529/2006 Sb.
VYHLÁŠKA
ze dne 23. listopadu 2006
o požadavcích na strukturu a obsah informační koncepce a provozní dokumentace
a o požadavcích
na řízení bezpečnosti a kvality informačních systémů veřejné správy
(vyhláška o dlouhodobém
řízení informačních systémů veřejné správy)
Ministerstvo informatiky stanoví podle § 12 odst. 1 písm. e) a písm.
f) zákona č. 365/2000 Sb., o informačních systémech veřejné správy
a o změně některých dalších zákonů, ve znění zákona č. 81/2006 Sb.,
(dále jen "zákon") k provedení § 5a odst. 1 až 3 zákona:
§ 1
Předmět úpravy
Tato vyhláška stanoví
a) požadavky na strukturu a obsah informační koncepce, postupy orgánů
veřejné správy při jejím vytváření, vydávání, při vyhodnocování jejího
dodržování a požadavky na řízení bezpečnosti a kvality informačních
systémů veřejné správy podle § 5a odst. 1 zákona,
b) požadavky na strukturu a obsah provozní dokumentace podle § 5a odst.
2 zákona a na rozsah provozní dokumentace předkládané při atestaci
podle § 5a odst. 3 zákona.
ČÁST PRVNÍ
INFORMAČNÍ KONCEPCE
§ 2
Obsah a struktura informační koncepce
(1) Orgán veřejné správy v informační koncepci uvede
a) charakteristiku každého informačního systému veřejné správy, jehož
je správcem, stručnou charakteristiku jeho současného stavu a předpokládané
změny v tomto systému,
b) záměry na pořízení nebo vytvoření nových informačních systémů veřejné
správy,
c) dlouhodobé cíle v oblasti řízení kvality informačních systémů veřejné
správy, požadavky na kvalitu a plán řízení kvality podle § 3,
d) dlouhodobé cíle v oblasti řízení bezpečnosti informačních systémů
veřejné správy, požadavky na bezpečnost a plán řízení bezpečnosti podle
§ 4,
e) soubor základních pravidel (dále jen "zásady") pro správu informačních
systémů veřejné správy, a to včetně postupů, které vedou k jejich naplňování,
f) způsob financování záměrů podle písmene b), dlouhodobých cílů podle
písmen c) a d) a správy informačních systémů veřejné správy podle písmene
e),
g) postupy při vyhodnocování dodržování informační koncepce podle §
7 a při provádění jejích změn podle § 6,
h) funkční zařazení zaměstnance nebo určení jiné fyzické osoby nebo
název organizačního útvaru, který řídí provádění činností vedoucích
k dosažení cílů, naplňování zásad a uplatňování postupů, které jsou
v informační koncepci uvedeny, a ke splnění povinností, které orgánu
veřejné správy stanoví zákon,
i) dobu platnosti informační koncepce.
(2) Orgán veřejné správy charakterizuje jednotlivé informační systémy
veřejné správy podle odstavce 1 písm. a) tak, že z hlediska jejich
efektivní správy
a) charakterizuje každý informační systém veřejné správy zvlášť, nebo
b) dva a více informačních systémů veřejné správy charakterizuje jako
subsystémy jednoho informačního systému veřejné správy.
(3) Zásady pro správu informačních systémů veřejné správy, včetně
postupů, které vedou k jejich naplňování, podle odstavce 1 písm. e)
stanoví orgán veřejné správy vždy pro oblasti
a) pořizování a vytváření informačních systémů veřejné správy,
b) provozování informačních systémů veřejné správy, a to včetně jejich
změn a rozvoje.
§ 3
Dlouhodobé cíle v oblasti řízení kvality
(1) Orgán veřejné správy v informační koncepci stanoví podle § 2 odst.
1 písm. c) dlouhodobé cíle, kterých chce dosáhnout v oblasti řízení
kvality informačních systémů veřejné správy; těmito cíli jsou vždy
a) zajištění kvality dat, která jsou v těchto systémech zpracovávána,
b) zajištění kvality technických a programových prostředků podle § 2
písm. a) zákona,
c) zajištění kvality služeb, které jsou prostřednictvím těchto systémů
poskytovány.
