Návrhy prováděcích předpisů Návrh VYHLÁŠKA ze dne …. …… 2005 o referenčním rozhraní informačních systémů veřejné správy Ministerstvo informatiky stanoví podle čl. II písm. a) zákona č. …/2005 Sb., kterým se mění zákon č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění zákona č. 517/2002 Sb., a další související zákony, k provedení § 4 odst. 1 písm. g) zákona č. 365/2000 Sb., ve znění zákona č. …/2005 Sb.: §1 Předmět úpravy Tato vyhláška stanoví technické a funkční náležitosti uskutečňování vazeb mezi informačními systémy veřejné správy (dále jen „vazby“) prostřednictvím referenčního rozhraní informačních systémů veřejné správy (dále jen „referenční rozhraní“). §2 Uskutečňování vazeb (1) Pokud ze zvláštního právního předpisu vyplývá pro orgán veřejné správy povinnost uskutečňovat vazby prostřednictvím referenčního rozhraní, orgán veřejné správy: a) ohlásí ministerstvu informatiky záměr zajištění této vazby; tuto informaci poskytne ministerstvu prostřednictvím vstupního formuláře informačního systému o informačních systémech veřejné správy, b) provede návrh vývoje schémat vyměňovaných dat podle metodiky tvorby schémat vyměňovaných dat (dále jen „metodika tvorby schémat“), která je nedílnou součástí metodiky tvorby informačního systému, kterou Ministerstvo informatiky pro referenční rozhraní zpracuje v souladu se zákonem o informačních systémech veřejné správy a prováděcím právním předpisem1), a již uveřejní na veřejně přístupném místě způsobem umožňujícím dálkový přístup. Elektronickou adresu tohoto místa uveřejní Ministerstvo informatiky na portálu veřejné správy. c) předá Ministerstvu informatiky návrh vypracovaný podle písmene b) prostřednictvím vstupního formuláře informačního systému o datových prvcích. (2) Pokud Ministerstvo informatiky rozhodne o schválení návrhu vypracovaného podle odstavce 1 písm. b), orgán veřejné správy zavede schéma vyměňovaných dat do informačního systému veřejné správy.
1)
Vyhláška č. …/2005 Sb., o informační koncepci, náležitostech jejího obsahu pro oblast řízení kvality, bezpečnosti, pořizování a provozu informačních systémů veřejné správy a postupu atestačních středisek při jejich posuzování (vyhláška o informační koncepci)
-2§3 Technické a funkční náležitosti vazeb Technické a funkční náležitosti schémat vyměňovaných dat a náležitosti jejich tvorby obsahuje provozní dokumentace referenčního rozhraní, kterou Ministerstvo informatiky pro referenční rozhraní zpracuje v souladu se zákonem o informačních systémech veřejné správy a prováděcím právním předpisem1), a již uveřejní na veřejně přístupném místě způsobem umožňujícím dálkový přístup. Elektronickou adresu tohoto místa uveřejní Ministerstvo informatiky na portálu veřejné správy. §4 Způsob hodnocení shody Orgány veřejné správy podle § 1 prokazují shodu s touto vyhláškou platným atestem. Způsob provádění atestace na shodu s touto vyhláškou odpovídá testovacím pravidlům, která zpracuje atestační středisko jako součást atestačních podmínek referenčního rozhraní. §5 Testovací pravidla (1) Testovací pravidla jsou tvořena testovacími kritérii, která musí být rozdělena do skupin podle míry závažnosti na a) kritéria nezbytná pro dosažení kvalitních řešení, jejichž porušení vede k nepoužitelnosti řešení (nejvyšší priorita), b) kritéria důležitá pro dosažení kvalitních řešení, jejichž porušení vede k výrazné nestandardnosti, omezující použitelnost řešení (střední priorita), c) kritéria doplňková, která pokud jsou použita, vedou zvýšení použitelnosti řešení (nízká priorita). (2) Ke každému kritéria je stanoven způsob hodnocení. §6 Postup hodnocení výsledků (3) Testovaná schémata jsou postupně konfrontována s jednotlivými kritérii. (4) Nesplnění kteréhokoliv kritéria s nejvyšší prioritou nebo nadpolovičního počtu kritérií se střední prioritou je důvodem k odmítnutí řešení pro jeho nekompatibilitu se základními principy metodiky tvorby schémat. §7 Účinnost Tato vyhláška nabývá účinnosti dnem 1. …… 2005.
Ministr: Mlynář v.r.
-3Návrh VYHLÁŠKA ze dne …. …… 2005 o vedení informačního systému o datových prvcích a informačního systému o dostupnosti a obsahu zpřístupněných informačních systémů veřejné správy (vyhláška o informačním systému o datových prvcích) Ministerstvo informatiky stanoví podle čl. II písm. b) a c) zákona č. …/2005 Sb., kterým se mění zákon č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění zákona č. 517/2002 Sb., a další související zákony, k provedení § 4 odst. 1 písm. h) a i) a a odst. 2 písm. d) zákona č. 365/2000 Sb., ve znění zákona č. …/2005 Sb.: §1 Předmět úpravy Tato vyhláška stanoví a) formu a technické náležitosti předávání údajů do informačního systému o datových prvcích, b) formu a technické náležitosti předávání údajů do informačního systému o dostupnosti a obsahu zpřístupněných informačních systémů veřejné správy (dále jen „metainformační systém“), c) postupy ministerstva informatiky (dále jen „ministerstvo“) při vedení a zápisu datových prvků do informačního systému o datových prvcích, d) postupy orgánů veřejné správy při vedení a zápisu datových prvků do informačního systému o datových prvcích. §2 Forma a technické náležitosti předávání údajů (5) Orgány veřejné správy předávají ministerstvu údaje do informačního systému o datových prvcích a metainformačního systému prostřednictvím vstupního formuláře obou informačních systémů. (6) Vstupní formulář odpovídá schématu výměny dat podle vyhlášky o referenčním rozhraní. (7) Orgán veřejné správy uvádí veškeré nutné údaje, které vstupní formulář informačního systému o datových prvcích a metainformčního systému vyžadují. §3 Povinnosti při předávání údajů (8) Orgán veřejné zprávy předává neprodleně údaje do informačního systému o datových prvcích a do metainformačního systému vždy, když dojde ke změně v zasílaných informacích a především tehdy, pokud:
-4a) orgán veřejné správy se stal správcem nově vzniklého informačního systému veřejné správy, nebo když na něj působnost ke správě tohoto informačního systému byla převedena, b) orgán veřejné správy hodlá zajistit vazbu mezi informačními systémy veřejné správy, v rámci které bude vyměňovat data ve formátu datových prvků, které nejsou v informačním systému již zavedeny, c) dojde ke změně formátu datového prvku, jehož je správcem, d) dojde ke změně parametrů spravovaného informačního systému, e) informační systém veřejné správy, který orgán veřejné správy spravoval, zanikl, nebo přestal poskytovat své služby. §4 Schvalování předávaných údajů (9) Správce informačního systému o datových prvcích a metainformačního systému schvaluje údaje zasílané podle § 1. (10) Pokud předávané údaje nemají náležitosti požadované vstupním formulářem, uvědomí správce příslušný orgán veřejné správy o této skutečnosti a vyzve jej k doplnění ve stanovené lhůtě. Výzvu k doplnění zveřejní prostřednictvím kolizního formuláře informačního systému o datových prvcích nebo metainformačního systému. (11) Pokud příslušný orgán veřejné správy ve stanovené lhůtě údaje nedoplní, správce informačních systémů zaslané údaje neschválí a nezveřejní je pro použití v informačních systémech veřejné správy. §5 Účinnost Tato vyhláška nabývá účinnosti dnem 1. …… 2005.
