Dne: Platnost do: úplná Vedoucí zaměstnanci, Správce systému, Bezpečnostní správce systému, Garanti IS

Transkript

1 Městská část Praha Zbraslav Zbraslavské náměstí Praha Zbraslav tel/fax: e- mail: http: Název: Informační koncepce Politika dlouhodobého řízení informačních systémů Vlastník dokumentu: Tajemnice Úřadu MČ Praha-Zbraslav Účel zpracování: Naplnění požadavků zákona č. 365/2006 Sb., o informačních systémech veřejné správy Schváleno Zastupitelstvem MČ Praha-Zbraslav usnesením číslo xx ze dne xx Účinnost od: Dne: Platnost do: Ing. Zuzana Vejvodová Starostka MČ Praha-Zbraslav Přehled rušených nebo nahrazovaných interních normativních aktů: Nahrazuje dokument Informační koncepce v1.0 z roku Rozsah znalostí Evidenční číslo Klasifikace Verze 2.0 úplná Vedoucí zaměstnanci,,, Garanti IS informativní Provozní informace Uživatelé informačních systémů Počet listů: Počet výtisků: Výtisk číslo: Přílohy 01/01/2017 č. 1 Katalog informačních systémů - základní pojmy bezpečnosti informací 01/02/2017 č. 2 Infrastruktura informačních systémů 01/03/2017 č. 3 Hodnocení dodržování Informační koncepce - formulář ING. JAN RADA JNRD@ .CZ TEL.:

2 Obsah I. Úvodní ustanovení Rozsah, účel a cíl Závaznost Východiska tvorby Informační koncepce Zdroje informací Požadavky právních předpisů Pojmy Informační systém veřejné správy Související právní předpisy Použité pojmy a zkratky Řízení dokumentu Informační koncepce Postupy provádění změn Informační koncepce Revize Informační koncepce a souvisejících vnitřních předpisů Změny Informační koncepce nebo souvisejících vnitřních předpisů Zrušení Informační koncepce (derogace) Postup vyhodnocování dodržování Informační koncepce... 8 II. Informační systémy ve správě MČPraha-Zbraslav Charakteristika informačního veřejné správy Záměry na pořízení nebo vytvoření IS... 9 III. Řízení kvality informací Dlouhodobé řízení informačních systémů Kvalita informací Bezpečnost informací Aktiva Rizika Řízení rizik Dlouhodobé cíle v oblasti řízení kvality informací Dlouhodobé cíle kvality informací Dlouhodobé cíle kvality technologických a programových prostředků Dlouhodobé cíle kvality služeb Dlouhodobé cíle bezpečnosti informací Činnosti v oblasti řízení bezpečnosti informací IV. Zásady pořizování, provozování a rušení IS Pořizování IS zásady Vypracování záměru na pořízení IS Pořízení IS Přejímka a zahájení provozu IS Provozování IS zásady Pořizování a zpracování informací IS Zajištění provozu IS Personální zajištění Vytváření a údržba provozní dokumentace IS Změny IS Plánování změn IS Provedení změny KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 2/28

3 3. Zásady ukončení používání IS Způsob financování pořízení, změn a IS Odpovědnosti za plnění zákonných povinností ve vztahu k IS V. Záznamy o revizích a změnách Informační koncepce Obrázky Obrázek 1: Informační systém veřejné správy a Provozní informační systém... 5 Obrázek 2: Nejdůležitější právní předpisy vztahující se k informačním systémům veřejné správy... 6 Obrázek 3: Princip dlouhodobého řízení kvality informací IS Obrázek 4: Kvalita informací Obrázek 5: Bezpečnost informací Obrázek 6: Struktura aktiv Obrázek 7: Riziko Obrázek 8: Řízení rizik Obrázek 9: Životní cyklus informačního Obrázek 10: Role v rámci řízení informačního veřejné správy Obrázek 11: Provozní dokumentace informačního veřejné správy Tabulky Tabulka 1: Nejdůležitější použité pojmy... 6 Tabulka 2: Použité zkratky... 6 Tabulka 3: Cíle a požadavky na kvalitu informací Tabulka 4: Cíle a požadavky na prostředky informačních systémů (veřejné správy) Tabulka 5: Cíle a požadavky na kvalitu služeb Tabulka 6: Cíle a požadavky na bezpečnost informací Tabulka 7: Činnosti v oblasti bezpečnosti informací Tabulka 8: Nejdůležitější role pro provozování informačního (veřejné správy) Tabulka 9: Registr revizí Tabulka 10: Registr změn Tabulka 11: Rozdělovník Odkazy na přílohy Příloha Příloha č. 1 Katalog informačních systémů základní pojmy bezpečnosti informací Odkaz IK P1 Katalog IS v1.0.docx Příloha č. 2 Infrastruktura informačních systémů IK P2 Infrastruktura informačních systém Příloha č. 3 Vyhodnocení plnění Informační koncepce formulář IK P3 Vyhodnoceni Informační koncepce KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 3/28

4 I. Úvodní ustanovení 1. Rozsah, účel a cíl Tato Informační koncepce se vztahuje na informační systém veřejné správy spravovaný Městskou částí Praha - Zbraslav s výjimkou informačních systémů spadajících do působnosti zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti. Účelem této Informační koncepce je naplnit požadavky zákona č. 365/2000 Sb., o informačních systémech veřejné správy, Městskou částí Praha-Zbraslav (dále i MČ ). Účelem je také naplnit požadavky dalších právních předpisů zejména těch, které stanovují povinnosti při ochraně informací při jejich pořizování, zpracování a poskytování, například zákona č. 101/2000 Sb., o ochraně osobních údajů. Cílem je deklarovat zájem vedení MČ Praha-Zbraslav na řízení svého informačního veřejné správy, stanovit odpovědnosti, cíle a požadavky na kvalitu a bezpečnost informací a odpovědnosti a postupy dlouhodobého řízení a financování informačních systémů MČ Praha-Zbraslav. Informační koncepce nastavuje požadavky na kvalitu a bezpečnost informací a služeb a nastavuje postupy dlouhodobého řízení informačního veřejné správy charakterizovaného v kapitole II. Informační systémy ve správě i ostatních informačních systémů MČ Praha-Zbraslav. 2. Závaznost Tato Informační koncepce se vztahuje a je závazná pro všechny zaměstnance úřadu a volené orgány MČ Praha-Zbraslav, kteří vykonávají alespoň některé činnosti dlouhodobého řízení informačního veřejné správy nebo ostatních informačních systémů MČ Praha-Zbraslav. 3. Východiska tvorby Informační koncepce 3.1. Zdroje informací Při tvorbě tohoto dokumentu byly zohledněny všechny požadavky právních předpisů, platných pro tuto oblast, a byly využity i materiály zveřejněné Ministerstvem vnitra ČR, komentující platné právní předpisy. Dokument také vychází z mezinárodních standardů pro řízení bezpečnosti informací jako je například ISO/IEC nebo ISO/IEC a z mezinárodního standardu řízení kvality ISO Vychází i z Nařízení evropského parlamentu a rady (EU) 2016/679 ze dne 27. dubna 2016 (dále jen GDPR ) Požadavky právních předpisů Politika dlouhodobého řízení informačních systémů veřejné správy (dále jen Informační koncepce ) se řídí zákonem č. 365/2000 Sb., o informačních systémech veřejné správy a vyhláškou č. 529/2006 Sb., o požadavcích na strukturu a obsah Informační koncepce a provozní dokumentace a o požadavcích na řízení bezpečnosti a kvality informačních systémů veřejné správy. Informační koncepce vytváří rámec pro dlouhodobé řízení informačního veřejné správy i z hlediska požadavků zákona č. 101/2000 Sb., o ochraně osobních údajů. V Informační koncepci musí orgán veřejné správy uvést, jaké informační systémy veřejné správy má ve své správě nebo jaké provozuje. Informace o spravovaných informačních systémech veřejné správy může být velmi stručná, ale měla by zahrnovat všechny informace potřebné pro jeho řízení. Měla by obsahovat: a) charakteristiku informačního veřejné správy a stručnou charakteristiku jeho současného stavu a předpokládané změny v tomto, b) záměry na pořízení nebo vytvoření nových informačních systémů veřejné správy, c) dlouhodobé cíle v oblasti řízení kvality informačních systémů veřejné správy, požadavky na kvalitu a plán řízení kvality, d) dlouhodobé cíle v oblasti řízení bezpečnosti informačních systémů veřejné správy, požadavky na bezpečnost a plán řízení bezpečnosti informací, KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 4/28

