Informační koncepce. Zlínský kraj. zákon č. 365/2000 Sb., o ISVS vyhláška č. 529/2006 Sb., o dlouhodobém řízení ISVS

Transkript

1 Informační koncepce Zlínský kraj zákon č. 365/2000 Sb., o ISVS vyhláška č. 529/2006 Sb., o dlouhodobém řízení ISVS Zpracoval Ing. Jiří Fux Bezpečnostní správce ICT jiri.fux@kr-zlinsky.cz Schválil RNDr. Ivo Skrášek Vedoucí oddělení informatiky ivo.skrasek@kr-zlinsky.cz

2 Obsah OBSAH IDENTIFIKACE DOKUMENTU Základní údaje Verze informační koncepce Verze Verze KONTEXT INFORMAČNÍ KONCEPCE Manažerské shrnutí Informační koncepce INFORMAČNÍ SYSTÉMY ZLÍNSKÉHO KRAJE ZÁMĚRY ROZVOJE INFORMAČNÍCH SYSTÉMŮ Plán rozvoje informačních systémů Záměry na pořízení nebo vytvoření nových informačních systémů Záměry rozvoje stávajících informačních systémů Informační strategie Zlínského kraje Net Komunikační infrastruktura Zlínského kraje Zákon o kybernetické bezpečnosti Správa mobilních zařízení ŘÍZENÍ KVALITY INFORMAČNÍCH SYSTÉMŮ Systém řízení kvality informačních systémů Kvalita informačních systémů Kvalita zpracovávaných dat - atributy Kvalita poskytovaných služeb - atributy Kvalita používaných technologických a programových prostředků - atributy Dlouhodobé cíle v oblasti řízení kvality informačních systémů /54

3 5.3.1 Kvalita zpracovávaných dat Kvalita zajišťovaných služeb Kvalita technologických a programových prostředků Požadavky na kvalitu informačních systémů Plán řízení kvality informačních systémů Činnosti v oblasti řízení kvality Časové harmonogramy plnění cílů kvality a požadavků na kvalitu ŘÍZENÍ BEZPEČNOSTI INFORMAČNÍCH SYSTÉMŮ Systém řízení bezpečnosti informačních systémů Bezpečnost informačních systémů Bezpečnost zpracovávaných dat - atributy Dlouhodobé cíle v oblasti řízení bezpečnosti informačních systémů Požadavky na bezpečnost informačních systémů Plán řízení bezpečnosti informačních systémů Činnosti v oblasti řízení bezpečnosti Časové harmonogramy plnění cílů bezpečnosti a požadavků na bezpečnost SPRÁVA INFORMAČNÍCH SYSTÉMŮ Životní cyklus informačního systému Příprava informačního systému Sběr podbětů k novému informačnímu systému Zpracování záměru pořízení informačního systému dodavatelským způsobem Pořízení informačního systému Pořízení informačního systému dodavatelským způsobem Instalace a testování informačního systému Příprava nasazení informačního systému do rutinního provozu Provoz a údržba informačního systému Nasazení informačního systému do rutinního provozu Zajištění provozu a údržby informačního systému Řízení změn informačního systému Ukončení provozu a činnosti informačního systému /54

4 7.5.1 Ukončení provozu informačního systému Ukončení činnosti informačního systému FINANCOVÁNÍ INFORMAČNÍCH SYSTÉMŮ Způsoby financování informačních systémů Plán financování informačních systémů NAPLŇOVÁNÍ INFORMAČNÍ KONCEPCE Postupy při provádění změn Informační koncepce Postup pro zajištění včasné změny Informační koncepce Postup zápisu změny do dokumentu Informační koncepce Postup schvalování změny Informační koncepce Postup přípravy nové Informační koncepce Postupy při vyhodnocování dodržování Informační koncepce Oblasti pro vyhodnocování Informační koncepce Pravidla pro vytváření zápisu z vyhodnocování Informační koncepce ODPOVĚDNOSTI OSOB Odpovědnost za realizaci Informační koncepce Splnění zákonných povinností PŘÍLOHY Příloha č. 1 Pasport aplikací Příloha č. 2 Plán rozvoje informačních systémů Příloha č. 3 Plán financování informačních systémů Příloha č. 4 Zápis o vyhodnocení informační koncepce SEZNAM TABULEK A OBRÁZKŮ /54

5 1 Identifikace dokumentu 1.1 Základní údaje Název dokumentu Název organizace Informační koncepce Zlínského kraje Zlínský kraj IČ Typ organizace Adresa kraj - vyšší územně samosprávný celek tř. Tomáše Bati 21, Zlín Počátek platnosti Doba platnosti 5 let Konec platnosti Počáteční verze 1.0 Aktuální verze 2.0 Důvěrnost Veřejné informace Tabulka č. 1: Základní údaje o informační koncepci. Role Osoba Datum Podpis Zpracoval: Schválil: Ing. Jiří Fux Bezpečnostní správce ICT jiri.fux@kr-zlinsky.cz RNDr. Ivo Skrášek Vedoucí oddělení informatiky ivo.skrasek@kr-zlinsky.cz Tabulka č. 2: Autorizace a schválení informační koncepce. 5/54

6 1.2 Verze informační koncepce Verze dokumentu jsou chronologicky řazené od nejnovější k nejstarší. Tabulka změn obsahuje popis a odůvodnění změn v předchozí verzi a identifikaci příslušných částí, které byly změněny, a to vždy při zachování souladu obsahu informační koncepce se skutečným stavem a aktuálními požadavky kraje Verze 2.0 Označení verze 2.0 Datum vzniku Datum schválení Počátek platnosti Autor verze Ing. Jiří Fux Funkce Bezpečnostní správce ICT Útvar / organizace Oddělení informatiky, Krajský úřad Zlínského kraje Verzi schválil RNDr. Ivo Skrášek Funkce Vedoucí oddělení informatiky Útvar / organizace Oddělení informatiky, Krajský úřad Zlínského kraje Název souboru Umístění souboru Informacni_koncepce_ Zlinsky_kraj.pdf intranet Verze souboru 2.0 Počet stran 54 Počet příloh 4 Tabulka č. 3: Údaje o verzi 2.0 informační koncepce. Změněná část Terminologie Kontext informační koncepce Informační systémy Záměry rozvoje IS Řízení kvality IS Řízení bezpečnosti IS Správa IS Financování IS Popis a odůvodnění změny Odstranění tabulky obecně známých pojmů. Doplnění manažerského shrnutí informační koncepce. Aktualizace seznamu provozovaných informačních systémů. Obecně specifikován Plán rozvoje IS. Doplněny rozvojové IT oblasti Informační strategie. Definován systém řízení kvality IS. Doplněny základní atributy kvality IS. Aktualizován plán řízení kvality IS. Definován systém řízení bezpečnosti IS. Doplněny základní atributy bezpečnosti IS. Aktualizován plán řízení bezpečnosti IS. Doplněn životní cyklus IS. Doplněny základní role správy IS. Doplněny, konkretizovány a prohloubeny zásady správy IS dle všech fází životního cyklu IS. Obecně specifikován Plán financování IS. 6/54

