529/2006 Sb.
VYHLÁŠKA
ze dne 23. listopadu 2006
o požadavcích na strukturu a obsah informační koncepce a provozní
dokumentace a o požadavcích na řízení bezpečnosti a kvality
informačních systémů veřejné správy (vyhláška o dlouhodobém řízení
informačních systémů veřejné správy)
Ministerstvo informatiky stanoví podle § 12 odst. 1 písm. e) a písm. f)
zákona č. 365/2000 Sb., o informačních systémech veřejné správy a o
změně některých dalších zákonů, ve znění zákona č. 81/2006 Sb., (dále
jen "zákon") k provedení § 5a odst. 1 až 3 zákona:
§ 1
Předmět úpravy
Tato vyhláška stanoví
a) požadavky na strukturu a obsah informační koncepce, postupy orgánů
veřejné správy při jejím vytváření, vydávání, při vyhodnocování jejího
dodržování a požadavky na řízení bezpečnosti a kvality informačních
systémů veřejné správy podle § 5a odst. 1 zákona,
b) požadavky na strukturu a obsah provozní dokumentace podle § 5a odst.
2 zákona a na rozsah provozní dokumentace předkládané při atestaci
podle § 5a odst. 3 zákona.
ČÁST PRVNÍ
INFORMAČNÍ KONCEPCE
§ 2
Obsah a struktura informační koncepce
(1) Orgán veřejné správy v informační koncepci uvede
a) charakteristiku každého informačního systému veřejné správy, jehož
je správcem, stručnou charakteristiku jeho současného stavu a
předpokládané změny v tomto systému,
b) záměry na pořízení nebo vytvoření nových informačních systémů
veřejné správy,
c) dlouhodobé cíle v oblasti řízení kvality informačních systémů
veřejné správy, požadavky na kvalitu a plán řízení kvality podle § 3,
d) dlouhodobé cíle v oblasti řízení bezpečnosti informačních systémů
veřejné správy, požadavky na bezpečnost a plán řízení bezpečnosti podle
§ 4,
e) soubor základních pravidel (dále jen "zásady") pro správu
informačních systémů veřejné správy, a to včetně postupů, které vedou k
jejich naplňování,
f) způsob financování záměrů podle písmene b), dlouhodobých cílů podle
písmen c) a d) a správy informačních systémů veřejné správy podle
písmene e),
g) postupy při vyhodnocování dodržování informační koncepce podle § 7 a
při provádění jejích změn podle § 6,
h) funkční zařazení zaměstnance nebo určení jiné fyzické osoby nebo
název organizačního útvaru, který řídí provádění činností vedoucích k
dosažení cílů, naplňování zásad a uplatňování postupů, které jsou v
informační koncepci uvedeny, a ke splnění povinností, které orgánu
veřejné správy stanoví zákon,
i) dobu platnosti informační koncepce.
(2) Orgán veřejné správy charakterizuje jednotlivé informační systémy
veřejné správy podle odstavce 1 písm. a) tak, že z hlediska jejich
efektivní správy
a) charakterizuje každý informační systém veřejné správy zvlášť, nebo
b) dva a více informačních systémů veřejné správy charakterizuje jako
subsystémy jednoho informačního systému veřejné správy.
(3) Zásady pro správu informačních systémů veřejné správy, včetně
postupů, které vedou k jejich naplňování, podle odstavce 1 písm. e)
stanoví orgán veřejné správy vždy pro oblasti
a) pořizování a vytváření informačních systémů veřejné správy,
b) provozování informačních systémů veřejné správy, a to včetně jejich
změn a rozvoje.
§ 3
Dlouhodobé cíle v oblasti řízení kvality
(1) Orgán veřejné správy v informační koncepci stanoví podle § 2 odst.
1 písm. c) dlouhodobé cíle, kterých chce dosáhnout v oblasti řízení
kvality informačních systémů veřejné správy; těmito cíli jsou vždy
a) zajištění kvality dat, která jsou v těchto systémech zpracovávána,
b) zajištění kvality technických a programových prostředků podle § 2
písm. a) zákona,
c) zajištění kvality služeb, které jsou prostřednictvím těchto systémů
poskytovány.