5 e) soubor základních pravidel pro správu informačních systémů veřejné správy, a to včetně postupů, které vedou k jejich naplňování, tj. obecná pravidla, podle kterých budou informační systémy veřejné správy spravovány, f) způsob financování záměrů, dlouhodobých cílů a správy informačních systémů veřejné správy, g) postupy při vyhodnocování dodržování Informační koncepce a při provádění jejích změn, h) funkční zařazení zaměstnance nebo určení jiné fyzické osoby, který řídí provádění činností vedoucích k dosažení cílů, naplňování pravidel a uplatňování postupů, které jsou v Informační koncepci uvedeny a ke splnění povinností, které orgánu veřejné správy ukládá zákon, i) dobu platnosti Informační koncepce. Komentář: ad f) Aby mohl informačního veřejné správy realizovat své cíle a spravovat své informační systémy, musí mít popsán způsob, jak bude tyto aktivity financovat. ad g) Aby mohla být Informační koncepce úspěšně nasazena do skutečného používání, je nutné stanovit pravidla pro vyhodnocování jejího dodržování a provádění jejích změn. ad h) Orgán veřejné správy stanoví, kdo (v jaké pracovní či jiné pozici) řídí realizaci činností vedoucích k naplňování Informační koncepce a k naplňování dalších povinností stanovených zákonem. ad i) Doba platnosti Informační koncepce může být odvozena nejen od doby platnosti atestu, která je 5 let. Zákon 365/2000 Sb., o informačních systémech veřejné správy, je jedním z důležitých zákonů vztahujících se k provozování některých informačních systémů Pojmy Informační systém veřejné správy Informační systémy veřejné správy jsou souborem informačních systémů, které slouží pro výkon veřejné správy. Jsou jimi i informační systémy zajišťující činnosti podle zvláštních zákonů. Obrázek 1: Informační systém veřejné správy a Provozní informační systém KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 5/28

6 Související právní předpisy Obrázek 2: Nejdůležitější právní předpisy vztahující se k informačním systémům veřejné správy Použité pojmy a zkratky Tabulka 1: Nejdůležitější použité pojmy Pojem Garant IS (agendy) Hodnocení rizik Zvládání rizik Význam Je Tajemnicí určený zaměstnanec úřadu, který odpovídá za svěřenou agendu a dá za stanovení rozsahu, účelu a postupu a prostředků pro zpracování informací, za soulad zpracování informací s požadavky právních předpisů a za stanovení požadavků na bezpečnost informací a prostředků garantovaného informačního (agendy). Je nadřízený všem uživatelům garantovaného informačního. Je role, která za informační systém a jeho aktiva odpovídá, klasifikuje a ohodnocuje je a určuje přípustný způsob jejich použití. Je činnost ho vedoucí k vytvoření seznamu rizik a jejich dopadů na aktiva, která jsou kategorizována podle důležitosti (míry dopadu na MČ). Jsou způsoby nakládání s riziky (opatření) tak, aby rizika byla minimalizována na přijatelnou úroveň, MČ se jim vyhnula nebo je přenesla na jiný subjekt. Aktivum Je cokoli, co má pro MČ Praha-Zbraslav nezanedbatelnou cenu nebo hodnotu. Tabulka 2: Použité zkratky Zkratka Význam DPOO Pověřenec pro ochranu osobních údajů GDPR Nařízení evropského parlamentu a rady (EU) 2016/679 ze dne 27. dubna 2016 IS MČ ÚMČ SLA Informační systém MČ Praha-Zbraslav Úřad MČ Praha-Zbraslav Service Level Agreement Dohoda (smlouva) o úrovni, tj. rozsahu a dostupnosti poskytovaných služeb informačních systémů nebo jejich KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 6/28

7 4. Řízení dokumentu Informační koncepce Informační koncepce je dokument Úřadu MČ Praha-Zbraslav (dále jen ÚMČ ), který získává na základě nařízení tajemnice ÚMČ (dále jen Tajemnice ) charakter vnitřního předpisu (směrnice). Podléhá pravidelnému přezkoumávání (revizím), které provádí vlastník Informační koncepce (uveden na titulní straně Informační koncepce). Poznámka: Vlastnictví je metodou, jak aplikovat požadavek na přidělení jednoznačné odpovědnosti za dokument, informace, službu, proces, zařízení apod., obecně aktivum. Vlastník aktiva odpovídá za svěřené aktivum a nastavuje pravidla pro jeho používání. Jeho aktivum je pak používáno oprávněnými osobami přesně podle jím nastavených pravidel Postupy provádění změn Informační koncepce Revize Informační koncepce a souvisejících vnitřních předpisů Cíl Požadavek Odpovídá Termín Plánování revize Tajemnice vždy do konce ledna Zajistit aktuálnost Informační koncepce Provedení revize Tajemnice podle plánu revizí Návrh opatření Tajemnice do jednoho měsíce po ukončení revize Tajemnice organizuje revizi (prověrku aktuálnosti) Informační koncepce a souvisejících vnitřních předpisů ÚMČ, které řídí kvalitu, bezpečnost a jiné aspekty provozování informačních systémů, ve třech krocích: 1. plánování revize, 2. provedení revize a 3. návrh opatření. Revize plánuje tak, aby byla minimálně jednou ročně přezkoumána Informační koncepce a všechny s ní související vnitřní předpisy, o čemž je proveden zápis v registru revizí dokumentu (součást dokumentu, kde je uveden chronologický seznam provedených revizí dokumentu a jejich výsledků). V rámci revize se posuzuje soulad obsahu Informační koncepce s reálným stavem provozování informačního veřejné správy, se současnými požadavky na kvalitu a bezpečnost informací a dosaženou úrovní plnění stanovených cílů. Posuzuje se také stav (změny) právního prostředí, prostředí, ve kterém je informační systém veřejné správy provozován, výsledky kontrolní činnosti, počet a závažnost bezpečnostních incidentů a další skutečnosti, které mohou mít vliv na provozování informačního veřejné správy. Na základě provedené revize je realizováno opatření. Opatřením může být: 1. ponechání vnitřního předpisu ve stejném stavu, 2. provedení jeho změny nebo 3. zrušení vnitřního předpisu Změny Informační koncepce nebo souvisejících vnitřních předpisů Za změnu se považuje jakákoli úprava obsahu Informační koncepce. Každá změna Informační koncepce musí být stručně charakterizována v registru změn dokumentu (součást dokumentu, ve které jsou chronologicky zaznamenávány informace o provedených změnách v dokumentu) a to v originále a vnitřní předpis musí být označen novou verzí. KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 7/28

