Částka 172 Sbírka zákonů č. 529 / 2006 Strana 7263 529 VYHLÁŠKA ze dne 23. listopadu 2006 o požadavcích na strukturu a obsah informační koncepce a provozní dokumentace a o požadavcích na řízení bezpečnosti a kvality informačních systémů veřejné správy (vyhláška o dlouhodobém řízení informačních systémů veřejné správy) Ministerstvo informatiky stanoví podle § 12 odst. 1 písm. e) a písm. f) zákona č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění zákona č. 81/2006 Sb., (dále jen „zákon") k provedení § 5a odst. 1 až 3 zákona: §1 Předmět úpravy Tato vyhláška stanoví a) požadavky na strukturu a obsah informační koncepce, postupy orgánů veřejné správy při jejím vytváření, vydávání, při vyhodnocování jejího dodržování a požadavky na řízení bezpečnosti a kvality informačních systémů veřejné správy podle § 5a odst. 1 zákona, b) požadavky na strukturu a obsah provozní dokumentace podle § 5a odst. 2 zákona a na rozsah provozní dokumentace předkládané při atestaci podle § 5a odst. 3 zákona. ČÁST PRVNÍ INFORMAČNÍ KONCEPCE §2 Obsah a struktura informační koncepce (1) Orgán veřejné správy v informační koncepci uvede a) charakteristiku každého informačního systému veřejné správy, jehož je správcem, stručnou charakteristiku jeho současného stavu a předpokládané změny v tomto systému, b) záměry na pořízení nebo vytvoření nových informačních systémů veřejné správy, c) dlouhodobé cíle v oblasti řízení kvality informačních systémů veřejné správy, požadavky na kvalitu a plán řízení kvality podle § 3, d) dlouhodobé cíle v oblasti řízení bezpečnosti informačních systémů veřejné správy, požadavky na bezpečnost a plán řízení bezpečnosti podle § 4, e) soubor základních pravidel (dále jen „zásady") pro správu informačních systémů veřejné správy, a to včetně postupů, které vedou k jejich naplňování, f) způsob financování záměrů podle písmene b), dlouhodobých cílů podle písmen c) a d) a správy informačních systémů veřejné správy podle písmene e), g) postupy při vyhodnocování dodržování informační koncepce podle § 7 a při provádění jejích změn podle § 6, h) funkční zařazení zaměstnance nebo určení jiné fyzické osoby nebo název organizačního útvaru, který řídí provádění činností vedoucích k dosažení cílů, naplňování zásad a uplatňování postupů, které jsou v informační koncepci uvedeny, a ke splnění povinností, které orgánu veřejné správy stanoví zákon, i) dobu platnosti informační koncepce. (2) Orgán veřejné správy charakterizuje jednotlivé informační systémy veřejné správy podle odstavce 1 písm. a) tak, že z hlediska jejich efektivní správy a) charakterizuje každý informační systém veřejné správy zvlášť, nebo b) dva a více informačních systémů veřejné správy charakterizuje jako subsystémy jednoho informačního systému veřejné správy. (3) Zásady pro správu informačních systémů veřejné správy, včetně postupů, které vedou k jejich naplňování, podle odstavce 1 písm. e) stanoví orgán veřejné správy vždy pro oblasti a) pořizování a vytváření informačních systémů veřejné správy, b) provozování informačních systémů veřejné správy, a to včetně jejich změn a rozvoje. §3 Dlouhodobé cíle v oblasti řízení kvality (1) Orgán veřejné správy v informační koncepci stanoví podle § 2 odst. 1 písm. c) dlouhodobé cíle, kterých chce dosáhnout v oblasti řízení kvality informačních systémů veřejné správy; těmito cíli jsou vždy a) zajištění kvality dat, která jsou v těchto systémech zpracovávána, b) zajištění kvality technických a programových prostředků podle § 2 písm. a) zákona, Strana 7264 Sbírka zákonů č. 529 / 2006 Částka 172 c) zajištění kvality služeb, které jsou prostřednictvím těchto systémů poskytovány. (2) Pro dosažení cílů podle odstavce 1 orgán