Informační koncepce. podle zákona č. 365/2000 Sb. Krajský úřad Plzeňského kraje. Verze 1.2 (platná od 01/2011)

Transkript

1 Informační koncepce podle zákona č. 365/2000 Sb. Krajský úřad Plzeňského kraje Verze 1.2 (platná od 01/2011) Zpracoval CORTIS Consulting s.r.o. Ing. Tomáš Kuba Ing. Tomáš Hrabík Schválil Ing. Václav Koudele Datum vydání: (verze 1.01)

2 Terminologie Termín (zkratka) Informační koncepce (IK) Informační systém (IS) Informační systém o datových prvcích (IS o DP) Informační systém o informačních systémech veřejné správy (IS o ISVS) Informační systém veřejné správy (ISVS) Provozní IS (PIS) Provozní dokumentace (PD) Definice Dokument, ve kterém orgány veřejné správy stanoví své dlouhodobé cíle v oblasti řízení kvality a bezpečnosti spravovaných ISVS a vymezí obecné principy pořizování, vytváření a provozování ISVS viz 5a odst. 1 zákona o ISVS. Informačním systémem se rozumí funkční celek nebo jeho část zabezpečující cílevědomou a systematickou informační činnost. Každý informační systém zahrnuje data, která jsou uspořádána tak, aby bylo možné jejich zpracování a zpřístupnění, a dále nástroje umožňující výkon informačních činností viz 2 písm. b) zákona o ISVS. Aplikace Informační systém o datových prvcích poskytuje oficiální informace o datových prvcích informačních systémů veřejné správy, slouží k vyhlašování datových prvků a zveřejňování číselníků. Datové prvky vyhlášené v Informačním systému o datových prvcích jsou pro orgány veřejné správy a vazby jejich informačních systémů závazné. Aplikace Informační systém o informačních systémech slouží ke sběru a poskytování informací o informačních systémech veřejné správy (ISVS). Jedná se o základní informace o ISVS a informace o dostupnosti ISVS. Informační systémy veřejné správy jsou souborem informačních systémů, které slouží pro výkon veřejné správy. Jsou jimi i informační systémy zajišťující činnosti podle zvláštních zákonů viz 3 odst. 1 zákona o ISVS. Provozním informačním systémem se rozumí informační systém zajišťující informační činnosti nutné pro vnitřní provoz příslušného orgánu VS, například účetnictví, správu majetku, a nesouvisející bezprostředně s výkonem veřejné správy viz 2 písm. u) zákona o ISVS. Dokumentace informačního systému veřejné správy, která popisuje funkční a technické vlastnosti informačního systému viz 2 písm. x) zákona o ISVS. 2/46

3 Obsah TERMINOLOGIE...2 OBSAH IDENTIFIKACE INFORMAČNÍ KONCEPCE Základní údaje informační koncepce Verze informační koncepce Verze aktuální verze informační koncepce Verze aktuální verze informační koncepce Verze aktuální verze informační koncepce KONTEXT INFORMAČNÍ KONCEPCE INFORMAČNÍ SYSTÉMY VE SPRÁVĚ KRAJSKÉHO ÚŘADU PLZEŇSKÉHO KRAJE ZÁMĚRY NA POŘÍZENÍ NEBO VYTVOŘENÍ NOVÝCH ISVS ŘÍZENÍ KVALITY ISVS Dlouhodobé cíle v oblasti řízení kvality ISVS Kvalita zpracovávaných dat Kvalita zajišťovaných služeb Kvalita technických a programových prostředků Požadavky na kvalitu ISVS Plán řízení kvality ISVS Činnosti v oblasti řízení kvality Časové harmonogramy ŘÍZENÍ BEZPEČNOSTI Dlouhodobé cíle v oblasti řízení bezpečnosti IS Celková bezpečnost IS Bezpečnost zpracovávaných dat /46