8 Vlastník Informační koncepce musí zajistit, že je používána vždy aktuální verze Informační koncepce, proto musí zajistit provedení opatření ke stažení neplatné verze Informační koncepce od všech osob, kterým byla distribuována, a k distribuci nové platné verze Zrušení Informační koncepce (derogace) Zrušení Informační koncepce tvoří sled činností: 1. zneplatnění verze Informační koncepce, 2. stažení zneplatněné verze od všech osob, kterým byla distribuována a 3. skartace kopií a archivace originálu. Platnost Informační koncepce ukončuje stejná osoba, která Informační koncepci vydala. Den ukončení platnosti je vyznačen na výtisku originálu Informační koncepce. 5. Postup vyhodnocování dodržování Informační koncepce Cíl Požadavek Odpovídá Termín Vyhodnotit míru plnění Informační koncepce Provádět pravidelná hodnocení úrovně plnění jednotlivých cílů a požadavků Informační koncepce Navrhovat opatření k nápravě, pokud Informační koncepce není plněna Tajemnice Tajemnice Do 30. června každého roku Do 30. června každého roku Hodnocení dodržování Informační koncepce je základním kontrolním mechanizmem zajišťujícím zpětnou vazbu nezbytnou pro naplňování cílů Informační koncepce. Hodnocení dodržování Informační koncepce provádí zaměstnanec ÚMČ určený Tajemnicí. Vyhodnocování dodržování Informační koncepce musí probíhat dokumentovaným způsobem. Pro hodnocení je vždy použit formulář uvedený v příloze č. 2 této Informační koncepce, který obsahuje vyhodnocení jednotlivých oblastí, eviduje zjištěné nedostatky a návrhy opatření na jejich odstranění. KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 8/28

9 II. Informační systémy ve správě MČ Praha-Zbraslav 1. Charakteristika informačního veřejné správy MČ Praha-Zbraslav prostřednictvím svého úřadu spravuje informační systém veřejné správy (dále jen IS ) s jeho podsystémy. Seznam podsystémů IS a jejich charakteristiky je v příloze č. 1 Katalog informačních systémů. 2. Záměry na pořízení nebo vytvoření IS MČ Praha-Zbraslav v současnosti neplánuje pořízení nového IS nebo jeho pod ani významnou změnu stávajícího IS. V případě, že by v budoucnu MČ Praha-Zbraslav plánovala pořízení nebo významnou změnu IS, musí být Informační koncepce doplněna o záměr na pořízení IS nebo jeho změnu (zdůvodnění pořízení IS nebo jeho změny), který obsahuje minimálně: 1. Důvody pořízení IS, 2. Finanční náročnost pořízení a provozu IS, 3. Výsledky analýzy požadavků na zdroje pro pořízení a provozování IS, 4. Popis výchozího stavu, 5. Popis cílového stavu po implementaci IS, 6. Kvalitativní požadavky a požadavky na zajištění bezpečnosti informací, 7. Analýzu rizik, které pořízení IS může vyvolat, 8. Plánovaný termín uvedení IS do provozu, 9. Odpovědnost za pořízení IS. KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 9/28

10 III. Řízení kvality informací 1. Dlouhodobé řízení informačních systémů Princip dlouhodobého řízení IS je zřejmý z následujících obrázků stejně jako obsah pojmu kvalita informací. Obrázek 3: Princip dlouhodobého řízení kvality informací IS 2. Kvalita informací Kvalita informací je chápána jako míra plnění stanovených požadavků. Součástí kvality informací jsou i požadavky na dostupnost, důvěrnost a integritu, které patří do kategorie bezpečnosti informací. Obrázek 4: Kvalita informací Kvalita informací je dána především požadavky na použitelnost informací. Informace musí být použitelné k účelu, pro který jsou získávány a zpracovávány a musí být úplné, přesné, aktuální hodnověrné. Za kvalitu informací odpovídá Garant IS. Za zajištění požadavků na dostupnost důvěrnost a integritu informací uložených v IS odpovídá, který na základě požadavků Garanta IS zajišťuje plnění stanovených požadavků na bezpečnost informací a služeb (SLA) 2.1. Bezpečnost informací Bezpečnost informací je chápána jako zajištění dostupnosti, důvěrnosti a integrity informací, služeb a souvisejících aktiv. Obrázek 5: Bezpečnost informací KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 10/28

11 Dostupnost je chápána jako zajištění toho, že informace je pro oprávněné uživatele přístupná v okamžiku a místě její potřeby, Důvěrnost je chápána jako zajištění toho, že informace je přístupná nebo sdělena pouze těm, kteří jsou k tomu oprávněni, Integrita je chápána jako zajištění správnosti a úplnosti informace a zajištění toho, že informace nebyla neoprávněně měněna. Dohledatelnost odpovědnosti je chápána jako zajištění (shromažďování) informací o tom, kdo a jakým způsobem nakládal s informacemi logování událostí v informačním. K zajištění dostupnosti, důvěrnosti a integrity informací byly stanoveny dlouhodobé cíle a požadavky (viz. Kapitola 0. KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 11/28

12 Dlouhodobé cíle v oblasti řízení kvality informací). Konkrétní opatření, tedy způsob, jak budou požadavky plněny, bude stanoven na základě provedené analýzy rizik Aktiva Nejdůležitějším aktivem jsou informace, které je nutné vnímat v kontextu zájmů MČ Praha-Zbraslav, procesů a služeb poskytovaných ÚMČ, a také v kontextu prostředků pro zpracování informací. Aktivem nejsou jen informace a prostředky pro jejich zpracování, ale i jiné nemateriální hodnoty jako je dobré jméno MČ Praha-Zbraslav nebo ÚMČ. Aktivem je cokoli, co má pro MČ Praha-Zbraslav nebo ÚMČ nezanedbatelnou hodnotu. Obrázek 6: Struktura aktiv Informace, prostředky pro jejich zpracování, služby a vše ostatní, co je nezbytné pro fungování informačních systémů MČ Praha-Zbraslav, a poskytování služeb ÚMČ, jsou aktiva MČ Praha- Zbraslav, která je nutné přiměřeným způsobem chránit, aby nedošlo k narušení stanovené úrovně jejich dostupnosti, důvěrnosti a integrity v důsledku působení hrozeb. Protože informace jsou nehmotné, musí být uloženy na nosiči nebo zpracovávány zařízením, jsou do bezpečnosti informací zahrnuty i tyto prostředky (aktiva). Míru jejich ochrany však určují informace, které jsou na nich uloženy nebo jsou jimi zpracovávány Rizika Riziko je numerické vyjádření toho, že hrozba s danou pravděpodobností využije zranitelnost aktiva a způsobí tak škodu. KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 12/28