veřejné správy v informační koncepci stanoví požadavky na kvalitu. (3) Orgán veřejné správy v informační koncepci stanoví plán řízení kvality, který obsahuje popis činností, které orgán veřejné správy vykonává pro dosažení stanovených požadavků na kvalitu informačních systémů veřejné správy, včetně časového harmonogramu jejich plnění. §4 Dlouhodobé cíle v oblasti řízení bezpečnosti (1) Orgán veřejné správy v informační koncepci stanoví podle § 2 odst. 1 písm. d) dlouhodobé cíle, kterých chce dosáhnout v oblasti řízení bezpečnosti informačních systémů veřejné správy; těmito cíli jsou vždy a) bezpečnost dat, která jsou v těchto systémech zpracovávána, b) bezpečnost technických a programových prostředků podle § 2 písm. a) zákona, c) bezpečnost služeb, které jsou prostřednictvím těchto systémů poskytovány. (2) Pro dosažení cílů podle odstavce 1 orgán veřejné správy v informační koncepci stanoví požadavky na bezpečnost informačních systémů veřejné správy. (3) Orgán veřejné správy v informační koncepci stanoví plán řízení bezpečnosti, který obsahuje popis činností, které orgán veřejné správy vykonává pro dosažení stanovených požadavků na bezpečnost informačních systémů veřejné správy, včetně časového harmonogramu jejich plnění. §5 Postup při vytváření informační koncepce (1) Orgán veřejné správy stanoví v informační koncepci dlouhodobé cíle, zásady a postupy podle § 2 odst. 1 vždy s ohledem na a) data, která jsou v informačních systémech veřejné správy zpracovávána, b) služby, které jsou prostřednictvím informačních systémů veřejné správy zajišťovány, c) použité technické a programové prostředky podle § 2 písm. a) zákona. (2) Pokud má orgán veřejné správy provozní informační systémy, které mají vazby na informační systémy veřejné správy podle § 3 odst. 5 zákona, popisuje v informační koncepci a) tyto vazby, nebo b) provozní informační systémy obdobně jako infor- mační systémy veřejné správy, pokud z hlediska jejich efektivní správy považuje za účelné stanovit dlouhodobé cíle, zásady a postupy podle § 2 odst. 1 pro všechny informační systémy, které provozuje. §6 Schvalování informační koncepce a provádění změn v informační koncepci (1) Údaje o schválení informační koncepce nebo jejích jednotlivých verzí se v tomto dokumentu zaznamenávají ve struktuře a) označení verze informační koncepce, b) jméno, popřípadě jména a příjmení zaměstnance nebo jiné fyzické osoby nebo osob, které informační koncepci nebo její verzi zpracovaly, c) jméno, popřípadě jména a příjmení zaměstnance, jiné fyzické osoby nebo orgánu, který informační koncepci nebo její verzi schválil, d) datum schválení. (2) Pokud orgán veřejné správy provede změnu v informační koncepci v souladu se zásadami a postupy stanovenými v § 2 odst. 1 písm. g) a znění této informační koncepce je schváleno, je vytvořena nová verze informační koncepce. Její změnu lze provést vytvořením nového dokumentu nebo připojením dodatku ke stávajícímu dokumentu. (3) Součástí každé verze informační koncepce, která vznikla provedením změn v předchozí verzi informační koncepce, je vždy popis a odůvodnění změny a identifikace příslušné části dokumentu, která byla změněna. (4) Orgán veřejné správy v průběhu doby, kterou informační koncepce časově pokrývá, provádí změny v informační koncepci tak, aby byl vždy zachován soulad obsahu koncepce se skutečným stavem a aktuálními požadavky orgánu veřejné správy. Vyhodnocování dodržování informační koncepce (1) Orgán veřejné správy vyhodnocuje dodržování informační koncepce v souladu se zásadami a postupy stanovenými podle § 2 odst. 1 písm. g), stanovuje závěry z vyhodnocení a přijímá opatření k odstranění zjištěných nedostatků; dodržování