že zadávací dokumentace bude zpracována v dále uvedené kvalitě a rozsahu. Na tomto úkolu úzce spolupracuje především s odborným garantem IS. Zadávací dokumentaci schvaluje vedoucí oddělení informatiky. Funkční specifikace: Funkční specifikace musí obsahovat minimálně požadavky na:
funkcionalitu IS, požadavky na jeho jednotlivé funkce;
integraci s ostatními částmi IS;
vstupní a výstupní data;
legislativní požadavky;
technologické požadavky;
ostatní uživatelské požadavky.
Rozsah analýzy a Koncepce nasazení: V případě, že rozsah nebo složitost pořizovaného IS znemožňuje detailní popis zadání před vyhlášením veřejné zakázky, může být Zadávací dokumentace zpracována pouze v omezené míře podrobnosti. Povinnou požadovanou součástí dodávky pak musí být provedení analýzy a na jejím základě zpracování dokumentu Koncepce nasazení, která bude odsouhlasena před zahájením vlastní implementace IS a která upřesní chybějící části zadání. Rozhodnutí o potřebě provedení analýzy a zpracování Koncepce nasazení je v kompetenci vedoucího oddělení informatiky.
36/54
Požadavky na provozní dokumentaci IS: Odpovědný pracovník oddělení informatiky zodpovídá za to, že součástí dodávky bude kompletní provozní dokumentace v souladu s požadavky vyhlášky č. 529/2006 Sb., o dlouhodobém řízení ISVS:
bezpečnostní směrnice pro bezpečnostního správce,
systémová příručka pro systémového správce,
uživatelská příručka pro uživatele systému.
Požadavky na projektové řízení u dodavatele: Implementační projekty budou řízeny prostřednictvím projektového řízení. Uchazeč v rámci své nabídky musí jasně specifikovat projektovou strukturu a metodiku, podle které budou projekty řízeny. Požadavky na kvalitu: Požadavky na kvalitu vyplývají z dlouhodobých cílů řízení kvality. Požadavky na bezpečnost: Požadavky na bezpečnost vyplývají z dlouhodobých cílů řízení bezpečnosti. Požadavky na testování: Požadavky na testování budou vycházet z rozsahu systému, počtu poskytovaných služeb apod. Požadavky budou buď součástí Zadávací dokumentace, nebo součástí Koncepce nasazení. Z testování musí být vypracován protokol z testování, který je podkladem pro akceptaci. Podmínky akceptace: Součástí akceptace je kontrola shody implementované funkcionality se stanovenými akceptačními kritérii, které budou buď součástí Zadávací dokumentace, nebo součástí Koncepce nasazení. Výsledkem akceptace musí být akceptační protokol, obsahující výsledek akceptace a případný výčet připomínek s termínem jejich odstranění.
7.3 Pořízení informačního systému 7.3.1 Pořízení informačního systému dodavatelským způsobem Základní realizované postupy:
principy a postupy projektového řízení,
customizace (úprava hotového IS, např. typového dodavatelského řešení, a jeho přizpůsobení požadavkům a zvyklostem kraje) a implementace IS (proces přizpůsobení IS konkrétní informační a komunikační infrastruktuře) za součinnosti systémového správce,
testování IS, které prokazuje, že IS vyhovuje požadovaným specifikacím a je připraven pro použití v daném prostředí (u dodávaného IS v rozsahu a způsobem stanoveným ve smlouvě),
vyžádání dodavatelské provozní dokumentace (především bezpečnostní směrnice pro bezpečnostního správce, systémové příručky pro systémového správce a uživatelské příručky pro uživatele IS),
převzetí provozní a instalační dokumentace od dodavatele IS (uživatelské příručky musí obsahovat i popis bezpečnostních funkcí IS),
37/54
prověření obsahu provozní dokumentace na vyhláškou předepsané součásti je součástí akceptační procedury; za toto vyhodnocení zodpovídá pracovník oddělení informatiky, který zodpovídá za dodávku IS (odpovědný pracovník oddělení informatiky) a správce IS; výsledek vyhodnocení je uveden v akceptačním protokolu, kde případné neshody budou uvedeny jako připomínky z akceptace s dohodnutým termínem odstranění,
akceptační řízení - vyhodnocení splnění akceptačních kritérií (akceptování je možné v jednotlivých etapách dílčího plnění),
akceptace a převzetí IS systémovým a bezpečnostním správcem a klíčovým uživatelem oproti podpisu akceptačního a předávacího protokolu,
akceptace je odmítnuta v případě, že předávaná část díla vykazuje na základě vyhodnocení akceptačních kritérií natolik vážné vady, že nemůže sloužit svému účelu vůbec nebo s výraznými omezeními,
v případě méně vážných vad se použije akceptace s výhradami (postup při jejich odstranění se stanoví na základě vzájemné dohody).
