Informační koncepceZlínský kraj
zákon č. 365/2000 Sb., o ISVS
vyhláška č. 529/2006 Sb., o dlouhodobém řízení ISVS
Zpracoval Ing. Jiří Fux
Bezpečnostní správce ICT
577 043 262
Schválil RNDr. Ivo Skrášek
Vedoucí oddělení informatiky
577 043 260
2/54
Obsah
OBSAH...............................................................................................................................................2
1 IDENTIFIKACE DOKUMENTU .........................................................................................................5
1.1 Základní údaje...........................................................................................................................5
1.2 Verze informační koncepce ........................................................................................................6
1.2.1 Verze 2.0 ...........................................................................................................................................................6
1.2.2 Verze 1.0 ...........................................................................................................................................................7
2 KONTEXT INFORMAČNÍ KONCEPCE ...............................................................................................8
2.1 Manažerské shrnutí ...................................................................................................................8
2.2 Informační koncepce .................................................................................................................9
3 INFORMAČNÍ SYSTÉMY ZLÍNSKÉHO KRAJE...................................................................................10
4 ZÁMĚRY ROZVOJE INFORMAČNÍCH SYSTÉMŮ .............................................................................12
4.1 Plán rozvoje informačních systémů ..........................................................................................12
4.2 Záměry na pořízení nebo vytvoření nových informačních systémů............................................12
4.3 Záměry rozvoje stávajících informačních systémů.....................................................................12
4.4 Informační strategie Zlínského kraje ........................................................................................12
4.4.1 21Net – Komunikační infrastruktura Zlínského kraje......................................................................................13
4.4.2 Zákon o kybernetické bezpečnosti ..................................................................................................................13
4.4.3 Správa mobilních zařízení................................................................................................................................13
5 ŘÍZENÍ KVALITY INFORMAČNÍCH SYSTÉMŮ..................................................................................14
5.1 Systém řízení kvality informačních systémů..............................................................................14
5.2 Kvalita informačních systémů ..................................................................................................14
5.2.1 Kvalita zpracovávaných dat - atributy .............................................................................................................14
5.2.2 Kvalita poskytovaných služeb - atributy..........................................................................................................15
5.2.3 Kvalita používaných technologických a programových prostředků - atributy ................................................16
5.3 Dlouhodobé cíle v oblasti řízení kvality informačních systémů ..................................................16
3/54
5.3.1 Kvalita zpracovávaných dat.............................................................................................................................17
5.3.2 Kvalita zajišťovaných služeb ............................................................................................................................18
5.3.3 Kvalita technologických a programových prostředků .....................................................................................19
5.4 Požadavky na kvalitu informačních systémů.............................................................................20
5.5 Plán řízení kvality informačních systémů..................................................................................21
5.5.1 Činnosti v oblasti řízení kvality ........................................................................................................................21
5.5.2 Časové harmonogramy plnění cílů kvality a požadavků na kvalitu .................................................................23
6 ŘÍZENÍ BEZPEČNOSTI INFORMAČNÍCH SYSTÉMŮ..........................................................................25
6.1 Systém řízení bezpečnosti informačních systémů......................................................................25
6.2 Bezpečnost informačních systémů ...........................................................................................25
6.2.1 Bezpečnost zpracovávaných dat - atributy .....................................................................................................26
6.3 Dlouhodobé cíle v oblasti řízení bezpečnosti informačních systémů..........................................26
6.4 Požadavky na bezpečnost informačních systémů......................................................................27
6.5 Plán řízení bezpečnosti informačních systémů..........................................................................29
6.5.1 Činnosti v oblasti řízení bezpečnosti ...............................................................................................................29
6.5.2 Časové harmonogramy plnění cílů bezpečnosti a požadavků na bezpečnost ................................................30
7 SPRÁVA INFORMAČNÍCH SYSTÉMŮ.............................................................................................32
7.1 Životní cyklus informačního systému........................................................................................32
7.2 Příprava informačního systému................................................................................................33
7.2.1 Sběr podbětů k novému informačnímu systému............................................................................................33
7.2.2 Zpracování záměru pořízení informačního systému dodavatelským způsobem ............................................33
7.3 Pořízení informačního systému ................................................................................................37
7.3.1 Pořízení informačního systému dodavatelským způsobem............................................................................37
7.3.2 Instalace a testování informačního systému...................................................................................................38
7.3.3 Příprava nasazení informačního systému do rutinního provozu ....................................................................38
7.4 Provoz a údržba informačního systému ....................................................................................39
7.4.1 Nasazení informačního systému do rutinního provozu ..................................................................................39
7.4.2 Zajištění provozu a údržby informačního systému..........................................................................................39
7.4.3 Řízení změn informačního systému ................................................................................................................40
7.5 Ukončení provozu a činnosti informačního systému .................................................................40
4/54
7.5.1 Ukončení provozu informačního systému.......................................................................................................41
7.5.2 Ukončení činnosti informačního systému.......................................................................................................41
8 FINANCOVÁNÍ INFORMAČNÍCH SYSTÉMŮ ...................................................................................42
8.1 Způsoby financování informačních systémů .............................................................................42
8.2 Plán financování informačních systémů....................................................................................42
9 NAPLŇOVÁNÍ INFORMAČNÍ KONCEPCE.......................................................................................43
9.1 Postupy při provádění změn Informační koncepce....................................................................43
9.1.1 Postup pro zajištění včasné změny Informační koncepce...............................................................................44
9.1.2 Postup zápisu změny do dokumentu Informační koncepce............................................................................44
9.1.3 Postup schvalování změny Informační koncepce............................................................................................44
9.1.4 Postup přípravy nové Informační koncepce....................................................................................................45
9.2 Postupy při vyhodnocování dodržování Informační koncepce ...................................................45
9.2.1 Oblasti pro vyhodnocování Informační koncepce...........................................................................................45
9.2.2 Pravidla pro vytváření zápisu z vyhodnocování Informační koncepce............................................................47
10 ODPOVĚDNOSTI OSOB..............................................................................................................49
10.1 Odpovědnost za realizaci Informační koncepce.......................................................................49
10.2 Splnění zákonných povinností ................................................................................................51
11 PŘÍLOHY...................................................................................................................................53
11.1 Příloha č. 1 – Pasport aplikací.................................................................................................53
11.2 Příloha č. 2 – Plán rozvoje informačních systémů....................................................................53
11.3 Příloha č. 3 – Plán financování informačních systémů .............................................................53
11.4 Příloha č. 4 – Zápis o vyhodnocení informační koncepce .........................................................53
12 SEZNAM TABULEK A OBRÁZKŮ .................................................................................................54
5/54
1 Identifikace dokumentu
1.1 Základní údaje
Název dokumentu Informační koncepce Zlínského kraje
Název organizace Zlínský kraj
IČ 70891320
Typ organizace kraj - vyšší územně samosprávný celek
Adresa tř. Tomáše Bati 21, 761 90 Zlín
Počátek platnosti 1. 12. 2013
Doba platnosti 5 let
Konec platnosti 30. 11. 2018
Počáteční verze 1.0
Aktuální verze 2.0
Důvěrnost Veřejné informace
Tabulka č. 1: Základní údaje o informační koncepci.
Role Osoba Datum Podpis
Zpracoval: Ing. Jiří Fux
Bezpečnostní správce ICT
577 043 262
18. 11. 2013
Schválil: RNDr. Ivo Skrášek
Vedoucí oddělení informatiky
577 043 260
20. 11. 2013
Tabulka č. 2: Autorizace a schválení informační koncepce.
6/54
1.2 Verze informační koncepce
Verze dokumentu jsou chronologicky řazené od nejnovější k nejstarší.
Tabulka změn obsahuje popis a odůvodnění změn v předchozí verzi a identifikaci příslušných částí, které byly
změněny, a to vždy při zachování souladu obsahu informační koncepce se skutečným stavem a aktuálními
požadavky kraje.
1.2.1 Verze 2.0
Označení verze 2.0 Datum vzniku 18. 11. 2013
Datum schválení 20. 11. 2013 Počátek platnosti 1. 12. 2013
Autor verze Ing. Jiří Fux Funkce Bezpečnostní správce ICT
Útvar / organizace Oddělení informatiky, Krajský úřad Zlínského kraje
Verzi schválil RNDr. Ivo Skrášek Funkce Vedoucí oddělení informatiky
Útvar / organizace Oddělení informatiky, Krajský úřad Zlínského kraje
Název souboruInformacni_koncepce_
Zlinsky_kraj.pdfVerze souboru 2.0
Umístění souboru intranet
Počet stran 54 Počet příloh 4
Tabulka č. 3: Údaje o verzi 2.0 informační koncepce.
Změněná část Popis a odůvodnění změny
Terminologie Odstranění tabulky obecně známých pojmů.
Kontext informační
koncepceDoplnění manažerského shrnutí informační koncepce.
Informační
systémyAktualizace seznamu provozovaných informačních systémů.
Záměry rozvoje IS Obecně specifikován Plán rozvoje IS. Doplněny rozvojové IT oblasti Informační strategie.
Řízení kvality ISDefinován systém řízení kvality IS. Doplněny základní atributy kvality IS. Aktualizován
plán řízení kvality IS.
Řízení bezpečnosti
IS
Definován systém řízení bezpečnosti IS. Doplněny základní atributy bezpečnosti IS.
Aktualizován plán řízení bezpečnosti IS.
Správa ISDoplněn životní cyklus IS. Doplněny základní role správy IS. Doplněny, konkretizovány a
prohloubeny zásady správy IS dle všech fází životního cyklu IS.
Financování IS Obecně specifikován Plán financování IS.
7/54
Změněná část Popis a odůvodnění změny
Přílohy Doplněn seznam povinných příloh informační koncepce.
Tabulka č. 4: Změny ve verzi 2.0 informační koncepce oproti verzi 1.0 informační koncepce.
1.2.2 Verze 1.0
Označení verze 1.0 Datum vzniku 1. 10. 2008
Datum schválení 1. 11. 2008 Počátek platnosti 1. 12. 2008
Autor verze Ing. Tomáš Kuba
Ing. Tomáš Hrabík
Funkce konzultant
konzultant
Útvar / organizace CORTIS Consulting s.r.o.
Verzi schválil RNDr. Ivo Skrášek Funkce vedoucí oddělení informatiky KUZK
Útvar / organizace Oddělení informatiky, Krajský úřad Zlínského kraje
Název souboru IK KUZK v1.00 Verze souboru 1.0
Umístění souboru intranet
Počet stran 34 Počet příloh 1
Tabulka č. 5: Údaje o verzi 1.0 informační koncepce.
8/54
2 Kontext informační koncepce
2.1 Manažerské shrnutí
Zlínský kraj je dle zákona č. 365/2000 Sb., o ISVS, v rámci dlouhodobého řízení ISVS, povinen vytvářet a vydávat
informační koncepci, uplatňovat ji v praxi a vyhodnocovat její dodržování. Vedení Zlínského kraje si uvědomuje
důležitost koncepčního řízení informačních systémů a ostatní informační a komunikační infrastruktury kraje a svou
činností vytváří podmínky pro naplňování informační koncepce v souladu se zákonem č. 365/2000 Sb., o
informačních systémech veřejné správy.
Informační koncepce kraje je v souladu s Informační strategií kraje, kterou dále rozvíjí v oblasti informačních
systémů, přičemž respektuje její vize a cíle.
Informační systémy kraje a jejich charakteristiky jsou popsány v dokumentu „Pasport aplikací“, jež je přílohou
informační koncepce.
Plán rozvoje informačních systémů kraje je přílohou informační koncepce a připravuje se 1x ročně v souvislosti
s přípravou rozpočtu IT. Plán rozvoje je ve své podstatě akční operativní plán projektů rozvoje IS a ostatních
informačních technologií.
Systém řízení kvality informačních systémů (cyklus plánuj – dělej – kontroluj – jednej) vytváří řízenou kvalitu
informačních systémů kraje, která splňuje požadavky a očekávání všech zainteresovaných stran.
Plán řízení kvality informačních systémů se připravuje 1 x za 5 let v souvislosti s přípravou nové informační
koncepce kraje, aktualizován je průběžně.
Systém řízení bezpečnosti informačních systémů (cyklus plánuj – dělej – kontroluj – jednej) vytváří řízenou
bezpečnost informačních systémů kraje, která splňuje požadavky a očekávání všech zainteresovaných stran.
Plán řízení bezpečnosti informačních systémů se připravuje 1 x za 5 let v souvislosti s přípravou nové informační
koncepce kraje, aktualizován je průběžně.
Správa informačních systémů kraje probíhá dle stanovených zásad a postupů pro všechny fáze životního cyklu
informačního systému (příprava, pořízení/vývoj, provoz a údržba, ukončení provozu a činnosti).
Plán financování informačních systémů kraje je přílohou informační koncepce a připravuje se 1x ročně v souvislosti
s přípravou rozpočtu IT. Obsahuje mj. přehled financování plánu rozvoje informačních systémů kraje.
Revize informační koncepce kraje probíhá 1x ročně.
Vyhodnocování dodržování informační koncepce kraje probíhá 1x za 2 roky.
Zápis o vyhodnocení informační koncepce kraje je přílohou informační koncepce.
Vypracování nové informační koncepce kraje probíhá 1x za 5 roků.
Vrcholnou odpovědnost za naplnění informační koncepce kraje má Oddělení informatiky.
