Uživatelská standardizace procesů a dat v oblasti elektronických systémů spisové služby a digitalizace archivů

Uživatelská standardizace procesů a dat v oblasti elektronických systémů spisové služby a digitalizace archivů Etapa III. Podpora implementace nového standardu Praha, 9. a 12. 3. 2012 Číslo projektu: CZ.1.04/4.1.00/64.00002 Tento projekt je financován z Evropského sociálního fondu prostřednictvím Operačního programu Lidské zdroje a zaměstnanost a státního rozpočtu ČR. solit project, s.r.o je Akreditovanou Tréninkovou Organizací (ATO) PRINCE2®

PRINCE2® is a Registered Trade Mark of the Cabinet Office

Ing. Fiala Stanislav

solit project, s.r.o je Akreditovanou Tréninkovou Organizací (ATO) PRINCE2®


Osnova 1. Úvod - východiska a zadání projektu 2. Zkoumané standardy, normy a metodiky 3. Návrh interní metodiky MV pro uplatňování zásad a principů správy dokumentů 4. Návrh na doplnění NSESSS 5. Diskuse

Východiska a zadání projektu (I) Oblast správy dokumentů a informací je regulována zejména zákonem 499/2004 Sb. Další normativy představují mj. vyhláška 191/2004 Sb., resp. Národní standard pro elektronické systémy spisové služby



Východiska a zadání projektu (II) Ve světě existuje celá řada standardů, norem a dalších metodických dokumentů, které se problematikou zabývají V porovnání s českou legislativou i metodickou praxí pracují světové standardy s rozdílnými východisky



Východiska a zadání projektu (III) Projekt je zaměřen na: Nalezení a kodifikaci vhodného normativního základu pro sjednocení práce v elektronických systémech spisové služby zejména v rovině procesní a v rovině řízení a standardů kvality těchto systémů v jejich konkrétních implementacích Návrh na doplnění interní metodiky MV Návrh na rozšíření NSESSS solit project, s.r.o je Akreditovanou Tréninkovou Organizací (ATO) PRINCE2®


Zkoumané normy a standardy (I) ISO 15489 (*) BSI PP 0008 Admisibility of eRecords (*), MoReq II a MoReq 2010 (*), ANSI/ARMA 5-2003 (*), resp. novější verze ANSI/ARMA 5-2010,


ISOIEC 27001 ISO TR 15801 ISO 14721, ISO TR 18492, ISO TR 13028, ISO 16175, ISO 23081.


Zkoumané normy a standardy (I) Jednotlivé normy byly zkoumány z těchto hledisek: účel daného dokumentu, komu je určen, věcný obsah a předmět úpravy, přínosnost a omezení z hlediska daného projektu, jak může být daný dokument použit k vytvoření metodického rámce projektu.



ISO 15489 Přínosnost a omezení Norma poskytuje velmi dobrý návod pro navrhování a zavádění systémů pro správu dokumentů, ale nezahrnuje správu archiválií uložených v archivech.

Možnost využití Normu ISO 15489 (obě její části) je nutno považovat za základní zdroj pro vytvoření metodického rámce v daném projektu.



BSI PP 0008 Admisibility of eRecords Přínosnost a omezení Má význam v oblastech, kde je nezbytné zajistit věrohodnost informace v elektronické podobě. Příklad: datové sklady, služby eGovernmentu, elektronické zdravotní záznamy atd.

Možnost využití Možnosti považujeme za omezené. Stanovené principy a postupy jsou obsaženy i v jiných standardech, např. ISO/IEC 27001.



MoReq II a MoReq2010 Přínosnost a omezení Význam MoReq je klíčový. NSESSS vytvořený na základě MoReq2 patří mezi základní regulatorní dokumenty pro systémy správy dokumentů, resp. elektronickou spisovou službu (ERMS) v České republice.

Možnost využití MoReq je jedním ze základních zdrojů pro vytvoření metodického rámce v daném projektu.



ANSI/ARMA 5-2010 Přínosnost a omezení Přínosem normy je systematický pohled na řízení klíčových dokumentů organizace, jejich preventivní ochrany, včetně činností v mimořádných situacích při havarijních a katastrofických událostech.