7.3.2 Instalace a testování informačního systému Základní realizované postupy:
pilotní instalace a konfigurace IS,
školení uživatelů - za jeho přípravu a průběh je odpovědný systémový správce, v oblasti bezpečnosti bezpečnostní správce a v oblasti uživatelské klíčový uživatel; uživatelé jsou prokazatelně seznámeni se svými povinnostmi zakotvenými v provozní dokumentaci (tato činnost se opakuje při každé relevantní změně provozní dokumentace),
testování požadovaných funkcí a zátěžových vlastností IS (případně akceptační řízení) - o obsahu a rozsahu testování rozhoduje systémový správce, potřebnou součinnost mu poskytuje bezpečnostní správce,
kompletace požadavků z testování, případně z pilotního provozu.
7.3.3 Příprava nasazení informačního systému do rutinního provozu Základní realizované postupy:
kompletace prerekvizit instalace IS a požadavků na infrastrukturu (prerekvizita instalace IS - konkrétní podmínka, která je kladena na infrastrukturu nebo zdroje za účelem jejich přípravy, zajištění a ověření ještě před zahájením instalace z důvodu minimalizace rizika selhání instalačního procesu kvůli nedostatečné připravenosti některé z komponent infrastruktury nebo včasného nezajištění zdrojů nezbytných k provedení instalace),
sestavení detailního harmonogramu nasazení IS do rutinního provozu,
příprava infrastruktury v cílovém prostředí,
finalizace a akceptace provozní a instalační dokumentace,
akceptace harmonogramu, postupů a nástrojů pro finální migraci dat do rutinního prostředí,
implementace požadavků vzešlých z výsledků pilotního běhu,
38/54
změny metodických pokynů vyvolané novým IS,
aktualizace uživatelských příruček a pokynů pro uživatele IS, školení uživatelů.
7.4 Provoz a údržba informačního systému 7.4.1 Nasazení informačního systému do rutinního provozu Základní realizované postupy:
provoz IS – programově řízené procesy, jejichž cílem je získávání informací a jejich převod do datové podoby; ukládání, shromažďování, vyhodnocování a poskytování informací prostřednictvím provozovaného IS,
nasazení konkrétní verze IS do rutinního provozu/prostředí ve formě dané standardem Release Managementu podle stanoveného harmonogramu a za podpory dodavatele/tvůrců IS,
ostrá migrace dat,
nasazování IS do rutinního provozu a jeho akceptování je sepsán protokol, který je archivován po celou dobu životního cyklu ISVS,
vystavení informací o nasazení IS, vystavení uživatelských příruček a pokynů pro uživatele na intranetu či jinou všem uživatelům přístupnou formou.
7.4.2 Zajištění provozu a údržby informačního systému Základní realizované postupy:
autorský dozor dodavatelů/tvůrců IS do doby stabilizace rutinního provozu IS,
nastavení a změny přístupových práv, včetně nastavení bezpečnostních vlastností přístupných danému uživateli pro zajištění požadavku bezpečnosti provozu a ochrany osobních údajů - provádí bezpečnostní správce na základě schválené žádosti od oprávněných osob; uživatelské, administrátorské i operátorské přístupy schvaluje systémový správce,
aktualizace parametrů a číselníků, modifikace výstupů, provozování dávkových úloh, poskytování statistik, apod., ze strany systémového správce,
uživatelská práce s daty za podpory klíčového uživatele,
zajištění bezpečnostních činností/opatření (zálohování, archivování, skartace, obnova po havárii (včetně přípravy plánů obnovy a testů), administrace bezpečnosti HW a systémového SW (dohled a řešení chybových či nestandardních stavů, administrátorské spouštění úloh), dohled nad databázemi a jejich administrace) bezpečnostním správcem,
běžná údržba, sběr požadavků na další rozvoj, update a upgrade IS, ze strany systémového správce,
údržba a update IS – modifikace IS na základě zjištěných problémů, potřeby zdokonalení nebo adaptace na změnu, sloužící k zajištění bezporuchového provozu; jedná se o drobné opravy systému, které zásadně nemění jeho funkčnost nebo datové rozhraní, a které jsou řešeny v rámci provozních činností/výdajů IS,
39/54
upgrade IS – úpravy, opravy a rozšíření obsahu a rozsahu řešení na základě změny zákonných předpisů, inovace procesů kraje a naléhavých uživatelských požadavků (v rámci investičních výdajů IS),
podpora uživatelů, aktualizace pokynů pro uživatele, doškolování uživatelů.
7.4.3 Řízení změn informačního systému Řízením změn se rozumí zajištění činností, definice rolí a odpovědností při řízení procesů navrhování, schvalování a realizace změn. Za řízení změn IS je odpovědný systémový správce. V souvislosti s řízením změn je třeba stanovit hranice mezi dvěma odlišně spravovanými oblastmi:
údržba IS (údržba a update IS) představuje provádění činností, které vedou k zachování funkcí IS v požadovaném a nezměněném stavu (například opravy chyb, bezpečnostní záplaty apod.),
provádění změn v IS (upgrade IS) zahrnuje kvalitativní změny vždy spojené se změnami funkčnosti nebo datového rozhraní (např. potřeba rozšíření funkcionality, změna datového obsahu, změna datových rozhraní, změna procesů, ve kterých je IS používán, reagování na novelizaci právních předpisů apod.).