4 6.1.3 Bezpečnost poskytovaných služeb Bezpečnost technických a programových prostředků Požadavky na bezpečnost ISVS Plán řízení bezpečnosti ISVS Činnosti v oblasti řízení bezpečnosti Časové harmonogramy ZÁSADY A POSTUPY PRO SPRÁVU ISVS Zásady a postupy pro pořizování a vytváření ISVS Vypracování záměru nového ISVS Pořizování nového ISVS Vytváření nového ISVS prostřednictvím zaměstnanců Zásady a postupy pro provozování ISVS Zajištění provozu a údržby ISVS Řízení změn v ISVS Ukončení činnosti ISVS ZPŮSOB FINANCOVÁNÍ ISVS Financování záměrů na pořízení nebo vytvoření nových ISVS Financování dlouhodobých cílů kvality a bezpečnosti Financování správy ISVS NAPLŇOVÁNÍ INFORMAČNÍ KONCEPCE Postupy při provádění změn Informační koncepce Postup pro zajištění včasné změny Informační koncepce Postup zápisu změny do dokumentu Informační koncepce Postup schvalování změny Informační koncepce Postup přípravy nové Informační koncepce Postupy při vyhodnocování dodržování Informační koncepce Oblasti pro vyhodnocování Informační koncepce Pravidla pro vytváření zápisu z vyhodnocování Informační koncepce /46

5 10 FUNKČNÍ ZAŘAZENÍ OSOBY, KTERÁ ŘÍDÍ PROVÁDĚNÍ ČINNOSTÍ PODLE INFORMAČNÍ KONCEPCE A ZÁKONA O ISVS Odpovědnost za realizaci Informační koncepce Splnění zákonných povinností PŘÍLOHY SEZNAM TABULEK A OBRÁZKŮ /46

6 1 Identifikace informační koncepce 1.1 Základní údaje informační koncepce Název organizace Plzeňský kraj IČ Typ organizace Adresa Doba platnosti kraj - vyšší územně samosprávný celek Škroupova 18, Plzeň 5 let Konec platnosti Aktuální verze 1.2 Tabulka č. 1: Základní údaje o informační koncepci. Role Osoba Datum Podpis Schválil: Ing. Václav Koudele, Plzeňský kraj Tabulka č. 2: Autorizace a schválení informační koncepce. 6/46

7 1.2 Verze informační koncepce V dílčích článcích této kapitoly jsou popsány všechny verze informační koncepce chronologicky od aktuálně platné až po nejstarší - původní verze informační koncepce Verze aktuální verze informační koncepce Označení verze 1.2 Datum vzniku Datum schválení Počátek platnosti Autor verze Norbert Szabó Funkce vedoucí odd. aplikací a databází Ing. Jiří Lohr vedoucí odd. správy serverů a sítě Michal Souček vedoucí odd. geograf. inf. systémů Útvar / organizace Odbor informatiky Verzi schválil Ing. Václav Koudele Funkce vedoucí odboru informatiky KÚPK Útvar / organizace Odbor informatiky, Krajský úřad Plzeňského kraje Název souboru IK KUPK v1.2 ( ) Verze souboru 1.2 Umístění souboru Intranet Počet stran 46 Počet příloh 1 Tabulka č. 3: Údaje o verzi 1.2 informační koncepce Verze aktuální verze informační koncepce Označení verze 1.1 Datum vzniku Datum schválení Počátek platnosti Autor verze Norbert Szabó Funkce vedoucí odd. aplikací a databází Ing. Jiří Lohr vedoucí odd. správy serverů a sítě Michal Souček vedoucí odd. geograf. inf. systémů Útvar / organizace Odbor informatiky, Krajský úřad Plzeňského kraje 7/46

8 Verzi schválil Ing. Václav Koudele Funkce vedoucí odboru informatiky KÚPK Útvar / organizace Odbor informatiky, Krajský úřad Plzeňského kraje Název souboru IK KUPK v1.1 ( ) Verze souboru 1.1 Umístění souboru Intranet Počet stran 46 Počet příloh 1 Tabulka č. 4: Údaje o verzi 1.1 informační koncepce Verze aktuální verze informační koncepce Označení verze 1.0 Datum vzniku Datum schválení Počátek platnosti Autor verze Ing. Tomáš Kuba Funkce Konzultant Ing. Tomáš Hrabík Konzultant Útvar / organizace CORTIS Consulting s.r.o. Verzi schválil Ing. Václav Koudele Funkce vedoucí odboru informatiky KÚPK Útvar / organizace Odbor informatiky, Krajský úřad Plzeňského kraje Název souboru IK KUPK v1.0 ( ) Verze souboru 1.0 Umístění souboru Intranet Počet stran 46 Počet příloh 2 Tabulka č. 5: Údaje o verzi 1.0 informační koncepce. 8/46