7 Změněná část Přílohy Popis a odůvodnění změny Doplněn seznam povinných příloh informační koncepce. Tabulka č. 4: Změny ve verzi 2.0 informační koncepce oproti verzi 1.0 informační koncepce Verze 1.0 Označení verze 1.0 Datum vzniku Datum schválení Počátek platnosti Autor verze Ing. Tomáš Kuba Funkce konzultant Ing. Tomáš Hrabík konzultant Útvar / organizace CORTIS Consulting s.r.o. Verzi schválil RNDr. Ivo Skrášek Funkce vedoucí oddělení informatiky KUZK Útvar / organizace Oddělení informatiky, Krajský úřad Zlínského kraje Název souboru IK KUZK v1.00 Verze souboru 1.0 Umístění souboru intranet Počet stran 34 Počet příloh 1 Tabulka č. 5: Údaje o verzi 1.0 informační koncepce. 7/54

8 2 Kontext informační koncepce 2.1 Manažerské shrnutí Zlínský kraj je dle zákona č. 365/2000 Sb., o ISVS, v rámci dlouhodobého řízení ISVS, povinen vytvářet a vydávat informační koncepci, uplatňovat ji v praxi a vyhodnocovat její dodržování. Vedení Zlínského kraje si uvědomuje důležitost koncepčního řízení informačních systémů a ostatní informační a komunikační infrastruktury kraje a svou činností vytváří podmínky pro naplňování informační koncepce v souladu se zákonem č. 365/2000 Sb., o informačních systémech veřejné správy. Informační koncepce kraje je v souladu s Informační strategií kraje, kterou dále rozvíjí v oblasti informačních systémů, přičemž respektuje její vize a cíle. Informační systémy kraje a jejich charakteristiky jsou popsány v dokumentu Pasport aplikací, jež je přílohou informační koncepce. Plán rozvoje informačních systémů kraje je přílohou informační koncepce a připravuje se 1x ročně v souvislosti s přípravou rozpočtu IT. Plán rozvoje je ve své podstatě akční operativní plán projektů rozvoje IS a ostatních informačních technologií. Systém řízení kvality informačních systémů (cyklus plánuj dělej kontroluj jednej) vytváří řízenou kvalitu informačních systémů kraje, která splňuje požadavky a očekávání všech zainteresovaných stran. Plán řízení kvality informačních systémů se připravuje 1 x za 5 let v souvislosti s přípravou nové informační koncepce kraje, aktualizován je průběžně. Systém řízení bezpečnosti informačních systémů (cyklus plánuj dělej kontroluj jednej) vytváří řízenou bezpečnost informačních systémů kraje, která splňuje požadavky a očekávání všech zainteresovaných stran. Plán řízení bezpečnosti informačních systémů se připravuje 1 x za 5 let v souvislosti s přípravou nové informační koncepce kraje, aktualizován je průběžně. Správa informačních systémů kraje probíhá dle stanovených zásad a postupů pro všechny fáze životního cyklu informačního systému (příprava, pořízení/vývoj, provoz a údržba, ukončení provozu a činnosti). Plán financování informačních systémů kraje je přílohou informační koncepce a připravuje se 1x ročně v souvislosti s přípravou rozpočtu IT. Obsahuje mj. přehled financování plánu rozvoje informačních systémů kraje. Revize informační koncepce kraje probíhá 1x ročně. Vyhodnocování dodržování informační koncepce kraje probíhá 1x za 2 roky. Zápis o vyhodnocení informační koncepce kraje je přílohou informační koncepce. Vypracování nové informační koncepce kraje probíhá 1x za 5 roků. Vrcholnou odpovědnost za naplnění informační koncepce kraje má Oddělení informatiky. Vrcholnou odpovědnost za splnění zákonných povinností má Ředitel krajského úřadu. 8/54

9 2.2 Informační koncepce Informační koncepce mj. popisuje: seznam (a charakteristiky) provozovaných informačních systémů a jejich předpokládané změny; záměry na pořízení nebo vytvoření nových informačních systémů, záměry rozvoje stávajících informačních systémů; dlouhodobé cíle v oblasti řízení kvality; dlouhodobé cíle v oblasti řízení bezpečnosti; zásady pro správu informačních systémů s postupy pro jejich naplnění; financování oblasti informačních systémů; postupy při vyhodnocování dodržování informační koncepce; postupy při provádění změn informační koncepce; útvar/funkční zařazení zaměstnanců odpovědných za naplňování informační koncepce a splnění zákonných povinností. Za jeden z nejdůležitějších mechanismů dlouhodobého řízení ISVS lze považovat vyhodnocování, zda jsou dodržovány požadavky stanovené v informační koncepci. Na základě tohoto vyhodnocení jsou formulovány závěry, a v případě zjištěných nedostatků přijmuta přiměřená opatření k jejich odstranění. O průběhu vyhodnocování, závěrech a opatřeních přijatých na základě poznatků z vyhodnocení se pořizuje Zápis o vyhodnocení informační koncepce. Legislativně informační koncepce respektuje především: zákon č. 365/2000 Sb., o informačních systémech veřejné správy (ISVS) a jeho novelu č. 81/2006 Sb.; vyhlášku č. 529/2006 Sb., o dlouhodobém řízení ISVS; vyhlášku č. 530/2006 Sb., o postupech atestačních středisek při posuzování dlouhodobého řízení ISVS. 9/54

10 3 Informační systémy Zlínského kraje V informační koncepci je uveden pouze výčet informačních systémů provozovaných Krajským úřadem Zlínského kraje. Jedná se buď o informační systémy veřejné správy (ISVS) nebo o provozní informační systémy (PIS), příp. o provozní informační systémy s vazbou na ISVS (PIS - ISVS). Všechny tyto informační systémy jsou v detailu, požadovaném vyhláškou č. 529/2006 Sb., popsány v Příloze č. 1 - Pasport aplikací. ID INFORMAČNÍ SYSTÉM 1 AirSoft - Ovzduší SQL 2 Dotace 200x 3 EDA 4 Elektronická podatelna 5 ESPI 6 EVI EVPE 8 IS FKVS MPP (modul podpory plánování) 9 Myslivecké a rybářské průkazy 10 Portál 11 Rozpočet JASU 12 Stavební úřad 13 T-WIST ENZZ 14 Válečné hroby 15 Zoner Context - Systém jakosti v oboru pozemních komunikací 16 Zpracování JŘ pro CIS JŘ 2011/ E testy Komisař MEDIS ALARM 108D 19 PDS KoPla 20 Živnostenský rejstřík 21 ETZ- elektronické testy 22 Evidence myslivosti 23 Perm3 24 IntraDoc Portál kr-zlinsky 26 Tagra.eu Control 27 EZOP Kukátko ActiveDirectory 30 Anet 31 ArcGIS Desktop v ArcIMS ArcGIS Server Enterprise Basic v ASPI Systém právních norem 35 Cardpay 10/54