Ministr: Mlynář v.r.
-5Návrh VYHLÁŠKA ze dne …. …… 2005 o uveřejňování informací způsobem umožňujícím dálkový přístup Ministerstvo informatiky stanoví podle čl. II písm. d) zákona č. …/2005 Sb., kterým se mění zákon č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění zákona č. 517/2002 Sb., a další související zákony, k provedení § 5 odst. 2 písm. g) zákona č. 365/2000 Sb., ve znění zákona č. …/2005 Sb.: §1 Předmět úpravy Tato vyhláška stanoví formu uveřejňování informací, která zajistí, aby se s informacemi souvisejícími s výkonem veřejné správy uveřejňovanými způsobem umožňujícím dálkový přístup mohly v nezbytném rozsahu seznámit i osoby se zdravotním postižením. §2 Forma uveřejňování informací Forma uveřejňování informací, která zajistí, aby se s informacemi souvisejícími s výkonem veřejné správy uveřejňovanými způsobem umožňujícím dálkový přístup mohly v nezbytném rozsahu seznámit i osoby se zdravotním postižením a postupy orgánu veřejné správy při jejím zavedení jsou stanoveny v příloze této vyhlášky. §3 Účinnost Tato vyhláška nabývá účinnosti dnem 1. května 2006.
Ministr: Mlynář v.r.
-6-
Příloha k vyhlášce č. …/2005 Sb. Forma uveřejňování informací, která zajistí, aby se s informacemi souvisejícími s výkonem veřejné správy uveřejňovanými způsobem umožňujícím dálkový přístup mohly v nezbytném rozsahu seznámit i osoby se zdravotním 1.
Obsah stránky je dostupný a čitelný.
a) Každý netextový prvek nesoucí významové sdělení má svou textovou alternativu. b) Informace sdělované prostřednictvím skriptů, objektů, appletů, kaskádových stylů, obrázků a jiných doplňků na straně klienta jsou dostupné i bez kteréhokoli z těchto doplňků. c) Informace sdělované barvou jsou dostupné i bez barevného rozlišení. d) Barvy popředí a pozadí jsou dostatečně kontrastní. Na pozadí není vzorek, který snižuje čitelnost. e) Předpisy určující velikost písma nepoužívají absolutní jednotky. f) Předpisy určující typ písma obsahují obecnou rodinu písem. 2.
Práci se stránkou řídí uživatel.
a) Obsah stránky se mění, jen když uživatel aktivuje nějaký prvek. b) Stránka bez přímého příkazu uživatele nemanipuluje uživatelským prostředím. c) Nová okna se otevírají jen v odůvodněných případech a uživatel je na to předem upozorněn. d) Na stránce nedochází k blikání rychleji než jednou za sekundu. e) Stránka nebrání uživateli posouvat obsahem rámů. f) Obsah ani kód stránky nepředpokládá ani nevyžaduje konkrétní způsob použití ani konkrétní výstupní či ovládací zařízení. 3.
Informace na stránce jsou srozumitelné a přehledné.
a) Stránky sdělují informace jednoduchým jazykem a srozumitelnou formou. b) Úvodní strana jasně popisuje smysl a účel webu. Název webu či jeho provozovatele je zřetelný. c) Stránka i jednotlivé obsahové prvky uvádějí své hlavní sdělení na svém začátku. d) Rozsáhlé obsahové bloky jsou rozděleny do menších, výstižně nadepsaných celků. e) Informace zveřejňované na základě zákona jsou dostupné jako textový obsah WWW stránky. f) Na samostatné stránce je uveden kontakt na technického správce a prohlášení jasně vymezující míru přístupnosti webu a jeho částí. Na tuto stránku odkazuje každá stránka webu. 4. a) b) c) d)
Ovládání stránky je jasné a pochopitelné. Každá stránka má smysluplný název, vystihující její obsah. Navigační a obsahové informace jsou na stránce zřetelně odděleny. Navigace je srozumitelná a je konzistentní na všech stránkách. Každá stránka (kromě úvodní strany) obsahuje odkaz na vyšší úroveň v hierarchii webu a odkaz na úvodní stranu.
-7e) f) g) h) 5.