Vrcholnou odpovědnost za splnění zákonných povinností má Ředitel krajského úřadu.
9/54
2.2 Informační koncepce
Informační koncepce mj. popisuje:
seznam (a charakteristiky) provozovaných informačních systémů a jejich předpokládané změny;
záměry na pořízení nebo vytvoření nových informačních systémů, záměry rozvoje stávajících informačních
systémů;
dlouhodobé cíle v oblasti řízení kvality;
dlouhodobé cíle v oblasti řízení bezpečnosti;
zásady pro správu informačních systémů s postupy pro jejich naplnění;
financování oblasti informačních systémů;
postupy při vyhodnocování dodržování informační koncepce;
postupy při provádění změn informační koncepce;
útvar/funkční zařazení zaměstnanců odpovědných za naplňování informační koncepce a splnění
zákonných povinností.
Za jeden z nejdůležitějších mechanismů dlouhodobého řízení ISVS lze považovat vyhodnocování, zda jsou
dodržovány požadavky stanovené v informační koncepci. Na základě tohoto vyhodnocení jsou formulovány závěry,
a v případě zjištěných nedostatků přijmuta přiměřená opatření k jejich odstranění. O průběhu vyhodnocování,
závěrech a opatřeních přijatých na základě poznatků z vyhodnocení se pořizuje „Zápis o vyhodnocení informační
koncepce“.
Legislativně informační koncepce respektuje především:
zákon č. 365/2000 Sb., o informačních systémech veřejné správy (ISVS) a jeho novelu č. 81/2006 Sb.;
vyhlášku č. 529/2006 Sb., o dlouhodobém řízení ISVS;
vyhlášku č. 530/2006 Sb., o postupech atestačních středisek při posuzování dlouhodobého řízení ISVS.
10/54
3 Informační systémy Zlínského kraje
V informační koncepci je uveden pouze výčet informačních systémů provozovaných Krajským úřadem Zlínského
kraje. Jedná se buď o informační systémy veřejné správy (ISVS) nebo o provozní informační systémy (PIS), příp. o
provozní informační systémy s vazbou na ISVS (PIS - ISVS). Všechny tyto informační systémy jsou v detailu,
požadovaném vyhláškou č. 529/2006 Sb., popsány v Příloze č. 1 - Pasport aplikací.
ID INFORMAČNÍ SYSTÉM
1 AirSoft - Ovzduší SQL
2 Dotace 200x
3 EDA
4 Elektronická podatelna
5 ESPI
6 EVI 8.9
7 EVPE
8 IS FKVS MPP (modul podpory plánování)
9 Myslivecké a rybářské průkazy
10 Portál
11 Rozpočet JASU
12 Stavební úřad
13 T-WIST ENZZ
14 Válečné hroby
15 Zoner Context - Systém jakosti v oboru pozemních komunikací
16 Zpracování JŘ pro CIS JŘ 2011/2012
17 E testy Komisař 39083
18 MEDIS ALARM 108D
19 PDS KoPla
20 Živnostenský rejstřík
21 ETZ- elektronické testy
22 Evidence myslivosti
23 Perm3
24 IntraDoc 2.0
25 Portál kr-zlinsky
26 Tagra.eu Control
27 EZOP 1.0.1.7
28 Kukátko 1.2.14.1
29 ActiveDirectory
30 Anet
31 ArcGIS Desktop v. 10.1
32 ArcIMS 9.2.
33 ArcGIS Server Enterprise Basic v. 10.0
34 ASPI Systém právních norem
35 Cardpay
11/54
ID INFORMAČNÍ SYSTÉM
36 ELZA BENEFIT
37 EOS3 ver. 3 (2005)
38 GILDA
39 Ginis
40 Gordic UCR
41 HelpDesk
42 HSMAP
43 Kevis
44 LHK SSL
45 MaP/PiS
46 MONIT
47 Project Server
48 SmtpGateway
49 Sproxy
50 Thomas key
51 T-WIST 1.2a
52 T-WIST METIS 4
53 T-WIST NEMO-EVIDENCE MAJETKU
54 T-WIST REN
55 T-WIST ÚIR-ADR
56 602 FormServer
57 FaMa+
58 TopoL xT Reduced
59 Kissos
60 Telefonní seznam 1.0
61 SafeQ® PCAS 3.1.5.17 Hfx 2010-105 41063
62 EMNKP - Evidence movitých a nemovitých kulturních památek
63 Střet zájmů
64 AuditPro 7.1
65 ArcGIS Server 41284
66 eSPS
67 Datový sklad DWH/BI
68 CA Clarity/PPM
69 Gist
70 MIS ZK
71 Exchange 2010
72 Sharepoint Foundation 2013
Tabulka č. 6: Přehled informačních systémů provozovaných Krajským úřadem Zlínského kraje.
12/54
4 Záměry rozvoje informačních systémů
4.1 Plán rozvoje informačních systémů
Zásady a postupy pro správu informačních systémů (kap. 7. Správa informačních systémů) představují pravidla pro
vytvoření plánu pořizování, vytváření, provozování, změn a ukončení činnosti informačních systémů kraje – plánu
rozvoje informačních systémů.
Plán rozvoje informačních systémů kraje je upřesněním záměrů a cílů uvedených v informační koncepci na základě
konkrétních požadavků a dalších okolností. Vlastní plán není součástí informační koncepce, která obsahuje pouze
zásady a postupy pro jeho vytváření, ale je její přílohou (Příloha č. 2 – Plán rozvoje informačních systémů).
Plán rozvoje informačních systémů obsahuje následující části:
plán pořizování a vytváření nových IS,
plán provozování a údržby provozovaných IS,
plán provádění změn stávajících IS,
plán ukončení provozu a činnosti rušených IS.
Součástí plánu rozvoje je přehled IS, které mají vzniknout, které mají být upraveny, které nahrazeny a které
ukončeny bez náhrady. Dále je v plánu uveden časový harmonogram provádění příslušných akcí v jednotlivých
systémech.
Plán rozvoje se nemusí týkat pouze IS, ale i ostatních informačních a komunikačních technologií kraje a související
informační a komunikační infrastruktury.
Plán rozvoje se připravuje 1x ročně v souvislosti s přípravou rozpočtu IT. Jedná se v podstatě o každoroční akční
operativní plán projektů rozvoje IS a ostatních informačních a komunikačních technologií.
Plán rozvoje informačních systémů kraje je pojítkem mezi Informační koncepcí a Informační strategií Zlínského
kraje.
4.2 Záměry na pořízení nebo vytvoření nových informačních systémů
V současnosti nejsou žádné záměry na pořízení nových informačních systémů dodavatelským způsobem.
V současnosti nejsou žádné záměry na vytvoření nových informačních systémů vlastními zdroji.
4.3 Záměry rozvoje stávajících informačních systémů
V současnosti nejsou žádné záměry rozvoje stávajících informačních systémů.
4.4 Informační strategie Zlínského kraje
V průběhu roku 2014 bude zpracována nová Informační strategie Zlínského kraje, a v návaznosti na to
aktualizována Informační koncepce Zlínského kraje vč. Plánu rozvoje informačních systémů. V dokumentech se
budou mj. analyzovat důsledky a dopady následujících oblastí rozvoje informačních technologií:
13/54
21Net – Komunikační infrastruktura Zlínského kraje
Zákon o kybernetické bezpečnosti
Správa mobilních zařízení
4.4.1 21Net – Komunikační infrastruktura Zlínského kraje
21Net – ve výsledku rychlá, robustní a bezpečná celokrajská datová síť pro podporu krizového řízení,
integrovaného záchranného systému, pro naplnění cílů e-Governmentu a zvýšení efektivity výkonu veřejné správy.
K přenosu informací mezi jednotlivými lokalitami bude využito optických vláken. Optická datová síť dosáhne
přenosové rychlosti 1 Gbit/s, přičemž technologicky bude připravena na vyšší rychlost 10 Gbit/s bez nutnosti
vysokých investic. Celá infrastruktura bude odolná proti výpadku napájení ve všech kritických lokalitách
s podmínkou zachování funkčnosti sítě na dobu 72 hodin.
Více informací na http://www.21net.cz/.
V souvislosti s provozem této sítě vzniká provozní dokumentace, mj. Bezpečnostní politika 21Net a provozní řády.
4.4.2 Zákon o kybernetické bezpečnosti
Připravovaný zákon o kybernetické bezpečnosti bude na povinné osoby v oblasti kybernetické bezpečnosti
pravděpodobně klást některé nové požadavky, naplněné tzv. „Systémem zajištění kybernetické bezpečnosti“.
Systém zajištění kybernetické bezpečnosti tvoří bezpečnostní opatření, hlášení kybernetických bezpečnostních
incidentů, protiopatření, oznamování kontaktních údajů a činnost Národního bezpečnostního úřadu a dohledových
pracovišť.
Stavem kybernetického nebezpečí se rozumí stav, ve kterém je ve velkém rozsahu ohrožena bezpečnost informací
v informačních systémech nebo bezpečnost služeb nebo sítí elektronických komunikací, a tím dojde nebo by mohlo
dojít k porušení nebo ohrožení zájmu České republiky.
4.4.3 Správa mobilních zařízení
Používání mobilních zařízení (mj. a především smartphone a tablet) způsobuje nová bezpečnostní rizika. Oprávnění
uživatelé mohou používat mobilní zařízení a pracovat s využitím vzdáleného přístupu k informacím a prostředkům
pro jejich zpracování za splnění striktně definovaných podmínek.
Správa mobilních zařízení musí poskytovat možnost rychlé registrace mobilního zařízení v datovém prostředí,
konfiguraci a aktualizaci nastavení zařízení na dálku, vynucování bezpečnostních zásad a konformit, zabezpečování
mobilního přístupu k datovým zdrojům, a také uzamykání a vymazávání těchto zařízení.
14/54
5 Řízení kvality informačních systémů
5.1 Systém řízení kvality informačních systémů
Systém řízení kvality informačních systémů přijímá požadavky a očekávání zainteresovaných stran na kvalitu
informačních systémů a pomocí nezbytných činností a procesů vytváří řízenou kvalitu, která splňuje tyto požadavky
a očekávání.
Základní cyklus systému řízení kvality informačních systémů:
Plánuj – plánování v oblasti řízení kvality informačních systémů.
Dělej – realizace požadavků na kvalitu informačních systémů.
Kontroluj - ověřování splnění požadavků na kvalitu informačních systémů.
Jednej – vyhodnocení požadavků na kvalitu informačních systémů.
Obrázek č. 1: Cyklus systému řízení kvality informačních systémů
5.2 Kvalita informačních systémů
Kvalitou informačních systémů se rozumí především:
Kvalita zpracovávaných dat.
Kvalita poskytovaných služeb.
Kvalita používaných technologických a programových prostředků.
5.2.1 Kvalita zpracovávaných dat - atributy
Základní atributy kvality zpracovávaných dat:
Integrita dat – data v IS jsou autentická, přesná a úplná.
15/54
Přesnost (správnost) dat - reprezentace skutečné hodnoty v IS by měla být v kontextu jejího použití
dostatečně přesná.
Úplnost (kompletnost) dat - v IS by měly být vedeny hodnoty pokud možno pro všechny atributy entity, a
také všechny ostatní relevantní entity.
Konzistence dat - různé údaje ke stejné entitě v IS by neměly být ve zřejmém logickém rozporu.
Aktuálnost dat - IS by měl využívat a poskytovat aktuální data.
Důvěryhodnost dat - data, poskytovaná IS by měla být pravdivá a důvěryhodná.
Přístupnost dat - data vedená v IS by měla být vedena v takové formě, aby byla přístupná, a to zejména
pro osoby, které vyžadují podpůrné technologie.
Dostupnost dat - data vedená v IS by měla být vždy dostupná všem uživatelům s oprávněním k přístupu.
Utajitelnost dat - data vedená v IS by měla být přístupná pouze oprávněným uživatelům.
Srozumitelnost dat - data vedená v IS by měla být snadno interpretovatelná uživatelem a vyjádřena ve
vhodném jazyce a jednotkách.
Efektivita dat - při zpracování dat v IS by měl být zajištěn odpovídající výkon systému a mělo by být využito
odpovídající množství systémových zdrojů.
Přenositelnost dat - data vedená v IS by měla umožňovat převod na odlišnou platformu při zachování své
kvality.
Sledovatelnost dat (odpovědnost za data) - při přístupu k datům, vkládání nebo změně dat v IS by mělo
probíhat sledování kdo a kdy k datům přistupoval a kdo a kdy vložení nebo změny provedl.
Soulad dat v IS s právními předpisy - data v IS musí být uložena v souladu s platnými obecně závaznými
právními předpisy. Data v IS by měla být uložena podle veřejně dostupných standardů a datových
formátů.
5.2.2 Kvalita poskytovaných služeb - atributy
Základní atributy kvality poskytovaných služeb:
Funkčnost služeb - IS by měl poskytovat služby - funkce, které uspokojují stanovené a předpokládané
potřeby.
Efektivnost služeb – IS by měl poskytovat služby relevantní potřebám uživatelů.
Dostupnost služeb - služby IS by měly být dostupné za předem určených podmínek (místo, formát, čas).
Přehlednost služeb - služby IS, zejména ty, které využívají grafického uživatelského rozhraní, by měly být
přehledné.