(2) Pro dosažení cílů podle odstavce 1 orgán veřejné správy v
informační koncepci stanoví požadavky na kvalitu.
(3) Orgán veřejné správy v informační koncepci stanoví plán řízení
kvality, který obsahuje popis činností, které orgán veřejné správy
vykonává pro dosažení stanovených požadavků na kvalitu informačních
systémů veřejné správy, včetně časového harmonogramu jejich plnění.
§ 4
Dlouhodobé cíle v oblasti řízení bezpečnosti
(1) Orgán veřejné správy v informační koncepci stanoví podle § 2 odst.
1 písm. d) dlouhodobé cíle, kterých chce dosáhnout v oblasti řízení
bezpečnosti informačních systémů veřejné správy; těmito cíli jsou vždy
a) bezpečnost dat, která jsou v těchto systémech zpracovávána,
b) bezpečnost technických a programových prostředků podle § 2 písm. a)
zákona,
c) bezpečnost služeb, které jsou prostřednictvím těchto systémů
poskytovány.
(2) Pro dosažení cílů podle odstavce 1 orgán veřejné správy v
informační koncepci stanoví požadavky na bezpečnost informačních
systémů veřejné správy.
(3) Orgán veřejné správy v informační koncepci stanoví plán řízení
bezpečnosti, který obsahuje popis činností, které orgán veřejné správy
vykonává pro dosažení stanovených požadavků na bezpečnost informačních
systémů veřejné správy, včetně časového harmonogramu jejich plnění.
§ 5
Postup při vytváření informační koncepce
(1) Orgán veřejné správy stanoví v informační koncepci dlouhodobé cíle,
zásady a postupy podle § 2 odst. 1 vždy s ohledem na
a) data, která jsou v informačních systémech veřejné správy
zpracovávána,
b) služby, které jsou prostřednictvím informačních systémů veřejné
správy zajišťovány,
c) použité technické a programové prostředky podle § 2 písm. a) zákona.
(2) Pokud má orgán veřejné správy provozní informační systémy, které
mají vazby na informační systémy veřejné správy podle § 3 odst. 5
zákona, popisuje v informační koncepci
a) tyto vazby, nebo
b) provozní informační systémy obdobně jako informační systémy veřejné
správy, pokud z hlediska jejich efektivní správy považuje za účelné
stanovit dlouhodobé cíle, zásady a postupy podle § 2 odst. 1 pro
všechny informační systémy, které provozuje.
§ 6
Schvalování informační koncepce a provádění změn v informační koncepci
(1) Údaje o schválení informační koncepce nebo jejích jednotlivých
verzí se v tomto dokumentu zaznamenávají ve struktuře
a) označení verze informační koncepce,
b) jméno, popřípadě jména a příjmení zaměstnance nebo jiné fyzické
osoby nebo osob, které informační koncepci nebo její verzi zpracovaly,
c) jméno, popřípadě jména a příjmení zaměstnance, jiné fyzické osoby
nebo orgánu, který informační koncepci nebo její verzi schválil,
d) datum schválení.
(2) Pokud orgán veřejné správy provede změnu v informační koncepci v
souladu se zásadami a postupy stanovenými v § 2 odst. 1 písm. g) a
znění této informační koncepce je schváleno, je vytvořena nová verze
informační koncepce. Její změnu lze provést vytvořením nového dokumentu
nebo připojením dodatku ke stávajícímu dokumentu.
(3) Součástí každé verze informační koncepce, která vznikla provedením
změn v předchozí verzi informační koncepce, je vždy popis a odůvodnění
změny a identifikace příslušné části dokumentu, která byla změněna.
(4) Orgán veřejné správy v průběhu doby, kterou informační koncepce
časově pokrývá, provádí změny v informační koncepci tak, aby byl vždy
zachován soulad obsahu koncepce se skutečným stavem a aktuálními
požadavky orgánu veřejné správy.