Základní realizované postupy:
řízení změn musí být dokumentováno,
definování potřeby změn v IS,
analýza výchozího stavu pro rozvoj IS,
stanovení cílového stavu IS,
stanovení požadavků na kvalitu a bezpečnost vztahujících se k cílovému stavu IS,
návrh transformace z výchozího do cílového stavu IS (může být i více alternativ),
analýza důsledků, které změna může vyvolat (tyto analýzy jsou předpokládány pro každou navrženou alternativu a měly by být součástí podkladů pro rozhodování),
promítnutí změn do provozní dokumentace a jiných dokumentů, kterých se změna dotýká (probíhá ve fázi realizace).
Řízení změn v IS musí být vždy dokumentováno. Konkrétní pravidla pro řízení změn budou upřesněna v provozní dokumentaci každého IS, a to v závislosti na jeho významu a rozsahu. Není-li v provozní dokumentaci stanoveno jinak, zodpovídá za dokumentaci správce daného IS. Při přebírání nové verze IS dohlíží správce IS na zajištění:
aktualizace provozní dokumentace;
proškolení uživatelů IS a správce IS (je-li to nutné);
zálohování a převedení dat;
otestování funkcionality IS a dat;
akceptace.
7.5 Ukončení provozu a činnosti informačního systému Při ukončování provozu a činnosti informačního systému je tento krok naplánován v Pasportu aplikací (Příloha č. 1). Vedoucí oddělení informatiky zodpovídá za aktuálnost Pasportu aplikací. 40/54
7.5.1 Ukončení provozu informačního systému Základní realizované postupy:
stanovení harmonogramu ukončení provozu IS
všichni zúčastnění musí ukončení provozu projednat, naplánovat a rozhodnout mj. o archivaci dat a dokumentace; podnět k ukončení provozu IS dává systémový správce za souhlasu bezpečnostního správce a klíčového uživatele,
zajištění kontinuity služeb likvidovaného IS.
7.5.2 Ukončení činnosti informačního systému Základní realizované postupy:
bezpečné naložení (uložení, archivace) s provozní dokumentací IS,
bezpečné naložení s daty, která ukončovaný IS zpracovává - obvykle se jedná o jednu (či více) z následujících možností:
převedení dat do jiného IS,
zničení dat (více by mělo být součástí skartačního řádu kraje),
uchování dat; zde je nutné definovat celou řadu atributů:
kde budou data uchována (fyzické omezení přístupu, podmínky),
jak budou data uchována (způsob uložení, šifrování, média),
jak bude zajištěna jejich čitelnost (pravidla pro údržbu médií, kontrola čitelnosti či cyklické opakování zálohování),
stanovení odpovědnosti za dostupnost dat.
41/54
8
Financování informačních systémů
Celkový finanční rámec realizace Informační strategie a Informační koncepce Zlínského kraje je specifikován v Plánu rozvoje IS a Plánu financování IS.
8.1 Způsoby financování informačních systémů Financování pořízení informačních systémů, financování naplnění dlouhodobých cílů a financování správy informačních systémů je prováděno v souladu s rozpočtovými pravidly kraje z jeho rozpočtu (z provozních finančních prostředků v souladu se zákonem č. 218/2000 Sb., o rozpočtových pravidlech). V případě možnosti budou využity alternativní zdroje financování, které tvoří především Integrovaný regionální operační program na období 2014-2020.
8.2 Plán financování informačních systémů Plán financování informačních systémů je upřesněním finanční specifikace záměrů a cílů uvedených v informační koncepci na základě konkrétních požadavků a dalších okolností. Vlastní plán není součástí informační koncepce, ale je její přílohou (Příloha č. 3, „Plan_financovani_IS_ Zlinsky_kraj.pdf“). Plán financování IS obsahuje následující části:
financování záměrů na pořízení/vytvoření IS,
financování naplnění dlouhodobých cílů,
financování správy IS.
Plán financování se připravuje 1x ročně v souvislosti s přípravou rozpočtu IT.