11 ID INFORMAČNÍ SYSTÉM 36 ELZA BENEFIT 37 EOS3 ver. 3 (2005) 38 GILDA 39 Ginis 40 Gordic UCR 41 HelpDesk 42 HSMAP 43 Kevis 44 LHK SSL 45 MaP/PiS 46 MONIT 47 Project Server 48 SmtpGateway 49 Sproxy 50 Thomas key 51 T-WIST 1.2a 52 T-WIST METIS 4 53 T-WIST NEMO-EVIDENCE MAJETKU 54 T-WIST REN 55 T-WIST ÚIR-ADR FormServer 57 FaMa+ 58 TopoL xt Reduced 59 Kissos 60 Telefonní seznam SafeQ PCAS Hfx EMNKP - Evidence movitých a nemovitých kulturních památek 63 Střet zájmů 64 AuditPro ArcGIS Server esps 67 Datový sklad DWH/BI 68 CA Clarity/PPM 69 Gist 70 MIS ZK 71 Exchange Sharepoint Foundation 2013 Tabulka č. 6: Přehled informačních systémů provozovaných Krajským úřadem Zlínského kraje. 11/54

12 4 Záměry rozvoje informačních systémů 4.1 Plán rozvoje informačních systémů Zásady a postupy pro správu informačních systémů (kap. 7. Správa informačních systémů) představují pravidla pro vytvoření plánu pořizování, vytváření, provozování, změn a ukončení činnosti informačních systémů kraje plánu rozvoje informačních systémů. Plán rozvoje informačních systémů kraje je upřesněním záměrů a cílů uvedených v informační koncepci na základě konkrétních požadavků a dalších okolností. Vlastní plán není součástí informační koncepce, která obsahuje pouze zásady a postupy pro jeho vytváření, ale je její přílohou (Příloha č. 2 Plán rozvoje informačních systémů). Plán rozvoje informačních systémů obsahuje následující části: plán pořizování a vytváření nových IS, plán provozování a údržby provozovaných IS, plán provádění změn stávajících IS, plán ukončení provozu a činnosti rušených IS. Součástí plánu rozvoje je přehled IS, které mají vzniknout, které mají být upraveny, které nahrazeny a které ukončeny bez náhrady. Dále je v plánu uveden časový harmonogram provádění příslušných akcí v jednotlivých systémech. Plán rozvoje se nemusí týkat pouze IS, ale i ostatních informačních a komunikačních technologií kraje a související informační a komunikační infrastruktury. Plán rozvoje se připravuje 1x ročně v souvislosti s přípravou rozpočtu IT. Jedná se v podstatě o každoroční akční operativní plán projektů rozvoje IS a ostatních informačních a komunikačních technologií. Plán rozvoje informačních systémů kraje je pojítkem mezi Informační koncepcí a Informační strategií Zlínského kraje. 4.2 Záměry na pořízení nebo vytvoření nových informačních systémů V současnosti nejsou žádné záměry na pořízení nových informačních systémů dodavatelským způsobem. V současnosti nejsou žádné záměry na vytvoření nových informačních systémů vlastními zdroji. 4.3 Záměry rozvoje stávajících informačních systémů V současnosti nejsou žádné záměry rozvoje stávajících informačních systémů. 4.4 Informační strategie Zlínského kraje V průběhu roku 2014 bude zpracována nová Informační strategie Zlínského kraje, a v návaznosti na to aktualizována Informační koncepce Zlínského kraje vč. Plánu rozvoje informačních systémů. V dokumentech se budou mj. analyzovat důsledky a dopady následujících oblastí rozvoje informačních technologií: 12/54

13 21Net Komunikační infrastruktura Zlínského kraje Zákon o kybernetické bezpečnosti Správa mobilních zařízení Net Komunikační infrastruktura Zlínského kraje 21Net ve výsledku rychlá, robustní a bezpečná celokrajská datová síť pro podporu krizového řízení, integrovaného záchranného systému, pro naplnění cílů e-governmentu a zvýšení efektivity výkonu veřejné správy. K přenosu informací mezi jednotlivými lokalitami bude využito optických vláken. Optická datová síť dosáhne přenosové rychlosti 1 Gbit/s, přičemž technologicky bude připravena na vyšší rychlost 10 Gbit/s bez nutnosti vysokých investic. Celá infrastruktura bude odolná proti výpadku napájení ve všech kritických lokalitách s podmínkou zachování funkčnosti sítě na dobu 72 hodin. Více informací na V souvislosti s provozem této sítě vzniká provozní dokumentace, mj. Bezpečnostní politika 21Net a provozní řády Zákon o kybernetické bezpečnosti Připravovaný zákon o kybernetické bezpečnosti bude na povinné osoby v oblasti kybernetické bezpečnosti pravděpodobně klást některé nové požadavky, naplněné tzv. Systémem zajištění kybernetické bezpečnosti. Systém zajištění kybernetické bezpečnosti tvoří bezpečnostní opatření, hlášení kybernetických bezpečnostních incidentů, protiopatření, oznamování kontaktních údajů a činnost Národního bezpečnostního úřadu a dohledových pracovišť. Stavem kybernetického nebezpečí se rozumí stav, ve kterém je ve velkém rozsahu ohrožena bezpečnost informací v informačních systémech nebo bezpečnost služeb nebo sítí elektronických komunikací, a tím dojde nebo by mohlo dojít k porušení nebo ohrožení zájmu České republiky Správa mobilních zařízení Používání mobilních zařízení (mj. a především smartphone a tablet) způsobuje nová bezpečnostní rizika. Oprávnění uživatelé mohou používat mobilní zařízení a pracovat s využitím vzdáleného přístupu k informacím a prostředkům pro jejich zpracování za splnění striktně definovaných podmínek. Správa mobilních zařízení musí poskytovat možnost rychlé registrace mobilního zařízení v datovém prostředí, konfiguraci a aktualizaci nastavení zařízení na dálku, vynucování bezpečnostních zásad a konformit, zabezpečování mobilního přístupu k datovým zdrojům, a také uzamykání a vymazávání těchto zařízení. 13/54

14 5 Řízení kvality informačních systémů 5.1 Systém řízení kvality informačních systémů Systém řízení kvality informačních systémů přijímá požadavky a očekávání zainteresovaných stran na kvalitu informačních systémů a pomocí nezbytných činností a procesů vytváří řízenou kvalitu, která splňuje tyto požadavky a očekávání. Základní cyklus systému řízení kvality informačních systémů: Plánuj plánování v oblasti řízení kvality informačních systémů. Dělej realizace požadavků na kvalitu informačních systémů. Kontroluj - ověřování splnění požadavků na kvalitu informačních systémů. Jednej vyhodnocení požadavků na kvalitu informačních systémů. Obrázek č. 1: Cyklus systému řízení kvality informačních systémů 5.2 Kvalita informačních systémů Kvalitou informačních systémů se rozumí především: Kvalita zpracovávaných dat. Kvalita poskytovaných služeb. Kvalita používaných technologických a programových prostředků Kvalita zpracovávaných dat - atributy Základní atributy kvality zpracovávaných dat: Integrita dat data v IS jsou autentická, přesná a úplná. 14/54