Možnost využití Tato norma je využitelná a pro praxi přínosná.



ISO/IEC 27001 Přínosnost a omezení Jedná se o mimořádně významnou a široce aplikovanou normu Přínosy jak pro zajištění dostupnosti, důvěrnosti i integrity dokumentů, tak i pro možnost mezinárodně uznávané certifikace systému.

Možnost využití Metodický rámec musí bezpodmínečně zahrnovat také bezpečnost informací, a rámec poskytovaný touto normou je velmi příhodný. solit project, s.r.o je Akreditovanou Tréninkovou Organizací (ATO) PRINCE2®


ISO TR 15801 Přínosnost a omezení Tato norma rozpracovává obsah normy ISO 15489 do hloubky a ukazuje provázanost na další normy Norma není určena pro archivy a správu archiválií.

Možnost využití Jedná se o důležitou normu pro nastavení systému řízení v organizaci a jeho promítnutí do praxe správy dokumentů bez ohledu na jejich obsah a formu.



ISO 14721 Přínosnost a omezení Norma stanovuje požadavky a návody pro realizaci softwarových systémů pro ukládání dokumentů se zaměřením na archivy. Nespecifikuje design nebo implementaci.

Možnost využití Normu lze využít pro návrhy řešení elektronických archivů, resp. dlouhodobého ukládání elektronických dokumentů Využití zejména pro nastavení požadavků na tvorbu softwarových systémů. solit project, s.r.o je Akreditovanou Tréninkovou Organizací (ATO) PRINCE2®


ISO TR 18492 Přínosnost a omezení Umožňuje pochopit význam cílů a požadavků na systém správy el. dokumentů dle ISO 15489. Zaměřena pouze na prostředky výpočetní techniky, v tom je i její největší omezení.

Možnost využití Důležitá zejména pro nastavení požadavků na zavádění softwarových systémů v oblasti správy dokumentů.



ISO TR 13028 Přínosnost a omezení Nastavení procesů, určení odpovědnosti a dalších organizačních aspektů při digitalizaci dokumentů. Navazuje na ISO 15489 a ISO TR 15801. Vysvětluje úskalí při řešení digitalizace spočívající v kapacitních problémech, definování zdrojů a zajištění souladu s legislativním prostředím.

Možnost využití Důležitá zejména pro nastavení požadavků na digitalizaci a správu digitalizovaných dokumentů. solit project, s.r.o je Akreditovanou Tréninkovou Organizací (ATO) PRINCE2®


ISO 16175 Přínosnost a omezení Umožnění společného postupu organizací zavádějících správu dokumentů vůči výrobcům softwaru. Zajišťuje konzistenci dlouhodobě ukládaných elektronických dokumentů v rámci organizace i mezi organizacemi. Určena zejména pro výrobce / dodavatele

Možnost využití Vzhledem k překryvu s dalšími normami nedoporučujeme normu dále rozpracovávat solit project, s.r.o je Akreditovanou Tréninkovou Organizací (ATO) PRINCE2®


ISO 23081 Přínosnost a omezení Vytvoření předpokladů pro společný postup organizací při standardizaci popisných metadat dokumentů a zajištění interoperability Určena zejména pro výrobce / dodavatele

Možnost využití Vzhledem k překryvu s dalšími normami nedoporučujeme normu dále rozpracovávat



Zkoumané normy a standardy (II) Standardy zásadní pro vytvoření konceptuálního modelu ISO 15489 MoReq ISO/IEC 27001


Doplňující standardy pro vytvoření konceptuálního modelu ISO TR 15801 ISO 14721 ISO TR 18492 ISO TR 13028 ANSI/ARMA 5