13 Obrázek 7: Riziko 2.4. Řízení rizik Řízení rizik zahrnuje odpovědnost, postupy a metody odhadu rizik a jejich zvládání. Za řízení rizik odpovídá. Odhad a hodnocení rizik je výsledkem analýzy rizik, ve které se identifikují hrozby, stanovují se pravděpodobnosti jejich výskytu, hledají se zranitelnosti aktiv a identifikují možné scénáře dopadu hrozby na aktiva. Scénáře se následně hodnotí podle předem stanovených kritérií. Konkrétní metoda odhadu rizik a jejich hodnocení musí být uvedena v Metodice analýzy rizik. Zvládání rizik je prováděno opatřeními, která zajistí, že se MČ Praha-Zbraslav (ÚMČ) riziku vyhne nebo je přenese na jiný subjekt nebo rizika sníží na vedením MČ Praha-Zbraslav akceptovatelnou úroveň. Obrázek 8: Řízení rizik KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 13/28

14 3. Dlouhodobé cíle v oblasti řízení kvality informací Plnění všech požadavků kvality musí být dokumentováno, tj. musí existovat záznamy Dlouhodobé cíle kvality informací Tabulka 3: Cíle a požadavky na kvalitu informací Důvěryhodnost a dostupnost informací v IS Data, poskytovaná IS musí být důvěryhodná (přesná, úplná, aktuální a hodnověrná, tj. pravdivá) a dostupná v požadovaném čase na požadovaném místě oprávněným uživatelům. Cíl kvality Požadavek kvality Odpovídá Termín Zadávané údaje musí být pravdivé, úplné, aktuální a konzistentní. Do IS zadávat pouze informace přesné, úplné, aktuální a hodnověrné, tj. pravdivé na základě jejich ověření. Uživatel pořizovatel informací Při zadávání informací Bezprostředně po pořízení informací provádět kontrolu jejich správného uložení. V případě zjištění nedostatku, musí být informace neprodleně opraveny nebo vyloučeny ze zpracování. Uživatel pořizovatel informací Po uložení informací do IS Při zjištění neúplnosti, nepřesnosti, neaktuálnosti nebo jakékoli jiné vady informací, tyto označit jako neplatné a oznámit stav přímému nadřízenému a Garantovi IS. Uživatel informací Při každém úkonu s informacemi Provádět namátkové kontroly úplnosti, aktuálnosti a konzistentnosti informací a v případě zjištění nedostatku informace vyloučit ze zpracování a přijmout adekvátní opatření k nápravě. Garant IS 1 za ¼ roku Uchovávat záznamy o pořízení a mazání informací, které identifikují uživatele, který informace pořídil nebo smazal. Při každém úkonu s informacemi Provádět pravidelná školení uživatelů, jejichž cílem je zvyšovat povědomí o potřebě zajišťovat kvalitu informací a služeb IS. 1 ročně Informace IS musí být dostupné v požadovaném čase a místě. Provádět aktualizaci informací o uživatelích IS (změna organizační struktury, změny na pracovních místech, volby, ) a při každé změně iniciovat změnu nastavení IS tak, aby informace a služby byly dostupné oprávněným uživatelům. Vedoucí organizačního útvaru Při každé změně Zjištěné incidenty v kvalitě informací musí být řízeny. Každý zjištěný (nahlášený) incident (nedodržení požadavku na kvalitu informací a služeb IS) musí být zaznamenán a musí být přijata dokumentovaná nápravná a preventivní opatření. Při každém zjištění incidentu KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 14/28

15 Soulad předpisy s právními Informace v IS jsou vedeny v souladu s právními předpisy a dalšími obecně závaznými předpisy. Cíl kvality Požadavek kvality Odpovídá Termín Zajistit plnění požadavků zákona č. 101/2000 Sb., o ochraně osobních údajů (dále i OÚ ) a Nařízení evropského parlamentu a rady (EU) 2016/679 Provést identifikaci informací (vytvořit seznam), které podléhají ochraně podle zákona č. 101/2000 Sb., o ochraně osobních údajů. Prověřit plnění, navrhnout a realizovat opatření k plnění požadavků zákona zapracovat odpovědnosti a povinnosti jednotlivých osob, přicházejících do styku s osobními údaji při jejich pořizování a zpracovávání a další organizační a jiná opatření k ochraně osobních údajů do vnitřních předpisů (např. Organizační řád). Do smluv s poskytovateli služeb (outsourcingem provozování IS) zahrnout požadavky na ochranu osobních údajů. Garant IS Garant IS 1 ročně 1 ročně Analyzovat dopady případných změn zákona a přijmout potřebná opatření ve vztahu k IS. Garant IS Při každé změně zákona Identifikovat požadavky GDPR, které se týkají MČ, analyzovat míru jejich současného plnění a stanovit opatření k jejich naplnění a odpovědnosti a postupy zavedení opatření. Tajemnice Do Provádět školení garantů a uživatelů IS k zavedeným postupům plnění požadavků GDPR a ostatních právních předpisů. Tajemnice 1 ročně Provádět kontroly plnění požadavků GDPR DPO Průběžně Poskytovat poradenství při posuzování vlivu činnosti ÚMČ na ochranu osobních údajů. DPO Na požádání Poskytovat informace a poradenství správcům, zpracovatelům a zaměstnancům o jejich povinnostech. DPO Průběžně Zajistit plnění požadavků vyhlášky č. 64/2008 Sb., o formě uveřejňování informací souvisejících s výkonem veřejné správy prostřednictvím webových stránek pro osoby se zdravotním postižením Provedení revize (kontroly) dodržování požadavků zákona v rámci IS a v případě nedostatků přijmout opatření k nápravě. Analyzovat dopady případných změn zákona a přijmout potřebná opatření ve vztahu k IS. Garant IS Garant IS 1x ročně Při každé změně zákona KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 15/28