Srozumitelnost služeb - služby IS, zejména ty, které využívají grafického uživatelského rozhraní, by měly
být srozumitelné.
Přístupnost služeb - služby IS, zejména ty, které využívají grafického uživatelského rozhraní, by měly být
přístupné i uživatelům, kteří pro přístup vyžadují speciální technologie.
Interoperabilita služeb - služby IS by měly být způsobilé ke komunikaci s jinými informačními systémy.
16/54
Dohledatelnost služeb - služby IS by měly být dohledatelné za pomoci běžných nástrojů.
Řízení dokumentace – podrobné návody k použití služeb IS by měly být popsány a aktualizovány
v uživatelské dokumentaci.
5.2.3 Kvalita používaných technologických a programových prostředků -
atributy
Základní atributy kvality používaných technologických a programových prostředků:
Funkčnost software - IS by měl poskytovat funkce, které uspokojují stanovené a předpokládané potřeby.
Interoperabilita software - IS by měl být schopen interakce s dalšími IS.
Použitelnost software - IS by měl být pro své uživatele srozumitelný, zvládnutelný a atraktivní.
Efektivita software - IS by měl poskytovat odpovídající výkon při odpovídajícím využití systémových zdrojů.
Bezporuchovost software - IS by měl poskytovat bezporuchový provoz.
Udržovatelnost software - IS by měl být způsobilý k úpravám a implementaci nových funkcí dle nových
legislativních a dalších požadavků.
Přenositelnost software - IS by měl být způsobilý k převodu na odlišnou platformu při zachování své
kvality.
Dostupnost software - IS by měl být dostupný pro všechny oprávněné uživatele.
Certifikace hardware - technologické prostředky IS by měly mít platnou certifikaci pro zamýšlené
programové prostředky.
Odolnost hardware vůči poruchám - technologické prostředky IS by měly být odolné vůči poruchám.
Obnova harware - technologické prostředky IS by neměly být zastaralé.
Úroveň služeb síťové infrastruktury - síťová infrastruktura kraje nezbytná pro provoz IS by měla být na
odpovídající úrovni.
Úroveň internetové konektivity - konektivita do internetu nezbytná pro provoz IS by měla být na
odpovídající úrovni.
Dodávka software a hardware – jednotná strategie řízení vztahů s dodavateli technologií.
Integrace software a hardware – sjednocení technologií (používaných technologických a programových
prostředků).
5.3 Dlouhodobé cíle v oblasti řízení kvality informačních systémů
Dlouhodobé cíle v oblasti řízení kvality IS byly stanoveny ve třech oblastech:
zajištění kvality dat, která jsou v IS zpracovávána;
zajištění kvality služeb, které jsou prostřednictvím IS poskytovány;
zajištění kvality technologických a programových prostředků.
17/54
Dlouhodobé cíle vychází z dokumentu Globální systémová architektura, zpracovaného v rámci projektu Systémová
integrace, který nastavil dlouhodobé směrování informačního systému na úrovni celého kraje a stanovil hlavní cíle.
Dlouhodobé cíle v oblasti řízení kvality IS jsou uvedeny v tabulce, a to v členění do tří výše uvedených oblastí.
U každého cíle je dále uveden atribut kvality IS, ke kterému cíl směřuje.
5.3.1 Kvalita zpracovávaných dat
Označení
cíle
Název cíle Popis cíle Atribut kvality
CK01 Integrita Ve všech systémech budou využity maximální
možnosti pro kontrolu integrity dat, a to na všech
úrovních (databáze, aplikační logika, vstupní
formuláře apod.).
integrita dat
CK02 Aktualizace Cílem je, aby všechny údaje vedené primárně
krajským úřadem byly aktualizovány v nejbližší
možné době po jejich změnách. Podobně nové
údaje by se měly objevit v ISVS s minimální
prodlevou.
aktuálnost dat
CK03 Správnost Předmětem je zavést kontroly dat proti primárním
registrům (především RES, UIR-ADR, ISKN) a
kontroly na obsah dat s cílem zvýšení čistoty dat.
správnost dat
CK04 Kompletnost
dat
Cílem je zavedení datové základy bez chybějících
atributů znamenající nejednoznačnost údajů.
Zároveň maximalizovat množství informací a
dokumentů, zpracovávaných elektronicky v
digitální, strukturované formě.
kompletnost dat
CK05 Odpovědnost Ve všech systémech budou ukládány auditní
záznamy o autorech změn vedených údajů. Bude
zajištěna bezpečnost těchto záznamů.
odpovědnost za data
Tabulka č. 7: Cíle v oblasti zpracovávaných dat.
18/54
5.3.2 Kvalita zajišťovaných služeb
Označení
cíle
Název cíle Popis cíle Atribut kvality
CK06 Funkčnost Rozvoj systému provádět na základě zadání / cílové
architektury v konfrontaci s požadavky uživatelů.
funkčnost služeb
CK07 Efektivnost Pokračovat v zavádění principu vnímání ICT jako
poskytovatele (interních) služeb.
Zavést standardy IT Governance1 do vnitřních
procesů ICT.
efektivnost služeb
CK08 Dostupnost Dále přibližovat veřejné služby občanovi, zajistit
jejich maximální dostupnost a kvalitu s důrazem na
bezpečný a jednoduchý přístup.
Podpořit prezentaci úřadu a regionu.
dostupnost služeb
CK09 Interoperabilita Podpořit integraci a sdílení dat a služeb
prostřednictvím webových služeb a zavést
jednotný způsob autorizace a autentizace.
interoperabilita
služeb
CK10 Řízení
dokumentace
Podpořit využívání funkcionality IS s dostupností
uživatelské dokumentace a konkrétních návodů
postupu řešení problémů.
řízení dokumentace
Tabulka č. 8: Cíle v oblasti zajišťovaných služeb.
1 Manažerské metody a nástroje, zaměřené na řízení informatiky s cílem maximalizovat přidanou hodnotu
informačních systémů a technologií pro realizaci strategie organizace. Zahrnuje jednotný přístup k řízení
požadavků, zdrojů, procesů a projektů probíhajících v ICT se snahou o zvyšování kvality poskytovaných služeb,
redukci nákladů a maximalizaci přidané hodnoty informatiky pro organizaci.
19/54
5.3.3 Kvalita technologických a programových prostředků
Označení
cíle
Název cíle Popis cíle Atribut kvality
CK11 Řízení
dodavatelů
Cílem je zavedení jednotné strategie řízení vztahů s
dodavateli ICT.
dodávka
CK12 Sjednocení
technologií
Sjednocení technologií na základě Technologické
strategie.
sjednocení
technologií
CK13 Obnova ICT Pokračovat v pravidelné obnově HW. obnova HW
Tabulka č. 9: Cíle v oblasti technických a programových prostředků.
20/54
5.4 Požadavky na kvalitu informačních systémů
Požadavky na kvalitu informačních systémů vznikly konkretizací výše stanovených cílů řízení kvality. Souhrn
požadavků včetně vazeb na cíl, který naplňují, a vazeb na IS, pro které platí, je uveden v následující tabulce.
Cíl kvality Označení
požadavku
Popis požadavku Platí pro
CK01: Integrita PK01 Rozšíření kontrol integrity a promítnutí problémových
oblastí do plánu rozvoje.
všechny IS
PK02 Podporovat převedení nestrukturovaných dat na
strukturované.
GINIS - SSL
PK03 Vytvořit metadata k datům, službám a dokumentacím. všechny IS
CK02: Aktualizace PK04 Zavést organizační opatření pro zajištění včasné
aktualizace dat.
všechny IS
PK05 Doplnit konkrétní požadavky na výměnu dat pro
konkrétní systémy.
všechny IS
CK03: Správnost PK06 Zajistit implementace kontrol identifikace
subjektů/osob, adres a nemovitostí.
všechny
relevantní IS
PK07 Zajistit implementaci kontrol obsahu dat (např. kontrola
správnosti rodného čísla, identifikačního čísla, správnost
položek typu datum a čas apod.).
všechny IS
CK04: Kompletnost
dat
PK08 Maximalizovat množství informací a dokumentů,
zpracovávaných elektronicky v digitální, strukturované
formě.
všechny IS
PK09 Zajistit historizaci záznamů, tzn. zavést mechanismus
zaznamenávání historie změn záznamů a zajistit
možnost sledovat postupné změny záznamu v čase a
provádět časové řezy.
všechny IS
CK05:
Odpovědnost
PK10 Zavést auditovatelnost záznamů ve smyslu identifikace
vlastníka každé provedené změny v záznamech.
všechny IS
CK06: Funkčnost PK11 Vytvořit cílovou architekturu. všechny IS
CK07: Efektivnost PK12 Zavést standardy IT Governance do vnitřních procesů
ICT.
21/54
Cíl kvality Označení
požadavku
Popis požadavku Platí pro
CK08: Dostupnost PK13 Rozvinout webové stránky směrem k elektronizaci agend
jako alternativního přístupu.
redakční
systém
PK14 Vytvořit Call centrum jako alternativu k zjišťování stavu
žádosti.
všechny IS
CK09:
Interoperabilita
PK15 Dále rozvíjet sdílení dat na bázi webových služeb. GIS
PK16 Zavést jednotný způsob autorizace a autentizace. všechny IS
CK10: Řízení
dokumentace
PK17 Zajistit dostupnost uživatelské dokumentace. všechny IS
PK18 Rozšířit návody řešící typické postupy práce s IS. všechny IS
CK11: Řízení
dodavatelů
PK19 Zavést dlouhodobé hodnocení dodavatelů,
monitorování kvality dodávek.
všechny IS
PK20 Vytvořit standardizované šablony pro smlouvy
s dodavateli ICT komodit a služeb.
všechny IS
PK21 Přenést parametry ze SLA na dodavatele, kteří dané SLA
mohou ovlivnit, včetně patřičných sankcí.
všechny IS
PK22 Rozvíjet projektové řízení při dodávce ICT služeb. všechny IS
CK12: Sjednocení
technologií
PK23 Sjednotit technologie na základě stanovené
Technologické strategie.
všechny IS
CK13: Obnova ICT PK24 Pokračovat v pravidelné obnově HW. hardware
Tabulka č. 10: Požadavky na kvalitu informačních systémů.
5.5 Plán řízení kvality informačních systémů
5.5.1 Činnosti v oblasti řízení kvality
V oblasti řízení kvality informačních systémů budou v rámci krajského úřadu vykonávány činnosti dle základního
cyklu systému řízení kvality informačních systémů (plánuj – dělej – kontroluj – jednej):
Stanovení cílů kvality:
provádí vedoucí oddělení informatiky;
22/54
vedoucí oddělení informatiky vymezí obecné cíle kvality, popíše je, přidělí jim příslušné atributy včetně
požadovaného termínu naplnění a sestaví katalog cílů kvality;
cíle kvality jsou součástí informační koncepce, tzn. mohou se měnit při změně verze.
Stanovení požadavků na kvalitu:
vedoucí oddělení informatiky předá cíle kvality jednotlivým správcům IS;
správci IS pro každý cíl buď konstatují, že jejich IS již cíl splňuje, nebo sestaví požadavky, jejichž postupným
splněním bude tento cíl naplněn;
u požadavků si správci IS stanoví dílčí termíny takové, aby byl splněn termín požadovaného naplnění cíle;
vedoucí oddělení informatiky požadavky sesbírá a vytvoří katalog požadavků na kvalitu, který se stává
součástí informační koncepce.
Implementace požadavků na kvalitu:
provádí dodavatel nebo správce IS v závislosti na způsobu budování resp. údržby IS;
zodpovídá na jedné straně správce IS, na druhé straně vedoucí projektu;
podklady čerpá z informační koncepce - platné verze;
vychází z požadavků na kvalitu a časového harmonogramu jejich naplnění;
dokončení implementace požadavku hlásí vedoucí projektu správci IS a ten dále informuje vedoucího
oddělení informatiky.
Prověrka dodržování požadavků na kvalitu:
provádí nezávislý pracovník Útvaru interního auditu;
impuls dává vedoucí oddělení informatiky;
prověřuje se buď konkrétní implementace požadavku na konkrétním IS, nebo konkrétní požadavek na
všech relevantních IS nebo všechny požadavky na vybraném IS;
z prověření se vytváří zápis, který obdrží vedoucí oddělení informatiky a správce IS.
Vyhodnocení řízení kvality:
provádí vedoucí oddělení informatiky;
provádí se minimálně jednou za rok;
součástí je vyhodnocení závěrů z provedených prověrek dodržování požadavků na kvalitu;
provede se též revize dlouhodobých cílů kvality a jejich aktualizace;
vyřadí se implementované a prověřené požadavky na kvalitu a vytvoří se nové;
vyhodnocení může být podnětem k vydání nové verze informační koncepce.
23/54
5.5.2 Časové harmonogramy plnění cílů kvality a požadavků na kvalitu
Šedou barvou jsou zvýrazněny cíle kvality a požadavky na kvalitu, které ke dni platnosti nové verze informační
koncepce (2.0) již měly být splněny, bez zvýraznění jsou cíle a požadavky, jejichž plnění je průběžné a cíle a
požadavky, jejichž splnění se očekává.
Protokol o auditním testu č. 6, jež je přílohou č. 4 této informační koncepce, obsahuje podrobné závěry
z praktického ověření skutečného stavu naplnění cílů kvality a požadavků na kvalitu informačních systémů.