(2) Pro dosažení cílů podle odstavce 1 orgán veřejné správy v informační
koncepci stanoví požadavky na kvalitu.
(3) Orgán veřejné správy v informační koncepci stanoví plán řízení
kvality, který obsahuje popis činností, které orgán veřejné správy
vykonává pro dosažení stanovených požadavků na kvalitu informačních
systémů veřejné správy, včetně časového harmonogramu jejich plnění.
§ 4
Dlouhodobé cíle v oblasti řízení bezpečnosti
(1) Orgán veřejné správy v informační koncepci stanoví podle § 2 odst.
1 písm. d) dlouhodobé cíle, kterých chce dosáhnout v oblasti řízení
bezpečnosti informačních systémů veřejné správy; těmito cíli jsou vždy
a) bezpečnost dat, která jsou v těchto systémech zpracovávána,
b) bezpečnost technických a programových prostředků podle § 2 písm.
a) zákona,
c) bezpečnost služeb, které jsou prostřednictvím těchto systémů poskytovány.
(2) Pro dosažení cílů podle odstavce 1 orgán veřejné správy v informační
koncepci stanoví požadavky na bezpečnost informačních systémů veřejné
správy.
(3) Orgán veřejné správy v informační koncepci stanoví plán řízení
bezpečnosti, který obsahuje popis činností, které orgán veřejné správy
vykonává pro dosažení stanovených požadavků na bezpečnost informačních
systémů veřejné správy, včetně časového harmonogramu jejich plnění.
§ 5
Postup při vytváření informační koncepce
(1) Orgán veřejné správy stanoví v informační koncepci dlouhodobé
cíle, zásady a postupy podle § 2 odst. 1 vždy s ohledem na
a) data, která jsou v informačních systémech veřejné správy zpracovávána,
b) služby, které jsou prostřednictvím informačních systémů veřejné správy
zajišťovány,
c) použité technické a programové prostředky podle § 2 písm. a) zákona.
(2) Pokud má orgán veřejné správy provozní informační systémy, které
mají vazby na informační systémy veřejné správy podle § 3 odst. 5 zákona,
popisuje v informační koncepci
a) tyto vazby, nebo
b) provozní informační systémy obdobně jako informační systémy veřejné
správy, pokud z hlediska jejich efektivní správy považuje za účelné
stanovit dlouhodobé cíle, zásady a postupy podle § 2 odst. 1 pro všechny
informační systémy, které provozuje.
§ 6
Schvalování informační koncepce a provádění změn v informační koncepci
(1) Údaje o schválení informační koncepce nebo jejích jednotlivých
verzí se v tomto dokumentu zaznamenávají ve struktuře
a) označení verze informační koncepce,
b) jméno, popřípadě jména a příjmení zaměstnance nebo jiné fyzické osoby
nebo osob, které informační koncepci nebo její verzi zpracovaly,
c) jméno, popřípadě jména a příjmení zaměstnance, jiné fyzické osoby
nebo orgánu, který informační koncepci nebo její verzi schválil,
d) datum schválení.
(2) Pokud orgán veřejné správy provede změnu v informační koncepci
v souladu se zásadami a postupy stanovenými v § 2 odst. 1 písm. g)
a znění této informační koncepce je schváleno, je vytvořena nová verze
informační koncepce. Její změnu lze provést vytvořením nového dokumentu
nebo připojením dodatku ke stávajícímu dokumentu.
(3) Součástí každé verze informační koncepce, která vznikla provedením
změn v předchozí verzi informační koncepce, je vždy popis a odůvodnění
změny a identifikace příslušné části dokumentu, která byla změněna.
(4) Orgán veřejné správy v průběhu doby, kterou informační koncepce
časově pokrývá, provádí změny v informační koncepci tak, aby byl vždy
zachován soulad obsahu koncepce se skutečným stavem a aktuálními požadavky
orgánu veřejné správy.