42/54
9
Naplňování informační koncepce
Proces dlouhodobého řízení informačních systémů lze demonstrovat na následujícím obrázku: Provozní dokumentace
Aktualizace informační koncepce
Charakteristika všech ISVS
Bezpečnostní dokumentace ISVS
Řízení kvality
Řízení bezpečnosti
Vyhodnocování dodržování Informační koncepce
Systémová příručka
Uživatelská příručka
odstranění nedostatků
Zápis o vyhodnocení
Aktualizace provozní dokumentace
Schválení informační koncepce
Informační koncepce
Pravidla pro správu ISVS
Financování ISVS
Atestace dlouhodobého řízení
Obrázek č. 3: Naplňování informační koncepce. Za naplňování Informační koncepce jsou považovány činnosti, prostřednictvím kterých dojde k:
praktickému naplnění záměrů a dlouhodobých cílů uvedených v informační koncepci,
praktickému naplnění postupů a zásad uvedených v Informační koncepci;
udržování Informační koncepce v aktuálním stavu;
pravidelnému vyhodnocování dodržování Informační koncepce a k realizaci opatření pro odstranění zjištěných nedostatků.
Pro zajištění praktického naplnění Informační koncepce je třeba stanovit osobní odpovědnosti za jednotlivé oblasti, které Informační koncepce řeší. Toto je pro přehlednost provedeno v kap. 10. Dále musí být zajištěna kontrola tohoto naplnění – viz kap. 9.2.
9.1 Postupy při provádění změn Informační koncepce Provádění změn do Informační koncepce lze rozdělit na čtyři činnosti:
včasná detekce změn v oblastech, které se dotýkají Informační koncepce tak, aby byla zajištěna včasná změna Informační koncepce;
vlastní provedení změny v Informační koncepci resp. vydání její nové verze;
schválení změny Informační koncepce resp. její nové verze;
příprava nové Informační koncepce v předstihu před ukončením platnosti té stávající.
43/54
Uvedené činnosti provádí pracovník zodpovědný za plnění a aktualizaci Informační koncepce.
9.1.1 Postup pro zajištění včasné změny Informační koncepce Pro zajištění včasné aktualizace Informační koncepce bude prováděna její revize 1x ročně.
9.1.2 Postup zápisu změny do dokumentu Informační koncepce Změny Informační koncepce budou prováděny formou vydání nové verze. Jednotlivé verze budou číslovány dvěma čísly, oddělenými tečkou:
hlavní číslo verze, které bude odlišovat verze s významnými změnami (např. kompletně přepracované kapitoly, změny zásadních postupů apod.);
vedlejší číslo verze, které bude odlišovat drobnější změny (např. doplnění nového IS, změny v personální oblasti, drobná změna v postupech apod.).
U každé verze se budou sledovat následující atributy:
číselné označení verze;
datum vzniku verze;
datum schválení verze;
datum počátku platnosti verze;
název souboru s elektronickou verzí Informační koncepce;
umístění souboru (na intranetu, sdíleném disku apod.);
verze souboru obsahujícího schválenou podobu dané verze Informační koncepce;
počet stran a počet příloh;
autor verze Informační koncepce, který provedl schválené změny;
osoba, která schválila verzi Informační koncepce.
Každá verze bude obsahovat tabulku změn oproti verzi předchozí. V této tabulce budou pro každou změnu stručně uvedeny následující informace:
popis provedené změny;
odůvodnění změny;
identifikace místa (příp. více míst) dokumentu (minimálně číslem kapitoly), kterého se změna dotkla.
9.1.3 Postup schvalování změny Informační koncepce Verzi je třeba předložit ke schválení minimálně 2 týdny před požadovaným vstupem v platnost. K nové verzi je třeba přiložit všechny dokumenty, na základě nichž byla verze vytvořena, nebo alespoň odkazy na ně. S novou verzí budou po jejím schválení prokazatelně seznámeni všichni pracovníci oddělení informatiky a dále ostatní pracovníci, kteří mají ve vztahu k Informační koncepci definovanou povinnost (přidělenou roli). Změnu Informační koncepce schvaluje osoba stanovená v kap. 10. 44/54
9.1.4 Postup přípravy nové Informační koncepce Pracovník odpovědný za plnění a aktualizaci Informační koncepce připraví 3měsíce před ukončením její platnosti podklady pro rozhodnutí ohledně přípravy nové informační koncepce. Tyto podklady budou obsahovat:
vyhodnocení stávající Informační koncepce a její účinnosti (míru naplnění cílů kvality a cílů bezpečnosti) za dobu od jejího vzniku;
vyhodnocení způsobu vzniku a údržby stávající Informační koncepce a doporučení pro postup tvorby nové Informační koncepce (vlastními silami nebo s využitím externího dodavatele apod.);
další podklady dle uvážení tohoto pracovníka.
Novou Informační koncepci schvaluje osoba stanovená v kap. 10.