Všechny stránky rozsáhlejšího webu obsahují odkaz na přehlednou mapu webu. Obsah ani kód stránky nepředpokládá, že uživatel již navštívil jinou stránku. Každý formulářový prvek má přiřazen výstižný nadpis. Každý rám má vhodné jméno či popis vyjadřující jeho smysl a funkčnost. Odkazy jsou zřetelné a návodné.
a) b) c) d)
Označení každého odkazu výstižně popisuje jeho cíl i bez okolního kontextu. Stejně označené odkazy mají stejný cíl. Odkazy jsou odlišeny od ostatního textu, a to nikoli pouze barvou. Obrázková mapa na straně serveru je použita jen v případě, že nebylo možné pomocí dostupného geometrického tvaru definovat oblasti v obrázkové mapě. V ostatních případech je použita obrázková mapa na straně klienta. Obrázková mapa na straně serveru je vždy doprovázena alternativními textovými odkazy. e) Uživatel je předem jasně upozorněn, když odkaz vede na obsah jiného typu, než je WWW stránka. Takový odkaz je doplněn sdělením o typu a velikosti cílového souboru. 6.
Kód je technicky způsobilý a strukturovaný.
a) Kód stránek odpovídá zveřejněné specifikaci jazyka HTML či XHTML. Neobsahuje syntaktické chyby, které je správce stránek schopen odstranit. b) V metaznačkách je uvedena použitá znaková sada dokumentu. c) Prvky tvořící nadpisy a seznamy jsou korektně vyznačeny ve zdrojovém kódu. Prvky, které netvoří nadpisy či seznamy, naopak ve zdrojovém kódu takto vyznačeny nejsou. d) Pro popis vzhledu stránky jsou upřednostněny stylové předpisy. e) Je-li tabulka použita pro rozvržení obsahu stránky, neobsahuje záhlaví řádků ani sloupců. Všechny tabulky zobrazující tabulková data naopak záhlaví řádků nebo sloupců obsahují. f) Všechny tabulky dávají smysl čtené po řádcích zleva doprava.
-9Návrh VYHLÁŠKA ze dne ……2005, o informační koncepci, náležitostech jejího obsahu pro oblast řízení kvality, bezpečnosti, pořizování a provozu informačních systémů veřejné správy a postupu atestačních středisek při jejich posuzování (vyhláška o informační koncepci) Ministerstvo informatiky stanoví podle čl. II písm. e), f) a i) zákona č. …/2005 Sb., kterým se mění zákon č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění zákona č. 517/2002 Sb., a další související zákony, k provedení § 5a odst. 1 a 2 a § 6a odst. 1 písm. b) zákona č. 365/2000 Sb., ve znění zákona č. …/2005 Sb.: §1 Předmět úpravy Tato vyhláška stanoví požadavky na způsob tvorby a vydávání informační koncepce, náležitostech jejího obsahu pro oblast řízení kvality, bezpečnosti, pořizování a provozu informačních systémů veřejné správy a postupu atestačních středisek při jejich posuzování. §2 Vymezení pojmů a) b) c) d) e) f) g) h) i) j) k)
Pro účely této vyhlášky se rozumí: akceptací systému rozhodnutí správce o přijetí systému, hodnocením systematické určování rozsahu, ve kterém entita uspokojuje specifická kritéria, integrací systému proces spojování jednotlivých komponent systému tak, aby tvořily jeden konzistentní celek, jakostí informačního systému souhrn význačných charakteristik informačního systému, které se vztahují na schopnost uspokojovat dané nebo stanovené potřeby, metodikou tvorby informačního systému souhrn etap, přístupů, zásad, postupů, pravidel, dokumentů, řízení, metod, technik a nástrojů pro tvorbu informačních systémů, komerčním konfekčním softwarem software vytvořený pro zvolenou třídu aplikací u většího počtu zákazníků. Vzniká generalizací uživatelských požadavků a standardizací jejich řešení, kvalifikačním požadavkem množina kritérií a podmínek, které musí být splněny, aby mohl být informační systém, produkt nebo informační služba kvalifikován jako shodný se svou specifikací a připraven pro použití v cílovém prostředí, metrikou výběr nebo určení metody měření a měřicí stupnice, měřením užití metriky k přiřazení hodnoty (čísla nebo kategorie) atributu entity podle dané měřicí stupnice, migrací přenos systému, softwarového produktu nebo jeho dat ze starého do nového operačního prostředí nebo přenos dat mezi verzemi aplikačního programu, modelem jakosti množina charakteristik, které tvoří základ pro specifikaci požadavků na jakost a hodnocení jakosti a vztahů mezi těmito charakteristikami,
- 10 l) m) n) o) p) q)
modelem životního cyklu informačního systému soustava procesů, činností a úloh, která pokrývá existenci informačního systému od definování požadavků na něj až po ukončení jeho užívání, ověřováním potvrzení zkouškou a obstarání objektivního důkazu, že byly splněny specifikované požadavky; je to přezkoušení výsledku činnosti (v průběhu procesu) za účelem určení shody s požadavky stanovenými pro tuto činnost, procesem množina navzájem propojených činností, které transformují vstupy do výstupů, prověrkou provedení hodnocení softwarových produktů a procesů řízeného autorizovanou osobou za účelem posouzení, zda jsou ve shodě s požadavky, údržbou modifikace systému nebo softwarového produktu a připojené dokumentace na základě zjištěných problémů, potřeby zdokonalení nebo adaptace na změnu podmínek, uživatelem osoba nebo organizace, která používá provozovaný systém k vykonání specifické funkce. §3 Informační koncepce (1) Informační koncepce je dokument v oblasti:
a) strategického řízení soustavy všech informačních systémů v organizaci a b) řízení projektu informačního systému, nebo jeho části. (2) Systém požadavků na dokumentaci uvedený v odst. 1 písm. a) je specifikován v dokumentech: a) informační strategie, b) bezpečnostní politika, c) monitorování a aktualizace požadavků. (3) Systém požadavků na dokumentaci uvedený v odst. 1 písm. b) je specifikován v dokumentech: a) b) c) d) e) f) g) h) i) j) k) l) m) n) o) p)
záměr informačního systému, projektový záměr, úvodní studie informačního systému, žádost o nabídku, smlouva, globální návrh informačního systému, detailní návrh informačního systému, bezpečnostní návrh informačního systému, protokol o kvalifikačním testování, zpráva o provedení migrace, zpráva o zavedení informačního systému a konverzi dat, systémová příručka informačního systému, uživatelská příručka informačního systému, školící a učební texty, protokol o převzetí informačního systému a evidence poruch a mimořádných událostí.