§ 7
Vyhodnocování dodržování informační koncepce
(1) Orgán veřejné správy vyhodnocuje dodržování informační koncepce v
souladu se zásadami a postupy stanovenými podle § 2 odst. 1 písm. g),
stanovuje závěry z vyhodnocení a přijímá opatření k odstranění
zjištěných nedostatků; dodržování informační koncepce vyhodnocuje
nejméně jednou za 24 měsíců.
(2) O průběhu vyhodnocování, závěrech a opatřeních přijatých na základě
poznatků z vyhodnocení pořizuje orgán veřejné správy zápis o
vyhodnocení.
§ 8
Zásady a postupy pro pořizování a vytváření informačních systémů
veřejné správy
(1) Orgán veřejné správy v informační koncepci uvede, jaké zásady a
postupy uplatňuje před pořízením nebo vytvořením informačních systémů
veřejné správy podle § 2 odst. 3 písm. a), a to vždy zásady a postupy
pro
a) definování potřeby informačního systému veřejné správy, který má být
pořízen nebo vytvořen, a analýzu zdrojů pro jeho pořízení nebo
vytvoření, včetně očekávané finanční náročnosti,
b) analýzu výchozího stavu,
c) stanovení cílového stavu informačního systému veřejné správy,
d) stanovení kvalitativních požadavků a požadavků na zajištění
bezpečnosti,
e) analýzu důsledků, které pořízení nebo vytvoření informačního systému
veřejné správy může vyvolat.
(2) Pokud orgán veřejné správy hodlá v souladu se svými dlouhodobými
cíli pořizovat informační systémy veřejné správy od dodavatele, v
informační koncepci uvede
a) jakou dokumentaci a jaká oprávnění nezbytná pro provádění údržby a
změn v informačním systému veřejné správy je nutné v rámci dodávek
vyžadovat, a to i s ohledem na to, zda správce informačního systému
veřejné správy hodlá případné změny v tomto systému nebo odstraňování
poruch provádět vlastními silami,
b) jaké požadavky na projektové řízení uplatňuje u dodavatele,
c) požadavky na testování informačního systému veřejné správy a
akceptaci dodávky před jejím převzetím od dodavatele.
(3) Pokud orgán veřejné správy hodlá v souladu se svými dlouhodobými
cíli vytvářet informační systémy veřejné správy prostřednictvím svých
zaměstnanců, v informační koncepci uvede náležitosti dokumentování
procesů tohoto vytváření.
(4) Pokud orgán veřejné správy uplatňuje při vytváření informačního
systému veřejné správy projektové řízení, v informační koncepci uvede
zásady projektového řízení s využitím české technické normy, která
stanoví projektové postupy^1).
§ 9
Zásady a postupy pro provozování informačních systémů veřejné správy
(1) Orgán veřejné správy v informační koncepci uvede, jaké zásady a
postupy uplatňuje při provozování informačních systémů veřejné správy
podle § 2 odst. 3 písm. b), a to vždy zásady a postupy pro
a) zajištění provozu a údržby informačních systémů veřejné správy, a to
včetně vytváření a údržby provozní dokumentace a vyhodnocování jejího
dodržování,
b) řízení změn v informačních systémech veřejné správy,
c) řízené ukončení činnosti informačních systémů veřejné správy.
(2) Součástí postupů podle odstavce 1 písm. a) je popis postupů,
jejichž uplatnění zajistí soulad provozování informačních systémů
veřejné správy s informační koncepcí a provozní dokumentací, a to vždy
popis postupů pro vyhodnocování tohoto souladu. Zároveň se stanoví
povinnosti jednotlivých zaměstnanců nebo jiných fyzických osob ve
vztahu k uvedeným činnostem.
(3) Řízením změn podle odstavce 1 písm. b) se rozumí zajištění činností
při řízení procesu navrhování a schvalování změn v informačním systému
veřejné správy a při řízení procesu realizace těchto změn. Řízení změn
musí být vždy dokumentováno.
(4) V souvislosti s řízením změn podle odstavce 1 písm. b) orgán
veřejné správy v informační koncepci stanoví rozsah činností, které lze
provádět výhradně v rámci provádění změn podle odstavce 1 písm. b) a
které lze provádět v rámci údržby informačního systému veřejné správy.