9.2 Postupy při vyhodnocování dodržování Informační koncepce Vyhodnocování dodržování Informační koncepce je základním kontrolním mechanizmem, zajišťujícím zpětnou vazbu. Vyhodnocování musí vždy provádět jiný pracovník než ten, který je odpovědný za plnění a aktualizaci Informační koncepce. Totéž platí pro vyhodnocování dílčích oblastí, pro které byla stanovena konkrétní dílčí odpovědnost. Pro vyhodnocování dodržování Informační koncepce byla stanovena perioda 1 x za 24 měsíců. Vyhodnocování iniciuje a řídí Útvar interního auditu v úzké spolupráci s vedoucím Oddělení informatiky. Pro vyhodnocování dílčích oblastí mohou být přizváni odborníci na tyto oblasti, avšak musí přitom být dodržena výše uvedená nezávislost vyhodnocující osoby na osobě odpovědné za realizaci. Všechny činnosti, jejichž provádění je posuzováno, jsou porovnávány s Informační koncepcí platnou v době, kdy byla daná činnost prováděna. Vyhodnocování bude probíhat metodou dekompozice na dílčí oblasti a jejich následnou expertní analýzou. Pracovník provádějící vyhodnocení si připraví tabulku, kde bude sledovat výsledky dílčích vyhodnocení jednotlivých oblastí, evidovat zjištěné nedostatky a zapisovat návrhy opatření na jejich odstranění. Vlastní realizaci vyhodnocení nebo některé jeho části může být zajištěno i externí společností formou zakázky, dohodnou-li se na tom Oddělení informatiky a Útvar interního auditu.
9.2.1 Oblasti pro vyhodnocování Informační koncepce 9.2.1.1 Oblast charakteristik informačních systémů veřejné správy
Informační koncepce obsahuje charakteristiky všech ISVS.
Informační koncepce obsahuje všechny provozní IS s vazbami na ISVS.
Charakteristiky současného stavu jsou včas aktualizovány.
Předpokládané změny IS jsou včas aktualizovány.
45/54
9.2.1.2 Oblast záměrů pořízení nebo vytvoření nových ISVS
Informační koncepce obsahuje všechny záměry nových ISVS.
Jednotlivé záměry mají vyplněny všechny základní údaje.
Pro všechny záměry jsou vypracovány charakteristiky nového IS.
Pro všechny záměry existuje charakteristika výchozího stavu; toto posuzování se provádí u záměrů vytvořených v období od předcházejícího vyhodnocení.
9.2.1.3 Oblast řízení kvality
Požadavky na kvalitu směřují k naplnění cílů kvality.
Požadavky na kvalitu jsou jednotlivými IS dodržovány a jsou vyhodnocovány.
Probíhá prověrka požadavků na kvalitu a vyhodnocení řízení kvality v souladu s plánem řízení kvality.
9.2.1.4 Oblast řízení bezpečnosti
Požadavky na bezpečnost směřují k naplnění cílů bezpečnosti.
Požadavky na bezpečnost jsou jednotlivými IS dodržovány a jsou vyhodnocovány.
Probíhá prověrka požadavků na bezpečnost a vyhodnocení řízení bezpečnosti v souladu s plánem řízení bezpečnosti.
9.2.1.5 Oblast správy ISVS
Jsou uplatňovány zásady a postupy pro plánování rozvoje ISVS.
Oblast správy ISVS - část pořizování ISVS
Výběr formy pořizování nového ISVS je prováděn v souladu s příslušnými zásadami a postupy.
Pro každý nový ISVS je vypracován záměr s požadovanou strukturou a v souladu s požadovanými zásadami a postupy.
Při pořizování ISVS je vyžadováno naplnění všech oblastí dle Informační koncepce platné v době pořizování ISVS; tyto požadavky jsou zakotveny ve smlouvě.
Při projektovém řízeni jsou uplatňovány přijaté zásady.
Oblast správy ISVS - část provozování ISVS
Jsou uplatňovány zásady a postupy pro zajištění provozu a údržby ISVS.
Jsou uplatňovány zásady a postupy pro řízení změn ISVS.
Jsou uplatňovány zásady a postupy pro ukončení činnosti ISVS.
9.2.1.6 Oblast financování ISVS
Financování ISVS probíhá v souladu se schválenými postupy a platnými předpisy.
Existuje pravidelně aktualizovaný plán financování ISVS.
Plán financování ISVS obsahuje dílčí plány financování: záměrů nových IS, naplnění dlouhodobých cílů a správy ISVS.
46/54
Jednotlivé dílčí plány financování jsou tvořeny a aktualizovány v souladu s příslušnými pravidly.
9.2.1.7 Oblast změn Informační koncepce
Jsou dodržovány termíny periodické aktualizace.
Významné změny jsou promítány do Informační koncepce i mimo její periodické aktualizace.
Vydávání nových verzí Informační koncepce probíhá v souladu s danými postupy, verze a v nich zahrnuté změny jsou náležitě dokumentovány a schvalovány.
Všichni relevantní pracovníci mají k dispozici aktuální platnou verzi Informační koncepce.
Nejsou používány neplatné verze Informační koncepce.
9.2.1.8 Oblast vyhodnocování dodržování Informační koncepce
Prováděné vyhodnocení nastalo nejpozději v předepsaném časovém intervalu od minulého vyhodnocení.
Zápisy z minulých vyhodnocení jsou dostupné obdobně, jako aktuální verze Informační koncepce.