Plánované
naplněníOznačení cíle Název cíle
průběžně CK01 Integrita
31. 12. 2011 CK02 Aktualizace
31. 12. 2013 CK03 Správnost
průběžně CK04 Kompletnost dat
31. 12. 2010 CK05 Odpovědnost
31. 12. 2013 CK06 Funkčnost
31. 12. 2012 CK07 Efektivnost
31. 12. 2012 CK08 Dostupnost
31. 12. 2010 CK09 Interoperabilita
31. 7. 2010 CK10 Řízení dokumentace
průběžně CK11 Řízení dodavatelů
31. 12. 2013 CK12 Sjednocení technologií
průběžně CK13 Obnova ICT
Tabulka č. 11: Harmonogram plnění cílů kvality.
Plánované
naplnění
Označení
požadavkuPopis požadavků na kvalitu
průběžně PK01Rozšíření kontrol integrity a promítnutí problémových oblastí do
plánu rozvoje.
průběžně PK02 Podporovat převedení nestrukturovaných dat na strukturované.
průběžně PK03 Vytvořit metadata k datům, službám a dokumentacím.
31. 12. 2010 PK04 Zavést organizační opatření pro zajištění včasné aktualizace dat.
31. 12. 2011 PK05 Doplnit konkrétní požadavky na výměnu dat pro konkrétní systémy.
24/54
31. 12. 2013 PK06Zajistit implementace kontrol identifikace subjektů/osob, adres a
nemovitostí.
31. 12. 2013 PK07
Zajistit implementaci kontrol obsahu dat (např. kontrola správnosti
rodného čísla, identifikačního čísla, správnost položek typu datum a
čas apod.).
průběžně PK08Maximalizovat množství informací a dokumentů, zpracovávaných
elektronicky v digitální, strukturované formě.
31. 12. 2010 PK09
Zajistit historizaci záznamů, tzn. zavést mechanismus zaznamenávání
historie změn záznamů a zajistit možnost sledovat postupné změny
záznamu v čase a provádět časové řezy.
31. 7. 2010 PK10Zavést auditovatelnost záznamů ve smyslu identifikace vlastníka
každé provedené změny v záznamech.
31. 12. 2013 PK11 Vytvořit cílovou architekturu.
31. 12. 2012 PK12 Zavést standardy IT Governance do vnitřních procesů ICT.
31. 12. 2010 PK13Rozvinout webové stránky směrem k elektronizaci agend jako
alternativního přístupu.
průběžně PK15 Dále rozvíjet sdílení dat na bázi webových služeb.
31. 12. 2010 PK16 Zavést jednotný způsob autorizace a autentizace.
31. 12. 2009 PK17 Zajistit dostupnost uživatelské dokumentace.
průběžně PK18 Rozšířit návody řešící typické postupy práce s IS.
průběžně PK19Zavést dlouhodobé hodnocení dodavatelů, monitorování kvality
dodávek.
31. 12. 2010 PK20Vytvořit standardizované šablony pro smlouvy s dodavateli ICT
komodit a služeb.
31. 12. 2010 PK21Přenést parametry ze SLA na dodavatele, kteří dané SLA mohou
ovlivnit, včetně patřičných sankcí.
průběžně PK22 Rozvíjet projektové řízení při dodávce ICT služeb.
31. 12. 2013 PK23 Sjednotit technologie na základě stanovené Technologické strategie.
průběžně PK24 Pokračovat v pravidelné obnově HW.
Tabulka č. 12: Harmonogram plnění požadavků na kvalitu.
25/54
6 Řízení bezpečnosti informačních systémů
6.1 Systém řízení bezpečnosti informačních systémů
Pro řízení bezpečnosti informačních systémů kraje je aplikován přístup dle mezinárodních norem a standardů pro
oblast řízení informační bezpečnosti, a to konkrétně dle ČSN ISO/IEC 27001 Systém řízení bezpečnosti systémů –
požadavky, ISO/IEC 27002 Soubor postupů pro řízení informační bezpečnosti a ČSN ISO/IEC TR 13335 Směrnice pro
řízení bezpečnosti IT.
Systém řízení bezpečnosti informačních systémů, resp. informační bezpečnosti (ISMS – information security
management system), přijímá požadavky a očekávání zainteresovaných stran na bezpečnost informačních systémů
a pomocí nezbytných činností a procesů vytváří řízenou bezpečnost, která splňuje tyto požadavky a očekávání.
Základní cyklus systému řízení bezpečnosti informačních systémů:
Plánuj – plánování v oblasti řízení bezpečnosti informačních systémů.
Dělej – realizace požadavků na bezpečnost informačních systémů.
Kontroluj - ověřování splnění požadavků na bezpečnost informačních systémů.
Jednej – vyhodnocení požadavků na bezpečnost informačních systémů.
Obrázek č. 2: Cyklus systému řízení bezpečnosti informačních systémů
6.2 Bezpečnost informačních systémů
Bezpečností informačních systémů se rozumí především:
Bezpečnost zpracovávaných dat.
Bezpečnost poskytovaných služeb.
Bezpečnost používaných technologických a programových prostředků.
26/54
6.2.1 Bezpečnost zpracovávaných dat - atributy
Základní atributy bezpečnosti zpracovávaných dat:
Dostupnost dat - data v IS jsou k dispozici vždy, když jsou oprávněně autorizovaným uživatelem
vyžadována.
Důvěrnost dat - data v IS jsou chráněna před neautorizovaným přístupem, rozšiřováním, modifikací a před
ztrátou či zničením dle principu identifikace, autentizace a autorizace uživatele.
Integrita dat - data v IS jsou autentická, přesná a úplná.
Základní atributy bezpečnosti zpracovávaných dat se zprostředkovaně vztahují i na poskytované služby a používané
technologické a programové prostředky.
6.3 Dlouhodobé cíle v oblasti řízení bezpečnosti informačních
systémů
Dlouhodobé cíle v oblasti řízení bezpečnosti informačních systémů byly stanoveny v následujících třech oblastech:
zajištění bezpečnosti dat, která jsou v IS zpracovávána,
zajištění bezpečnosti služeb, které jsou prostřednictvím IS poskytovány,
zajištění bezpečnosti technických a programových prostředků.
Dlouhodobé cíle v oblasti řízení bezpečnosti IS jsou uvedeny v následující tabulce, a to v členění do výše uvedených
oblastí. Uvedené cíle jsou stanoveny tak, aby byla zajištěna bezpečnost zpracovávaných informací a poskytovaných
služeb, tj. aby byla zajištěna jejich dostupnost, důvěrnost a integrita.
Oblast bezpečnosti Oblast bezpečnosti dle
ISO/IEC 27002
Označení
cíle
Popis cíle
Zajištění bezpečnosti dat Organizační bezpečnost CB01 Stanovit odpovědnost za činnost
uživatelů v ISVS.
Zajištění bezpečnosti dat Klasifikace a řízení aktiv CB02 Zajistit důvěrnost a integritu dat
uchovávaných a zpracovávaných v ISVS.
Zajištění bezpečnosti dat,
technických a programových
prostředků
Personální bezpečnost CB03 Snížit rizika vyplývající z lidských chyb,
krádeže a podvodu nebo zneužití
zařízení.
Zajištění bezpečnosti dat,
služeb, technických a
programových prostředků
Fyzická bezpečnost a
bezpečnosti prostředí
CB04 Zabránit neautorizovanému přístupu či
poškození aktiv IS.
27/54
Oblast bezpečnosti Oblast bezpečnosti dle
ISO/IEC 27002
Označení
cíle
Popis cíle
Zajištění bezpečnosti dat,
služeb, technických a
programových prostředků
Řízení komunikací a
provozu.
CB05 Zajistit řízení procesů při nasazování IS
a prostředků IS/ICT, prevence a
detekce škodlivého SW a počítačových
virů.
Zajištění bezpečnosti dat a
služeb
Řízení přístupu CB06 Zajistit bezpečný a oprávněného
přístup k požadovaným informacím a
službám IS.
Zajištění bezpečnosti dat a
služeb
Řízení bezpečnostních
incidentů
CB07 Zavést řízení bezpečnostních incidentů.
Zajištění bezpečnosti dat a
služeb
Řízení zachování
kontinuity činností
CB08 Stanovit potřebnou dostupnost
informací a služeb a zajistit kontinuitu
činností včetně havarijního plánování.
Zajištění bezpečnosti dat a
služeb, technických a
programových prostředků
Řízení shody CB09 Zajistit dodržování všech zákonných
požadavků, norem a předpisů.
Bezpečnost IS obecně Bezpečnostní politika
ICT (kontrola a
hodnocení)
CB10 Řídit informační rizika s cílem
implementovat efektivní opatření na
jejich zvládání, provádění auditů a
vyhodnocování auditních záznamů.
Tabulka č. 13: Dlouhodobé cíle v oblasti řízení bezpečnosti IS
6.4 Požadavky na bezpečnost informačních systémů
Požadavky na bezpečnost IS vznikly konkretizací výše stanovených cílů řízení bezpečnosti, a to pro jednotlivé
informační systémy resp. záměry na vybudování nových IS, nebo jejich skupiny, případně pro všechny IS nebo
záměry na jejich vybudování. Souhrn požadavků včetně vazeb na cíl, který naplňují, a vazeb na IS, pro které platí, je
uveden v následující tabulce.
Cíl bezpečnosti Označení
požadavku
Popis požadavku Platí pro
CB01 PB01 Definice struktury řízení informační bezpečnosti,
stanovení rolí a odpovědností, povinností a pravomocí.
všechny IS
28/54
Cíl bezpečnosti Označení
požadavku
Popis požadavku Platí pro
CB02 PB02 Stanovení odpovídající klasifikace dat dle stupně
důvěrnosti a pravidel ochrany klasifikovaných dat.
všechny IS
CB03 PB03 Stanovení odpovědnosti za bezpečnost. všechny IS
PB04 Zavedení systému pravidelného vzdělávání uživatelů v
oblasti informační bezpečnosti.
všechny IS
CB04 PB05 Zajištění ochrany informací technologickými,
organizačními a fyzickými prostředky.
všechny IS
CB05 PB06 Zabezpečení komunikace uvnitř i vně úřadu. všechny IS
PB07 Zajištění používání pouze schváleného HW a
licencovaného SW (licenční politika),
všechny IS
PB08 Pořizování systémových záznamů (logů), zápisů o
opravách a zásazích a stanovení nezbytné doby jejich
uchování a místa jejich uložení.
všechny IS
CB06 PB09 Provádění všech činností tak, aby nemohlo dojít k úniku,
neoprávněnému přístupu k informacím nebo k narušení
integrity HW nebo SW vybavení a jinému ohrožení.
všechny IS
CB07 PB10 Stanovení postupů pro hlášení bezpečnostních incidentů
uživateli včetně jejich evidence a následného
vyhodnocení.
všechny IS
CB08 PB11 Řešení krizových situací na základě definovaných rizik,
stanovených dopadů a krizových scénářů (požár,
záplavy, výpadek proudu, porucha HW nebo selhání SW,
přírodní katastrofa, úmyslný zásah, atd.).
všechny IS
PB12 Aktualizace Havarijního plánu ICT. všechny IS
CB09 PB13 Identifikace požadavků relevantní legislativy. všechny IS
CB10 PB14 Provádění pravidelného auditu informační bezpečnosti všechny IS
PB15 Provedení analýzy rizik IS. všechny IS
Tabulka č. 14: Požadavky na bezpečnost informačních systémů.
29/54
6.5 Plán řízení bezpečnosti informačních systémů
6.5.1 Činnosti v oblasti řízení bezpečnosti
V oblasti řízení bezpečnosti informačních systémů budou v rámci krajského úřadu vykonávány činnosti dle
základního cyklu systému řízení bezpečnosti informačních systémů (plánuj – dělej – kontroluj – jednej):
Stanovení cílů bezpečnosti:
provádí bezpečnostní správce ICT;
cíle bezpečnosti jsou stanoveny na základě výsledků analýzy rizik;
cíle bezpečnosti jsou detailně rozpracovány v Bezpečnostní politice ICT.
Stanovení požadavků na bezpečnost:
na základě cílu bezpečnosti stanoví bezpečnostní správce ICT požadavky na bezpečnost, jež povedou k
naplnění cíle, a předá je vedoucímu Oddělení informatiky odpovědnému za rozvoj IS,
jednotlivé požadavky na bezpečnosti jsou pak zapracovány do Plánu bezpečnosti spolu se stanovením
termínu plnění.
Implementace požadavků na bezpečnost:
jednotlivé požadavky na bezpečnost mohou být implementovány prostřednictvím několika
bezpečnostních opatření;
odpovědnost za implementaci požadavků na bezpečnost, spolu se způsobem jejich implementace je
definována v Plánu bezpečnosti;
za Plán bezpečnosti odpovídá bezpečnostní správce ICT;
dokončení implementace požadavku hlásí bezpečnostní správce ICT pracovníkovi zodpovědnému za
naplňování IK.
Prověrka dodržování požadavků na bezpečnost:
provádí ji Útvar interního auditu nebo externí organizace,
impuls dává pracovník zodpovědný za naplňování IK nebo bezpečnostní správce ICT,
prověřuje se konkrétní implementace jednoho nebo více požadavků na IS KÚZK,
z prověření se vytváří zápis, který obdrží pracovník odpovědný za naplnění IK a bezpečnostní správce ICT.