16 3.2. Dlouhodobé cíle kvality technologických a programových prostředků Tabulka 4: Cíle a požadavky na prostředky informačních systémů (veřejné správy) Funkčnost IS IS by měl poskytovat funkce, které uspokojují stanovené a předpokládané potřeby uživatelů. Cíl kvality Požadavek kvality Odpovídá Termín IS má očekávanou funkčnost. Při změně právního předpisu provést analýzu dopadů této změny na požadovanou funkčnost (postupy zpracování dat) a v případě potřeby vyvolat změnové řízení u, pokud to neučiní sám. Garant IS Při změně souvisejícího právního předpisu Při pořizování nebo změnách IS požadovat přítomnost kontrolních mechanismů kvality zadávaných dat a jejich zpracování. Garant IS Při pořízení nebo změně IS IS má očekávanou výkonovou rezervu pro reálné zatížení. Analyzovat reálné zatížení a v případě nevyhovující odezvy nebo jiného nedostatku ve výkonu iniciovat u opatření k nápravě. Průběžně IS je provozně stálý Sledovat četnost a parametry incidentů při poskytování služeb IS v důsledku nefunkčnosti prostředků pro zpracování dat. Analyzovat příslušné záznamy a přijímat opatření k zajištění provozní stálosti informačního. Průběžně 3.3. Dlouhodobé cíle kvality služeb Tabulka 5: Cíle a požadavky na kvalitu služeb Služby IS Služby IS by měly být dostupné za předem určených podmínek (rozsah, místo a čas) a musí být o tom uzavřeny dohody o poskytování služeb SLA Cíl kvality Požadavek kvality Odpovídá Termín Specifikovat požadovanou úroveň poskytovaných služeb IS (SLA), zejména z pohledu jejich kvality. Garant IS Revize 1x za rok nebo při změně IS Kvalita služeb IS Zajistit definovanou úroveň poskytovaných služeb (SLA). Nepřetržitě Každý incident (nedodržení stanovených požadavků na úroveň poskytovaných služeb) a přijatá opatření musí být dokumentovány. Každé nedodržení požadavku KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 16/28

17 4. Dlouhodobé cíle bezpečnosti informací Dlouhodobé cíle a požadavky na bezpečnost informací podléhají pravidelnému přezkoumávání, minimálně jednou ročně, v rámci hodnocení plnění Informační koncepce. Přezkoumání provádí. Požadavky na bezpečnost informací jsou plněny především organizačními opatřeními, (odpovědnosti, pravidla, postupy). Opatření budou zahrnuta do stávajících vnitřních předpisů ÚMČ. Záznamy o plnění opatření týkajících se zaměstnanců jsou vždy ukládány do osobní složky zaměstnance. Tabulka 6: Cíle a požadavky na bezpečnost informací Cíl bezpečnosti Požadavek bezpečnosti informací informací Přidělit odpovědnost za aktiva Klasifikovat informace Seznámit zaměstnance, smluvní a třetí strany se svými povinnostmi Zajistit, aby ukončení nebo změna pracovního vztahu zaměstnanců, smluvních a třetích stran proběhla řízeným způsobem Nastavit a udržovat přiměřenou ochranu aktiv IS: 1. vytvořit seznam aktiv IS (informace, technika, služby atd.) 2. určit Vlastníky (Garanty IS) aktiv 3. aktiva ohodnotit (stanovit jejich důležitost) 4. odhadnout míru rizik, která na ně mohou mít dopad a 5. přijmout odpovídající opatření ke zvládání rizik. Informace musí být klasifikovány, a to s ohledem na jejich důležitost, právní požadavky, citlivost, kritičnost. Každý dokument by měl obsahovat informaci o klasifikaci informací v něm obsažených. Minimálně by dokumenty měly být klasifikovány jako: 1. veřejné (poskytují se mimo ÚMČ), 2. provozní (slouží pouze pro vnitřní potřebu MČ), 3. vázané (přístup je dán právními předpisy, např. osobní údaje), 4. zvláštní (podléhají zákonu o krizovém řízení) a 5. neklasifikované. Budou stanovena pravidla pro nakládání s jednotlivými aktivy v závislosti na jejich klasifikaci. Pravidla budou zapracována do příslušného řídícího dokumentu ÚMČ. Před započetím práce s IS musí být uživatelé IS, smluvní a třetí strany dokumentovaným způsobem seznámeni se svými právy a povinnostmi ve vztahu k bezpečnosti informací. Provádět pravidelná školení zaměstnanců v oblasti bezpečnosti informací, jejichž cílem je zvyšovat povědomí zaměstnanců a volených orgánů o důležitosti dodržování nastavených opatření bezpečnosti informací. Při ukončení pracovního vztahu, smluvního nebo jiného vztahu (skončení mandátu) k MČ musí být uživatelům, smluvním, voleným orgánům a třetím stranám odejmuta nebo pozměněna přístupová práva k informacím a prostředkům pro jejich zpracování. To platí i při změnách pracovního zařazení nebo změnách smluvního vztahu. Odpovídá Garant IS (Vlastník aktiva) Tajemnice Tajemnice Předcházet neautorizovanému fyzickému přístupu k IS Musí být navrženo a aplikováno fyzické zabezpečení kanceláří, místností a jiných prostor, ve kterých jsou prostředky IS provozovány, tj. musí být vytvořeny zabezpečené oblasti, kam je řízen přístup. Přístup do zabezpečených oblastí smí být povolen pouze oprávněným osobám. KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 17/28

18 Cíl bezpečnosti Požadavek bezpečnosti informací informací Prostředky IS musí být umístěny a chráněny tak, aby se snížila rizika hrozeb prostředí (např. voda a teplo), a aby se omezily příležitosti pro neoprávněný přístup k informacím a prostředkům IS (odezírání, krádež, poškození atd.). Odpovídá Předcházet ztrátě, poškození, krádeži nebo kompromitaci aktiv a přerušení činností Prostředky IS musí být správně provozovány a udržovány. (profylaktické prohlídky, opravy, revize, údržba atd.) Musí být stanovena pravidla pro používání přenosných prostředků pro zpracování informací (notebooky, tablety, chytré telefony apod.). Zařízení, kterému končí plánovaná životnost nebo vykazuje časté závady, musí být včas nahrazeno novým. (Obměna musí být řízena jako změna) Prostředky IS musí být chráněny před selháním napájení a selháním podpůrných služeb. Zajistit správný a bezpečný provoz prostředků pro zpracování informací Provozní postupy musí být dokumentovány (uživatelské příručky, návody na provoz a údržbu atd.) a aktualizovány a musí být dostupné všem oprávněným uživatelům. Pro snížení příležitostí k neoprávněné modifikaci nebo zneužití aktiv IS (informace, prostředky IS atd.) musí být odděleny jednotlivé povinnosti a odpovědnosti. Minimálně bude oddělena role privilegovaného () a běžného uživatele. Každý uživatel bude přistupovat k IS výhradně pod svým účtem. Změny IS a jeho prostředků musí být řízeny. Změny musí být plánovány s možností návratu do původního stavu v případě neúspěchu změny. Garant IS Monitorovat poskytované služby třetími stranami a přezkoumávat je Služby a zprávy nebo jiné dokumenty poskytované třetí stranou (hostované služby, výkazy, předávací protokoly atd.) musí být pravidelně monitorovány (kontrolovány), přezkoumávány (ověřovány), zda odpovídají potřebám MČ Praha-Zbraslav). Provozovat opatření na ochranu proti škodlivým programům Implementovat moderní a účinnou ochranu prostředků IS proti škodlivým programům a pravidelně ji aktualizovat. Řídit používání výměnných médií v IS, tj. stanovit povinnosti uživatelů při používání výměnných médií (CD, DVD, USB zařízení atd.) Zálohovat data Ochránit informace při jejich přenosu datovou sítí Nastavit a prověřovat systém zálohování informací IS (četnost, způsob, odpovědnosti, postupy, místa ukládání záloh, metody ověřování funkčnosti záloh atd.) a v souladu s tímto systémem provádět zálohy dat. Systém zálohování dat musí zajistit plnění SLA. Stanovit opatření pro zajištění bezpečnosti přenosu informací, požadavky na rozsah a parametry síťových služeb a stanovit odpovědnosti a postupy monitorování a kontroly síťových služeb s ohledem na požadovanou dostupnost informací a služeb IS. KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 18/28