- 11 §4 Dokumenty (1) Správce může zpracovat jeden dokument, pro více projektů nebo informačních systémů současně. O tomto vícenásobném použití provede v identifikačních údajích dokumentu zápis. (2) Dokumenty schvaluje správce. Pro schválení dokumentu může správce vyžadovat oponentní řízení s případným přizváním externího konzultanta. Správce však zůstává zodpovědný za rozhodnutí o přijetí, nutných úpravách nebo o odmítnutí dokumentu. (3) O schválení dokumentu správcem se provede zápis, který se stává nedílnou součástí dokumentu. Zápis může mít též formu schvalovací doložky uvedené přímo v dokumentu. (4) Správce archivuje dokumenty projektů po dobu 5 let od ukončení provozu systému v jehož rámci byly projekty zpracovány, nestanovuje-li jiný právní předpis pro vybrané dokumenty dobu delší. (5) Pokud není uvedeno jinak, jsou dokumenty uchovávány pouze u správce. (6) Dokumenty může správce zpracovávat a udržovat jak v písemné, tak v elektronické podobě, nestanovuje-li smlouva nebo relevantní právní předpis jinak. (7) Dokument obsahuje a) b) c) d) e) f) g) h) i)
identifikaci a název správce, identifikaci a název informačního systému, identifikaci a název projektu, identifikaci a název druhu projektu, identifikaci a název fáze projektu, datum vypracování, identifikace zpracovatele, číslo verze dokumentu, schválení správcem, datum. §5 Informační strategie (1) Informační strategie je dokument, který tvoří:
a) b) c) d)
zdroje a východiska, výchozí stav, cílový stav, transformace do cílového stavu. (2) Zdroje a východiska tvoří:
a) minimální zdroje použité pro tvorbu Informační strategie: 1. legislativa definující působnost organizace, 2. zřizovací listiny organizace, 3. organizační řád, 4. provozní řád, 5. spisový řád,
- 12 6.
jiné dokumenty, které vyvolali požadavky na informační systémy organizace.
(3) Výchozí stav tvoří: a) Popis aktuálního stavu technických prostředků a programů včetně jejích stáří. Zpracuje se ve struktuře shodné se strukturou organizace uvedené v organizačním řádu. Popisuje míru podpory procesů a pracovních postupů informačními systémy jak elektronickými tak papírovými. Rovněž popisuje pracovní postupy a procesy, které informačními systémy podporované nejsou. b) Analýza obsahuje minimálně tyto architektury: 1. globální architektura, 2. datová architektura, 3. technologická architektura, 4. softwarová architektura, 5. hardwarová architektura. (4) Cílový stav tvoří: a) Nové požadavky na informačního systému, a vysvětlení důvodů které je vyvolaly. b) Kriteria hodnocení dosažení požadavků. c) Popis změn oproti stávajícímu stavu. (5) Transformace do cílového stavu tvoří: a) b) c) d)
Specifikace projektů.. Předpokládaný harmonogram realizace informační strategie. Požadavky na zdroje. Ekonomická analýza informační strategie. §6 Bezpečnostní politika
Dokument obsahuje: a) Definice, obsah a účel bezpečnostní politiky. b) Základní bezpečnostní cíle informačního systému. c) Základní postupy řízení bezpečnosti a postupy pro dosažení bezpečnostních cílů informačního systému. d) Role a odpovědnosti v oblasti bezpečnosti. e) Základní požadavky na bezpečnost. f) Zásady vytváření bezpečnostní politiky informačního systému g) Minimální bezpečnostní požadavky na informační systém §7 Monitorování a aktualizace požadavků Dokument minimálně obsahuje: a) Popisuje proces monitorování a aktualizace požadavků. 1. Proces pro zařazení požadavků. 2. Proces pro ověření splnění požadavků. 3. Proces pro průběžné monitorování plnění požadavků. b) Dokumenty systému monitorování a aktualizace požadavků. c) Způsob evidence požadavků v katalogu požadavků (struktura, metriky).
- 13 §8 Záměr informačního systému Dokument minimálně obsahuje: a) Informace o podkladu pro vznik informačního systému uvedené v zákonech, vyhláškách, metodických pokynech, organizačním řádu, provozním řádu. b) Návrh změn dalších právních a vnitřních předpisů, nezbytných k zajištění funkce informačního systému. c) Informace o plánovaném přístupu veřejnosti k danému systému. d) Cíle vzniku informačního systému. e) Základní funkční požadavky na informačního systému. f) Základní informace o propojení s jinými systémy. g) Základní informace o plánované úrovni zabezpečení informačního systému. h) Seznam informačních systémů, které budou tímto systémem nahrazeny nebo ovlivněny. i) Základní časový harmonogram rozvoje informačního systému. j) Přepokládané zdroje financování. k) Předpokládaný harmonogram čerpání finančních prostředků. §9 Projektový záměr a) b) c) d)
e)
f) g)