Vyhodnocení řízení bezpečnosti:
způsob kontroly a hodnocení řízení bezpečnosti je definován v Bezpečnostní politice ICT;
na základě vyhodnocení řízení bezpečnosti provede bezpečnostní správce ICT též revizi dlouhodobých cílů
bezpečnosti a jejich aktualizaci,
vyřadí se implementované a prověřené požadavky na bezpečnost a vytvoří se nové,
vyhodnocení může být podnětem k vydání nové verze IK.
30/54
6.5.2 Časové harmonogramy plnění cílů bezpečnosti a požadavků na
bezpečnost
Šedou barvou jsou zvýrazněny cíle bezpečnosti a požadavky na bezpečnost, které ke dni platnosti nové verze
informační koncepce (2.0) již měly být splněny, bez zvýraznění jsou cíle a požadavky, jejichž plnění je průběžné a
cíle a požadavky, jejichž splnění se očekává.
Protokol o auditním testu č. 6, jež je přílohou č. 4 této informační koncepce, obsahuje podrobné závěry
z praktického ověření skutečného stavu naplnění cílů bezpečnosti a požadavků na bezpečnost informačních
systémů.
Plánované
naplněníOznačení cíle Název cíle bezpečnosti
31. 1. 2009 CB01 Stanovit odpovědnost za činnost uživatelů v IS.
Průběžně CB02 Zajistit důvěrnost a integritu dat uchovávaných a zpracovávaných v IS.
Průběžně CB03Snížit rizika vyplývající z lidských chyb, krádeže a podvodu nebo zneužití
zařízení.
Průběžně CB04 Zabránit neautorizovanému přístupu či poškození aktiv IS.
Průběžně CB05Zajistit řízení procesů při nasazování IS a prostředků IS/ICT, prevence a
detekce škodlivého SW a počítačových virů
Průběžně CB06Zajistit bezpečný a oprávněného přístup k požadovaným informacím a
službám IS.
31. 12. 2008 CB07 Zavést řízení bezpečnostních incidentů.
31. 12. 2009 CB08Stanovit potřebnou dostupnost informací a služeb a zajistit kontinuitu
činností včetně havarijního plánování.
Průběžně CB09 Zajistit dodržování všech zákonných požadavků, norem a předpisů.
Průběžně CB10Řídit informační rizika s cílem implementovat efektivní opatření na jejich
zvládání, provádění auditů a vyhodnocování auditních záznamů.
Tabulka č. 15: Harmonogram plnění cílů bezpečnosti.
Plánované
naplnění
Označení
požadavkuPopis požadavku na bezpečnost
10/2008 PB01Definice struktury řízení informační bezpečnosti, stanovení rolí a
odpovědností, povinností a pravomocí.
2/2009 PB02Stanovení odpovídající klasifikace dat dle stupně důvěrnosti a pravidel
ochrany klasifikovaných dat.
Průběžně PB03 Stanovení odpovědnosti za bezpečnost.
31/54
2/2009 PB04Zavedení systému pravidelného vzdělávání uživatelů v oblasti
informační bezpečnosti.
průběžně PB05Zajištění ochrany informací technologickými, organizačními a fyzickými
prostředky.
průběžně PB06 Zabezpečení komunikace uvnitř i vně úřadu.
6/2010 PB07Zajištění používání pouze schváleného HW a licencovaného SW
(licenční politika),
5/2009 PB08Pořizování systémových záznamů (logů), zápisů o opravách a zásazích a
stanovení nezbytné doby jejich uchování a místa jejich uložení.
průběžně PB09
Provádění všech činností tak, aby nemohlo dojít k úniku,
neoprávněnému přístupu k informacím nebo k narušení integrity HW
nebo SW vybavení a jinému ohrožení.
12/2008 PB10Stanovení postupů pro hlášení bezpečnostních incidentů uživateli
včetně jejich evidence a následného vyhodnocení.
12/2009 PB11
Řešení krizových situací na základě definovaných rizik, stanovených
dopadů a krizových scénářů (požár, záplavy, výpadek proudu, porucha
HW nebo selhání SW, přírodní katastrofa, úmyslný zásah, atd.).
průběžně PB12 Aktualizace Havarijního plánu ICT.
průběžně PB13 Identifikace požadavků relevantní legislativy.
ročně PB14 Provádění pravidelného auditu informační bezpečnosti.
6/2012 PB15 Provedení další analýzy rizik IS.
Tabulka č. 16: Harmonogram plnění požadavků na bezpečnost.
32/54
7 Správa informačních systémů
7.1 Životní cyklus informačního systému
Fáze životního cyklu informačního systému:
fáze přípravy - shromáždění a posouzení požadavků, formulace zadání IS,
fáze pořízení/vývoje – pořízení/tvorba, přizpůsobení zákaznickým požadavkům - customizace, testování,
instalace, implementace,
fáze provozu a údržby,
fáze ukončení provozu.
Fáze životního cyklu IS Zásady správy IS
1. Příprava
Sběr podnětů k novému IS
Zpracování záměru pořízení IS dodavatelským způsobem
Zpracování záměru vytvoření (vývoje) IS vlastními zdroji
2. Pořízení/Vývoj (vytvoření)
Pořízení IS dodavatelským způsobem
Vývoj (vytvoření) IS vlastními zdroji
Instalace a testování IS
Příprava nasazení IS do rutinního provozu
3. Provoz a údržba
Nasazení IS do rutinního provozu
Zajištění provozu a údržby IS
Řízení změn IS
4. Ukončení provozu a činnostiUkončení provozu IS
Ukončení činnosti IS
Tabulka č. 17: Zásady správy informačního systému dle jednotlivých fází životního cyklu.
Základní role správy informačního systému:
systémový správce – technický správce informačního systému,
bezpečnostní správce – správce bezpečnosti informačního systému,
klíčový uživatel – odborný garant informačního systému.
33/54
7.2 Příprava informačního systému
7.2.1 Sběr podbětů k novému informačnímu systému
Podnětem k novému informačnímu systému mohou být:
mise, poslání, strategické cíle kraje,
novely právních předpisů či nově vzniklé legislativní předpisy (zákony, vyhlášky, nařízení),
místní legislativní předpisy (např. vyhlášky), interní směrnice a nařízení,
požadavky uživatelů IS reprezentované klíčovým uživatelem,
podněty správců IS (změny topologie počítačové sítě, změna HW a SW platformy, ztráta dat a jiné havárie,
atp.),
další jiné podněty (např. podněty vzešlé z porad, analýza chybových hlášení, aj.).
Základní realizované postupy:
shromáždění podnětů a požadavků z různých míst a od různých subjektů u systémového správce,
posouzení došlých požadavků a jejich prvotní eliminace - schválení nebo zamítnutí,
předání požadavků ke schválení vedoucím orgánům kraje.
7.2.2 Zpracování záměru pořízení informačního systému dodavatelským
způsobem
Krajský úřad Zlínského kraje v případě potřeby nového informačního systému řeší jeho budování formou pořízení
od externího dodavatele.
Před zahájením pořízení nového IS musí být vypracován záměr nového IS. Tento záměr je specifikován jako
požadavek v Helpdesku, u rozsáhlejších a významnějších informačních systémů je záměr rozpracován v Plánu
rozvoje IS. V kompetenci vedoucího oddělení informatiky je rozhodnutí o nutnosti zpracování záměru do Plánu
rozvoje IS, a to především na základě rozsahu předpokládaných dopadů, očekávané finanční náročnosti a délky a
složitosti implementace. V případě ISVS je vždy zpracován záměr do Plánu rozvoje IS.
Každý záměr na pořízení nebo vytvoření IS bude popsán v Helpdesku jako „požadavek na software“ ve struktuře:
definování potřeby IS, analýza zdrojů pro jeho pořízení, očekávaná finanční náročnost (v případě potřeby
též analýza časové dostupnosti zdrojů apod.),
analýza výchozího stavu (též s ohledem na možnost využití služeb nebo zdrojů jiných IS),
stanovení požadovaného cílového stavu IS (vyplývající z definice potřeby IS),
stanovení požadavků na kvalitu a bezpečnost IS (vyplývající z dlouhodobých cílů a obecných požadavků),
analýza důsledků, které pořízení IS může vyvolat (např. dopad na procesy, činnost úřadu, organizační
opatření apod.),
34/54
definice požadavků na dokumentaci IS, požadavky na oprávnění nezbytná pro provádění údržby a změn
v IS, a to v závislosti na tom, zda bude údržbu a změny systémový či bezpečnostní správce IS provádět
vlastními silami, nebo bude údržbu a změny provádět taktéž dodavatel,
požadavky na projektové řízení u dodavatele, přičemž je možné ponechat výběr metody na dodavateli;
doporučuje se vycházet z obecně uznávaných českých norem v této oblasti (např. ČSN ISO/IEC 15288
Systémové inženýrství - Procesy životního cyklu systému),
požadavky na testování IS a podmínky akceptace.
Záměr rozsáhlého a významného IS je v Plánu rozvoje IS popsán formou projektového listu s následující strukturou:
Název projektového
záměru
název projektu, programu nebo organizačního opatření
Kód projektu P_IST_NN (projekt) G_IST_NN (org.
opatření) R_IST_NN (program)
Druh projektu vývoj / provoz a údržba /
kombinovaný
Sponzor hlavní propagátor projektu (politik)
Garant projektu garant (nositel) projektu v rámci
úřadu (většinou odbor)
Priorita 1 – nutný projekt pro
naplnění cíle
2 – silně doporučený projekt
pro naplění cíle
3 – doporučený projekt pro
naplnění cíle
4 – podpůrný projekt
Důvody pro vznik
projektu
důvody pro vznik projektu - definování potřeby
Informace o podkladu
pro vznik projektu
informace o podkladu
Analýza výchozího
stavu
analýza výchozího stavu včetně zvážení možností využití existujících IS nebo jejich částí
Cíle projektu cíle projektu, programu nebo organizačního opatření
Související projekty související projekty kód-název
Podmiňující projekty podmiňující projekty kód-název
Opatření, které jsou
projektem naplňována
opatření, které jsou projektem/programem/org. opatřením naplňována kód-název
Cíle, které jsou
projektem naplňovány
cíle, které jsou projektem/programem/org. opatřením naplňována kód-název
Předmět projektu
(základní vymezení
předmětu projektu)
základní vymezení předmětu projektu
Hlavní výstupy indikátor dosažení cíle míra cíle prostředky k ověření
35/54
projektu (jednotka)
specifikace indikátor ano/ne prostředek
Časový harmonogram
projektu
časový harmonogram
Předpokládaná
spotřeba zdrojů na
PŘÍPRAVU PROJEKTU
Varianta A - realizace vlastními
kapacitami (počet úvazků)
Varianta B - realizace dodavatelsky
Interní kapacity externí náklady (tis. Kč)
počet úvazků počet úvazků tis. Kč
Předpokládaná
spotřeba zdrojů na
REALIZACI PROJEKTU
Interní náklady - spotřeba lidských
zdrojů (počet úvazků)
Externí náklady - spotřeba finančních zdrojů
(tis. Kč)
počet úvazků tis. Kč
Předpokládané
provozní náklady za
rok
počet úvazků tis. Kč
Doba udržitelnosti
projektu
Roky
Přepokládané zdroje
financování
Vlastní zdroje financování
(tis. Kč)
Možné cizí zdroje financování
tis. Kč operační programy
Předpokládaný PŘÍNOS
PROJEKTU
Finanční přínos Jiný přínos
Finanční přínos je odhadován na základě aktuálně dostupných informací, jeho výše je u konkrétních
projektů závislá na rozsahu a kvalitě realizačního projektu. U projektů, které směřují vně úřadu,
přínosy znamenají zkvalitnění služby, zlepšení kvality života – v takovém případě jsou přínosy
finančně nevyčíslitelné.
Stanovení požadavků
na kvalitu
vyplývají z dlouhodobých cílů řízení kvality
Stanovení požadavků
na bezpečnost
vyplývají z dlouhodobých cílů řízení bezpečnosti
Analýza důsledků dopady na procesy a činnost orgánu veřejné správy,
nutná organizační opatření,
personální dopady apod.
Tabulka č. 18: Struktura pasportního listu projektového záměru.
Pro každý pořizovaný nebo aktualizovaný IS určí vedoucí oddělení informatiky pracovníka oddělení informatiky,
zodpovědného za dodávku tohoto IS (dále odpovědný pracovník oddělení informatiky).
Není-li stanoveno jinak, je odpovědný pracovník oddělení informatiky totožný se správcem IS (v případě nového IS
budoucím správcem IS). Výjimku z tohoto pravidla stanoví vedoucí oddělení informatiky.
36/54
Pořízení nového informačního systému dodavatelským způsobem je nad určitou finanční hranici realizováno
formou veřejné soutěže dle zákona č. 137/2006 Sb., o veřejných zakázkách. Základní realizované postupy při
zadávání veřejných zakázek:
vypracování a schválení záměru a zadání IS,
předání poptávky (zadávací dokumentace) řešitelům (uchazečům, dodavatelům) k vypracování návrhu na
řešení,
vypracování nabídek řešiteli (mj. analýza problematiky včetně dopadů na informační a komunikační
infrastrukturu, cenová kalkulace, návrh smluvního ujednání, návrh řešení ochrany autorských práv),
posouzení předložených nabídek a předání vzešlých připomínek a námětů k jejich doplnění,
finální posouzení předložených nabídek,
předložení smluvního ujednání ke schválení (u malých zakázek do určité finanční výše je možno smluvní
ujednání vynechat a nahradit objednávkou).