§ 7
Vyhodnocování dodržování informační koncepce
(1) Orgán veřejné správy vyhodnocuje dodržování informační koncepce
v souladu se zásadami a postupy stanovenými podle § 2 odst. 1 písm. g), stanovuje
závěry z vyhodnocení a přijímá opatření k odstranění
zjištěných nedostatků; dodržování informační koncepce vyhodnocuje nejméně
jednou za 24 měsíců.
(2) O průběhu vyhodnocování, závěrech a opatřeních přijatých na základě
poznatků z vyhodnocení pořizuje orgán veřejné správy zápis o vyhodnocení.
§ 8
Zásady a postupy pro pořizování a vytváření
informačních systémů veřejné správy
(1) Orgán veřejné správy v informační koncepci uvede, jaké zásady
a postupy uplatňuje před pořízením nebo vytvořením informačních systémů
veřejné správy podle § 2 odst. 3 písm. a), a to vždy zásady a postupy
pro
a) definování potřeby informačního systému veřejné správy, který má
být pořízen nebo vytvořen, a analýzu zdrojů pro jeho pořízení nebo
vytvoření, včetně očekávané finanční náročnosti,
b) analýzu výchozího stavu,
c) stanovení cílového stavu informačního systému veřejné správy,
d) stanovení kvalitativních požadavků a požadavků na zajištění bezpečnosti,
e) analýzu důsledků, které pořízení nebo vytvoření informačního systému
veřejné správy může vyvolat.
(2) Pokud orgán veřejné správy hodlá v souladu se svými dlouhodobými
cíli pořizovat informační systémy veřejné správy od dodavatele, v informační
koncepci uvede
a) jakou dokumentaci a jaká oprávnění nezbytná pro provádění údržby
a změn v informačním systému veřejné správy je nutné v rámci dodávek
vyžadovat, a to i s ohledem na to, zda správce informačního systému
veřejné správy hodlá případné změny v tomto systému nebo odstraňování
poruch provádět vlastními silami,
b) jaké požadavky na projektové řízení uplatňuje u dodavatele,
c) požadavky na testování informačního systému veřejné správy a akceptaci
dodávky před jejím převzetím od dodavatele.
(3) Pokud orgán veřejné správy hodlá v souladu se svými dlouhodobými
cíli vytvářet informační systémy veřejné správy prostřednictvím svých
zaměstnanců, v informační koncepci uvede náležitosti dokumentování
procesů tohoto vytváření.
(4) Pokud orgán veřejné správy uplatňuje při vytváření informačního
systému veřejné správy projektové řízení, v informační koncepci uvede
zásady projektového řízení s využitím české technické normy, která
stanoví projektové postupy1).
§ 9
Zásady a postupy pro provozování informačních systémů veřejné správy
(1) Orgán veřejné správy v informační koncepci uvede, jaké zásady
a postupy uplatňuje při provozování informačních systémů veřejné správy
podle § 2 odst. 3 písm. b), a to vždy zásady a postupy pro
a) zajištění provozu a údržby informačních systémů veřejné správy, a
to včetně vytváření a údržby provozní dokumentace a vyhodnocování jejího
dodržování,
b) řízení změn v informačních systémech veřejné správy,
c) řízené ukončení činnosti informačních systémů veřejné správy.
(2) Součástí postupů podle odstavce 1 písm. a) je popis postupů, jejichž
uplatnění zajistí soulad provozování informačních systémů veřejné správy
s informační koncepcí a provozní dokumentací, a to vždy popis postupů
pro vyhodnocování tohoto souladu. Zároveň se stanoví povinnosti jednotlivých
zaměstnanců nebo jiných fyzických osob ve vztahu k uvedeným činnostem.
(3) Řízením změn podle odstavce 1 písm. b) se rozumí zajištění činností
při řízení procesu navrhování a schvalování změn v informačním systému
veřejné správy a při řízení procesu realizace těchto změn. Řízení změn
musí být vždy dokumentováno.