Dokument musí minimálně obsahovat: druh projektu, důvody pro vznik projektu, cíle projektu, předmět projektu, pro projekty akvizice, vývoje a kombinované projekty, který bude obsahovat: 1. základní vymezení předmětu projektu, 2. základní informace o změnách datového rozhraní informačního systému (datových prvcích) a metod přístupu k němu, pokud jsou plánovány, 3. základní informace o plánovaných změnách propojení s jinými systémy, pokud jsou plánovány, 4. základní informace o začlenění do odpovídajících informačních systémů Evropského společenství, je-li plánováno, 5. základní informace o změnách úrovně zabezpečení informačního systému, pokud bude projektem ovlivněna, 6. relevantní část datového obsahu informačního systému řešená v projektu, 7. základní funkční požadavky na informačního systému řešené v projektu, 8. cílové skupiny koncových uživatelů výsledku projektu, 9. seznam a základní popis jednotlivých subprojektů v případě, že se jedná o kombinovaný projekt, 10. hrubý plán návazností jednotlivých subprojektů v případě, že se jedná o kombinovaný projekt, předmět projektu pro projekty provozu a údržby, který bude obsahovat: 1. základní vymezení předmětu projektu, 2. základní informace o změnách úrovně zabezpečení informačního systému, pokud bude projektem ovlivněna, hlavní výstupy projektu, kritické faktory projektu,
- 14 h) omezení projektu, i) návrh změn právních nebo vnitřních předpisů vyvolaných projektem, j) informace o plánovaných změnách přístupu veřejnosti k informačního systému vyvolaných projektem, k) seznam informačních systémů, které budou v tomto projektu nahrazeny, l) časový harmonogram projektu, m) přepokládané zdroje financování a plánovaná výše čerpání z těchto zdrojů, n) harmonogram čerpání finančních prostředků, o) plánované nasazení personálních kapacit správce v jednotlivých fázích projektu, p) seznam cílových hodnot, metod měření a hodnocení charakteristik jakosti, základní kriteria akceptace výsledků projektu a způsob jejich ověření. § 10 Úvodní studie informačního systému (1) Vlastní studie: a) Zhodnocení současného stavu informačního systému a informačních potřeb. b) Upřesnění cílů, datového obsahu a rozhraní informačního systému. c) Upřesnění funkčních požadavků na systém (včetně požadavků na sběr dat, na jejich zpracování, uchovávání, aktuálnost a správnost, na uživatelské rozhraní, na výkonnost, spolehlivost, požadavky organizační, personální, ekonomické, technické aj.). d) Požadavky na zabezpečení a utajení systému (bezpečnostní záměr). e) Předběžný návrh informačního systému (okolí, hlavní procesy, hlavní funkce, vstupy, výstupy, hrubý datový model, koncepce centralizace/distribuce dat, specifikace nutných vlastností technického a programového vybavení, definice subsystémů a jejich vazeb). f) Alternativy přístupů k realizaci systému a kritéria pro posuzování alternativ (případná definice hlavního projektu a jeho subprojektů). g) Odhad důsledků zavedení systému do organizační struktury. h) Výběr garantů informačních technologií v jednotlivých útvarech. i) Odhad vlivu informačního systému na kvalifikační růst pracovníků. j) Doporučené metody a techniky návrhu systému. k) Odhad nákladů a přínosů. Definice způsobu měření a vyhodnocování přínosů informačního systému. l) Úvodní plán postupu a vývoje. (2) Úvodní bezpečnostní studie: a) b) c) d) e)
Charakteristika současného stavu bezpečnosti informačního systému. Základní specifikace bezpečnostních cílů. Návrh koncepce řešení bezpečnosti. Předběžný plán testování a certifikace v oblasti bezpečnostních opatření. Koncepce změnového řízení. § 11 Žádost o nabídku (1) Dokument minimálně obsahuje:
a) Základní charakteristiku správce informačního systému. b) Cíle, kterých by mělo být pomocí dodávky dosaženo. c) Organizačně ekonomické charakteristiky správce informačního systému.
- 15 d) Předmět akvizice vývoje nebo dodávky informačního systému: 1. Předpokládanou architekturu komplexního informačního systému. 2. Specifikace požadovaných funkcí poptávaného systému, jeho části nebo struktury poptávané služby. 3. Datovou specifikaci. 4. Požadavky na informační technologie. e) Předmět akvizice pro ostatní akvizice: 1. Předpokládanou architekturu komplexního informačního systému. 2. Specifikaci předmětu akvizice. 3. Požadovanou strukturu nabídky. f) Shrnutí podmínek soutěže. g) Termíny soutěže. § 12 Smlouva (1) Dokument musí obsahovat povinné náležitosti dané platnými právními předpisy. Pro potřeby této vyhlášky musí současně obsahovat minimálně: a) b) c) d)
e) f) g) h) i) j) k) l) m)
Identifikaci odběratele (správce). Identifikaci dodavatele. Předmět dodávky. Akviziční požadavky definované jako odkaz na jiný dokumenty, který jsou uvedené jako příloha smlouvy.: 1. Úvodní studie, 2. Systémové požadavky, 3. Projektový záměr nebo Nabídka dodavatele, Cenu dodávky. Časový plán dodávky a termíny ve kterých bude dodávka prověřována. Časový plán plateb dodavateli. Způsob stanovení kritérií a provedení akceptace. Řešení vlastnických, uživatelských, držitelských, záručních a licenčních práv spojená s opětovným použitím softwarových produktů. Stanovení záručních podmínek. Způsob provádění záručního a pozáručního servisu. Datum a podpis správce. Datum a podpis dodavatele. § 13 Globální návrh informačního systému (1) Dokument minimálně obsahuje:
a) Vlastní návrh: b) Zpřesněný plán vývoje informačního systému: (2) Vlastní návrh: a) Analýza a zpřesnění základních požadavků na systém, formulovaných v předchozích dokumentech. b) Úplná specifikace všech hlavních funkčních, procesních, prováděcích, datových, organizačních, personálních a dalších požadavků a nalezení odvozených požadavků.