15 Přesnost (správnost) dat - reprezentace skutečné hodnoty v IS by měla být v kontextu jejího použití dostatečně přesná. Úplnost (kompletnost) dat - v IS by měly být vedeny hodnoty pokud možno pro všechny atributy entity, a také všechny ostatní relevantní entity. Konzistence dat - různé údaje ke stejné entitě v IS by neměly být ve zřejmém logickém rozporu. Aktuálnost dat - IS by měl využívat a poskytovat aktuální data. Důvěryhodnost dat - data, poskytovaná IS by měla být pravdivá a důvěryhodná. Přístupnost dat - data vedená v IS by měla být vedena v takové formě, aby byla přístupná, a to zejména pro osoby, které vyžadují podpůrné technologie. Dostupnost dat - data vedená v IS by měla být vždy dostupná všem uživatelům s oprávněním k přístupu. Utajitelnost dat - data vedená v IS by měla být přístupná pouze oprávněným uživatelům. Srozumitelnost dat - data vedená v IS by měla být snadno interpretovatelná uživatelem a vyjádřena ve vhodném jazyce a jednotkách. Efektivita dat - při zpracování dat v IS by měl být zajištěn odpovídající výkon systému a mělo by být využito odpovídající množství systémových zdrojů. Přenositelnost dat - data vedená v IS by měla umožňovat převod na odlišnou platformu při zachování své kvality. Sledovatelnost dat (odpovědnost za data) - při přístupu k datům, vkládání nebo změně dat v IS by mělo probíhat sledování kdo a kdy k datům přistupoval a kdo a kdy vložení nebo změny provedl. Soulad dat v IS s právními předpisy - data v IS musí být uložena v souladu s platnými obecně závaznými právními předpisy. Data v IS by měla být uložena podle veřejně dostupných standardů a datových formátů Kvalita poskytovaných služeb - atributy Základní atributy kvality poskytovaných služeb: Funkčnost služeb - IS by měl poskytovat služby - funkce, které uspokojují stanovené a předpokládané potřeby. Efektivnost služeb IS by měl poskytovat služby relevantní potřebám uživatelů. Dostupnost služeb - služby IS by měly být dostupné za předem určených podmínek (místo, formát, čas). Přehlednost služeb - služby IS, zejména ty, které využívají grafického uživatelského rozhraní, by měly být přehledné. Srozumitelnost služeb - služby IS, zejména ty, které využívají grafického uživatelského rozhraní, by měly být srozumitelné. Přístupnost služeb - služby IS, zejména ty, které využívají grafického uživatelského rozhraní, by měly být přístupné i uživatelům, kteří pro přístup vyžadují speciální technologie. Interoperabilita služeb - služby IS by měly být způsobilé ke komunikaci s jinými informačními systémy. 15/54

16 Dohledatelnost služeb - služby IS by měly být dohledatelné za pomoci běžných nástrojů. Řízení dokumentace podrobné návody k použití služeb IS by měly být popsány a aktualizovány v uživatelské dokumentaci Kvalita používaných technologických a programových prostředků - atributy Základní atributy kvality používaných technologických a programových prostředků: Funkčnost software - IS by měl poskytovat funkce, které uspokojují stanovené a předpokládané potřeby. Interoperabilita software - IS by měl být schopen interakce s dalšími IS. Použitelnost software - IS by měl být pro své uživatele srozumitelný, zvládnutelný a atraktivní. Efektivita software - IS by měl poskytovat odpovídající výkon při odpovídajícím využití systémových zdrojů. Bezporuchovost software - IS by měl poskytovat bezporuchový provoz. Udržovatelnost software - IS by měl být způsobilý k úpravám a implementaci nových funkcí dle nových legislativních a dalších požadavků. Přenositelnost software - IS by měl být způsobilý k převodu na odlišnou platformu při zachování své kvality. Dostupnost software - IS by měl být dostupný pro všechny oprávněné uživatele. Certifikace hardware - technologické prostředky IS by měly mít platnou certifikaci pro zamýšlené programové prostředky. Odolnost hardware vůči poruchám - technologické prostředky IS by měly být odolné vůči poruchám. Obnova harware - technologické prostředky IS by neměly být zastaralé. Úroveň služeb síťové infrastruktury - síťová infrastruktura kraje nezbytná pro provoz IS by měla být na odpovídající úrovni. Úroveň internetové konektivity - konektivita do internetu nezbytná pro provoz IS by měla být na odpovídající úrovni. Dodávka software a hardware jednotná strategie řízení vztahů s dodavateli technologií. Integrace software a hardware sjednocení technologií (používaných technologických a programových prostředků). 5.3 Dlouhodobé cíle v oblasti řízení kvality informačních systémů Dlouhodobé cíle v oblasti řízení kvality IS byly stanoveny ve třech oblastech: zajištění kvality dat, která jsou v IS zpracovávána; zajištění kvality služeb, které jsou prostřednictvím IS poskytovány; zajištění kvality technologických a programových prostředků. 16/54

17 Dlouhodobé cíle vychází z dokumentu Globální systémová architektura, zpracovaného v rámci projektu Systémová integrace, který nastavil dlouhodobé směrování informačního systému na úrovni celého kraje a stanovil hlavní cíle. Dlouhodobé cíle v oblasti řízení kvality IS jsou uvedeny v tabulce, a to v členění do tří výše uvedených oblastí. U každého cíle je dále uveden atribut kvality IS, ke kterému cíl směřuje Kvalita zpracovávaných dat Označení cíle Název cíle Popis cíle Atribut kvality CK01 Integrita Ve všech systémech budou využity maximální možnosti pro kontrolu integrity dat, a to na všech úrovních (databáze, aplikační logika, vstupní formuláře apod.). CK02 Aktualizace Cílem je, aby všechny údaje vedené primárně krajským úřadem byly aktualizovány v nejbližší možné době po jejich změnách. Podobně nové údaje by se měly objevit v ISVS s minimální prodlevou. CK03 Správnost Předmětem je zavést kontroly dat proti primárním registrům (především RES, UIR-ADR, ISKN) a kontroly na obsah dat s cílem zvýšení čistoty dat. integrita dat aktuálnost dat správnost dat CK04 Kompletnost dat Cílem je zavedení datové základy bez chybějících atributů znamenající nejednoznačnost údajů. Zároveň maximalizovat množství informací a dokumentů, zpracovávaných elektronicky v digitální, strukturované formě. kompletnost dat CK05 Odpovědnost Ve všech systémech budou ukládány auditní záznamy o autorech změn vedených údajů. Bude zajištěna bezpečnost těchto záznamů. odpovědnost za data Tabulka č. 7: Cíle v oblasti zpracovávaných dat. 17/54