9 2 Kontext informační koncepce Informační koncepce Krajského úřadu Plzeňského kraje je dokumentem zaměřeným na dlouhodobé cíle a obecné principy související se správou a rozvojem jednotlivých ISVS. Informační koncepce popisuje: charakteristiky všech spravovaných ISVS a předpokládané změny; záměry na pořízení nebo vytvoření nových ISVS; dlouhodobé cíle v oblasti řízení kvality; dlouhodobé cíle v oblasti řízení bezpečnosti; postupy při vyhodnocování dodržování informační koncepce; postupy při provádění změn informační koncepce; zásady pro správu ISVS s postupy pro jejich naplnění; financování oblasti ISVS; útvar/funkční zařazení zaměstnance odpovědného za naplňování Informační koncepce. Legislativně informační koncepce respektuje především: zákon č. 365/2000 Sb., o informačních systémech veřejné správy (ISVS) a jeho novelu č. 81/2006 Sb.; vyhlášku č. 529/2006 Sb., o dlouhodobém řízení ISVS; vyhlášku č. 530/2006 Sb., o postupech atestačních středisek při posuzování dlouhodobého řízení ISVS. Zásady a postupy, uvedené v této Informační koncepci, jsou závazné pouze pro ISVS ve správě KÚZK a pro provozní IS, které mají vazbu na ISVS. V ostatních případech mají zásady a postupy, uvedené v tomto dokumentu, pouze sílu doporučení a je na rozhodnutí osoby, která za danou oblast Informační koncepce zodpovídá, zda bude v daném konkrétním případě vyžadovat jejich plnění v definovaném rozsahu či nikoli. 9/46

10 3 Informační systémy ve správě Krajského úřadu Plzeňského kraje V této části informační koncepce jsou identifikovány informační systémy veřejné správy (ISVS), provozní informační systémy (PIS) s vazbou na informační systémy veřejné správy a ostatní provozní informační systémy. V této kapitole je uveden pouze výčet jednotlivých IS ve správě krajského úřadu. Uvedené IS jsou v detailu, požadovaném vyhláškou č. 529/2006 Sb., popsány v seznamu aplikací v IS Helpdesk v elektronické podobě. Provozní IS s vazbou na ISVS jsou popsány ve stejné struktuře jako ISVS. Typ IS Název Identifikace IS ISVS ve správě KÚ (není) - Provozní IS s vazbou na ISVS ISVS jiného správce (není) - Birdring 118 Civilka 44 Dálkový přístup ke katastru nemovitostí 176 Dotace 46 Eia 52 epusa 71 EVI 89 Evidence dopravních agend 43 Evidence myslivosti 48 Evidence umisťování 74 Evpe 104 Heletax 4 HN a SS 182 IS DIS 5 IS FKVS.MPP 144 IS rodina 6 IS RŽP 150 Isov 7 Isprofin 8 Katastr nemovitostí 108 KoPla 101 Mapop 58 Monit 119 OK dávky 20 10/46

11 Provozní IS Ovzduší 41 PolTel 70 Prvkuk 148 Pukni 25 Rozpočet-Múzo 17 TaGra 170 UIR-ADR 30 Výkaznictví-Múzo 84 Žádosti o dotace 31 Agendio 72 Archiv Obrazů 152 AthenA 3 AZ Pro 53 Cestovní náhrady, rezervace vozidel 187 Docházka 134 eenterprise 54 Evidence Organizační Struktury 73 Evidence smluvních partnerů 155 Evidence soudních sporů 79 Evidence subjektů 169 HelpDesk 109 ifaktury 2 ipodatelna 132 iusnesení 9 iusnesení web 61 Kalendář akcí 147 KDB 10 Kevis 99 Koral 11 Kros pro Windows 12 METIS 135 Microsoft Dynamics NAV 138 Neopost 18 Objednávky 136 Oferta 19 Operativní evidence IT 47 Památky 77 Platební poukazy 149 Podatelna 40 Portál internet 98 11/46