Zadávací dokumentace k vypracování návrhu na řešení a pro výběr nejvhodnějšího řešení musí být min. v rozsahu:
funkční specifikace;
rozsah analýzy a Koncepce nasazení;
požadavky na provozní dokumentaci IS;
požadavky na projektové řízení u dodavatele;
požadavky na kvalitu, vyplývající z dlouhodobých cílů řízení kvality;
požadavky na bezpečnost, vyplývající z dlouhodobých cílů řízení bezpečnosti;
požadavky na testování;
podmínky akceptace.
Odpovědný pracovník oddělení informatiky je zodpovědný za to, že zadávací dokumentace bude zpracována v dále
uvedené kvalitě a rozsahu. Na tomto úkolu úzce spolupracuje především s odborným garantem IS.
Zadávací dokumentaci schvaluje vedoucí oddělení informatiky.
Funkční specifikace:
Funkční specifikace musí obsahovat minimálně požadavky na:
funkcionalitu IS, požadavky na jeho jednotlivé funkce;
integraci s ostatními částmi IS;
vstupní a výstupní data;
legislativní požadavky;
technologické požadavky;
ostatní uživatelské požadavky.
Rozsah analýzy a Koncepce nasazení:
V případě, že rozsah nebo složitost pořizovaného IS znemožňuje detailní popis zadání před vyhlášením veřejné
zakázky, může být Zadávací dokumentace zpracována pouze v omezené míře podrobnosti. Povinnou požadovanou
součástí dodávky pak musí být provedení analýzy a na jejím základě zpracování dokumentu Koncepce nasazení,
která bude odsouhlasena před zahájením vlastní implementace IS a která upřesní chybějící části zadání.
Rozhodnutí o potřebě provedení analýzy a zpracování Koncepce nasazení je v kompetenci vedoucího oddělení
informatiky.
37/54
Požadavky na provozní dokumentaci IS:
Odpovědný pracovník oddělení informatiky zodpovídá za to, že součástí dodávky bude kompletní provozní
dokumentace v souladu s požadavky vyhlášky č. 529/2006 Sb., o dlouhodobém řízení ISVS:
bezpečnostní směrnice pro bezpečnostního správce,
systémová příručka pro systémového správce,
uživatelská příručka pro uživatele systému.
Požadavky na projektové řízení u dodavatele:
Implementační projekty budou řízeny prostřednictvím projektového řízení. Uchazeč v rámci své nabídky musí jasně
specifikovat projektovou strukturu a metodiku, podle které budou projekty řízeny.
Požadavky na kvalitu:
Požadavky na kvalitu vyplývají z dlouhodobých cílů řízení kvality.
Požadavky na bezpečnost:
Požadavky na bezpečnost vyplývají z dlouhodobých cílů řízení bezpečnosti.
Požadavky na testování:
Požadavky na testování budou vycházet z rozsahu systému, počtu poskytovaných služeb apod. Požadavky budou
buď součástí Zadávací dokumentace, nebo součástí Koncepce nasazení.
Z testování musí být vypracován protokol z testování, který je podkladem pro akceptaci.
Podmínky akceptace:
Součástí akceptace je kontrola shody implementované funkcionality se stanovenými akceptačními kritérii, které
budou buď součástí Zadávací dokumentace, nebo součástí Koncepce nasazení.
Výsledkem akceptace musí být akceptační protokol, obsahující výsledek akceptace a případný výčet připomínek s
termínem jejich odstranění.
7.3 Pořízení informačního systému
7.3.1 Pořízení informačního systému dodavatelským způsobem
Základní realizované postupy:
principy a postupy projektového řízení,
customizace (úprava hotového IS, např. typového dodavatelského řešení, a jeho přizpůsobení
požadavkům a zvyklostem kraje) a implementace IS (proces přizpůsobení IS konkrétní informační a
komunikační infrastruktuře) za součinnosti systémového správce,
testování IS, které prokazuje, že IS vyhovuje požadovaným specifikacím a je připraven pro použití v daném
prostředí (u dodávaného IS v rozsahu a způsobem stanoveným ve smlouvě),
vyžádání dodavatelské provozní dokumentace (především bezpečnostní směrnice pro bezpečnostního
správce, systémové příručky pro systémového správce a uživatelské příručky pro uživatele IS),
převzetí provozní a instalační dokumentace od dodavatele IS (uživatelské příručky musí obsahovat i popis
bezpečnostních funkcí IS),
38/54
prověření obsahu provozní dokumentace na vyhláškou předepsané součásti je součástí akceptační
procedury; za toto vyhodnocení zodpovídá pracovník oddělení informatiky, který zodpovídá za dodávku IS
(odpovědný pracovník oddělení informatiky) a správce IS; výsledek vyhodnocení je uveden v akceptačním
protokolu, kde případné neshody budou uvedeny jako připomínky z akceptace s dohodnutým termínem
odstranění,
akceptační řízení - vyhodnocení splnění akceptačních kritérií (akceptování je možné v jednotlivých etapách
dílčího plnění),
akceptace a převzetí IS systémovým a bezpečnostním správcem a klíčovým uživatelem oproti podpisu
akceptačního a předávacího protokolu,
akceptace je odmítnuta v případě, že předávaná část díla vykazuje na základě vyhodnocení akceptačních
kritérií natolik vážné vady, že nemůže sloužit svému účelu vůbec nebo s výraznými omezeními,
v případě méně vážných vad se použije akceptace s výhradami (postup při jejich odstranění se stanoví na
základě vzájemné dohody).
7.3.2 Instalace a testování informačního systému
Základní realizované postupy:
pilotní instalace a konfigurace IS,
školení uživatelů - za jeho přípravu a průběh je odpovědný systémový správce, v oblasti bezpečnosti
bezpečnostní správce a v oblasti uživatelské klíčový uživatel; uživatelé jsou prokazatelně seznámeni se
svými povinnostmi zakotvenými v provozní dokumentaci (tato činnost se opakuje při každé relevantní
změně provozní dokumentace),
testování požadovaných funkcí a zátěžových vlastností IS (případně akceptační řízení) - o obsahu a rozsahu
testování rozhoduje systémový správce, potřebnou součinnost mu poskytuje bezpečnostní správce,
kompletace požadavků z testování, případně z pilotního provozu.
7.3.3 Příprava nasazení informačního systému do rutinního provozu
Základní realizované postupy:
kompletace prerekvizit instalace IS a požadavků na infrastrukturu (prerekvizita instalace IS - konkrétní
podmínka, která je kladena na infrastrukturu nebo zdroje za účelem jejich přípravy, zajištění a ověření
ještě před zahájením instalace z důvodu minimalizace rizika selhání instalačního procesu kvůli
nedostatečné připravenosti některé z komponent infrastruktury nebo včasného nezajištění zdrojů
nezbytných k provedení instalace),
sestavení detailního harmonogramu nasazení IS do rutinního provozu,
příprava infrastruktury v cílovém prostředí,
finalizace a akceptace provozní a instalační dokumentace,
akceptace harmonogramu, postupů a nástrojů pro finální migraci dat do rutinního prostředí,
implementace požadavků vzešlých z výsledků pilotního běhu,
39/54
změny metodických pokynů vyvolané novým IS,
aktualizace uživatelských příruček a pokynů pro uživatele IS, školení uživatelů.
7.4 Provoz a údržba informačního systému
7.4.1 Nasazení informačního systému do rutinního provozu
Základní realizované postupy:
provoz IS – programově řízené procesy, jejichž cílem je získávání informací a jejich převod do datové
podoby; ukládání, shromažďování, vyhodnocování a poskytování informací prostřednictvím
provozovaného IS,
nasazení konkrétní verze IS do rutinního provozu/prostředí ve formě dané standardem Release
Managementu podle stanoveného harmonogramu a za podpory dodavatele/tvůrců IS,
ostrá migrace dat,
nasazování IS do rutinního provozu a jeho akceptování je sepsán protokol, který je archivován po celou
dobu životního cyklu ISVS,
vystavení informací o nasazení IS, vystavení uživatelských příruček a pokynů pro uživatele na intranetu či
jinou všem uživatelům přístupnou formou.
7.4.2 Zajištění provozu a údržby informačního systému
Základní realizované postupy:
autorský dozor dodavatelů/tvůrců IS do doby stabilizace rutinního provozu IS,
nastavení a změny přístupových práv, včetně nastavení bezpečnostních vlastností přístupných danému
uživateli pro zajištění požadavku bezpečnosti provozu a ochrany osobních údajů - provádí bezpečnostní
správce na základě schválené žádosti od oprávněných osob; uživatelské, administrátorské i operátorské
přístupy schvaluje systémový správce,
aktualizace parametrů a číselníků, modifikace výstupů, provozování dávkových úloh, poskytování statistik,
apod., ze strany systémového správce,
uživatelská práce s daty za podpory klíčového uživatele,
zajištění bezpečnostních činností/opatření (zálohování, archivování, skartace, obnova po havárii (včetně
přípravy plánů obnovy a testů), administrace bezpečnosti HW a systémového SW (dohled a řešení
chybových či nestandardních stavů, administrátorské spouštění úloh), dohled nad databázemi a jejich
administrace) bezpečnostním správcem,
běžná údržba, sběr požadavků na další rozvoj, update a upgrade IS, ze strany systémového správce,
údržba a update IS – modifikace IS na základě zjištěných problémů, potřeby zdokonalení nebo adaptace
na změnu, sloužící k zajištění bezporuchového provozu; jedná se o drobné opravy systému, které zásadně
nemění jeho funkčnost nebo datové rozhraní, a které jsou řešeny v rámci provozních činností/výdajů IS,
40/54
upgrade IS – úpravy, opravy a rozšíření obsahu a rozsahu řešení na základě změny zákonných předpisů,
inovace procesů kraje a naléhavých uživatelských požadavků (v rámci investičních výdajů IS),
podpora uživatelů, aktualizace pokynů pro uživatele, doškolování uživatelů.
7.4.3 Řízení změn informačního systému
Řízením změn se rozumí zajištění činností, definice rolí a odpovědností při řízení procesů navrhování, schvalování a
realizace změn. Za řízení změn IS je odpovědný systémový správce. V souvislosti s řízením změn je třeba stanovit
hranice mezi dvěma odlišně spravovanými oblastmi:
údržba IS (údržba a update IS) představuje provádění činností, které vedou k zachování funkcí IS
v požadovaném a nezměněném stavu (například opravy chyb, bezpečnostní záplaty apod.),
provádění změn v IS (upgrade IS) zahrnuje kvalitativní změny vždy spojené se změnami funkčnosti nebo
datového rozhraní (např. potřeba rozšíření funkcionality, změna datového obsahu, změna datových
rozhraní, změna procesů, ve kterých je IS používán, reagování na novelizaci právních předpisů apod.).
Základní realizované postupy:
řízení změn musí být dokumentováno,
definování potřeby změn v IS,
analýza výchozího stavu pro rozvoj IS,
stanovení cílového stavu IS,
stanovení požadavků na kvalitu a bezpečnost vztahujících se k cílovému stavu IS,
návrh transformace z výchozího do cílového stavu IS (může být i více alternativ),
analýza důsledků, které změna může vyvolat (tyto analýzy jsou předpokládány pro každou navrženou
alternativu a měly by být součástí podkladů pro rozhodování),
promítnutí změn do provozní dokumentace a jiných dokumentů, kterých se změna dotýká (probíhá ve fázi
realizace).
Řízení změn v IS musí být vždy dokumentováno. Konkrétní pravidla pro řízení změn budou upřesněna v provozní
dokumentaci každého IS, a to v závislosti na jeho významu a rozsahu. Není-li v provozní dokumentaci stanoveno
jinak, zodpovídá za dokumentaci správce daného IS. Při přebírání nové verze IS dohlíží správce IS na zajištění:
aktualizace provozní dokumentace;
proškolení uživatelů IS a správce IS (je-li to nutné);
zálohování a převedení dat;
otestování funkcionality IS a dat;
akceptace.
7.5 Ukončení provozu a činnosti informačního systému
Při ukončování provozu a činnosti informačního systému je tento krok naplánován v Pasportu aplikací (Příloha č. 1).
Vedoucí oddělení informatiky zodpovídá za aktuálnost Pasportu aplikací.
41/54
7.5.1 Ukončení provozu informačního systému
Základní realizované postupy:
stanovení harmonogramu ukončení provozu IS
všichni zúčastnění musí ukončení provozu projednat, naplánovat a rozhodnout mj. o archivaci dat a
dokumentace; podnět k ukončení provozu IS dává systémový správce za souhlasu bezpečnostního správce
a klíčového uživatele,
zajištění kontinuity služeb likvidovaného IS.
7.5.2 Ukončení činnosti informačního systému
Základní realizované postupy:
bezpečné naložení (uložení, archivace) s provozní dokumentací IS,
bezpečné naložení s daty, která ukončovaný IS zpracovává - obvykle se jedná o jednu (či více)
z následujících možností:
převedení dat do jiného IS,
zničení dat (více by mělo být součástí skartačního řádu kraje),
uchování dat; zde je nutné definovat celou řadu atributů:
kde budou data uchována (fyzické omezení přístupu, podmínky),
jak budou data uchována (způsob uložení, šifrování, média),
jak bude zajištěna jejich čitelnost (pravidla pro údržbu médií, kontrola čitelnosti či
cyklické opakování zálohování),
stanovení odpovědnosti za dostupnost dat.