Společné znaky a odlišnosti Oblast / Dokument

Zákon

Vyhláška

NSESSS

ISO 15489-1

ISO 15489-2

Vymezení působnosti Koncepční vymezení správy dokumentů Požadavky na vnitřní předpisy Dokumentace procesů správy dokumentů Řízení přístupu a bezpečnost Příjem a evidování Třídění Vyřizování Ukládání Vyhledávání a zpřístupňování Vyřazování a skartace Kontrola Školení Změny a mimořádné okolnosti solit project, s.r.o je Akreditovanou Tréninkovou Organizací (ATO) PRINCE2®


Využitelnost standardů (I) V organizacích nespadajících pod působnost zákona je třeba aplikovat celý rozsah ISO 15489. Důvody: ISO 15489 plně pokrývá potřeby správy dokumentů a systémů pro správu dokumentů, které vycházejí z obecných principů nejlepší praxe osvědčených ve vyspělých státech, v těchto organizacích není k dispozici žádný návodný dokumentovaný postup, jak zajistit správu dokumentů, a to ani z hlediska vlastních potřeb organizace, ani z hlediska potřeb zachování paměti (národního dědictví) a následných zákonných požadavků na výběr archiválií a nakládání s nimi, ISO 15489 je srozumitelná a metodicky přijatelná norma umožňující přímou implementaci jejích myšlenek a ustanovení v konkrétních podmínkách organizací. solit project, s.r.o je Akreditovanou Tréninkovou Organizací (ATO) PRINCE2®


Využitelnost standardů (II) Pro určené a další původce spadající pod působnost zákona je normu ISO 15489 velmi vhodné využít, protože v důležitých oblastech rozšiřuje zákon a spisovou vyhlášku. ISO 15489 obsahuje významné „delta“ ve srovnání s českou legislativou, zejména v oblasti řízení správy dokumentů a systémů pro správu dokumentů. Oblasti doplnění viz dále



Využitelnost standardů (III) Oblasti doplnění české legislativy z ISO 15489: Koncepční vymezení správy dokumentů Dokumentace procesů správy dokumentů Řízení přístupu a bezpečnost Třídění z hlediska přístupu a bezpečnosti Kontrola Školení



Návrh metodických pokynů pro Interní metodiku a pro doplnění NSESSS Na základě popsaného zhodnocení byl vytvořen návrh metodických pokynů, které podle jednotlivých oblastí reflektují možnosti doplnění interních metodik MV ČR, resp. NSESSS



Doplnění: Interní metodika (I) 1. Organizace vypracuje koncepční a strategický dokument (dokumenty) pro správu dokumentů v organizaci, s tím, že na názvu ani struktuře nezáleží. Tuto dokumentaci nebo principy je třeba začlenit, zapracovat vhodným způsobem do systému vnitřních předpisů organizace. 2. Organizace vypracuje plán úkolů v oblasti správy dokumentů, který váže na strategické záměry organizace v této oblasti. Na formě nezáleží, je vhodné, aby vázal na úkoly z příbuzných oblastí jako ICT apod.



Doplnění: Interní metodika (II) 3. Organizace přesně specifikuje role podílející se v organizaci na práci s dokumenty, zejména správě systému pro správu dokumentů, včetně ERMS. Je třeba stanovit jejich působnost a odpovědnosti. 4. Organizace definuje kvalifikační předpoklady pro jednotlivé role a požadavky na jejich školení. 5. Organizace vytvoří program vzdělávání v oblasti správy dokumentů, který se týká všech pracovníků organizace, zejména osob přicházejících jakýmkoli způsobem do styku s dokumenty, a také odborníků v oblasti správy dokumentů. solit project, s.r.o je Akreditovanou Tréninkovou Organizací (ATO) PRINCE2®


Doplnění: Interní metodika (III) 6. Organizace za program vzdělávání stanoví odpovědnost a přidělí příslušné zdroje. 7. Organizace zavede hodnocení efektivnosti programu vzdělávání. 8. Organizace vytvoří model personální certifikace, který nastavuje definované vzdělávací schéma pro role manažera správy dokumentů, auditora, interního auditora a konzultanta správy dokumentů. Model personální certifikace musí odpovídat specifickým potřebám organizace.