12 Tabulka č. 6: Přehled informačních systémů Registr budov 93 Registr nemovitostí 39 Rozpočet 51 Single Sign-On 172 Stravovací systém 128 Virtuos 191 Podrobnosti k jednotlivým IS jsou vedeny a aktualizovány online v aplikaci Helpdesk ( 12/46

13 4 Záměry na pořízení nebo vytvoření nových ISVS V této kapitole jsou uvedeny záměry na pořízení, vytvoření nových IS, případně na rozvoj současných IS. Typ IS Rozsah záměru 1 Název Stručný popis Předpokl. realizace Předpokl. Investice Provozní IS Rozsáhlý Provozní IS Rozsáhlý Provozní IS Rozsáhlý Provozní IS Drobný Provozní IS Rozsáhlý Provozní IS Rozsáhlý Provozní IS Rozsáhlý Provozní IS Rozsáhlý Provozní IS Drobný Provozní IS Drobný Provozní IS Rozsáhlý Nový IS Portál kraje Nahradí stávající portál Nový IS Portál cestovního ruchu Nový portál, určený pro podporu cestovního ruchu IS pro elektronické řízení dotací Nový IS Upgrade EOS v3 na v4 Upgrade na novou verzi Portál ÚAP Nový IS Dlouhodobé ukládání Nový IS Integrace IS KÚ tento záměr bude rozpracován v roce 2011 do konkrétní podoby Datový sklad Rozšíření nebo výměna stávajícího IS Upgrade spisové služby v rámci IS Virtuos Upgrade Upgrade MS Dynamics NAV Upgrade na novou verzi Změna IS IFaktury Upgrade na novou verzi (v rámci placené podpory) mil. Kč mil. Kč mil. Kč tis Kč mil. Kč ,5 mil. Kč ,5 mil. Kč mil. Kč ,5 mil. Kč mil Kč 1 Uvádí, zda se jedná o drobný IS (záměr veden v Helpdesku), či rozsáhlý IS (záměr zpracován v samostatném dokumentu Koncepce záměru IS) 13/46

14 5 Řízení kvality ISVS 5.1 Dlouhodobé cíle v oblasti řízení kvality ISVS Dlouhodobé cíle v oblasti řízení kvality ISVS byly stanoveny ve třech oblastech: zajištění kvality dat, která jsou v IS zpracovávána; zajištění kvality služeb, které jsou prostřednictvím IS poskytovány; zajištění kvality technických a programových prostředků. Dlouhodobé cíle v oblasti řízení kvality ISVS jsou uvedeny v tabulce, a to v členění do tří výše uvedených oblastí. U každého cíle je dále uveden atribut kvality IS, ke kterému cíl směřuje Kvalita zpracovávaných dat Označení cíle Název cíle Popis cíle Atribut kvality CK01 Integrita a konzistence Ve všech systémech směřovat k využití kontrol integrity a konzistence vedených dat, a to na všech úrovních (databáze, aplikační logika, vstupní formuláře apod.). Snahou je vést data pouze jednou, bez neodůvodněných duplicit. integrita dat CK02 Aktuálnost Cílem je dosažení maximální možné aktuálnosti údajů, vedených v IS, včetně promítnutí jejich změn do celého IS. CK03 Správnost Cílem je zavedení kontroly dat proti primárním registrům (především RES, UIR-ADR, ISKN) a zavedení mechanismů zajišťujících zvýšení čistoty dat. aktuálnost dat správnost dat CK04 Kompletnost dat Cílem je zavedení datové základy bez chybějících atributů znamenající nejednoznačnost údajů. Zároveň maximalizovat množství informací a dokumentů, zpracovávaných elektronicky v digitální, strukturované formě. kompletnost dat 14/46