42/54
8 Financování informačních systémů
Celkový finanční rámec realizace Informační strategie a Informační koncepce Zlínského kraje je specifikován
v Plánu rozvoje IS a Plánu financování IS.
8.1 Způsoby financování informačních systémů
Financování pořízení informačních systémů, financování naplnění dlouhodobých cílů a financování správy
informačních systémů je prováděno v souladu s rozpočtovými pravidly kraje z jeho rozpočtu (z provozních
finančních prostředků v souladu se zákonem č. 218/2000 Sb., o rozpočtových pravidlech). V případě možnosti
budou využity alternativní zdroje financování, které tvoří především Integrovaný regionální operační program na
období 2014-2020.
8.2 Plán financování informačních systémů
Plán financování informačních systémů je upřesněním finanční specifikace záměrů a cílů uvedených v informační
koncepci na základě konkrétních požadavků a dalších okolností. Vlastní plán není součástí informační koncepce, ale
je její přílohou (Příloha č. 3, „Plan_financovani_IS_ Zlinsky_kraj.pdf“).
Plán financování IS obsahuje následující části:
financování záměrů na pořízení/vytvoření IS,
financování naplnění dlouhodobých cílů,
financování správy IS.
Plán financování se připravuje 1x ročně v souvislosti s přípravou rozpočtu IT.
43/54
9 Naplňování informační koncepce
Proces dlouhodobého řízení informačních systémů lze demonstrovat na následujícím obrázku:
Charakteristika všech ISVS
Řízení kvality
Řízení bezpečnosti
Pravidla pro správu ISVS
Financování ISVS
Informační koncepce Schváleníinformační koncepce
Bezpečnostnídokumentace ISVS
Systémová příručka
Uživatelská příručka
Provozní dokumentace
Zápis o vyhodnocení
Vyhodnocovánídodržování Informační
koncepce
Zápis o vyhodnocení
Vyhodnocovánídodržování Informační
koncepce
Atestace dlouhodobéhořízení
Ak
tualizace in
form
ačn
íko
ncep
ce
Ak
tualiz
ace p
rov
ozn
íd
oku
men
taceodstranění nedostatků
Obrázek č. 3: Naplňování informační koncepce.
Za naplňování Informační koncepce jsou považovány činnosti, prostřednictvím kterých dojde k:
praktickému naplnění záměrů a dlouhodobých cílů uvedených v informační koncepci,
praktickému naplnění postupů a zásad uvedených v Informační koncepci;
udržování Informační koncepce v aktuálním stavu;
pravidelnému vyhodnocování dodržování Informační koncepce a k realizaci opatření pro odstranění
zjištěných nedostatků.
Pro zajištění praktického naplnění Informační koncepce je třeba stanovit osobní odpovědnosti za jednotlivé oblasti,
které Informační koncepce řeší. Toto je pro přehlednost provedeno v kap. 10. Dále musí být zajištěna kontrola
tohoto naplnění – viz kap. 9.2.
9.1 Postupy při provádění změn Informační koncepce
Provádění změn do Informační koncepce lze rozdělit na čtyři činnosti:
včasná detekce změn v oblastech, které se dotýkají Informační koncepce tak, aby byla zajištěna včasná
změna Informační koncepce;
vlastní provedení změny v Informační koncepci resp. vydání její nové verze;
schválení změny Informační koncepce resp. její nové verze;
příprava nové Informační koncepce v předstihu před ukončením platnosti té stávající.
44/54
Uvedené činnosti provádí pracovník zodpovědný za plnění a aktualizaci Informační koncepce.
9.1.1 Postup pro zajištění včasné změny Informační koncepce
Pro zajištění včasné aktualizace Informační koncepce bude prováděna její revize 1x ročně.
9.1.2 Postup zápisu změny do dokumentu Informační koncepce
Změny Informační koncepce budou prováděny formou vydání nové verze. Jednotlivé verze budou číslovány dvěma
čísly, oddělenými tečkou:
hlavní číslo verze, které bude odlišovat verze s významnými změnami (např. kompletně přepracované
kapitoly, změny zásadních postupů apod.);
vedlejší číslo verze, které bude odlišovat drobnější změny (např. doplnění nového IS, změny v personální
oblasti, drobná změna v postupech apod.).
U každé verze se budou sledovat následující atributy:
číselné označení verze;
datum vzniku verze;
datum schválení verze;
datum počátku platnosti verze;
název souboru s elektronickou verzí Informační koncepce;
umístění souboru (na intranetu, sdíleném disku apod.);
verze souboru obsahujícího schválenou podobu dané verze Informační koncepce;
počet stran a počet příloh;
autor verze Informační koncepce, který provedl schválené změny;
osoba, která schválila verzi Informační koncepce.
Každá verze bude obsahovat tabulku změn oproti verzi předchozí. V této tabulce budou pro každou změnu stručně
uvedeny následující informace:
popis provedené změny;
odůvodnění změny;
identifikace místa (příp. více míst) dokumentu (minimálně číslem kapitoly), kterého se změna dotkla.
9.1.3 Postup schvalování změny Informační koncepce
Verzi je třeba předložit ke schválení minimálně 2 týdny před požadovaným vstupem v platnost. K nové verzi je
třeba přiložit všechny dokumenty, na základě nichž byla verze vytvořena, nebo alespoň odkazy na ně.
S novou verzí budou po jejím schválení prokazatelně seznámeni všichni pracovníci oddělení informatiky a dále
ostatní pracovníci, kteří mají ve vztahu k Informační koncepci definovanou povinnost (přidělenou roli).
Změnu Informační koncepce schvaluje osoba stanovená v kap. 10.
45/54
9.1.4 Postup přípravy nové Informační koncepce
Pracovník odpovědný za plnění a aktualizaci Informační koncepce připraví 3měsíce před ukončením její platnosti
podklady pro rozhodnutí ohledně přípravy nové informační koncepce. Tyto podklady budou obsahovat:
vyhodnocení stávající Informační koncepce a její účinnosti (míru naplnění cílů kvality a cílů bezpečnosti) za
dobu od jejího vzniku;
vyhodnocení způsobu vzniku a údržby stávající Informační koncepce a doporučení pro postup tvorby nové
Informační koncepce (vlastními silami nebo s využitím externího dodavatele apod.);
další podklady dle uvážení tohoto pracovníka.
Novou Informační koncepci schvaluje osoba stanovená v kap. 10.
9.2 Postupy při vyhodnocování dodržování Informační koncepce
Vyhodnocování dodržování Informační koncepce je základním kontrolním mechanizmem, zajišťujícím zpětnou
vazbu.
Vyhodnocování musí vždy provádět jiný pracovník než ten, který je odpovědný za plnění a aktualizaci Informační
koncepce. Totéž platí pro vyhodnocování dílčích oblastí, pro které byla stanovena konkrétní dílčí odpovědnost.
Pro vyhodnocování dodržování Informační koncepce byla stanovena perioda 1 x za 24 měsíců. Vyhodnocování
iniciuje a řídí Útvar interního auditu v úzké spolupráci s vedoucím Oddělení informatiky. Pro vyhodnocování dílčích
oblastí mohou být přizváni odborníci na tyto oblasti, avšak musí přitom být dodržena výše uvedená nezávislost
vyhodnocující osoby na osobě odpovědné za realizaci.
Všechny činnosti, jejichž provádění je posuzováno, jsou porovnávány s Informační koncepcí platnou v době, kdy
byla daná činnost prováděna.
Vyhodnocování bude probíhat metodou dekompozice na dílčí oblasti a jejich následnou expertní analýzou.
Pracovník provádějící vyhodnocení si připraví tabulku, kde bude sledovat výsledky dílčích vyhodnocení jednotlivých
oblastí, evidovat zjištěné nedostatky a zapisovat návrhy opatření na jejich odstranění.
Vlastní realizaci vyhodnocení nebo některé jeho části může být zajištěno i externí společností formou zakázky,
dohodnou-li se na tom Oddělení informatiky a Útvar interního auditu.
9.2.1 Oblasti pro vyhodnocování Informační koncepce
9.2.1.1 Oblastcharakteristikinformačníchsystémůveřejnésprávy
Informační koncepce obsahuje charakteristiky všech ISVS.
Informační koncepce obsahuje všechny provozní IS s vazbami na ISVS.
Charakteristiky současného stavu jsou včas aktualizovány.
Předpokládané změny IS jsou včas aktualizovány.
46/54
9.2.1.2 OblastzáměrůpořízenínebovytvořenínovýchISVS
Informační koncepce obsahuje všechny záměry nových ISVS.
Jednotlivé záměry mají vyplněny všechny základní údaje.
Pro všechny záměry jsou vypracovány charakteristiky nového IS.
Pro všechny záměry existuje charakteristika výchozího stavu; toto posuzování se provádí u záměrů
vytvořených v období od předcházejícího vyhodnocení.
9.2.1.3 Oblastřízeníkvality
Požadavky na kvalitu směřují k naplnění cílů kvality.
Požadavky na kvalitu jsou jednotlivými IS dodržovány a jsou vyhodnocovány.
Probíhá prověrka požadavků na kvalitu a vyhodnocení řízení kvality v souladu s plánem řízení kvality.
9.2.1.4 Oblastřízeníbezpečnosti
Požadavky na bezpečnost směřují k naplnění cílů bezpečnosti.
Požadavky na bezpečnost jsou jednotlivými IS dodržovány a jsou vyhodnocovány.
Probíhá prověrka požadavků na bezpečnost a vyhodnocení řízení bezpečnosti v souladu s plánem řízení
bezpečnosti.
9.2.1.5 OblastsprávyISVS
Jsou uplatňovány zásady a postupy pro plánování rozvoje ISVS.
Oblast správy ISVS - část pořizování ISVS
Výběr formy pořizování nového ISVS je prováděn v souladu s příslušnými zásadami a postupy.
Pro každý nový ISVS je vypracován záměr s požadovanou strukturou a v souladu s požadovanými zásadami
a postupy.
Při pořizování ISVS je vyžadováno naplnění všech oblastí dle Informační koncepce platné v době
pořizování ISVS; tyto požadavky jsou zakotveny ve smlouvě.
Při projektovém řízeni jsou uplatňovány přijaté zásady.
Oblast správy ISVS - část provozování ISVS
Jsou uplatňovány zásady a postupy pro zajištění provozu a údržby ISVS.
Jsou uplatňovány zásady a postupy pro řízení změn ISVS.
Jsou uplatňovány zásady a postupy pro ukončení činnosti ISVS.
9.2.1.6 OblastfinancováníISVS
Financování ISVS probíhá v souladu se schválenými postupy a platnými předpisy.
Existuje pravidelně aktualizovaný plán financování ISVS.
Plán financování ISVS obsahuje dílčí plány financování: záměrů nových IS, naplnění dlouhodobých cílů a
správy ISVS.
47/54
Jednotlivé dílčí plány financování jsou tvořeny a aktualizovány v souladu s příslušnými pravidly.
9.2.1.7 OblastzměnInformačníkoncepce
Jsou dodržovány termíny periodické aktualizace.
Významné změny jsou promítány do Informační koncepce i mimo její periodické aktualizace.
Vydávání nových verzí Informační koncepce probíhá v souladu s danými postupy, verze a v nich zahrnuté
změny jsou náležitě dokumentovány a schvalovány.
Všichni relevantní pracovníci mají k dispozici aktuální platnou verzi Informační koncepce.
Nejsou používány neplatné verze Informační koncepce.
9.2.1.8 OblastvyhodnocovánídodržováníInformačníkoncepce
Prováděné vyhodnocení nastalo nejpozději v předepsaném časovém intervalu od minulého vyhodnocení.
Zápisy z minulých vyhodnocení jsou dostupné obdobně, jako aktuální verze Informační koncepce.
Opatření přijatá při minulých vyhodnoceních dodržování Informační koncepce byla promítnuta do
aktualizované verze Informační koncepce.
Přijatá opatření jsou uplatňována v praxi.
Přijatá opatření přinesla předpokládaný účinek - dříve zjištěné nedostatky byly odstraněny nebo se k jejich
odstranění směřuje.
9.2.2 Pravidla pro vytváření zápisu z vyhodnocování Informační koncepce
Z vyhodnocování bude vytvořen zápis, jež je přílohou informační koncepce (Příloha č. 4). Za jeho vyhotovení
zodpovídá pracovník, který řídí vyhodnocování a je určen v kap. 10.
9.2.2.1 Rozsahzápisuzvyhodnocování
Zápisy z vyhodnocování budou identifikovány verzí Informační koncepce, které se týkají, a dále pak pořadovým
číslem zápisu. Zápis bude obsahovat následující části:
identifikační údaje zápisu (verze Informační koncepce, datum počátku platnosti vyhodnocované
Informační koncepce, pořadové číslo zápisu);
identifikace všech pracovníků, kteří vyhodnocení prováděli, a jejich role (jméno resp. jména, příjmení,
útvar nebo externí organizace, funkce);
záznam o průběhu vyhodnocování dle jednotlivých oblastí (co, jak, kdy a kdo vyhodnocoval);
poznatky a závěry z vyhodnocování (soupis zjištěných nedostatků, kladná hodnocení apod.);
soupis přijatých opatření (návaznost na zjištěný nedostatek, obsah opatření, způsob realizace apod.);
schválení zápisu z vyhodnocení (kdo - jméno resp. jména, příjmení, útvar nebo externí organizace, funkce
a kdy zápis schválil).