Doplnění: Interní metodika (IV) 9. Organizace může pro tvorbu modelu personální certifikace nebo kurzů „šitých na míru“ využít služeb třetích stran, včetně profesních odborných organizací (například IRMS CRG). 10. Organizace pověří nějaké pracoviště sledováním vývoje v legislativě a standardizaci v oblasti spisové služby, vyhledáváním nových metodik a soustřeďováním informací o nejlepší praxi v oboru spisové služby. Organizace stanoví tomuto pracovišti úkoly. Pověřené pracoviště musí získané informace předávat kompetentním osobám v organizaci odpovědným za spisovou službu. solit project, s.r.o je Akreditovanou Tréninkovou Organizací (ATO) PRINCE2®


Doplnění: Interní metodika (V) 11. Organizace musí při zavádění nebo re-designu systému pro správu dokumentů (spisové služby) v organizaci rozhodnout na úrovni vedení organizace o míře integrace s ostatními systémy řízení. Organizace musí definovat organizační, odpovědnostní a dokumentační rozhraní mezi systémy řízení a systémem správy dokumentů. Tuto koncepci je vhodné popsat v programu správy dokumentů.



Doplnění: Interní metodika (VI) 12. Organizace vytvoří ucelený systém dokumentace správy dokumentů na systémové úrovni zohledňující prostředí organizace. Organizace musí zajistit návaznost na vnitřní předpisy organizace tak, aby vznikl konzistentní systém srozumitelný všem zúčastněným.



Doplnění: Interní metodika (VII) 13. Doporučená struktura dokumentovaného systému řízení správy dokumentů: • koncepční a strategické dokumenty, • program správy dokumentů, • dokumentované postupy správy dokumentů.

Způsob zapracování do vnitřních předpisů organizace je na samotné organizaci. 14. Vypracovat koncepční a strategické dokumenty (např. Politika správy dokumentů a Strategie správy dokumentů) jako předpoklad úspěšného návrhu a zavedení systému pro správu dokumentů. (viz bod 1) solit project, s.r.o je Akreditovanou Tréninkovou Organizací (ATO) PRINCE2®


Doplnění: Interní metodika (VIII) 15. Programu správy dokumentů je vrcholovým metodickým, systémovým dokumentem, který zastřešuje celý systém řízení správy dokumentů. Organizace seznámí s dokumentací všechny pracovníky organizace a vysvětlí jim smysl a význam toho, co tato dokumentace obsahuje. 16. Pro navrhování a zavádění dlouhodobě fungujících systémů pro správu dokumentů je zásadní použitá metodika jejich návrhu a implementace. Organizace se při návrhu a zavádění systému správy dokumentů řídí postupem nejlepší praxe definovaným v ISO 15489. solit project, s.r.o je Akreditovanou Tréninkovou Organizací (ATO) PRINCE2®


Doplnění: Interní metodika (IX) 17. Organizace musí při návrhu a zavádění systému pro správu dokumentů důsledně uplatnit principy projektového řízení. Návrh a zavádění systému pro správu dokumentů má zásadní vliv na většinu procesů v organizaci a ovlivňuje běžnou praxi většiny pracovníků. 18. Organizace stanoví projektového manažera a dále v rámci projektového řízení řešitelský tým, rozpočet, harmonogram, kontrolní mechanismy, komunikační pravidla v rámci projektu, plán testování, podmínky akceptace systému správy dokumentů apod. solit project, s.r.o je Akreditovanou Tréninkovou Organizací (ATO) PRINCE2®


Doplnění: Interní metodika (X) 19. Organizace musí začlenit bezpečnost informací správy dokumentů do systému řízení bezpečnosti informací v organizaci. 20. Organizace zapracuje principy bezpečnosti informací správy dokumentů do Politiky informační bezpečnosti a do směrnice pro správu informací (pokud takové dokumenty v organizaci existují). 21. Organizace specifikuje seznamy aktiv, hrozeb a zranitelností v oblasti správy dokumentů.