19 Cíl bezpečnosti Požadavek bezpečnosti informací informací Řídit poskytování informací Stanovit zásady, odpovědnosti a postupy poskytování informací jiným organizačním útvarům ÚMČ nebo externím subjektům v souladu s platnými právními předpisy a v souladu se smluvními vztahy. (zejména zákon č. 101/2000 Sb., o ochraně osobních údajů a zákona č 106/1999 Sb., o svobodném přístupu k informacím) Odpovídá Detekovat neoprávněné zpracování informací nebo použití prostředků IS Vytvářet záznamy o použití prostředků IS a manipulaci s informacemi IS. Vyhodnocovat záznamy o použití prostředků IS a manipulaci s informacemi a přijímat opatření k nápravě. Všichni oprávnění uživatelé formálně registrováni k autorizovanému přístupu k IS a jeho prostředkům. Každý uživatel musí mít svůj účet. Řídit přístup k informacím a prostředkům IS Prostředky umístěné mimo zabezpečené oblasti musí být vždy autorizovány pro přístup k jiným prostředkům IS. Přidělování privilegovaných oprávnění (například administrátorský účet) bude řízeno a omezeno na minimální úroveň. Definovat odpovědnost uživatelů Bude prováděno pravidelné přezkoumávání přístupových práv a aktualizace přístupových práv k IS. Při výběru a používání hesel bude po uživatelích požadováno, aby dodržovali stanovená pravidla. Bude vynucováno, aby uživatelé dodržovali zásadu prázdného stolu a prázdné obrazovky. Přímí nadřízení Zajistit sledovatelnost IS Zajistit kryptografickou ochranu Řídit vzniklé bezpečnostní incidenty Řídit kontinuitu činností agendy podporované IS Při přístupu k informacím, jejich vkládání, změně nebo mazání musí probíhat sledování, kdo a kdy k datům přistupoval a kdo a kdy je vložil, změnil nebo smazal. V případě používání kryptografických prostředků je vytvořena politika, která definuje odpovědnosti, oblasti a postupy jejich použití. události budou bez zbytečného prodlení hlášeny, zaznamenány a neprodleně řešeny. Budou stanoveny odpovědnosti a postupy za hlášení a řešení bezpečnostních incidentů. Budou vytvořeny 1. plány obnovy funkčnosti IS po mimořádné události a 2. plány pro zajištění minimálního rozsahu poskytovaných služeb IS. KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 19/28

20 5. Činnosti v oblasti řízení bezpečnosti informací V oblasti řízení bezpečnosti informací budou prováděny následující činnosti: Tabulka 7: Činnosti v oblasti bezpečnosti informací Oblast řízení bezpečnosti informací Činnost Odpovídá Stanovení odpovědností Jmenování ho. starosta MČ Stanovení cílů bezpečnosti informací Stanovení požadavků na bezpečnost Implementace požadavků na bezpečnost Kontroly dodržování implementovaných opatření Vyhodnocení řízení bezpečnosti Stanovit cíle bezpečnosti, určit odpovědné osoby a stanovit termíny jejich naplnění. Výchozí cíle jsou stanoveny touto Informační koncepce v následující tabulce Jednou ročně přezkoumávat stanovené cíle a z nich vyplývající požadavky (v rámci vyhodnocení plnění této Informační koncepce). Stanovit požadavky, jejichž postupným splněním bude naplněn příslušný cíl. Požadavky jsou stanoveny touto Informační koncepce a Politikou bezpečnosti informací. Provést analýzu rizik podle schválené Metodiky analýzy rizik a na základě jejích výsledků stanovit konkrétní opatření, kterými budou realizovány stanovené požadavky na bezpečnost informací. Schválit opatření a vyčlenit potřebné finanční zdroje. Vyčlenit další potřebné zdroje (kapacity pracovníků, technické prostředky). Zavést navržená a schválená opatření ke zvládání rizik. Provádět systematické kontroly dodržování implementovaných opatření ke zvládání rizik. Přijímat nápravná opatření k zajištění dodržování implementovaných opatření bezpečnosti informací. Vytvářet záznamy o provedených kontrolách, jejich výsledcích a přijatých nápravných opatření. Vyhodnocovat provádění kontrol dodržování opatření ke zvládání rizik. Zaznamenávat, vyhodnocovat a hlásit vzniklé bezpečnostní incidenty. Vyhodnocovat účinnost implementovaných opatření a úrovně plnění stanovených cílů bezpečnosti informací. Navrhovat a realizovat změny cílů, požadavků a opatření k zajištění požadované úrovně bezpečnosti informací. Vedení MČ Praha-Zbraslav Tajemnice Tajemnice KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 20/28

21 IV. Zásady pořizování, provozování a rušení IS Každý informační systém musí být řízen v každé fázi svého životního cyklu. Životní cyklus informačního (veřejné správy), jak je znázorněn na obrázku, byl pro účely tohoto dokumentu rozdělen do tří etap: 1. Pořizování informačního, a) Vypracování záměru na pořízení (vytvoření), b) Pořizování, c) Zásady přejímky a zahájení provozu, 2. Provozování informačního, a) Provoz a údržba, b) Změny, 3. Ukončení používání informačního. Obrázek 9: Životní cyklus informačního 1. Pořizování IS zásady Vedení MČ Praha-Zbraslav rozhodlo, že pořizování (vytváření) nového informačního bude řešit výhradně formou jeho pořízení od externího dodavatele a přitom bude: 1. Vyžadovat integraci nového informačního se stávajícím, 2. vyžadovat jednotné ovládání a uživatelské prostředí, 3. vyžadovat zajištění požadavků na kvalitu a bezpečnost informací stanovené m m, které bude v souladu s touto Informační koncepcí a Politikou bezpečnosti informací Vypracování záměru na pořízení IS Cíl Požadavek Odpovídá Termín Zajistit účelnost a výhodnost pořízení nového IS nebo změny stávajícího IS Zhodnotit potřebnost, účelnost, náročnost a dopady pořízení nového IS nebo změny stávajícího. Tajemnice Před uzavřením smluvního vztahu na dodávku IS Před zahájením budování informačního musí být vypracován záměr pořízení. Ten bude mít minimálně následující obsah: 1. Zdůvodnění potřeby, 2. analýza v oblasti financování: a) očekávaná finanční náročnost na jeho pořízení a provoz, b) analýza zdrojů pro jeho vybudování (pořízení nebo vytvoření), c) analýza časové dostupnosti zdrojů apod., 3. popis výchozího stavu včetně zvážení možností využití již provozovaných informačních systémů, KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 21/28