- 16 c) Úplná specifikace všech známých omezení systému. d) Globální (koncepční) funkční model informačního systému, dekompozice informačního systému na jednotlivé subsystémy, specifikace vazeb mezi jednotlivými subsystémy. e) Globální (logický) datový model informačního systému dělený podle subsystémů a jejich vazeb. V případě nasazování typového aplikačního software – modifikace datového modelu podle nároků tohoto software. f) Číselníky používané v subsystémech a seznam datových prvků. g) Globální procesní model informačního systému zaměřený zejména na analýzu událostí a jejich vazeb. Návrh na rozdělení akcí na manuální a automatizované. h) Výchozí technologický model informačního systému. Obsahuje minimálně logickou strukturu programového systému, podklady pro distribuci funkcí a dat, konvence pro uživatelské rozhraní, použité vývojové prostředí. i) Návrh organizačních opatření souvisejících se zavedením informačního systému, včetně společného využívání datové základny. Organizační požadavky na archivace a obnovení. j) Vymezení kategorií uživatelů a analýza jejich charakteristik, celo-systémový koncept přístupových práv. k) Specifikace technické infrastruktury systému. Upřesnění centralizace, decentralizace nebo distribuce komponent. Kapacitní propočty nutného technického vybavení, návrh topologie sítě. l) Specifikace programového vybavení. Určení vrstev systému a jejich skladby, technologické infrastruktury a případně i vývojového prostředí. m) Zpřesněný plán vývoje informačního systému. (3) Zpřesněný plán vývoje informačního systému: a) Návrh postupu tvorby jednotlivých subsystémů, včetně termínů dokončení a dalších náležitostí postupu. b) Plán realizace systému, harmonogram prací. c) Plán školení a rekvalifikace pracovníků. d) Zpřesnění finančních nároků na přípravu a realizaci informačního systému, včetně nároků na řešitelské kapacity. e) Podrobný plán fáze návrhu softwaru a fáze kódování a testování softwaru. § 14 Detailní návrh informačního systému (1) Dokument obsahuje minimálně: a) b) c) d)
Detailní koncepční model systému Detailní technologický model Podrobný plán následujících fází vývoje informačního systému Návrh organizačního zajištění provozu (2) Detailní koncepční model systému:
a) Podrobný koncepční funkční model rozpracovaný na úroveň elementárních funkcí a jejich specifikace, resp. uživatelských postupů. b) Detailní specifikace vazeb manuálních a automatizovaných činností. c) Podrobná definice požadovaných vstupů a výstupů. d) Podrobný koncepční datový model. e) Klasifikace dat z hlediska vymezení přístupových práv. (3) Detailní technologický model:
- 17 a) Kompletní popis vnitřních a vnějších rozhraní systémů nebo subsystémů. b) Kompletní popisy logických struktur dat (položky, jejich délky a typy). c) Kompletní popisy všech používaných číselníků a seznam datových prvků (pouze ty datové prvky, které jsou vedené v informačním systému o datových prvcích, a které budou v systému užity nebo systémem poskytovány). d) Kompletní návrh distribuce funkcí a dat do částí informačního systému (s ohledem na lokality uživatelů). e) Popis fyzických charakteristik všech dat. f) Vazby na stávající údajovou základnu informačního systému. g) Podrobná specifikace technického vybavení architektury (detailní návrh konfigurace jednotlivých počítačů, návrh na jejich umístění v jednotlivých místnostech, návrh úprav budov a místností včetně specifikace přenosových cest). h) Kompletní návrh programového vybavení architektury systému až na úroveň jednotlivých modulů. i) Zadání programů, resp. požadavky na změny a doplňky ve vybraném programovém vybavení. (4) Podrobný plán následujících fází vývoje informačního systému: a) Harmonogram realizace návrhu. b) Plán na vytvoření testovacího prostředí a databáze testovacích dat (včetně naplnění) pro jednotlivé typy testů. c) Plán vývoje programového vybavení včetně testování jednotlivých modulů, včetně určení odpovědných pracovníků. d) Plán školení. e) Plán integračního testování, včetně určení a zaškolení odpovědných pracovníků. f) Plán kvalifikačního testování systému a podpory akceptace. (5) Návrh organizačního zajištění provozu: a) Specifikace všech navrhovaných organizačních změn a prostředků, jak těchto změn dosáhnout. b) Rozdělení odpovědnosti a náplň funkčních míst vztažených k navrhovanému informačního systému. c) Definice skupin uživatelů a přístupových práv (k funkcím i k skupinám dat). d) Způsob zálohování dat a archivace. § 15 Bezpečnostní návrh informačního systému (1) Dokument minimálně obsahuje: a) Systémová bezpečnostní příručka. b) Bezpečnostní směrnice informačního systému, která popisuje činnost bezpečnostního správce. c) Bezpečnostní směrnice informačního systému pro jednotlivé typy uživatelů informačního systému. (2) Systémová bezpečnostní příručka: a) Popis realizovaných bezpečnostních opatření. b) Systémová a programátorská dokumentace bezpečnostních mechanismů, popis jejich návazností.
- 18 (3) Bezpečnostní směrnice informačního systému, která popisuje činnost bezpečnostního správce: a) Popis bezpečnostních funkcí vztahujících se k činnosti správce. b) Návod k využívání bezpečnostních vlastností systému. c) Instrukce pro instalaci a konfiguraci bezpečnostních mechanismů. (4) Bezpečnostní směrnice informačního systému pro jednotlivé typy uživatelů informačního systému. a) Popis bezpečnostních funkcí vztahujících se k činnosti uživatele. b) Návod k využívání bezpečnostních vlastností systému přístupných danému uživateli. § 16 Protokol o kvalifikačním testování a) b) c) d)
Dokument minimálně obsahuje: Požadavky na kvalifikační testování. Pokrytí požadavků testem. Shoda s očekávanými výsledky. Proveditelnost provozování a údržby. § 17 Zpráva o provedení migrace
a) b) c) d) e)
Dokument minimálně obsahuje: Datum zahájení migrace. Datum ukončení migrace. Popis průběhu migrace. Informace o způsobu konverze dat. Informace o způsobu zajištění funkčnosti vnějších vazeb na migrovaný informačního systému. § 18 Zpráva o zavedení informačního systému a konverzi dat
a) b) c) d) e)
Dokument minimálně obsahuje: Popis postupu a výsledků zavádění a konverze dat. Popis požadovaných změn. Požadavky na provozní testování softwarových položek. Pokrytí požadavků na provozní testování testem. Proveditelnost převzetí systému do provozního užívání. § 19 Systémová příručka informačního systému
Dokument minimálně obsahuje: a) Popis implementovaného systému. b) Systémovou a programátorskou dokumentaci technického a programového vybavení.