informační koncepce vyhodnocuje nejméně jednou za 24 měsíců. (2) O průběhu vyhodnocování, závěrech a opatřeních přijatých na základě poznatků z vyhodnocení pořizuje orgán veřejné správy zápis o vyhodnocení. Částka 172 Sbírka zákonů č. 529 / 2006 Strana 7265 §8 Zásady a postupy pro pořizování a vytváření informačních systémů veřejné správy (1) Orgán veřejné správy v informační koncepci uvede, jaké zásady a postupy uplatňuje před pořízením nebo vytvořením informačních systémů veřejné správy podle § 2 odst. 3 písm. a), a to vždy zásady a postupy pro a) definování potřeby informačního systému veřejné správy, který má být pořízen nebo vytvořen, a analýzu zdrojů pro jeho pořízení nebo vytvoření, včetně očekávané finanční náročnosti, b) analýzu výchozího stavu, c) stanovení cílového stavu informačního systému veřejné správy, d) stanovení kvalitativních požadavků a požadavků na zajištění bezpečnosti, e) analýzu důsledků, které pořízení nebo vytvoření informačního systému veřejné správy může vyvolat. (2) Pokud orgán veřejné správy hodlá v souladu se svými dlouhodobými cíli pořizovat informační systémy veřejné správy od dodavatele, v informační koncepci uvede a) jakou dokumentaci a jaká oprávnění nezbytná pro provádění údržby a změn v informačním systému veřejné správy je nutné v rámci dodávek vyžadovat, a to i s ohledem na to, zda správce informačního systému veřejné správy hodlá případné změny v tomto systému nebo odstraňování poruch provádět vlastními silami, b) jaké požadavky na projektové řízení uplatňuje u dodavatele, c) požadavky na testování informačního systému veřejné správy a akceptaci dodávky před jejím převzetím od dodavatele. (3) Pokud orgán veřejné správy hodlá v souladu se svými dlouhodobými cíli vytvářet informační systémy veřejné správy prostřednictvím svých zaměstnanců, v informační koncepci uvede náležitosti dokumentování procesů tohoto vytváření. (4) Pokud orgán veřejné správy uplatňuje při vytváření informačního systému veřejné správy projektové řízení, v informační koncepci uvede zásady projektového řízení s využitím české technické normy, která stanoví projektové postupy1). §9 Zásady a postupy pro provozování informačních systémů veřejné správy (1) Orgán veřejné správy v informační koncepci uvede, jaké zásady a postupy uplatňuje při provozování informačních systémů veřejné správy podle § 2 odst. 3 písm. b), a to vždy zásady a postupy pro a) zajištění provozu a údržby informačních systémů veřejné správy, a to včetně vytváření a údržby provozní dokumentace a vyhodnocování jejího dodržování, b) řízení změn v informačních systémech veřejné správy, c) řízené ukončení činnosti informačních systémů veřejné správy. (2) Součástí postupů podle odstavce 1 písm. a) je popis postupů, jejichž uplatnění zajistí soulad provozování informačních systémů veřejné správy s informační koncepcí a provozní dokumentací, a to vždy popis postupů pro vyhodnocování tohoto souladu. Zároveň se stanoví povinnosti jednotlivých zaměstnanců nebo jiných fyzických osob ve vztahu k uvedeným činnostem. (3) Řízením změn podle odstavce 1 písm. b) se rozumí zajištění činností při řízení procesu navrhování a schvalování změn v informačním systému veřejné správy a při řízení procesu realizace těchto změn. Řízení změn musí být vždy dokumentováno. (4) V souvislosti s řízením změn podle odstavce 1 písm. b) orgán veřejné správy v informační koncepci stanoví rozsah činností, které lze provádět výhradně v rámci provádění změn podle odstavce 1 písm. b) a které lze provádět v rámci údržby informačního systému veřejné správy. Údržbou se rozumí provádění činností, které vedou k zachování funkcí informačního systému veřejné správy v požadovaném a