22 4. stanovení požadovaného cílového stavu vyplývá z definice potřeby a analýzy výchozího stavu, 5. stanovení požadavků na kvalitu vyplývají z dlouhodobých cílů řízení kvality, 6. stanovení požadavků na bezpečnost vyplývají z dlouhodobých cílů řízení bezpečnosti a politiky bezpečnosti informací, 7. analýza důsledků, které nový informační systém může vyvolat: a) dopady na procesy a činnost ÚMČ, b) nutná organizační opatření, c) personální dopady apod Pořízení IS Cíl Požadavek Odpovídá Termín Pořizovat IS v souladu s požadavky MČ (ÚMČ) a právních předpisů Smluvní činností zajistit, že pořizovaný IS bude odpovídat potřebám ÚMČ a požadavkům právních předpisů. Tajemnice Před uzavřením smluvního vztahu na dodávku IS Informačního systém je pořizován na základě uzavřené smlouvy s dodavatelem informačního, jejíž součástí musí být minimálně ujednání: 1. o požadavcích ÚMČ (např. požadavky na funkcionalitu, postupy zpracování informací, kontrolní mechanizmy, topologii, rozhraní na jiné systémy a podobně), 2. o požadavcích na dokumentaci (provozní dokumentace informačního veřejné správy podle vyhlášky č. 529/2006 Sb., o požadavcích na strukturu a obsah Informační koncepce a provozní dokumentace a o požadavcích na řízení bezpečnosti a kvality informačních systémů veřejné správy), 3. o obsahu a organizaci poskytované součinnosti pracovníků ÚMČ a třetích stran, 4. o požadavcích na projektové řízení, 5. o požadavcích na kvalitu a bezpečnost informací, vyplývajících z dlouhodobých cílů řízení kvality a dlouhodobých cílů řízení bezpečnosti informací definovaných touto Informační koncepce a vyplývajících z Politiky bezpečnosti informací, 6. o požadavcích na testování a zkušební provoz, 7. o podmínkách akceptace Přejímka a zahájení provozu IS Cíl Požadavek Odpovídá Termín Zajistit, že přebíraný informační systém plní všechny stanovené požadavky Ověřit, splnění požadavků na kvalitu zpracování informací a jejich bezpečnost v průběhu zpracování. Garant IS Při přejímce nového IS nebo jeho změně ÚMČ kontroluje postup vývoje a implementace informačního takovým způsobem a v takových fázích jeho vývoje, aby bylo ověřeno, že jsou plněny požadavky na kvalitu zpracování informací a jejich bezpečnost v průběhu zpracování. Informační systém je vždy testován v testovacím prostředí, které co nejvíce odpovídá produkčnímu prostředí. Během testování musí být ověřeno: 1. dodržení požadavků na kvalitu služeb, poskytovaných, 2. dodržení požadavků na kvalitu informací během jejich zpracování, 3. dodržení všech požadavků na bezpečnost informací, 4. dodržení všech požadavků na dohledatelnost (funkce monitorování a vytváření záznamů). Testování je prováděno na souboru testovacích dat, který prověří všechny funkce. Pro testování nesmí být použita data z produkčního prostředí obsahující osobní údaje. O testování jsou vytvářeny testovací protokoly. Před spuštěním skutečného provozu IS musí proběhnout zkušební provoz v produkčním prostředí, o jehož výsledku jsou zpracovány akceptační protokoly. Během zkušebního provozu musí být KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 22/28

23 zajištěna požadovaná funkčnost agendy, která informační systém využívá, a musí existovat možnost okamžitého návratu do původního stavu. 2. Provozování IS zásady 2.1. Pořizování a zpracování informací IS Cíl Požadavek Odpovídá Termín Zajistit, že jsou informace zpracovávány a služby poskytovány v souladu s právními předpisy Informace poskytované IS musí být důvěryhodné (přesné, úplné, aktuální a hodnověrné, tj. pravdivé) a dostupné v požadovaném čase na požadovaném místě oprávněným uživatelům. Garant IS Při každém pořizování a zpracování informací Za pořízení a zpracování informací v souladu s provozní dokumentací IS odpovídá Uživatel. Garant IS odpovídá za plnění požadavků právních předpisů na zpracování informací. Stanovuje postupy pořizování, ukládání a zpracování informací, a stanovuje požadavky na kvalitu a bezpečnost informací. Požadavky jsou specifikovány v dohodách o úrovni poskytovaných služeb (SLA), které Garant IS projedná se m Zajištění provozu IS Personální zajištění Cíl Požadavek Odpovídá Termín Zajistit správu IS v souladu s požadavky právních předpisů Ustanovit role Garantů IS, a ho, definovat jejich odpovědnosti a pravomoci. Tajemnice Informační systém veřejné správy musí být provozován v souladu s požadavky platných právních předpisů platných pro danou agendu, a v souladu s požadavky zákona č. 365/2000 Sb., o informačních systémech veřejné správy, a vyhlášky č. 529/2006 Sb., o požadavcích na strukturu a obsah Informační koncepce a provozní dokumentace a o požadavcích na řízení bezpečnosti a kvality informačních systémů veřejné správy. Pro zajištění provozu musí být ustanoveny minimálně tyto role: 1., který zajišťuje provoz informačního a 2., který zajišťuje plnění cílů a požadavků bezpečnosti informací informačního. Nejdůležitější role ve vztahu k dlouhodobému řízení informačního jsou v následující tabulce. Role Tabulka 8: Nejdůležitější role pro provozování informačního (veřejné správy) Charakteristika informačního veřejné správy ( IS) ( 2 zákona č. 365/2000 Sb., o informačních systémech veřejné správy) m informačního veřejné správy je subjekt, který podle zákona určuje účel a prostředky zpracování informací a za informační systém odpovídá. m je MČ, která svou povinnost plní prostřednictvím Garantů IS. KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 23/28