18 5.3.2 Kvalita zajišťovaných služeb Označení cíle Název cíle Popis cíle Atribut kvality CK06 Funkčnost Rozvoj systému provádět na základě zadání / cílové architektury v konfrontaci s požadavky uživatelů. CK07 Efektivnost Pokračovat v zavádění principu vnímání ICT jako poskytovatele (interních) služeb. funkčnost služeb efektivnost služeb Zavést standardy IT Governance 1 procesů ICT. do vnitřních CK08 Dostupnost Dále přibližovat veřejné služby občanovi, zajistit jejich maximální dostupnost a kvalitu s důrazem na bezpečný a jednoduchý přístup. dostupnost služeb Podpořit prezentaci úřadu a regionu. CK09 Interoperabilita Podpořit integraci a sdílení dat a služeb prostřednictvím webových služeb a zavést jednotný způsob autorizace a autentizace. interoperabilita služeb CK10 Řízení dokumentace Podpořit využívání funkcionality IS s dostupností uživatelské dokumentace a konkrétních návodů postupu řešení problémů. řízení dokumentace Tabulka č. 8: Cíle v oblasti zajišťovaných služeb. 1 Manažerské metody a nástroje, zaměřené na řízení informatiky s cílem maximalizovat přidanou hodnotu informačních systémů a technologií pro realizaci strategie organizace. Zahrnuje jednotný přístup k řízení požadavků, zdrojů, procesů a projektů probíhajících v ICT se snahou o zvyšování kvality poskytovaných služeb, redukci nákladů a maximalizaci přidané hodnoty informatiky pro organizaci. 18/54

19 5.3.3 Kvalita technologických a programových prostředků Označení cíle Název cíle Popis cíle Atribut kvality CK11 Řízení dodavatelů Cílem je zavedení jednotné strategie řízení vztahů s dodavateli ICT. dodávka CK12 Sjednocení technologií Sjednocení technologií na základě Technologické strategie. sjednocení technologií CK13 Obnova ICT Pokračovat v pravidelné obnově HW. obnova HW Tabulka č. 9: Cíle v oblasti technických a programových prostředků. 19/54

20 5.4 Požadavky na kvalitu informačních systémů Požadavky na kvalitu informačních systémů vznikly konkretizací výše stanovených cílů řízení kvality. Souhrn požadavků včetně vazeb na cíl, který naplňují, a vazeb na IS, pro které platí, je uveden v následující tabulce. Cíl kvality Označení požadavku Popis požadavku Platí pro CK01: Integrita PK01 Rozšíření kontrol integrity a promítnutí problémových oblastí do plánu rozvoje. PK02 Podporovat převedení nestrukturovaných dat na strukturované. všechny IS GINIS - SSL PK03 Vytvořit metadata k datům, službám a dokumentacím. všechny IS CK02: Aktualizace PK04 Zavést organizační opatření pro zajištění včasné aktualizace dat. všechny IS PK05 Doplnit konkrétní požadavky na výměnu dat pro konkrétní systémy. všechny IS CK03: Správnost PK06 Zajistit implementace kontrol identifikace subjektů/osob, adres a nemovitostí. všechny relevantní IS PK07 Zajistit implementaci kontrol obsahu dat (např. kontrola správnosti rodného čísla, identifikačního čísla, správnost položek typu datum a čas apod.). všechny IS CK04: Kompletnost dat PK08 Maximalizovat množství informací a dokumentů, zpracovávaných elektronicky v digitální, strukturované formě. všechny IS PK09 Zajistit historizaci záznamů, tzn. zavést mechanismus zaznamenávání historie změn záznamů a zajistit možnost sledovat postupné změny záznamu v čase a provádět časové řezy. všechny IS CK05: Odpovědnost PK10 Zavést auditovatelnost záznamů ve smyslu identifikace vlastníka každé provedené změny v záznamech. všechny IS CK06: Funkčnost PK11 Vytvořit cílovou architekturu. všechny IS CK07: Efektivnost PK12 Zavést standardy IT Governance do vnitřních procesů ICT. 20/54

21 Cíl kvality Označení požadavku Popis požadavku Platí pro CK08: Dostupnost PK13 Rozvinout webové stránky směrem k elektronizaci agend jako alternativního přístupu. redakční systém PK14 Vytvořit Call centrum jako alternativu k zjišťování stavu žádosti. všechny IS CK09: Interoperabilita PK15 Dále rozvíjet sdílení dat na bázi webových služeb. GIS PK16 Zavést jednotný způsob autorizace a autentizace. všechny IS CK10: Řízení dokumentace PK17 Zajistit dostupnost uživatelské dokumentace. všechny IS PK18 Rozšířit návody řešící typické postupy práce s IS. všechny IS CK11: dodavatelů Řízení PK19 Zavést dlouhodobé hodnocení dodavatelů, monitorování kvality dodávek. všechny IS PK20 Vytvořit standardizované šablony pro smlouvy s dodavateli ICT komodit a služeb. všechny IS PK21 Přenést parametry ze SLA na dodavatele, kteří dané SLA mohou ovlivnit, včetně patřičných sankcí. všechny IS PK22 Rozvíjet projektové řízení při dodávce ICT služeb. všechny IS CK12: Sjednocení technologií PK23 Sjednotit technologie na základě stanovené Technologické strategie. všechny IS CK13: Obnova ICT PK24 Pokračovat v pravidelné obnově HW. hardware Tabulka č. 10: Požadavky na kvalitu informačních systémů. 5.5 Plán řízení kvality informačních systémů Činnosti v oblasti řízení kvality V oblasti řízení kvality informačních systémů budou v rámci krajského úřadu vykonávány činnosti dle základního cyklu systému řízení kvality informačních systémů (plánuj dělej kontroluj jednej): Stanovení cílů kvality: provádí vedoucí oddělení informatiky; 21/54

22 vedoucí oddělení informatiky vymezí obecné cíle kvality, popíše je, přidělí jim příslušné atributy včetně požadovaného termínu naplnění a sestaví katalog cílů kvality; cíle kvality jsou součástí informační koncepce, tzn. mohou se měnit při změně verze. Stanovení požadavků na kvalitu: vedoucí oddělení informatiky předá cíle kvality jednotlivým správcům IS; správci IS pro každý cíl buď konstatují, že jejich IS již cíl splňuje, nebo sestaví požadavky, jejichž postupným splněním bude tento cíl naplněn; u požadavků si správci IS stanoví dílčí termíny takové, aby byl splněn termín požadovaného naplnění cíle; vedoucí oddělení informatiky požadavky sesbírá a vytvoří katalog požadavků na kvalitu, který se stává součástí informační koncepce. Implementace požadavků na kvalitu: provádí dodavatel nebo správce IS v závislosti na způsobu budování resp. údržby IS; zodpovídá na jedné straně správce IS, na druhé straně vedoucí projektu; podklady čerpá z informační koncepce - platné verze; vychází z požadavků na kvalitu a časového harmonogramu jejich naplnění; dokončení implementace požadavku hlásí vedoucí projektu správci IS a ten dále informuje vedoucího oddělení informatiky. Prověrka dodržování požadavků na kvalitu: provádí nezávislý pracovník Útvaru interního auditu; impuls dává vedoucí oddělení informatiky; prověřuje se buď konkrétní implementace požadavku na konkrétním IS, nebo konkrétní požadavek na všech relevantních IS nebo všechny požadavky na vybraném IS; z prověření se vytváří zápis, který obdrží vedoucí oddělení informatiky a správce IS. Vyhodnocení řízení kvality: provádí vedoucí oddělení informatiky; provádí se minimálně jednou za rok; součástí je vyhodnocení závěrů z provedených prověrek dodržování požadavků na kvalitu; provede se též revize dlouhodobých cílů kvality a jejich aktualizace; vyřadí se implementované a prověřené požadavky na kvalitu a vytvoří se nové; vyhodnocení může být podnětem k vydání nové verze informační koncepce. 22/54