Údržbou se rozumí provádění činností, které vedou k zachování funkcí
informačního systému veřejné správy v požadovaném a nezměněném stavu, a
změnou kvalitativní změna informačního systému veřejné správy, a to
vždy změna funkčnosti nebo datového rozhraní.
(5) Součástí postupů v souvislosti s řízením změn podle odstavce 1
písm. b) je vždy
a) definování potřeby změn v informačním systému veřejné správy,
b) analýza výchozího stavu pro rozvoj informačního systému veřejné
správy,
c) stanovení cílového stavu informačního systému veřejné správy,
d) stanovení kvalitativních požadavků a požadavků na zajištění
bezpečnosti vztahujících se k cílovému stavu informačního systému
veřejné správy,
e) návrh transformace z výchozího stavu do cílového stavu informačního
systému veřejné správy,
f) analýza důsledků, které změna může vyvolat,
g) promítnutí změn do provozní dokumentace.
(6) Orgán veřejné správy v souvislosti s řízeným ukončením činnosti
informačních systémů veřejné správy podle odstavce 1 písm. c) v
informační koncepci stanoví zásady a postupy při definování potřeby
ukončení činnosti informačního systému veřejné správy.
(7) Dříve, než je ukončena činnost informačního systému veřejné správy
a tento systém je vyřazen z provozu, musí být v souladu s postupy
stanovenými podle odstavce 1 písm. c) bezpečně naloženo s daty, která
informační systém veřejné správy zpracovává, a to včetně nosičů těchto
dat, s cílem zabránit neoprávněnému přístupu k těmto datům.
ČÁST DRUHÁ
PROVOZNÍ DOKUMENTACE
§ 10
Požadavky na strukturu provozní dokumentace
(1) Provozní dokumentaci informačního systému veřejné správy tvoří tyto
dokumenty:
a) bezpečnostní dokumentace informačního systému veřejné správy,
b) systémová příručka,
c) uživatelská příručka.
(2) Bezpečnostní dokumentaci informačního systému veřejné správy podle
odstavce 1 písm. a) tvoří
a) bezpečnostní politika informačního systému veřejné správy, a to vždy
pokud systém má vazby s informačním systémem veřejné správy jiného
správce nebo pokud orgán veřejné správy není provozovatelem tohoto
systému,
b) bezpečnostní směrnice pro činnost bezpečnostního správce systému.
(3) Orgán veřejné správy může podle svých potřeb, a to vždy s ohledem
na počet uživatelů, sloučit dokumenty podle odstavce 1 do jednoho
dokumentu.
(4) Orgán veřejné správy může zpracovat jednu provozní dokumentaci pro
více informačních systémů veřejné správy, a to za předpokladu, že
a) zásady a postupy pro provozování těchto systémů jsou shodné,
b) žádný z dotčených informačních systémů veřejné správy nemá vazbu na
informační systém jiného správce,
c) práva na zápis, změnu nebo vymazání dat, která tyto systémy
zpracovávají, jsou omezena na konečný počet jmenovitě určených
zaměstnanců orgánu veřejné správy.
(5) V případech podle odstavce 4 musí být v provozní dokumentaci
výslovně uvedeno, pro které informační systémy veřejné správy je
provozní dokumentace společná.
(6) Provozní dokumentaci informačního systému veřejné správy tvoří i
jiné dokumenty, pokud je jejich zpracování a využívání nezbytné pro
efektivní správu informačního systému veřejné správy; to platí vždy pro
informační systémy veřejné správy, které zpracovávají velké objemy dat
nebo které jsou vytvářeny a provozovány, včetně provádění změn v těchto
systémech, v souladu s českými technickými normami, které zpracování
jiných dokumentů předpokládají.
§ 11
Požadavky na obsah provozní dokumentace
(1) V provozní dokumentaci orgán veřejné správy uvádí aktuální stav
informačního systému veřejné správy popisem funkčních a technických
vlastností každého informačního systému veřejné správy, jehož je
správcem, a to včetně organizačně technických opatření, která zajišťují
zachování těchto vlastností.