Doplnění: Interní metodika (XI) 22. Organizace provede analýzu rizik v oblasti správy dokumentů. Tuto analýzu provádí organizace opakovaně a systematicky. 23. Organizace definuje v návaznosti na výsledky analýzy rizik návrh opatření pro zvládání rizik a specifikuje plán realizace opatření obsahující odpovědnosti, zdroje a termíny. 24. Organizace vypracuje program systematického monitorování o ověřování systému pro správu dokumentů. Je třeba nastavit intervaly a obsah ověřování.



Doplnění: Interní metodika (XI) 25. V rámci programu monitorování o ověřování systému organizace vypracuje plán auditní činnosti. V podstatě se jedná o program interních auditů zaměřených na ověřování efektivity a rutiny procesů správy dokumentů. 26. Organizace může podle potřeby využít nezávislé ověření externími audity. 27. Organizace může pro systematické, komplexní, nezávislé a reprodukovatelné ověření využít certifikace systému pro správu dokumentů akreditovaným certifikačním orgánem.



Doplnění: NSESSS (I) Národní standard pro elektronické systémy spisové služby (NSESSS) obsahuje strukturovaný seznam požadavků na funkce elektronických systémů spisové služby (ERMS – Electronic Record Management System). Všechny uvedené požadavky jsou vztaženy k ERMS. Tento návrh na doplnění NSESSS obsahuje požadavky nikoli na ERMS, ale na organizaci, ve které je ERMS zaváděn. Pod univerzálním pojmem „organizace“ se míní jakýkoli „adresát“, „uživatel“, „původce“ či „subjekt“, pro kterého je užití NSESSS povinné nebo doporučené. solit project, s.r.o je Akreditovanou Tréninkovou Organizací (ATO) PRINCE2®


Doplnění: NSESSS (II) 1. Organizace provede analýzu prostředí organizace z hlediska potřeb ERMS; na základě toho přijme kvalifikovaná rozhodnutí na vyjmutí, úpravu nebo přidání volitelných požadavků NSESSS. Provedené úpravy musí být zdokumentovány a zdůvodněny. 2. Organizace provede analýzu potřeby účelových modulů ERMS v souladu se specifikací NSESSS. Zvážit potřeby, možnosti a náklady na zavedení rozšířené funkčnosti ERMS.



Doplnění: NSESSS (III) 3. Analýzu potřeb účelových modulů organizace provede zpravidla ve stádiu předprojektové a projektové přípravy ERMS; provede například analýzu SWOT, analýzu rizik a analýzu přínosů / nákladů (CBA – Cost-Benefit Analysis). 4. Organizace zajistí včasné zohlednění platných legislativních požadavků a technických standardů s cílem předejít provádění dodatečných a nákladných úprav ERMS. 5. Organizace zpravidla vypracuje zadání pro dodavatele ERMS opírající se o upravenou specifikaci NSESSS.



Doplnění: NSESSS (IV) 6. Organizace vypracuje formální model řízení přístupu k ERMS, definuje role a jejich přístupová práva. 7. Organizace stanoví pravidla pro používání autentizačních nástrojů uživatelů (typicky používání hesel) a zajištění jejich bezpečnosti. 8. Podle potřeby a možností organizace integruje pravidla řízení přístupu, nastavování přístupových práv rolím a ochrany autentizačních nástrojů do současně platných vnitřních předpisů v organizaci.



Doplnění: NSESSS (V) 9. Organizace provede analýzu bezpečnostních rizik ERMS. První analýza rizik by měla být provedena ještě před zahájením prací na implementaci ERMS, následná před ukončením zkušebního provozu. 10. Na základě analýzy rizik organizace stanoví kritické časové limity dostupnosti služeb ERMS. Při tom zohlední následky nedostupnosti ERMS pro interní zákazníky (pracovní procesy) a pro externí zákazníky (občany, klienty).