- 19 c) Zprávu o provedených testech a jejich výsledcích. § 20 Uživatelská příručka informačního systému Dokument minimálně obsahuje: Stručný popis systému včetně jeho bezpečnostních funkcí pro potřebu uživatelů. a) Návody k obsluze. b) Další dokumentaci k jednotlivým subsystémům. c) Provozní řád informačního systému obsahující vymezení práv a povinností uživatelů. § 21 Školící a učební texty Dokument obsahuje materiály pro školení uživatelů a obsluhy systému. § 22 Protokol o převzetí informačního systému a) b) c) d) e) f)
Dokument minimálně obsahuje: Identifikaci systému. Datum převzetí systému. Specifikaci všech částí (komponent) systému. Popis zjištěných závad a způsobu jejich odstranění. Stanovisko zástupce správce. Závazky dodavatele (předávajícího). § 23 Evidence poruch a mimořádných událostí
Dokument musí minimálně obsahovat: a) Identifikaci období za které je evidence prováděna. b) Evidenci a statistiku poruch. c) Popis událostí, které způsobily ohrožení bezpečnosti nebo plynulosti provozu, neplánované změny nebo zastavení provozu informačního systému. d) Skutečnosti, které mají význam pro další vývoj informačního systému. § 24 Pravidla řízení projektu informačního systému, nebo jeho části (1) Řízení projektů se skládá z fází: a) b) c) d)
Přípravná fáze Zahájení projektu Průběh projektu Ukončení projektů
(2) Ve fázi přípravy projektu správce vybere druh projektu podle kterého bude postupovat a zpracovávat dokumenty odpovídající vybranému druhu projetu. Správce
- 20 zpracuje informační strategii, záměr informačního systému a projektový záměr. Správce se rozhodne zdali bude pokračovat další fáze nebo se od projektu ustoupí. (3) Ve fázi zahájení projektu správce zpracuje vlastními silami nebo formou akvizice úvodní studii. Po zpracování úvodní studie rozhodne o pokračování projektu a realizaci vlastními silami nebo akvizici. V případě akvizice správce zpracuje žádost o nabídku provede výběrové řízení a uzavře smlouvu s dodavatelem nebo ukončení projekt. (4) Ve fázi průběhu projektu monitoruje dodavatele podle uzavřené smlouvy a postupně formou akceptačního řízení přebírá projektové dokumenty Globální návrh informačního systému, Detailní návrh informačního systému, Bezpečnostní návrh informačního systému. Správce průběžně přebírá realizovaný projekt a o každé části projektu vede Protokol o kvalifikačním testování. Na závěr převzetí dílčího plnění podle druhu plnění zpracuje Zprávu o provedení migrace, Zprávu o zavedení informačního systému a konverzi dat. Správce převezme a zkontroluje před převzetím celého projektu minimálně následující dokumenty Systémovou příručku informačního systému, Uživatelskou příručku informačního systému, Školící a učební texty. Správce v průběhu monitorování a provozu informačního systému vede minimálně Evidenci poruch a mimořádných událostí. (5) Projekt je ukončen po vzájemné akceptaci předcházejících fází a závěrečnou akceptaci Protokolu o převzetí informačního systému. § 25 Účinnost Tato vyhláška nabývá účinnosti dnem 1. května 2005.
Ministr: Mlynář v.r.
- 21 Návrh VYHLÁŠKA ze dne …. …… 2005 o bezpečnostních opatřeních, které používají orgány veřejné správy k zajištění důvěrnosti, neporušenosti a dostupnosti zpracovávaných informací, a náležitostech jejich zavedení a o hodnocení rizik informačních systémů veřejné správy Ministerstvo informatiky stanoví podle čl. II písm. g) a h) zákona č. …/2005 Sb., kterým se mění zákon č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění zákona č. 517/2002 Sb., a další související zákony, k provedení § 5b odst. 2 a 3 zákona č. 365/2000 Sb., ve znění zákona č. …/2005 Sb.: §1 Předmět úpravy Tato vyhláška stanoví a) oblasti bezpečnostních opatření, které používají orgány veřejné správy k zajištění důvěrnosti, neporušenosti a dostupnosti zpracovávaných informací v informačních systémech veřejné správy (dále jen „bezpečnostní opatření“), b) náležitosti zavedení bezpečnostních opatření a c) náležitosti hodnocení rizik informačních systémů veřejné správy (dále jen „rizika“). §2 Oblasti bezpečnostních opatření (6) Orgán veřejné správy vybírá a implementuje bezpečnostní opatření ke snížení rizik vzniku události, která by vedla ke ztrátě důvěrnosti, neporušenosti a dostupnosti zpracovávaných informací (dále jen „událost“), na základě a) b) c) d)
požadavků zvláštních právních předpisů, bezpečnostní politiky orgánu veřejné správy1), která určí hlavní oblasti ochrany aktiv, zprávy o výsledku hodnocení rizik informačních systémů veřejné správy, posouzení nákladů na jejich realizaci a případných ztrát z výskytu události.
(7) Pro výběr bezpečnostních opatření používá orgán veřejné správy normu pro řízení informační bezpečnosti2). (8) Mezi povinná bezpečnostní opatření, která orgán veřejné správy realizuje bez ohledu na rozhodování podle odstavce 1 patří a) b) c) d) e) f) g) h) 1) 2)
veškerá opatření z oblasti bezpečnostní politiky, opatření pro přidělení odpovědnosti v oblasti bezpečnosti informací, opatření v oblasti školení uživatelů, opatření pro řešení bezpečnostních incidentů, opatření v oblasti řízení kontinuity poskytování veřejných služeb, opatření v oblasti určení použité legislativy, opatření pro ochranu práv duševního vlastnictví, opatření pro ochranu dokumentace organizace,
Vyhláška č. …/2005 Sb. o dlouhodobém řízení informačních systémů veřejné správy ČSN ISO/IEC 17799 Informační technologie – Soubor postupů pro řízení informační bezpečnosti
- 22 i) j)
opatření pro ochranu osobních údajů a opatření pro vyjádření shody s bezpečnostní politikou.