(4) V souvislosti s řízením změn podle odstavce 1 písm. b) orgán veřejné
správy v informační koncepci stanoví rozsah činností, které lze provádět
výhradně v rámci provádění změn podle odstavce 1 písm. b) a které lze
provádět v rámci údržby informačního systému veřejné správy. Údržbou
se rozumí provádění činností, které vedou k zachování funkcí informačního
systému veřejné správy v požadovaném a nezměněném stavu, a změnou kvalitativní
změna informačního systému veřejné správy, a to vždy změna funkčnosti
nebo datového rozhraní.
(5) Součástí postupů v souvislosti s řízením změn podle odstavce 1 písm. b) je
vždy
a) definování potřeby změn v informačním systému veřejné správy,
b) analýza výchozího stavu pro rozvoj informačního systému veřejné správy,
c) stanovení cílového stavu informačního systému veřejné správy,
d) stanovení kvalitativních požadavků a požadavků na zajištění bezpečnosti
vztahujících se k cílovému stavu informačního systému veřejné správy,
e) návrh transformace z výchozího stavu do cílového stavu informačního
systému veřejné správy,
f) analýza důsledků, které změna může vyvolat,
g) promítnutí změn do provozní dokumentace.
(6) Orgán veřejné správy v souvislosti s řízeným ukončením činnosti
informačních systémů veřejné správy podle odstavce 1 písm. c) v informační
koncepci stanoví zásady a postupy při definování potřeby ukončení činnosti
informačního systému veřejné správy.
(7) Dříve, než je ukončena činnost informačního systému veřejné správy
a tento systém je vyřazen z provozu, musí být v souladu s postupy stanovenými
podle odstavce 1 písm. c) bezpečně naloženo s daty, která informační
systém veřejné správy zpracovává, a to včetně nosičů těchto dat, s
cílem zabránit neoprávněnému přístupu k těmto datům.
ČÁST DRUHÁ
PROVOZNÍ DOKUMENTACE
§ 10
Požadavky na strukturu provozní dokumentace
(1) Provozní dokumentaci informačního systému veřejné správy tvoří
tyto dokumenty:
a) bezpečnostní dokumentace informačního systému veřejné správy,
b) systémová příručka,
c) uživatelská příručka.
(2) Bezpečnostní dokumentaci informačního systému veřejné správy
podle odstavce 1 písm. a) tvoří
a) bezpečnostní politika informačního systému veřejné správy, a to vždy
pokud systém má vazby s informačním systémem veřejné správy jiného
správce nebo pokud orgán veřejné správy není provozovatelem tohoto
systému,
b) bezpečnostní směrnice pro činnost bezpečnostního správce systému.
(3) Orgán veřejné správy může podle svých potřeb, a to vždy s ohledem
na počet uživatelů, sloučit dokumenty podle odstavce 1 do jednoho dokumentu.
(4) Orgán veřejné správy může zpracovat jednu provozní dokumentaci
pro více informačních systémů veřejné správy, a to za předpokladu,
že
a) zásady a postupy pro provozování těchto systémů jsou shodné,
b) žádný z dotčených informačních systémů veřejné správy nemá vazbu
na informační systém jiného správce,
c) práva na zápis, změnu nebo vymazání dat, která tyto systémy zpracovávají,
jsou omezena na konečný počet jmenovitě určených zaměstnanců orgánu
veřejné správy.
(5) V případech podle odstavce 4 musí být v provozní dokumentaci výslovně
uvedeno, pro které informační systémy veřejné správy je provozní dokumentace
společná.
(6) Provozní dokumentaci informačního systému veřejné správy tvoří
i jiné dokumenty, pokud je jejich zpracování a využívání nezbytné pro
efektivní správu informačního systému veřejné správy; to platí vždy
pro informační systémy veřejné správy, které zpracovávají velké objemy
dat nebo které jsou vytvářeny a provozovány, včetně provádění změn
v těchto systémech, v souladu s českými technickými normami, které
zpracování jiných dokumentů předpokládají.