15 CK05 Odpovědnost Cílem je zavedení principu osobní zodpovědnosti autora za data vkládaná a vedená v IS. V systémech budou ukládány auditní záznamy o autorech změn vedených údajů. Bude zajištěna bezpečnost těchto záznamů. odpovědnost za data Tabulka č. 7: Cíle v oblasti zpracovávaných dat Kvalita zajišťovaných služeb Označení cíle Název cíle Popis cíle Atribut kvality CK06 Funkčnost Rozvoj systému provádět na základě zadání / cílové architektury v konfrontaci s požadavky uživatelů. funkčnost služeb CK07 Efektivnost Cílem je zavést princip ICT služeb a odboru informatiky jako jejich poskytovatele. efektivnost služeb Zavést standardy IT Governance 2 procesů ICT. do vnitřních CK08 Dostupnost Cílem je zajistit dosažitelnost služeb IS uživatelům, zajistit jejich maximální dostupnost a kvalitu s důrazem na bezpečný a jednoduchý přístup. dostupnost služeb V přenesené rovině to zahrnuje i přibližování veřejné služby občanovi a podpoření prezentace úřadu a regionu. CK09 Interoperabilita Podpořit integraci a sdílení dat a služeb prostřednictvím webových služeb. interoperabilita služeb Dále rozšiřovat využití single sign-on jako jednotné metody autentizace. CK10 Řízení dokumentace Podpořit využívání funkcionality IS s dostupností uživatelské dokumentace a konkrétních návodů postupu řešení problémů. řízení dokumentace 2 Manažerské metody a nástroje, zaměřené na řízení informatiky s cílem maximalizovat přidanou hodnotu informačních systémů a technologií pro realizaci strategie organizace. Zahrnuje jednotný přístup k řízení požadavků, zdrojů, procesů a projektů probíhajících v ICT se snahou o zvyšování kvality poskytovaných služeb, redukci nákladů a maximalizaci přidané hodnoty informatiky pro organizaci. 15/46

16 Tabulka č. 8: Cíle v oblasti zajišťovaných služeb Kvalita technických a programových prostředků Označení cíle Název cíle Popis cíle Atribut kvality CK11 Řízení dodavatelů Cílem je zavedení jednotné strategie řízení vztahů s dodavateli ICT. Dodávka CK12 Sjednocení technologií Pokračovat ve sjednocování technologií na základě Technologické strategie. sjednocení technologií CK13 Obnova ICT Pokračovat v pravidelné obnově HW podle životních cyklů, uvedených v Provozním řádu. obnova HW Tabulka č. 9: Cíle v oblasti technických a programových prostředků. 5.2 Požadavky na kvalitu ISVS Požadavky na kvalitu ISVS vznikly konkretizací výše stanovených cílů řízení kvality. Souhrn požadavků včetně vazeb na cíl, který naplňují, a vazeb na IS, pro které platí, je uveden v následující tabulce. Cíl kvality Označení požadavku Popis požadavku Platí pro CK01: Integrita a konzistence PK01 Rozšíření kontrol integrity a promítnutí problémových oblastí do plánu rozvoje. PK02 Podporovat převedení nestrukturovaných dat na strukturované. AthenA PK03 Vytvořit metadata k datům, službám a dokumentacím. CK02: Aktualizace PK04 Zavést organizační opatření pro zajištění včasné aktualizace dat. PK05 Doplnit konkrétní požadavky na výměnu dat pro konkrétní systémy. CK03: Správnost PK06 Zajistit implementace kontrol identifikace subjektů/osob, adres a nemovitostí. všechny relevantní IS 16/46