nezměněném stavu, a změnou kvalitativní změna informačního systému veřejné správy, a to vždy změna funkčnosti nebo datového rozhraní. (5) Součástí postupů v souvislosti s řízením změn podle odstavce 1 písm. b) je vždy a) definování potřeby změn v informačním systému veřejné správy, b) analýza výchozího stavu pro rozvoj informačního systému veřejné správy, c) stanovení cílového stavu informačního systému veřejné správy, d) stanovení kvalitativních požadavků a požadavků na zajištění bezpečnosti vztahujících se k cílovému stavu informačního systému veřejné správy, 1) Například ČSN ISO/IEC 15288 Systémové inženýrství - Procesy životního cyklu systému. Strana 7266 Sbírka zákonů č. 529 / 2006 Částka 172 e) návrh transformace z výchozího stavu do cílového stavu informačního systému veřejné správy, f) analýza důsledků, které změna může vyvolat, g) promítnutí změn do provozní dokumentace. (6) Orgán veřejné správy v souvislosti s řízeným ukončením činnosti informačních systémů veřejné správy podle odstavce 1 písm. c) v informační koncepci stanoví zásady a postupy při definování potřeby ukončení činnosti informačního systému veřejné správy. (7) Dříve, než je ukončena činnost informačního systému veřejné správy a tento systém je vyřazen z provozu, musí být v souladu s postupy stanovenými podle odstavce 1 písm. c) bezpečně naloženo s daty, která informační systém veřejné správy zpracovává, a to včetně nosičů těchto dat, s cílem zabránit neoprávněnému přístupu k těmto datům. ČÁST DRUHÁ PROVOZNÍ DOKUMENTACE § 10 Požadavky na strukturu provozní dokumentace (1) Provozní dokumentaci informačního systému veřejné správy tvoří tyto dokumenty: a) bezpečnostní dokumentace informačního systému veřejné správy, b) systémová příručka, c) uživatelská příručka. (2) Bezpečnostní dokumentaci informačního systému veřejné správy podle odstavce 1 písm. a) tvoří a) bezpečnostní politika informačního systému veřejné správy, a to vždy pokud systém má vazby s informačním systémem veřejné správy jiného správce nebo pokud orgán veřejné správy není provozovatelem tohoto systému, b) bezpečnostní směrnice pro činnost bezpečnostního správce systému. (3) Orgán veřejné správy může podle svých potřeb, a to vždy s ohledem na počet uživatelů, sloučit dokumenty podle odstavce 1 do jednoho dokumentu. (4) Orgán veřejné správy může zpracovat jednu provozní dokumentaci pro více informačních systémů veřejné správy, a to za předpokladu, že a) zásady a postupy pro provozování těchto systémů jsou shodné, b) žádný z dotčených informačních systémů veřejné správy nemá vazbu na informační systém jiného správce, c) práva na zápis, změnu nebo vymazání dat, která tyto systémy zpracovávají, jsou omezena na ko- nečný počet jmenovitě určených zaměstnanců orgánu veřejné správy. (5) V případech podle odstavce 4 musí být v provozní dokumentaci výslovně uvedeno, pro které informační systémy veřejné správy je provozní dokumentace společná. (6) Provozní dokumentaci informačního systému veřejné správy tvoří i jiné dokumenty, pokud je jejich zpracování a využívání nezbytné pro efektivní správu informačního systému veřejné správy; to platí vždy pro informační systémy veřejné správy, které zpracovávají velké objemy dat nebo které jsou vytvářeny a provozovány, včetně provádění změn v těchto systémech, v souladu s českými technickými normami, které zpracování jiných dokumentů předpokládají. § 11 Požadavky na obsah provozní dokumentace (1) V provozní dokumentaci orgán veřejné správy uvádí aktuální stav informačního systému veřejné správy popisem funkčních a technických vlastností každého informačního systému veřejné správy, jehož je správcem, a to včetně organizačně technických opatření, která