§ 11
Požadavky na obsah provozní dokumentace
(1) V provozní dokumentaci orgán veřejné správy uvádí aktuální stav
informačního systému veřejné správy popisem funkčních a technických
vlastností každého informačního systému veřejné správy, jehož je správcem,
a to včetně organizačně technických opatření, která zajišťují zachování
těchto vlastností.
(2) Provozní dokumentace k informačnímu systému veřejné správy musí
být zpracována tak, aby odpovídala zásadám a postupům stanoveným v
informační koncepci.
(3) Bezpečnostní politika informačního systému veřejné správy podle
§ 10 odst. 2 písm. a) obsahuje popis bezpečnostních opatření, která
orgán veřejné správy uplatňuje při zajišťování bezpečnosti tohoto systému
a která odpovídají požadavkům na bezpečnost stanoveným v informační
koncepci podle § 4 odst. 2.
(4) Bezpečnostní směrnice pro činnost bezpečnostního správce systému
podle § 10 odst. 2 písm. b) obsahuje podrobný popis bezpečnostních
funkcí, které bezpečnostní správce systému používá pro provádění určených
činností v informačním systému veřejné správy, a návod na použití těchto
funkcí.
(5) Systémová příručka podle § 10 odst. 1 písm. b) obsahuje
a) popis funkcí, včetně bezpečnostních, které používá správce systému
pro provádění určených činností v informačním systému veřejné správy,
a návod na použití těchto funkcí,
b) parametry kvality, které vycházejí z požadavků na kvalitu podle §
3 odst. 2,
c) podrobný popis informačního systému veřejné správy nebo odkaz na
dokument, ve kterém je popis uveden a který je správci systému dostupný,
d) popis jednotlivých činností vykonávaných při správě informačního
systému veřejné správy, včetně činností definovaných pro role podle
§ 12, určení fyzických osob, které tyto činnosti vykonávají, a oprávnění
nezbytných pro výkon těchto činností,
e) definování uživatelů nebo skupin uživatelů a jejich oprávnění a povinnosti
při využívání informačního systému veřejné správy.
(6) Uživatelská příručka podle § 10 odst. 1 písm. c) obsahuje
a) popis funkcí, včetně bezpečnostních, které používá uživatel pro svou
činnost v informačním systému veřejné správy, a návod na použití těchto
funkcí,
b) vymezení oprávnění a povinností uživatelů ve vztahu k informačnímu
systému veřejné správy.
§ 12
Role při správě informačního systému veřejné správy
(1) Orgán veřejné správy definuje pro informační systém veřejné správy
vždy roli
a) správce systému, kterým je zaměstnanec nebo jiná fyzická osoba, která
zajišťuje řízení provozu informačního systému veřejné správy,
b) bezpečnostního správce systému, kterým je zaměstnanec nebo jiná fyzická
osoba, která zajišťuje kontrolu bezpečnosti informačního systému veřejné
správy;
zároveň definuje pro každou roli souhrn určených činností a potřebných
oprávnění pro provádění těchto činností v informačním systému veřejné
správy.
(2) Roli správce systému a současně roli bezpečnostního správce systému
může vykonávat jedna fyzická osoba pouze v případě, že se jedná o informační
systém veřejné správy, který nemá vazby s informačním systémem veřejné
správy jiného správce, a orgán veřejné správy stanovil a uplatňuje
odpovídající bezpečnostní opatření, která vyloučí rizika, která by
z vykonávání obou rolí jednou fyzickou osobou mohla vyplývat.
(3) Pokud roli správce systému podle odstavce 1 písm. a) a současně
roli bezpečnostního správce systému podle odstavce 1 písm. b) vykonává
jedna fyzická osoba, může orgán veřejné správy sloučit bezpečnostní
směrnici pro činnost bezpečnostního správce systému podle § 10 odst.
2 písm. b) se systémovou příručkou podle § 10 odst. 1 písm. b).
Ministr:
MUDr. Mgr. Langer v. r.
1) Například ČSN ISO/IEC 15288 Systémové
inženýrství - Procesy životního cyklu systému.