Doplnění: NSESSS (VI) 11. Organizace stanoví na opatření související se spolehlivým zálohováním ERMS a zpracuje Plán zálohování a obnovy dat ERMS; tento plán obsahuje jak periodicitu a způsob zálohování, tak i pravidla ukládání a ochrany záložních kopií dat. 12. Organizace definuje události zaznamenávané v transakčním protokolu. Zohlední při tom potřeby monitorování ERMS a kontrolní činnosti. 13. Organizace stanoví pravidla vedení a ochrany integrity transakčních protokolů, nastaví procesy a zvolí techniky (například filtry) pro vyhodnocování transakčních protokolů. solit project, s.r.o je Akreditovanou Tréninkovou Organizací (ATO) PRINCE2®


Doplnění: NSESSS (VII) 14. Podle potřeby a možností organizace využije již zavedené procesy, techniky a technologie používané pro zálohování a obnovu dat, vedení, ukládání a ochranu kontrolních záznamů (protokolů, logů). 15. Je-li to relevantní, organizace specifikuje „nezbytné dokumenty“ a stanoví zvláštní pravidla jejich ochrany.



Doplnění: NSESSS (VIII) 16. Organizace vytvoří pravidla používání elektronické pošty; stanoví účel používání elektronické pošty, statut zpráv, omezení na používání elektronické pošty v organizaci a právní otázky vlastnictví zpráv, resp. poštovní tajemství. 17. Organizace vytvoří pravidla příjmu zpráv elektronické pošty do ERMS z hlediska jejich původu, důležitosti a obsahu. 18. Organizace zpravidla vytvoří pravidla používání elektronické podatelny a datových schránek, v souladu s platnými právními předpisy.



Doplnění: NSESSS (IX) 19. Organizace stanoví počet a vzájemné vztahy správců ERMS, jejich úkoly, pravomocí a zastupování. Vymezí vztahy součinnosti s ostatními správci (operačního systému, databáze, serverů, koncových stanic, uživatelů atd.) s cílem zajistit požadovanou úroveň služeb ERMS. 20. Organizace vymezí, ve vhodné míře detailu, závazné pracovní postupy správy ERMS. 21. Organizace stanoví reakci správců na vybrané události vyplývající z reportingu, zejména na chybová hlášení.



Doplnění: NSESSS (X) 22. Organizace stanoví požadavky na vedení dokumentace ERMS. 23. Organizace vypracuje pravidla pro provádění výjimečných operací, jako je provádění změn, výmazu a úprav dokumentů v ERMS; pravidla obsahují specifikaci důvodů, způsobů, oprávnění a dokumentace těchto výjimečných operací. 24. Pokud se organizace rozhodne pro služby ERMS poskytované externím subjektem (outsourcing ERMS), provede zpravidla kvalifikovanou analýzu rizik outsourcingu, aby mohla správně ošetřit tato rizika ve smlouvě o poskytování služeb.



Doplnění: NSESSS (XI) 25. Organizace zhodnotí potřeby dlouhodobého uchování dokumentů v ERMS v souvislosti s riziky zastarávání technologií; zvolí vhodné technologie a formáty uchování dat. Je-li to potřebné, vypracuje strategii zajištění dlouhodobého přístupu k dokumentům. 26. Organizace bude zpravidla usilovat o jednoduché a ergonomické ovládání ERMS, aby tento systém byl pro uživatele snadno použitelný a přirozeně začlenitelný do běžných pracovních procesů.



Doplnění: NSESSS (XII) 27. Organizace provede analýzu následků krátkodobých i dlouhodobých výpadků ERMS z činnosti (BIA – Business Impact Analysis); tato analýza může být součástí analýzy rizik. Na základě analýzy BIA organizace připraví Plán kontinuity činností (BCP – Business Continuity Plan). 28. Organizace zpracuje havarijní plán ERMS a zajistí jeho pravidelnou aktualizaci a testování. 29. Organizace připraví nouzové scénáře pro případ výpadku ERMS po dobu delší, než je stanovená maximální doba nedostupnosti.



Doplnění: NSESSS (XIII) 30. Organizace stanoví pravidla pro přenos, export a zničení spisových a skartačních plánů, dokumentů, metadat a transakčních protokolů.



Prostor pro Vaše otázky a diskusi.



Děkuji Vám za pozornost. Ing. Fiala Stanislav



Uživatelská standardizace procesů a dat v oblasti elektronických systémů spisové služby a digitalizace archivů

Recommend Documents