23 5.5.2 Časové harmonogramy plnění cílů kvality a požadavků na kvalitu Šedou barvou jsou zvýrazněny cíle kvality a požadavky na kvalitu, které ke dni platnosti nové verze informační koncepce (2.0) již měly být splněny, bez zvýraznění jsou cíle a požadavky, jejichž plnění je průběžné a cíle a požadavky, jejichž splnění se očekává. Protokol o auditním testu č. 6, jež je přílohou č. 4 této informační koncepce, obsahuje podrobné závěry z praktického ověření skutečného stavu naplnění cílů kvality a požadavků na kvalitu informačních systémů. Plánované naplnění Označení cíle Název cíle průběžně CK01 Integrita CK02 Aktualizace CK03 Správnost průběžně CK04 Kompletnost dat CK05 Odpovědnost CK06 Funkčnost CK07 Efektivnost CK08 Dostupnost CK09 Interoperabilita CK10 Řízení dokumentace průběžně CK11 Řízení dodavatelů CK12 Sjednocení technologií průběžně CK13 Obnova ICT Tabulka č. 11: Harmonogram plnění cílů kvality. Plánované naplnění průběžně Označení požadavku PK01 Popis požadavků na kvalitu Rozšíření kontrol integrity a promítnutí problémových oblastí do plánu rozvoje. průběžně PK02 Podporovat převedení nestrukturovaných dat na strukturované. průběžně PK03 Vytvořit metadata k datům, službám a dokumentacím PK04 Zavést organizační opatření pro zajištění včasné aktualizace dat PK05 Doplnit konkrétní požadavky na výměnu dat pro konkrétní systémy. 23/54

24 PK PK07 Zajistit implementace kontrol identifikace subjektů/osob, adres a nemovitostí. Zajistit implementaci kontrol obsahu dat (např. kontrola správnosti rodného čísla, identifikačního čísla, správnost položek typu datum a čas apod.). průběžně PK08 Maximalizovat množství informací a dokumentů, zpracovávaných elektronicky v digitální, strukturované formě PK PK10 Zajistit historizaci záznamů, tzn. zavést mechanismus zaznamenávání historie změn záznamů a zajistit možnost sledovat postupné změny záznamu v čase a provádět časové řezy. Zavést auditovatelnost záznamů ve smyslu identifikace vlastníka každé provedené změny v záznamech PK11 Vytvořit cílovou architekturu PK12 Zavést standardy IT Governance do vnitřních procesů ICT PK13 Rozvinout webové stránky směrem k elektronizaci agend jako alternativního přístupu. průběžně PK15 Dále rozvíjet sdílení dat na bázi webových služeb PK16 Zavést jednotný způsob autorizace a autentizace PK17 Zajistit dostupnost uživatelské dokumentace. průběžně PK18 Rozšířit návody řešící typické postupy práce s IS. průběžně PK19 Zavést dlouhodobé hodnocení dodavatelů, monitorování kvality dodávek PK PK21 Vytvořit standardizované šablony pro smlouvy s dodavateli ICT komodit a služeb. Přenést parametry ze SLA na dodavatele, kteří dané SLA mohou ovlivnit, včetně patřičných sankcí. průběžně PK22 Rozvíjet projektové řízení při dodávce ICT služeb PK23 Sjednotit technologie na základě stanovené Technologické strategie. průběžně PK24 Pokračovat v pravidelné obnově HW. Tabulka č. 12: Harmonogram plnění požadavků na kvalitu. 24/54

25 6 Řízení bezpečnosti informačních systémů 6.1 Systém řízení bezpečnosti informačních systémů Pro řízení bezpečnosti informačních systémů kraje je aplikován přístup dle mezinárodních norem a standardů pro oblast řízení informační bezpečnosti, a to konkrétně dle ČSN ISO/IEC Systém řízení bezpečnosti systémů požadavky, ISO/IEC Soubor postupů pro řízení informační bezpečnosti a ČSN ISO/IEC TR Směrnice pro řízení bezpečnosti IT. Systém řízení bezpečnosti informačních systémů, resp. informační bezpečnosti (ISMS information security management system), přijímá požadavky a očekávání zainteresovaných stran na bezpečnost informačních systémů a pomocí nezbytných činností a procesů vytváří řízenou bezpečnost, která splňuje tyto požadavky a očekávání. Základní cyklus systému řízení bezpečnosti informačních systémů: Plánuj plánování v oblasti řízení bezpečnosti informačních systémů. Dělej realizace požadavků na bezpečnost informačních systémů. Kontroluj - ověřování splnění požadavků na bezpečnost informačních systémů. Jednej vyhodnocení požadavků na bezpečnost informačních systémů. Obrázek č. 2: Cyklus systému řízení bezpečnosti informačních systémů 6.2 Bezpečnost informačních systémů Bezpečností informačních systémů se rozumí především: Bezpečnost zpracovávaných dat. Bezpečnost poskytovaných služeb. Bezpečnost používaných technologických a programových prostředků. 25/54

26 6.2.1 Bezpečnost zpracovávaných dat - atributy Základní atributy bezpečnosti zpracovávaných dat: Dostupnost dat - data v IS jsou k dispozici vždy, když jsou oprávněně autorizovaným uživatelem vyžadována. Důvěrnost dat - data v IS jsou chráněna před neautorizovaným přístupem, rozšiřováním, modifikací a před ztrátou či zničením dle principu identifikace, autentizace a autorizace uživatele. Integrita dat - data v IS jsou autentická, přesná a úplná. Základní atributy bezpečnosti zpracovávaných dat se zprostředkovaně vztahují i na poskytované služby a používané technologické a programové prostředky. 6.3 Dlouhodobé cíle v oblasti řízení bezpečnosti informačních systémů Dlouhodobé cíle v oblasti řízení bezpečnosti informačních systémů byly stanoveny v následujících třech oblastech: zajištění bezpečnosti dat, která jsou v IS zpracovávána, zajištění bezpečnosti služeb, které jsou prostřednictvím IS poskytovány, zajištění bezpečnosti technických a programových prostředků. Dlouhodobé cíle v oblasti řízení bezpečnosti IS jsou uvedeny v následující tabulce, a to v členění do výše uvedených oblastí. Uvedené cíle jsou stanoveny tak, aby byla zajištěna bezpečnost zpracovávaných informací a poskytovaných služeb, tj. aby byla zajištěna jejich dostupnost, důvěrnost a integrita. Oblast bezpečnosti Oblast bezpečnosti dle ISO/IEC Označení cíle Popis cíle Zajištění bezpečnosti dat Organizační bezpečnost CB01 Stanovit odpovědnost za činnost uživatelů v ISVS. Zajištění bezpečnosti dat Klasifikace a řízení aktiv CB02 Zajistit důvěrnost a integritu dat uchovávaných a zpracovávaných v ISVS. Zajištění bezpečnosti dat, technických a programových prostředků Personální bezpečnost CB03 Snížit rizika vyplývající z lidských chyb, krádeže a podvodu nebo zneužití zařízení. Zajištění bezpečnosti dat, služeb, technických a programových prostředků Fyzická bezpečnost a bezpečnosti prostředí CB04 Zabránit neautorizovanému přístupu či poškození aktiv IS. 26/54