(2) Provozní dokumentace k informačnímu systému veřejné správy musí být
zpracována tak, aby odpovídala zásadám a postupům stanoveným v
informační koncepci.
(3) Bezpečnostní politika informačního systému veřejné správy podle §
10 odst. 2 písm. a) obsahuje popis bezpečnostních opatření, která orgán
veřejné správy uplatňuje při zajišťování bezpečnosti tohoto systému a
která odpovídají požadavkům na bezpečnost stanoveným v informační
koncepci podle § 4 odst. 2.
(4) Bezpečnostní směrnice pro činnost bezpečnostního správce systému
podle § 10 odst. 2 písm. b) obsahuje podrobný popis bezpečnostních
funkcí, které bezpečnostní správce systému používá pro provádění
určených činností v informačním systému veřejné správy, a návod na
použití těchto funkcí.
(5) Systémová příručka podle § 10 odst. 1 písm. b) obsahuje
a) popis funkcí, včetně bezpečnostních, které používá správce systému
pro provádění určených činností v informačním systému veřejné správy, a
návod na použití těchto funkcí,
b) parametry kvality, které vycházejí z požadavků na kvalitu podle § 3
odst. 2,
c) podrobný popis informačního systému veřejné správy nebo odkaz na
dokument, ve kterém je popis uveden a který je správci systému
dostupný,
d) popis jednotlivých činností vykonávaných při správě informačního
systému veřejné správy, včetně činností definovaných pro role podle §
12, určení fyzických osob, které tyto činnosti vykonávají, a oprávnění
nezbytných pro výkon těchto činností,
e) definování uživatelů nebo skupin uživatelů a jejich oprávnění a
povinnosti při využívání informačního systému veřejné správy.
(6) Uživatelská příručka podle § 10 odst. 1 písm. c) obsahuje
a) popis funkcí, včetně bezpečnostních, které používá uživatel pro svou
činnost v informačním systému veřejné správy, a návod na použití těchto
funkcí,
b) vymezení oprávnění a povinností uživatelů ve vztahu k informačnímu
systému veřejné správy.
§ 12
Role při správě informačního systému veřejné správy
(1) Orgán veřejné správy definuje pro informační systém veřejné správy
vždy roli
a) správce systému, kterým je zaměstnanec nebo jiná fyzická osoba,
která zajišťuje řízení provozu informačního systému veřejné správy,
b) bezpečnostního správce systému, kterým je zaměstnanec nebo jiná
fyzická osoba, která zajišťuje kontrolu bezpečnosti informačního
systému veřejné správy;
zároveň definuje pro každou roli souhrn určených činností a potřebných
oprávnění pro provádění těchto činností v informačním systému veřejné
správy.
(2) Roli správce systému a současně roli bezpečnostního správce systému
může vykonávat jedna fyzická osoba pouze v případě, že se jedná o
informační systém veřejné správy, který nemá vazby s informačním
systémem veřejné správy jiného správce, a orgán veřejné správy stanovil
a uplatňuje odpovídající bezpečnostní opatření, která vyloučí rizika,
která by z vykonávání obou rolí jednou fyzickou osobou mohla vyplývat.
(3) Pokud roli správce systému podle odstavce 1 písm. a) a současně
roli bezpečnostního správce systému podle odstavce 1 písm. b) vykonává
jedna fyzická osoba, může orgán veřejné správy sloučit bezpečnostní
směrnici pro činnost bezpečnostního správce systému podle § 10 odst. 2
písm. b) se systémovou příručkou podle § 10 odst. 1 písm. b).
§ 13
Rozsah provozní dokumentace předkládané při atestaci
Orgán veřejné správy předkládá při atestaci bezpečnostní politiku
informačního systému veřejné správy, pokud je povinen ji zpracovat
podle § 10 odst. 2 písm. a).
ČÁST TŘETÍ
ZÁVĚREČNÉ USTANOVENÍ
§ 14
Účinnost
Tato vyhláška nabývá účinnosti dnem 1. ledna 2007.
Ministr:
MUDr. Mgr. Langer v. r.
1) Například ČSN ISO/IEC 15288 Systémové inženýrství - Procesy
životního cyklu systému.