zajišťují zachování těchto vlastností. (2) Provozní dokumentace k informačnímu systému veřejné správy musí být zpracována tak, aby odpovídala zásadám a postupům stanoveným v informační koncepci. (3) Bezpečnostní politika informačního systému veřejné správy podle § 10 odst. 2 písm. a) obsahuje popis bezpečnostních opatření, která orgán veřejné správy uplatňuje při zajišťování bezpečnosti tohoto systému a která odpovídají požadavkům na bezpečnost stanoveným v informační koncepci podle § 4 odst. 2. (4) Bezpečnostní směrnice pro činnost bezpečnostního správce systému podle § 10 odst. 2 písm. b) obsahuje podrobný popis bezpečnostních funkcí, které bezpečnostní správce systému používá pro provádění určených činností v informačním systému veřejné správy, a návod na použití těchto funkcí. (5) Systémová příručka podle § 10 odst. 1 písm. b) obsahuje a) popis funkcí, včetně bezpečnostních, které používá správce systému pro provádění určených činností v informačním systému veřejné správy, a návod na použití těchto funkcí, b) parametry kvality, které vycházejí z požadavků na kvalitu podle § 3 odst. 2, c) podrobný popis informačního systému veřejné správy nebo odkaz na dokument, ve kterém je popis uveden a který je správci systému dostupný, d) popis jednotlivých činností vykonávaných při správě informačního systému veřejné správy, včetně činností definovaných pro role podle § 12, Částka 172 Sbírka zákonů č. 529 / 2006 Strana 7267 určení fyzických osob, které tyto činnosti vykonávají, a oprávnění nezbytných pro výkon těchto činností, e) definování uživatelů nebo skupin uživatelů a jejich oprávnění a povinnosti při využívání informačního systému veřejné správy. (6) Uživatelská příručka podle § 10 odst. 1 písm. c) obsahuje a) popis funkcí, včetně bezpečnostních, které používá uživatel pro svou činnost v informačním systému veřejné správy, a návod na použití těchto funkcí, b) vymezení oprávnění a povinností uživatelů ve vztahu k informačnímu systému veřejné správy. § 12 Role při správě informačního systému veřejné správy (1) Orgán veřejné správy definuje pro informační systém veřejné správy vždy roli a) správce systému, kterým je zaměstnanec nebo jiná fyzická osoba, která zajišťuje řízení provozu informačního systému veřejné správy, b) bezpečnostního správce systému, kterým je zaměstnanec nebo jiná fyzická osoba, která zajišťuje kontrolu bezpečnosti informačního systému veřejné správy; zároveň definuje pro každou roli souhrn určených činností a potřebných oprávnění pro provádění těchto činností v informačním systému veřejné správy. (2) Roli správce systému a současně roli bezpečnostního správce systému může vykonávat jedna fy- zická osoba pouze v případě, že se jedná o informační systém veřejné správy, který nemá vazby s informačním systémem veřejné správy jiného správce, a orgán veřejné správy stanovil a uplatňuje odpovídající bezpečnostní opatření, která vyloučí rizika, která by z vykonávání obou rolí jednou fyzickou osobou mohla vyplývat. (3) Pokud roli správce systému podle odstavce 1 písm. a) a současně roli bezpečnostního správce systému podle odstavce 1 písm. b) vykonává jedna fyzická osoba, může orgán veřejné správy sloučit bezpečnostní směrnici pro činnost bezpečnostního správce systému podle § 10 odst. 2 písm. b) se systémovou příručkou podle § 10 odst. 1 písm. b). § 13 Rozsah provozní dokumentace předkládané při atestaci Orgán veřejné správy předkládá při atestaci bezpečnostní politiku informačního systému veřejné správy, pokud je povinen ji zpracovat podle § 10 odst. 2 písm. a). ČÁST TŘETÍ ZÁVĚREČNÉ USTANOVENÍ § 14 Účinnost Tato vyhláška nabývá účinnosti dnem 1. ledna 2007. Ministr: MUDr. Mgr. Langer v. r.