(9) K výběru bezpečnostních opatření orgán veřejné správy zpracovává zprávu o aplikovatelnosti, ve které odůvodní výběr konkrétních bezpečnostních opatření podle odstavce 1 a 2 a pokud některá opatření z normy podle odstavce 2 nevybírá, odůvodní toto rozhodnutí. §3 Náležitosti zavedení bezpečnostních opatření (10) Orgán veřejné správy vede záznamy o činnostech podle této vyhlášky. Záznamy musí být přístupné oprávněným osobám orgánu veřejné správy, atestačnímu středisku provádějícímu atestaci a kontrolu podle zákona č. 365/2000 Sb. a oprávněným osobám Ministerstva informatiky. (11) Pro účely implementace bezpečnostních opatření vytváří orgán veřejné správy vnitřní směrnice a seznamuje s jejich obsahem příslušné zaměstnance a pracovníky. Směrnice podléhají pravidlům řízené dokumentace podle normy pro řízení bezpečnosti informací2). §4 Hodnocení rizik (12) Hodnocení rizik informačních systémů veřejné správy provádí orgán veřejné správy v souladu s doporučenými postupy a podle nejlepších současných znalostí3). (13) Hodnocení rizik informačních systémů veřejné správy provádí orgán veřejné správy pro spravované informační systémy veřejné správy a pro informace, které jsou v informačních systémech veřejné správy zpracovávány. (14) Orgán veřejné správy provádí hodnocení rizik informačních systémů veřejné správy průběžně. Při zavedení bezpečnosti informačních systémů veřejné správy podle této vyhlášky provede souhrnné hodnocení rizik informačních systémů veřejné správy na počátku zavádění bezpečnosti a schválí zprávu o výsledku hodnocení rizik informačních systémů veřejné správy. Obsah zprávy odpovídá doporučené struktuře1). Orgán veřejné správy projedná a schválí zprávu o výsledku hodnocení rizik informačních systémů veřejné správy pokaždé, když dojde k podstatným změnám ve zkoumaných rizicích výskytu události, minimálně jednou ročně. §5 Účinnost Tato vyhláška nabývá účinnosti dnem 1. …… 2005.
Ministr: Mlynář v.r.
3)
Metodika Ministerstva informatiky pro bezpečnost informačních systémů veřejné správy
- 23 Návrh VYHLÁŠKA ze dne …. …… 2005 o náležitostech ověřovacího razítka držitele poštovní licence Ministerstvo informatiky stanoví podle čl. II písm. j) zákona č. …/2005 Sb., kterým se mění zákon č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění zákona č. 517/2002 Sb., a další související zákony, k provedení § 9a odst. 1 písm. f) zákona č. 365/2000 Sb., ve znění zákona č. …/2005 Sb.: §1 Předmět úpravy Tato vyhláška stanoví náležitosti ověřovacího razítka držitele poštovní licence. §2 Pojmy a) b) c) d)
Pro účely této vyhlášky se rozumí: ověřovacím razítkem razítko, které má náležitosti stanovené touto vyhláškou a slouží k označování ověřených výstupů z informačních systémů veřejné správy, jež vydává držitel poštovní licence, poštou provozovna držitele poštovní licence, rozlišovacím znakem jednomístné až trojmístné číslo, kterým se rozlišují jednotlivá ověřovací razítka přidělená jedné poště, tak aby bylo zjistitelné, která fyzická osoba razítko použila, poštovním směrovacím číslem poštovní směrovací znak sestávající ze skupiny pěti číslic. §3 Náležitosti ověřovacího razítka (1) Ověřovací razítko obsahuje tyto náležitosti
a) b) c) d)
název pošty, poštovní směrovací číslo, den, měsíc, rok a hodinu, rozlišovací znak. (2) Vzor ověřovacího razítka je přílohou této vyhlášky.
- 24 §4 Účinnost Tato vyhláška nabývá účinnosti dnem 1. …… 2005.
Ministr: Mlynář v.r.
Příloha k vyhlášce č. …/2005 Sb.
Vzor ověřovacího razítka
- 25 VYHLÁŠKA ze dne …. … 2005, kterou se stanoví datový formát údajů pro zpřístupnění nebo předání informací portálu veřejné správy Ministerstvo informatiky stanoví podle § 21 odst. 2 zákona č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění zákona č. …/2005 Sb. (dále jen „zákon“): §1 Předmět úpravy Tato vyhláška stanoví datový formát, který použijí povinné subjekty k zpřístupnění a k předání zákonem stanovených informací správci portálu veřejné správy způsobem umožňujícím dálkový přístup. §2 Forma a datový formát informací (3) Povinné subjekty zpřístupňují a předávají informace v elektronické podobě ve formě datové zprávy prostřednictvím referenčního rozhraní informačních systémů veřejné správy1). Datová zpráva je složena z datových prvků obsažených v informačním systému o datových prvcích2) (4) Formát datových zpráv pro zpřístupnění nebo předání informací je uveden v příloze. (5) Podrobný popis datových zpráv, jejich podrobnou strukturu a režim zpracování obsahuje provozní dokumentace portálu veřejné správy, kterou Ministerstvo informatiky zpracuje v souladu se zákonem o informačních systémech veřejné správy, a již uveřejní na veřejně přístupném místě způsobem umožňujícím dálkový přístup. Elektronickou adresu tohoto místa uveřejní Ministerstvo informatiky na portálu veřejné správy. §3 Účinnost Tato vyhláška nabývá účinnosti dnem 1. května 2005.
Ministr: Mlynář v. r.
1) 2)
§ 2 písm. i) zákona č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění pozdějších předpisů § 4 odst. 1 písm. i) zákona č. 365/2000 Sb.
- 26 -
Příloha k vyhlášce č. …/2005 Sb. Formát datové zprávy 1.
Datová zpráva je ve formátu XML. Pro definici datové zprávy se použije doporučení obsahující specifikaci jazyka XML (extensible markup language – značkovací jazyk, obecně technologie využívající tento značkovací jazyk).
2.
Definici datového rozhraní tvoří popis syntaxe přípustných dokumentů XML formou souboru DTD (document type definition – formalizovaný popis struktury datového souboru XML) a popis sémantiky souborů XML prostřednictvím tabulek s popisem jednotlivých datových prvků.
3.
Soubory DTD, popis sémantiky souborů XML a číselníky uveřejní Ministerstvo informatiky jako součást provozní dokumentace portálu veřejné správy na veřejně přístupném místě způsobem umožňujícím dálkový přístup, jehož elektronickou adresu uveřejní na portálu veřejné správy.
4.
Dokument se skládá z hlavičky dokumentu a z vlastních předávaných dat.
5.
Hlavička dokumentu odpovídá prologu dokumentu XML. Hlavička obsahuje prvky:
a) deklaraci verze použitého jazyka XML, b) deklaraci kódování dokumentu , c) definici typu dokumentu (DOCTYPE). 6.
Pro předávaná data se použije kódování ISO-Latin-2 podle normy ČSN ISO/IEC 8859.