Opatření přijatá při minulých vyhodnoceních dodržování Informační koncepce byla promítnuta do aktualizované verze Informační koncepce.
Přijatá opatření jsou uplatňována v praxi.
Přijatá opatření přinesla předpokládaný účinek - dříve zjištěné nedostatky byly odstraněny nebo se k jejich odstranění směřuje.
9.2.2 Pravidla pro vytváření zápisu z vyhodnocování Informační koncepce Z vyhodnocování bude vytvořen zápis, jež je přílohou informační koncepce (Příloha č. 4). Za jeho vyhotovení zodpovídá pracovník, který řídí vyhodnocování a je určen v kap. 10. 9.2.2.1 Rozsah zápisu z vyhodnocování Zápisy z vyhodnocování budou identifikovány verzí Informační koncepce, které se týkají, a dále pak pořadovým číslem zápisu. Zápis bude obsahovat následující části:
identifikační údaje zápisu (verze Informační koncepce, datum počátku platnosti vyhodnocované Informační koncepce, pořadové číslo zápisu);
identifikace všech pracovníků, kteří vyhodnocení prováděli, a jejich role (jméno resp. jména, příjmení, útvar nebo externí organizace, funkce);
záznam o průběhu vyhodnocování dle jednotlivých oblastí (co, jak, kdy a kdo vyhodnocoval);
poznatky a závěry z vyhodnocování (soupis zjištěných nedostatků, kladná hodnocení apod.);
soupis přijatých opatření (návaznost na zjištěný nedostatek, obsah opatření, způsob realizace apod.);
schválení zápisu z vyhodnocení (kdo - jméno resp. jména, příjmení, útvar nebo externí organizace, funkce a kdy zápis schválil).
47/54
9.2.2.2 Postup vyhotovení zápisu z vyhodnocování Do zápisu se po úvodních identifikačních údajích nejprve zapisuje záznam o průběhu vyhodnocení a poznatky a závěry z něj. V dalším kroku vedoucí oddělení informatiky zajistí zpracování návrhu vhodných opatření, která se spolu s částečným zápisem předloží ke schválení. Schválená opatření jsou poté vložena do zápisu a zápis je uzavřen a předložen ke schválení. Schválený zápis se zpřístupní a všichni dotčení pracovníci se s ním seznámí obdobným způsobem, jako je to u nové verze Informační koncepce. Opatření s vlivem na obsah Informační koncepce se promítnou v nejbližší řádné aktualizaci Informační koncepce.
48/54
10 Odpovědnosti osob Stanovení odpovědností v oblasti dlouhodobého řízení informačních systémů je nedílnou součástí Informační koncepce. Odpovědnosti lze rozdělit do dvou částí, a to na stanovení odpovědností za:
realizaci Informační koncepce;
splnění zákonných povinností.
10.1 Odpovědnost za realizaci Informační koncepce Odpovědnost za naplnění Informační koncepce je stanovena na Oddělení informatiky. Dílčí odpovědnosti za jednotlivé oblasti Informační koncepce jsou uvedeny v následující tabulce. Oblast
Odpovědnost
identifikace záměrů na pořízení nových ISVS
pracovníci informatiky KUZK
schvalování záměrů na pořízení nových ISVS
Náplň oblasti Kap. 4.2, 4.3 (Kap. 7.2)
vedoucí Oddělení informatiky KUZK
Kap. 4.2, 4.3
vedoucí Oddělení informatiky KUZK
Kap. 5
vedoucí Oddělení informatiky KUZK
Kap. 6
(Kap. 7.2)
Četnost Průběžně Při každém požadavku na pořízení nového ISVS
řízení kvality ISVS (stanovování dlouhodobých cílů kvality a konkrétních požadavků na kvalitu IS, sestavení a údržba plánu řízení kvality, vyhodnocování naplnění požadavků a dodržování plánu)
(Kap. 9.2)
min. 1x ročně
řízení bezpečnosti ISVS (stanovování dlouhodobých cílů bezpečnosti a konkrétních požadavků na bezpečnost IS, sestavení a údržba plánu řízení bezpečnosti, vyhodnocování naplnění požadavků a dodržování plánu)