27 Oblast bezpečnosti Oblast bezpečnosti dle ISO/IEC Označení cíle Popis cíle Zajištění bezpečnosti dat, služeb, technických a programových prostředků Řízení komunikací a provozu. CB05 Zajistit řízení procesů při nasazování IS a prostředků IS/ICT, prevence a detekce škodlivého SW a počítačových virů. Zajištění bezpečnosti dat a služeb Řízení přístupu CB06 Zajistit bezpečný a oprávněného přístup k požadovaným informacím a službám IS. Zajištění bezpečnosti dat a služeb Řízení bezpečnostních incidentů CB07 Zavést řízení bezpečnostních incidentů. Zajištění bezpečnosti dat a služeb Řízení zachování kontinuity činností CB08 Stanovit potřebnou dostupnost informací a služeb a zajistit kontinuitu činností včetně havarijního plánování. Zajištění bezpečnosti dat a služeb, technických a programových prostředků Řízení shody CB09 Zajistit dodržování všech zákonných požadavků, norem a předpisů. Bezpečnost IS obecně Bezpečnostní politika ICT (kontrola a hodnocení) CB10 Řídit informační rizika s cílem implementovat efektivní opatření na jejich zvládání, provádění auditů a vyhodnocování auditních záznamů. Tabulka č. 13: Dlouhodobé cíle v oblasti řízení bezpečnosti IS 6.4 Požadavky na bezpečnost informačních systémů Požadavky na bezpečnost IS vznikly konkretizací výše stanovených cílů řízení bezpečnosti, a to pro jednotlivé informační systémy resp. záměry na vybudování nových IS, nebo jejich skupiny, případně pro všechny IS nebo záměry na jejich vybudování. Souhrn požadavků včetně vazeb na cíl, který naplňují, a vazeb na IS, pro které platí, je uveden v následující tabulce. Cíl bezpečnosti Označení požadavku Popis požadavku Platí pro CB01 PB01 Definice struktury řízení informační bezpečnosti, stanovení rolí a odpovědností, povinností a pravomocí. všechny IS 27/54

28 Cíl bezpečnosti Označení požadavku Popis požadavku Platí pro CB02 PB02 Stanovení odpovídající klasifikace dat dle stupně důvěrnosti a pravidel ochrany klasifikovaných dat. všechny IS CB03 PB03 Stanovení odpovědnosti za bezpečnost. všechny IS PB04 Zavedení systému pravidelného vzdělávání uživatelů v oblasti informační bezpečnosti. všechny IS CB04 PB05 Zajištění ochrany informací technologickými, organizačními a fyzickými prostředky. všechny IS CB05 PB06 Zabezpečení komunikace uvnitř i vně úřadu. všechny IS PB07 Zajištění používání pouze schváleného HW a licencovaného SW (licenční politika), všechny IS PB08 Pořizování systémových záznamů (logů), zápisů o opravách a zásazích a stanovení nezbytné doby jejich uchování a místa jejich uložení. všechny IS CB06 PB09 Provádění všech činností tak, aby nemohlo dojít k úniku, neoprávněnému přístupu k informacím nebo k narušení integrity HW nebo SW vybavení a jinému ohrožení. CB07 PB10 Stanovení postupů pro hlášení bezpečnostních incidentů uživateli včetně jejich evidence a následného vyhodnocení. CB08 PB11 Řešení krizových situací na základě definovaných rizik, stanovených dopadů a krizových scénářů (požár, záplavy, výpadek proudu, porucha HW nebo selhání SW, přírodní katastrofa, úmyslný zásah, atd.). všechny IS všechny IS všechny IS PB12 Aktualizace Havarijního plánu ICT. všechny IS CB09 PB13 Identifikace požadavků relevantní legislativy. všechny IS CB10 PB14 Provádění pravidelného auditu informační bezpečnosti všechny IS PB15 Provedení analýzy rizik IS. všechny IS Tabulka č. 14: Požadavky na bezpečnost informačních systémů. 28/54

29 6.5 Plán řízení bezpečnosti informačních systémů Činnosti v oblasti řízení bezpečnosti V oblasti řízení bezpečnosti informačních systémů budou v rámci krajského úřadu vykonávány činnosti dle základního cyklu systému řízení bezpečnosti informačních systémů (plánuj dělej kontroluj jednej): Stanovení cílů bezpečnosti: provádí bezpečnostní správce ICT; cíle bezpečnosti jsou stanoveny na základě výsledků analýzy rizik; cíle bezpečnosti jsou detailně rozpracovány v Bezpečnostní politice ICT. Stanovení požadavků na bezpečnost: na základě cílu bezpečnosti stanoví bezpečnostní správce ICT požadavky na bezpečnost, jež povedou k naplnění cíle, a předá je vedoucímu Oddělení informatiky odpovědnému za rozvoj IS, jednotlivé požadavky na bezpečnosti jsou pak zapracovány do Plánu bezpečnosti spolu se stanovením termínu plnění. Implementace požadavků na bezpečnost: jednotlivé požadavky na bezpečnost mohou být implementovány prostřednictvím několika bezpečnostních opatření; odpovědnost za implementaci požadavků na bezpečnost, spolu se způsobem jejich implementace je definována v Plánu bezpečnosti; za Plán bezpečnosti odpovídá bezpečnostní správce ICT; dokončení implementace požadavku hlásí bezpečnostní správce ICT pracovníkovi zodpovědnému za naplňování IK. Prověrka dodržování požadavků na bezpečnost: provádí ji Útvar interního auditu nebo externí organizace, impuls dává pracovník zodpovědný za naplňování IK nebo bezpečnostní správce ICT, prověřuje se konkrétní implementace jednoho nebo více požadavků na IS KÚZK, z prověření se vytváří zápis, který obdrží pracovník odpovědný za naplnění IK a bezpečnostní správce ICT. Vyhodnocení řízení bezpečnosti: způsob kontroly a hodnocení řízení bezpečnosti je definován v Bezpečnostní politice ICT; na základě vyhodnocení řízení bezpečnosti provede bezpečnostní správce ICT též revizi dlouhodobých cílů bezpečnosti a jejich aktualizaci, vyřadí se implementované a prověřené požadavky na bezpečnost a vytvoří se nové, vyhodnocení může být podnětem k vydání nové verze IK. 29/54