24 Role Provozovatel informačního veřejné správy (Provozovatel IS) ( 2 zákona č. 365/2000 Sb., o informačních systémech veřejné správy) Charakteristika Provozovatelem informačního veřejné správy je subjekt, který provádí alespoň některé informační činnosti související s informačním systémem. Provozováním informačního (veřejné správy) může pověřit jiné subjekty, pokud to jiný zákon nevylučuje. ( 12 vyhlášky č. 529/2006 Sb., o požadavcích na strukturu a obsah Informační koncepce a provozní dokumentace a o požadavcích na řízení bezpečnosti a kvality informačních systémů veřejné správy) ( 12 vyhlášky č. 529/2006 Sb., o požadavcích na strukturu a obsah Informační koncepce a provozní dokumentace a o požadavcích na řízení bezpečnosti a kvality informačních systémů veřejné správy) je zaměstnanec nebo jiná fyzická osoba, která zajišťuje řízení provozu informačního (veřejné správy). je zaměstnanec nebo jiná fyzická osoba, která zajišťuje kontrolu bezpečnosti informačního (veřejné správy). osobních údajů ( 4 zákona 101/2000 Sb., o ochraně osobních údajů) m osobních údajů je každý subjekt, který určuje účel a prostředky pro zpracování osobních údajů, provádí zpracování a odpovídá za něj. Garant IS (ISO/IEC 27001) Garant IS (vlastník informačního aktiva) je role, která za aktivum odpovídá, klasifikuje a ohodnocuje ho a určuje přípustný způsob jeho použití. Je jmenován m IS. Obrázek 10: Role v rámci řízení informačního veřejné správy KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 24/28

25 Vytváření a údržba provozní dokumentace IS Cíl Požadavek Odpovídá Termín Zajistit soulad provozní dokumentace s požadavky právních norem a skutečným stavem IS Provedení revize provozní dokumentace a v případě potřeby návrh a realizace opatření k odstranění zjištěných nedostatků, zejména ve vztahu k úplnosti a aktuálnosti provozní dokumentace každého IS musí zajistit vytvoření, používání a revize provozní dokumentace IS. 1 x ročně Požadovanou provozní dokumentaci tvoří: 1. bezpečnostní dokumentace informačního : a) politika bezpečnosti informací, b) bezpečnostní směrnice pro činnost bezpečnostního, 2. systémová příručka: a) popis funkcí, včetně bezpečnostních, které používá, b) parametry kvality, které vycházejí z požadavků na kvalitu stanovených touto Informační koncepce, c) podrobný popis informačního, d) popis jednotlivých činností vykonávaných jednotlivými rolemi při správě informačního veřejné správy, e) definování uživatelů nebo skupin uživatelů a jejich oprávnění a povinnosti při využívání informačního veřejné správy. 3. uživatelská příručka: a) popis funkcí, včetně bezpečnostních, které uživatel používá pro svou činnost a návod na použití těchto funkcí, b) vymezení oprávnění a povinností uživatelů ve vztahu k informačnímu veřejné správy. Obrázek 11: Provozní dokumentace informačního veřejné správy Provozní dokumentace nově pořizovaného informačního musí být vždy součástí dodávky IS Změny IS Za změnu IS je považována instalace nové verze aplikací (změna postupů zpracování informací), kterou schvaluje Garant IS a IS (Tajemnice), změna prostředků (například servery nebo datové uložiště), změna konfigurace služeb (například síťové služby, topologie nebo propojení IS) a ukončení provozování IS Plánování změn IS Cíl Požadavek Odpovídá Termín Zajistit řízené provádění změn IS Plánovat a řídit rozvoj IS, plánovat finanční prostředky a jiné zdroje. Při požadavku na rozvoj IS KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 25/28

26 Před schválením změny (rozvoje) informačního musí být zpracován záměr rozvoje (změny) informačního, který obsahuje: 1. důvody změny (rozvoje) informačního, 2. finanční náročnost (náklady), 3. potřebu jiných zdrojů, 4. popis výchozího stavu, 5. popis cílového stavu, 6. popis rizik, která změna informačního může vyvolat a postupy jejich minimalizace, 7. harmonogram změny informačního, 8. odpovědnosti. Záměr je předkládán vedení MČ Praha-Zbraslav, které rozhoduje o jeho uskutečnění nebo zamítnutí. Schválené záměry jsou realizovány s využitím postupů řízení změn podle podkapitoly Provedení změny Provedení změny Cíl Požadavek Odpovídá Termín Zajistit plnění funkcí IS i při provádění jeho změn Plánovat a řídit změny IS tak, aby byla zachována kontinuita činnosti agendy podporované IS Při každé změně IS Pánování provedení změny zahrnuje především: 1. Popis změny, 2. plán provedení a testování změny, který obsahuje odpovědnosti, podmínky a postupy minimálně pro: a) provedení změn v provozní dokumentaci, b) zálohování dat, c) migraci dat, d) testování, e) akceptaci změny, 3. zhodnocení potenciálních dopadů změny, 4. odpovědnosti, pravomoci a postupy schválení, zahájení a přerušení provádění změny a obnovení původního stavu v případě neúspěchu změny, 5. seznámení všech osob, kterých se změna týká, 6. provedení změny, 7. vyhodnocení změny. 3. Zásady ukončení používání IS Cíl Požadavek Odpovídá Termín Zajistit řízené provádění změn v IS Plánovat a řídit ukončení činnosti IS a zajistit ochranu aktiv MČ Praha-Zbraslav (např. osobních údajů) Při ukončení činnosti IS Před ukončením používání informačního bude zpracován plán ukončení jeho používání, který bude obsahovat minimálně: 1. Způsob naložení s daty (převod, archivace, skartace ), 2. způsob naložení s osobními údaji, 3. jak bude naloženo s prostředky informačního, 4. časový harmonogram, 5. odpovědnosti a postupy zajištění kontinuity poskytovaných služeb. Ukončení používání IS je vždy řízeno jako změna. KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 26/28

27 4. Způsob financování pořízení, změn a IS Financování pořízení a rozvoje IS, naplnění dlouhodobých cílů kvality a bezpečnosti informací a provozování informačního je prováděno v souladu s rozpočtovými pravidly MČ Praha- Zbraslav z jejího rozpočtu. Cíl Požadavek Odpovídá Termín Zajistit financování provozu a rozvoje IS Vytvoření Plánu financování IS v souladu se schválenou Informační koncepcí, Politikou bezpečnosti informací, platnými smlouvami a potřebami provozování a změn IS. Plán bude zahrnovat investiční a provozní náklady na realizaci všech přijatých opatření v oblasti kvality a bezpečnosti informací. Schválení Plánu financování IS, stejně jako jeho případné změny. Tajemnice Zastupitelstvo MČ Praha- Zbraslav Termín tvorby rozpočtu MČ Praha-Zbraslav nebo jeho zněn (Rozpočtová opatření) 5. Odpovědnosti za plnění zákonných povinností ve vztahu k IS Za plnění zákonných povinností ve vztahu k IS, zejména povinností vyplývajících ze zákona č. 365/2000 Sb., o informačních systémech veřejné správy, ze zákona č. 101/2000 Sb., o ochraně osobních údajů, ze zákona č. 106/1999 Sb., o svobodném přístupu k informacím a z vyhlášky č. 442/2006 Sb., kterou se stanoví struktura informací zveřejňovaných o povinném subjektu způsobem umožňujícím dálkový přístup, z vyhlášky č. 64/2008 Sb., o formě uveřejňování informací souvisejících s výkonem veřejné správy prostřednictvím webových stránek pro osoby se zdravotním postižením, odpovídá starostka MČ Praha - Zbraslav. KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 27/28