(Kap. 9.2)
min. 1x ročně
koordinace činností v oblasti rozvoje ISVS
vedoucí Oddělení informatiky KUZK
Kap. 7.2
Průběžně
příprava Plánu rozvoje ISVS
vedoucí Oddělení informatiky KUZK
Kap. 4.1
V rámci procesu přípravy nové verzi IK
49/54
schválení Plánu rozvoje ISVS
řízení postupů při pořizování ISVS (včetně zajištění veřejných soutěží)
vedoucí Oddělení informatiky KUZK Řídí se interní směrnicí č. MP/07 Metodický pokyn pro zadávání a hodnocení veřejných zakázek
Kap. 4.1
V rámci procesu přípravy nové verzi IK
Kap. 7.3
Průběžně
vedoucí Oddělení informatiky KUZK zajištění provozu a údržby ISVS
vedoucí Oddělení informatiky KUZK
Kap. 7.4
Průběžně, resp. při změně IS
vyhodnocování dodržování souladu provozování ISVS
vedoucí oddělení informatiky
Kap. 7.4
Při změně IS, min. 1x ročně
koordinace a vyhodnocování řízení změn
vedoucí Oddělení informatiky KUZK
Kap. 7.4.3
Při změně IS
řízení ukončování provozu ISVS
vedoucí Oddělení informatiky KUZK
Kap. 7.5
Při ukončení čínnosti části IS min. 1x ročně
vytváření a údržba plánu financování ISVS
vedoucí Oddělení informatiky KUZK
Kap. 8.2
Probíhá v rámci procesu přípravy rozpočtu min. 1x ročně
schvalování plánu financování ISVS
Zastupitelstvo Zlínského kraje
Kap. 8.2
příprava změn a tvorba nových verzí Informační koncepce
vedoucí Oddělení informatiky KUZK
Kap. 9.1
revize min. 1x ročně
schvalování změn Informační koncepce a jejích nových verzí
vedoucí Oddělení informatiky KUZK
Kap. 9.1.3
Podle potřeby
příprava nové Informační koncepce před ukončením platnosti stávající
vedoucí Oddělení informatiky KUZK
Kap. 9.1.4
3 měsíce před koncem platnosti, min. každých 5 let
provádění vyhodnocování dodržování Informační koncepce a vyhotovení zápisu o něm
Útvar interního auditu
Kap. 9.2
1x ročně
návrh opatření na základě zjištění při vyhodnocování
správce IS nebo vedoucí Oddělení informatiky nebo interní audit
Kap. 9.2
V případě identifikovaných nedostatků při vyhodnocení
Probíhá v rámci procesu přípravy rozpočtu
50/54
schvalování opatření na základě zjištění při vyhodnocování
vedoucí Oddělení informatiky KUZK
Kap. 9.2
schválení zápisu z vyhodnocení
Ředitel KÚ ZK
Kap. 9.2
V případě identifikovaných nedostatků při vyhodnocení
Tabulka č. 19: Odpovědnosti za jednotlivé oblasti Informační koncepce.
10.2 Splnění zákonných povinností Odpovědnost za splnění zákonných povinností byla stanovena na ředitele Krajského úřadu Zlínského kraje. Dílčí odpovědnosti za splnění konkrétních zákonných povinností jsou uvedeny v následující tabulce. Zákon
Oblast
Odpovědnost
zákon č. 365/2000 Sb., o ISVS §5 odst. 2 písm. a
spolupracovat s MV ČR při plnění jeho úkolů podle §4 odst. 1, včetně kontroly na místě podle §4 odst. 2 prováděné MV ČR
ředitel KUZK
zákon č. 365/2000 Sb., o ISVS §5 odst. 2 písm. b
předložit MV ČR k vyjádření návrhy dokumentací programů obsahující pořízení, obnovu a provozování ICT vypracovaných podle zvláštního právního předpisu a investiční záměry akcí pořízení, obnovy a provozování ICT, jejichž registrace v Informačním systému financování reprodukce majetku, zadání jejich realizace a změna jejich závazně stanovených parametrů se provádí pouze se souhlasem Ministerstva financí podle zvláštního právního předpisu. Náležitosti dokumentací programů a investičních záměrů stanoví zvláštní právní předpis.