30 6.5.2 Časové harmonogramy plnění cílů bezpečnosti a požadavků na bezpečnost Šedou barvou jsou zvýrazněny cíle bezpečnosti a požadavky na bezpečnost, které ke dni platnosti nové verze informační koncepce (2.0) již měly být splněny, bez zvýraznění jsou cíle a požadavky, jejichž plnění je průběžné a cíle a požadavky, jejichž splnění se očekává. Protokol o auditním testu č. 6, jež je přílohou č. 4 této informační koncepce, obsahuje podrobné závěry z praktického ověření skutečného stavu naplnění cílů bezpečnosti a požadavků na bezpečnost informačních systémů. Plánované naplnění Označení cíle Název cíle bezpečnosti CB01 Stanovit odpovědnost za činnost uživatelů v IS. Průběžně CB02 Zajistit důvěrnost a integritu dat uchovávaných a zpracovávaných v IS. Průběžně CB03 Snížit rizika vyplývající z lidských chyb, krádeže a podvodu nebo zneužití zařízení. Průběžně CB04 Zabránit neautorizovanému přístupu či poškození aktiv IS. Průběžně Průběžně CB05 CB06 Zajistit řízení procesů při nasazování IS a prostředků IS/ICT, prevence a detekce škodlivého SW a počítačových virů Zajistit bezpečný a oprávněného přístup k požadovaným informacím a službám IS CB07 Zavést řízení bezpečnostních incidentů CB08 Stanovit potřebnou dostupnost informací a služeb a zajistit kontinuitu činností včetně havarijního plánování. Průběžně CB09 Zajistit dodržování všech zákonných požadavků, norem a předpisů. Průběžně CB10 Řídit informační rizika s cílem implementovat efektivní opatření na jejich zvládání, provádění auditů a vyhodnocování auditních záznamů. Tabulka č. 15: Harmonogram plnění cílů bezpečnosti. Plánované naplnění Označení požadavku Popis požadavku na bezpečnost 10/2008 PB01 2/2009 PB02 Definice struktury řízení informační bezpečnosti, stanovení rolí a odpovědností, povinností a pravomocí. Stanovení odpovídající klasifikace dat dle stupně důvěrnosti a pravidel ochrany klasifikovaných dat. Průběžně PB03 Stanovení odpovědnosti za bezpečnost. 30/54

31 2/2009 PB04 Zavedení systému pravidelného vzdělávání uživatelů v oblasti informační bezpečnosti. průběžně PB05 Zajištění ochrany informací technologickými, organizačními a fyzickými prostředky. průběžně PB06 Zabezpečení komunikace uvnitř i vně úřadu. 6/2010 PB07 5/2009 PB08 Zajištění používání pouze schváleného HW a licencovaného SW (licenční politika), Pořizování systémových záznamů (logů), zápisů o opravách a zásazích a stanovení nezbytné doby jejich uchování a místa jejich uložení. průběžně PB09 Provádění všech činností tak, aby nemohlo dojít k úniku, neoprávněnému přístupu k informacím nebo k narušení integrity HW nebo SW vybavení a jinému ohrožení. 12/2008 PB10 12/2009 PB11 Stanovení postupů pro hlášení bezpečnostních incidentů uživateli včetně jejich evidence a následného vyhodnocení. Řešení krizových situací na základě definovaných rizik, stanovených dopadů a krizových scénářů (požár, záplavy, výpadek proudu, porucha HW nebo selhání SW, přírodní katastrofa, úmyslný zásah, atd.). průběžně PB12 Aktualizace Havarijního plánu ICT. průběžně PB13 Identifikace požadavků relevantní legislativy. ročně PB14 Provádění pravidelného auditu informační bezpečnosti. 6/2012 PB15 Provedení další analýzy rizik IS. Tabulka č. 16: Harmonogram plnění požadavků na bezpečnost. 31/54

32 7 Správa informačních systémů 7.1 Životní cyklus informačního systému Fáze životního cyklu informačního systému: fáze přípravy - shromáždění a posouzení požadavků, formulace zadání IS, fáze pořízení/vývoje pořízení/tvorba, přizpůsobení zákaznickým požadavkům - customizace, testování, instalace, implementace, fáze provozu a údržby, fáze ukončení provozu. Fáze životního cyklu IS Zásady správy IS Sběr podnětů k novému IS 1. Příprava Zpracování záměru pořízení IS dodavatelským způsobem Zpracování záměru vytvoření (vývoje) IS vlastními zdroji Pořízení IS dodavatelským způsobem 2. Pořízení/Vývoj (vytvoření) Vývoj (vytvoření) IS vlastními zdroji Instalace a testování IS Příprava nasazení IS do rutinního provozu Nasazení IS do rutinního provozu 3. Provoz a údržba Zajištění provozu a údržby IS Řízení změn IS 4. Ukončení provozu a činnosti Ukončení provozu IS Ukončení činnosti IS Tabulka č. 17: Zásady správy informačního systému dle jednotlivých fází životního cyklu. Základní role správy informačního systému: systémový správce technický správce informačního systému, bezpečnostní správce správce bezpečnosti informačního systému, klíčový uživatel odborný garant informačního systému. 32/54

33 7.2 Příprava informačního systému Sběr podbětů k novému informačnímu systému Podnětem k novému informačnímu systému mohou být: mise, poslání, strategické cíle kraje, novely právních předpisů či nově vzniklé legislativní předpisy (zákony, vyhlášky, nařízení), místní legislativní předpisy (např. vyhlášky), interní směrnice a nařízení, požadavky uživatelů IS reprezentované klíčovým uživatelem, podněty správců IS (změny topologie počítačové sítě, změna HW a SW platformy, ztráta dat a jiné havárie, atp.), další jiné podněty (např. podněty vzešlé z porad, analýza chybových hlášení, aj.). Základní realizované postupy: shromáždění podnětů a požadavků z různých míst a od různých subjektů u systémového správce, posouzení došlých požadavků a jejich prvotní eliminace - schválení nebo zamítnutí, předání požadavků ke schválení vedoucím orgánům kraje Zpracování záměru pořízení informačního systému dodavatelským způsobem Krajský úřad Zlínského kraje v případě potřeby nového informačního systému řeší jeho budování formou pořízení od externího dodavatele. Před zahájením pořízení nového IS musí být vypracován záměr nového IS. Tento záměr je specifikován jako požadavek v Helpdesku, u rozsáhlejších a významnějších informačních systémů je záměr rozpracován v Plánu rozvoje IS. V kompetenci vedoucího oddělení informatiky je rozhodnutí o nutnosti zpracování záměru do Plánu rozvoje IS, a to především na základě rozsahu předpokládaných dopadů, očekávané finanční náročnosti a délky a složitosti implementace. V případě ISVS je vždy zpracován záměr do Plánu rozvoje IS. Každý záměr na pořízení nebo vytvoření IS bude popsán v Helpdesku jako požadavek na software ve struktuře: definování potřeby IS, analýza zdrojů pro jeho pořízení, očekávaná finanční náročnost (v případě potřeby též analýza časové dostupnosti zdrojů apod.), analýza výchozího stavu (též s ohledem na možnost využití služeb nebo zdrojů jiných IS), stanovení požadovaného cílového stavu IS (vyplývající z definice potřeby IS), stanovení požadavků na kvalitu a bezpečnost IS (vyplývající z dlouhodobých cílů a obecných požadavků), analýza důsledků, které pořízení IS může vyvolat (např. dopad na procesy, činnost úřadu, organizační opatření apod.), 33/54