48/54
9.2.2.2 Postupvyhotovenízápisuzvyhodnocování
Do zápisu se po úvodních identifikačních údajích nejprve zapisuje záznam o průběhu vyhodnocení a poznatky a
závěry z něj.
V dalším kroku vedoucí oddělení informatiky zajistí zpracování návrhu vhodných opatření, která se spolu
s částečným zápisem předloží ke schválení. Schválená opatření jsou poté vložena do zápisu a zápis je uzavřen a
předložen ke schválení.
Schválený zápis se zpřístupní a všichni dotčení pracovníci se s ním seznámí obdobným způsobem, jako je to u nové
verze Informační koncepce. Opatření s vlivem na obsah Informační koncepce se promítnou v nejbližší řádné
aktualizaci Informační koncepce.
49/54
10 Odpovědnosti osob
Stanovení odpovědností v oblasti dlouhodobého řízení informačních systémů je nedílnou součástí Informační
koncepce. Odpovědnosti lze rozdělit do dvou částí, a to na stanovení odpovědností za:
realizaci Informační koncepce;
splnění zákonných povinností.
10.1 Odpovědnost za realizaci Informační koncepce
Odpovědnost za naplnění Informační koncepce je stanovena na Oddělení informatiky.
Dílčí odpovědnosti za jednotlivé oblasti Informační koncepce jsou uvedeny v následující tabulce.
Oblast Odpovědnost Náplň oblasti Četnost
identifikace záměrů na pořízení nových
ISVS pracovníci informatiky KUZK
Kap. 4.2, 4.3
(Kap. 7.2)Průběžně
schvalování záměrů na pořízení nových
ISVS
vedoucí Oddělení
informatiky KUZK
Kap. 4.2, 4.3
(Kap. 7.2)
Při každém
požadavku na
pořízení nového
ISVS
řízení kvality ISVS
(stanovování dlouhodobých cílů kvality a
konkrétních požadavků na kvalitu IS,
sestavení a údržba plánu řízení kvality,
vyhodnocování naplnění požadavků a
dodržování plánu)
vedoucí Oddělení
informatiky KUZK
Kap. 5
(Kap. 9.2)min. 1x ročně
řízení bezpečnosti ISVS
(stanovování dlouhodobých cílů
bezpečnosti a konkrétních požadavků na
bezpečnost IS, sestavení a údržba plánu
řízení bezpečnosti, vyhodnocování
naplnění požadavků a dodržování plánu)
vedoucí Oddělení
informatiky KUZK
Kap. 6
(Kap. 9.2)min. 1x ročně
koordinace činností v oblasti rozvoje ISVSvedoucí Oddělení
informatiky KUZKKap. 7.2 Průběžně
příprava Plánu rozvoje ISVSvedoucí Oddělení
informatiky KUZKKap. 4.1
V rámci procesu
přípravy nové
verzi IK
50/54
schválení Plánu rozvoje ISVSvedoucí Oddělení
informatiky KUZKKap. 4.1
V rámci procesu
přípravy nové
verzi IK
řízení postupů při pořizování ISVS (včetně
zajištění veřejných soutěží)
Řídí se interní směrnicí č.
MP/07 Metodický pokyn pro
zadávání a hodnocení
veřejných zakázek
vedoucí Oddělení
informatiky KUZK
Kap. 7.3 Průběžně
zajištění provozu a údržby ISVSvedoucí Oddělení
informatiky KUZKKap. 7.4
Průběžně, resp. při
změně IS
vyhodnocování dodržování souladu
provozování ISVS
vedoucí oddělení
informatikyKap. 7.4
Při změně IS,
min. 1x ročně
koordinace a vyhodnocování řízení změnvedoucí Oddělení
informatiky KUZKKap. 7.4.3 Při změně IS
řízení ukončování provozu ISVSvedoucí Oddělení
informatiky KUZKKap. 7.5
Při ukončení
čínnosti části IS
vytváření a údržba plánu financování ISVSvedoucí Oddělení
informatiky KUZKKap. 8.2
min. 1x ročně
Probíhá v rámci
procesu přípravy
rozpočtu
schvalování plánu financování ISVSZastupitelstvo Zlínského
krajeKap. 8.2
min. 1x ročně
Probíhá v rámci
procesu přípravy
rozpočtu
příprava změn a tvorba nových verzí
Informační koncepce
vedoucí Oddělení
informatiky KUZKKap. 9.1
revize min. 1x
ročně
schvalování změn Informační koncepce a
jejích nových verzí
vedoucí Oddělení
informatiky KUZKKap. 9.1.3 Podle potřeby
příprava nové Informační koncepce před
ukončením platnosti stávající
vedoucí Oddělení
informatiky KUZKKap. 9.1.4
3 měsíce před
koncem platnosti,
min. každých 5 let
provádění vyhodnocování dodržování
Informační koncepce a vyhotovení zápisu
o něm
Útvar interního auditu Kap. 9.2 1x ročně
návrh opatření na základě zjištění při
vyhodnocování
správce IS nebo vedoucí
Oddělení informatiky nebo
interní audit
Kap. 9.2
V případě
identifikovaných
nedostatků při
vyhodnocení
51/54
schvalování opatření na základě zjištění při
vyhodnocování
vedoucí Oddělení
informatiky KUZKKap. 9.2
V případě
identifikovaných
nedostatků při
vyhodnocení
schválení zápisu z vyhodnocení Ředitel KÚ ZK Kap. 9.2
Tabulka č. 19: Odpovědnosti za jednotlivé oblasti Informační koncepce.
10.2 Splnění zákonných povinností
Odpovědnost za splnění zákonných povinností byla stanovena na ředitele Krajského úřadu Zlínského kraje.
Dílčí odpovědnosti za splnění konkrétních zákonných povinností jsou uvedeny v následující tabulce.
Zákon Oblast Odpovědnost
zákon č. 365/2000 Sb., o ISVS
§5 odst. 2 písm. a
spolupracovat s MV ČR při plnění jeho úkolů podle §4
odst. 1, včetně kontroly na místě podle §4 odst. 2
prováděné MV ČR
ředitel KUZK
zákon č. 365/2000 Sb., o ISVS
§5 odst. 2 písm. b
předložit MV ČR k vyjádření návrhy dokumentací
programů obsahující pořízení, obnovu a provozování ICT
vypracovaných podle zvláštního právního předpisu a
investiční záměry akcí pořízení, obnovy a provozování
ICT, jejichž registrace v Informačním systému
financování reprodukce majetku, zadání jejich realizace
a změna jejich závazně stanovených parametrů se
provádí pouze se souhlasem Ministerstva financí podle
zvláštního právního předpisu. Náležitosti dokumentací
programů a investičních záměrů stanoví zvláštní právní
předpis.
vedoucí Oddělení
informatiky KUZK
zákon č. 365/2000 Sb., o ISVS
§5 odst. 2 písm. c
uveřejňovat číselníky, pokud jsou jejich správci a není
zákonem stanoveno jinak, a to i způsobem umožňujícím
dálkový přístup
vedoucí Oddělení
informatiky KUZK
předávat MV ČR údaje do informačního systému
o datových prvcích v elektronické podobě, ve formě a
s technickými náležitostmi stanovenými prováděcím
právním předpisem
vedoucí Oddělení
informatiky KUZK
zákon č. 365/2000 Sb., o ISVS
§5 odst. 2 písm. d
zajistit, aby vazby jimi provozovaného informačního
systému na informační systémy jiného provozovatele
byly uskutečňovány prostřednictvím referenčního
rozhraní s využitím datových prvků vyhlášených
ministerstvem a vedených v informačním systému
o datových prvcích
vedoucí Oddělení
informatiky KUZK
52/54
prokázat atestem způsobilost informačního systému
k realizaci výše uvedených vazeb
vedoucí Oddělení
informatiky KUZK
zákon č. 365/2000 Sb., o ISVS
§5 odst. 2 písm. e
zpřístupňovat MV ČR v elektronické podobě, ve formě a
s technickými náležitostmi stanovenými prováděcím
právním předpisem, bez zbytečného odkladu, informace
o jimi provozovaném informačním systému a jím
poskytovaných službách a používaných datových
prvcích, a to za účelem uveřejnění v IS o ISVS a IS o DP
vedoucí Oddělení
informatiky KUZK
zákon č. 365/2000 Sb., o ISVS
§5 odst. 2 písm. f
postupovat při uveřejňování informací způsobem
umožňujícím dálkový přístup tak, aby byly informace
související s výkonem VS uveřejňovány ve formě, která
umožňuje, aby se s těmito informacemi v nezbytném
rozsahu mohly seznámit i osoby se zdravotním
postižením
vedoucí Oddělení
informatiky KUZK
zákon č. 365/2000 Sb., o ISVS
§5 odst. 2 písm. g
odstranit zjištěné nedostatky ve lhůtě stanovené MVČR vedoucí Oddělení
informatiky KUZK
zákon č. 365/2000 Sb., o ISVS
§5a odst. 1
vytvářet a vydávat informační koncepci, uplatňovat ji
v praxi a vyhodnocovat její dodržování
vedoucí Oddělení
informatiky KUZK
zákon č. 365/2000 Sb., o ISVS
§5a odst. 2
vytvářet a vydávat provozní dokumentaci k jednotlivým
ISVS, uplatňovat ji v praxi a vyhodnocovat její
dodržování
vedoucí Oddělení
informatiky KUZK
zákon č. 365/2000 Sb., o ISVS
§5a odst. 3
zajistit atest dlouhodobého řízení ISVS vedoucí Oddělení
informatiky KUZK
zákon č. 365/2000 Sb., o ISVS
§5b odst. 1 až odst. 2
zajišťovat bezpečnost ISVS v rozsahu odpovídajícím
alespoň minimálním bezpečnostním požadavkům
k zajištění důvěrnosti, integrity a dostupnosti
zpracovávaných informací dle prováděcího předpisu
vedoucí Oddělení
informatiky KUZK
Tabulka č. 20: Odpovědnosti za splnění konkrétních zákonných povinností.
53/54
11 Přílohy
11.1 Příloha č. 1 – Pasport aplikací
Soubor: „Pasport aplikací.xlsm“.
11.2 Příloha č. 2 – Plán rozvoje informačních systémů
Soubor: „Plan_rozvoje_IS_ Zlinsky_kraj.pdf“.
11.3 Příloha č. 3 – Plán financování informačních systémů
Soubor: „Plan_financovani_IS_ Zlinsky_kraj.pdf“.
11.4 Příloha č. 4 – Zápis o vyhodnocení informační koncepce
Soubor: „Protokol o auditním testu-Informační koncepce.pdf“
„Příloha – Analýza Informační koncepce.pdf“.
54/54
12 Seznam tabulek a obrázků
Tabulka č. 1: Základní údaje o informační koncepci. .....................................................................................................5
Tabulka č. 2: Autorizace a schválení informační koncepce. ..........................................................................................5
Tabulka č. 3: Údaje o verzi 2.0 informační koncepce. ...................................................................................................6
Tabulka č. 4: Změny ve verzi 2.0 informační koncepce oproti verzi 1.0 informační koncepce. ....................................7
Tabulka č. 5: Údaje o verzi 1.0 informační koncepce. ...................................................................................................7
Tabulka č. 6: Přehled informačních systémů provozovaných Krajským úřadem Zlínského kraje................................11
Tabulka č. 7: Cíle v oblasti zpracovávaných dat...........................................................................................................17
Tabulka č. 8: Cíle v oblasti zajišťovaných služeb. .........................................................................................................18
Tabulka č. 9: Cíle v oblasti technických a programových prostředků..........................................................................19
Tabulka č. 10: Požadavky na kvalitu informačních systémů........................................................................................21
Tabulka č. 11: Harmonogram plnění cílů kvality..........................................................................................................23
Tabulka č. 12: Harmonogram plnění požadavků na kvalitu.........................................................................................24
Tabulka č. 13: Dlouhodobé cíle v oblasti řízení bezpečnosti IS....................................................................................27
Tabulka č. 14: Požadavky na bezpečnost informačních systémů. ...............................................................................28
Tabulka č. 15: Harmonogram plnění cílů bezpečnosti.................................................................................................30
Tabulka č. 16: Harmonogram plnění požadavků na bezpečnost. ................................................................................31
Tabulka č. 17: Zásady správy informačního systému dle jednotlivých fází životního cyklu.........................................32
Tabulka č. 18: Struktura pasportního listu projektového záměru. ..............................................................................35
Tabulka č. 19: Odpovědnosti za jednotlivé oblasti Informační koncepce. ..................................................................51
Tabulka č. 20: Odpovědnosti za splnění konkrétních zákonných povinností. .............................................................52
Obrázek č. 1: Cyklus systému řízení kvality informačních systémů .............................................................................14
Obrázek č. 2: Cyklus systému řízení bezpečnosti informačních systémů ....................................................................25
Obrázek č. 3: Naplňování informační koncepce. .........................................................................................................43