vedoucí Oddělení informatiky KUZK
zákon č. 365/2000 Sb., o ISVS §5 odst. 2 písm. c
uveřejňovat číselníky, pokud jsou jejich správci a není zákonem stanoveno jinak, a to i způsobem umožňujícím dálkový přístup
vedoucí Oddělení informatiky KUZK
předávat MV ČR údaje do informačního systému o datových prvcích v elektronické podobě, ve formě a s technickými náležitostmi stanovenými prováděcím právním předpisem
vedoucí Oddělení informatiky KUZK
zajistit, aby vazby jimi provozovaného informačního systému na informační systémy jiného provozovatele byly uskutečňovány prostřednictvím referenčního rozhraní s využitím datových prvků vyhlášených ministerstvem a vedených v informačním systému o datových prvcích
vedoucí Oddělení informatiky KUZK
zákon č. 365/2000 Sb., o ISVS §5 odst. 2 písm. d
51/54
prokázat atestem způsobilost informačního systému k realizaci výše uvedených vazeb
vedoucí Oddělení informatiky KUZK
zákon č. 365/2000 Sb., o ISVS §5 odst. 2 písm. e
zpřístupňovat MV ČR v elektronické podobě, ve formě a s technickými náležitostmi stanovenými prováděcím právním předpisem, bez zbytečného odkladu, informace o jimi provozovaném informačním systému a jím poskytovaných službách a používaných datových prvcích, a to za účelem uveřejnění v IS o ISVS a IS o DP
vedoucí Oddělení informatiky KUZK
zákon č. 365/2000 Sb., o ISVS §5 odst. 2 písm. f
postupovat při uveřejňování informací způsobem umožňujícím dálkový přístup tak, aby byly informace související s výkonem VS uveřejňovány ve formě, která umožňuje, aby se s těmito informacemi v nezbytném rozsahu mohly seznámit i osoby se zdravotním postižením
vedoucí Oddělení informatiky KUZK
zákon č. 365/2000 Sb., o ISVS §5 odst. 2 písm. g
odstranit zjištěné nedostatky ve lhůtě stanovené MVČR
vedoucí Oddělení informatiky KUZK
zákon č. 365/2000 Sb., o ISVS §5a odst. 1
vytvářet a vydávat informační koncepci, uplatňovat ji v praxi a vyhodnocovat její dodržování
vedoucí Oddělení informatiky KUZK
zákon č. 365/2000 Sb., o ISVS §5a odst. 2
vytvářet a vydávat provozní dokumentaci k jednotlivým ISVS, uplatňovat ji v praxi a vyhodnocovat její dodržování
vedoucí Oddělení informatiky KUZK
zákon č. 365/2000 Sb., o ISVS §5a odst. 3
zajistit atest dlouhodobého řízení ISVS
vedoucí Oddělení informatiky KUZK
zákon č. 365/2000 Sb., o ISVS §5b odst. 1 až odst. 2
zajišťovat bezpečnost ISVS v rozsahu odpovídajícím alespoň minimálním bezpečnostním požadavkům k zajištění důvěrnosti, integrity a dostupnosti zpracovávaných informací dle prováděcího předpisu
vedoucí Oddělení informatiky KUZK
Tabulka č. 20: Odpovědnosti za splnění konkrétních zákonných povinností.
52/54
11 Přílohy 11.1 Příloha č. 1 – Pasport aplikací Soubor: „Pasport aplikací.xlsm“.
11.2 Příloha č. 2 – Plán rozvoje informačních systémů Soubor: „Plan_rozvoje_IS_ Zlinsky_kraj.pdf“.
11.3 Příloha č. 3 – Plán financování informačních systémů Soubor: „Plan_financovani_IS_ Zlinsky_kraj.pdf“.
11.4 Příloha č. 4 – Zápis o vyhodnocení informační koncepce Soubor: „Protokol o auditním testu-Informační koncepce.pdf“ „Příloha – Analýza Informační koncepce.pdf“.
53/54
12 Seznam tabulek a obrázků Tabulka č. 1: Základní údaje o informační koncepci. .....................................................................................................5 Tabulka č. 2: Autorizace a schválení informační koncepce. ..........................................................................................5 Tabulka č. 3: Údaje o verzi 2.0 informační koncepce. ...................................................................................................6 Tabulka č. 4: Změny ve verzi 2.0 informační koncepce oproti verzi 1.0 informační koncepce. ....................................7 Tabulka č. 5: Údaje o verzi 1.0 informační koncepce. ...................................................................................................7 Tabulka č. 6: Přehled informačních systémů provozovaných Krajským úřadem Zlínského kraje................................11 Tabulka č. 7: Cíle v oblasti zpracovávaných dat...........................................................................................................17 Tabulka č. 8: Cíle v oblasti zajišťovaných služeb..........................................................................................................18 Tabulka č. 9: Cíle v oblasti technických a programových prostředků..........................................................................19 Tabulka č. 10: Požadavky na kvalitu informačních systémů........................................................................................21 Tabulka č. 11: Harmonogram plnění cílů kvality..........................................................................................................23 Tabulka č. 12: Harmonogram plnění požadavků na kvalitu.........................................................................................24 Tabulka č. 13: Dlouhodobé cíle v oblasti řízení bezpečnosti IS....................................................................................27 Tabulka č. 14: Požadavky na bezpečnost informačních systémů. ...............................................................................28 Tabulka č. 15: Harmonogram plnění cílů bezpečnosti.................................................................................................30 Tabulka č. 16: Harmonogram plnění požadavků na bezpečnost. ................................................................................31 Tabulka č. 17: Zásady správy informačního systému dle jednotlivých fází životního cyklu.........................................32 Tabulka č. 18: Struktura pasportního listu projektového záměru. ..............................................................................35 Tabulka č. 19: Odpovědnosti za jednotlivé oblasti Informační koncepce. ..................................................................51 Tabulka č. 20: Odpovědnosti za splnění konkrétních zákonných povinností. .............................................................52
Obrázek č. 1: Cyklus systému řízení kvality informačních systémů .............................................................................14 Obrázek č. 2: Cyklus systému řízení bezpečnosti informačních systémů ....................................................................25 Obrázek č. 3: Naplňování informační koncepce. .........................................................................................................43
54/54