17 PK07 Zajistit implementaci kontrol obsahu dat (např. kontrola správnosti rodného čísla, identifikačního čísla, správnost položek typu datum a čas apod.). CK04: Kompletnost dat PK08 Maximalizovat množství informací a dokumentů, zpracovávaných elektronicky v digitální, strukturované formě. PK09 Zajistit historizaci záznamů, tzn. zavést mechanismus zaznamenávání historie změn záznamů a zajistit možnost sledovat postupné změny záznamu v čase a provádět časové řezy. CK05: Odpovědnost PK10 Zavést auditovatelnost záznamů ve smyslu identifikace vlastníka každé provedené změny v záznamech. CK06: Funkčnost PK12 Vytvořit cílovou architekturu. CK07: Efektivnost PK13 Zavést standardy IT Governance do vnitřních procesů ICT. všechny relevantní IS CK08: Dostupnost PK14 Zajistit praktické využívání IS VIRTUOS pro elektronizaci agend a egovernment redakční systém a VIRTUOS CK09: Interoperabilita PK15 Dále rozvíjet sdílení dat na bázi webových služeb. GIS PK16 Zavést jednotný způsob autorizace a autentizace v návaznosti na datové schránky a jednotný identitní prostot veřejné správy, prioritně prostřednictvím SSO. CK10: Řízení dokumentace PK17 Zajistit dostupnost uživatelské dokumentace online v rámci nápovědy, případně v aplikaci Helpdesk. PK18 Rozšířit návody řešící typické postupy práce s IS. CK11: dodavatelů Řízení PK19 Zavést dlouhodobé hodnocení dodavatelů, monitorování kvality dodávek. PK22 Rozvíjet projektové řízení při dodávce ICT služeb. PK23 Používat standardizované a auditovatelné formy poptávek při realizaci zakázek prostřednictvím interních formulářů odboru IT. 17/46

18 CK12: Sjednocení technologií PK24 Sjednotit technologie na základě stanovené Technologické strategie. CK13: Obnova ICT PK25 Pokračovat v pravidelné obnově HW a SW dle nastavených životních cyklů. hardware Tabulka č. 10: Požadavky na kvalitu ISVS. 5.3 Plán řízení kvality ISVS Činnosti v oblasti řízení kvality V oblasti řízení kvality ISVS budou v rámci krajského úřadu vykonávány činnosti, které jsou dále popsány v této části informační koncepce. Stanovení cílů kvality: provádí vedoucí odboru informatiky; vedoucí odboru informatiky vymezí obecné cíle kvality, popíše je, přidělí jim příslušné atributy včetně požadovaného termínu naplnění a sestaví katalog cílů kvality; cíle kvality jsou součástí informační koncepce, tzn. mohou se měnit při změně verze. Stanovení požadavků na kvalitu: vedoucí odboru informatiky předá cíle kvality jednotlivým správcům IS; správci IS pro každý cíl buď konstatují, že jejich IS již cíl splňuje, nebo sestaví požadavky, jejichž postupným splněním bude tento cíl naplněn; u požadavků si správci IS stanoví dílčí termíny takové, aby byl splněn termín požadovaného naplnění cíle; vedoucí odboru informatiky požadavky sesbírá a vytvoří katalog požadavků na kvalitu, který se stává součástí informační koncepce. Implementace požadavků na kvalitu: provádí dodavatel nebo správce IS v závislosti na způsobu budování resp. údržby IS; zodpovídá na jedné straně správce IS, na druhé straně vedoucí projektu; podklady čerpá z informační koncepce - platné verze; vychází z požadavků na kvalitu a časového harmonogramu jejich naplnění; dokončení implementace požadavku hlásí vedoucí projektu správci IS a ten dále informuje vedoucího odboru informatiky. Prověrka dodržování požadavků na kvalitu: provádí formou outsourcingu externí dodavatel; 18/46

19 impuls dává vedoucí odboru informatiky; prověřuje se buď konkrétní implementace požadavku na konkrétním IS, nebo konkrétní požadavek na všech relevantních IS nebo všechny požadavky na vybraném IS; z prověření se vytváří zápis, který obdrží vedoucí odboru informatiky a správce IS. Vyhodnocení řízení kvality: provádí vedoucí odboru informatiky; provádí se minimálně jednou za rok; součástí je vyhodnocení závěrů z provedených prověrek dodržování požadavků na kvalitu; provede se též revize dlouhodobých cílů kvality a jejich aktualizace; vyřadí se implementované a prověřené požadavky na kvalitu a vytvoří se nové; vyhodnocení může být podnětem k vydání nové verze informační koncepce Časové harmonogramy Plánované naplnění Označení požadavku Popis požadavků na kvalitu průběžně PK01 Rozšíření kontrol integrity a promítnutí problémových oblastí do plánu rozvoje. průběžně PK02 Podporovat převedení nestrukturovaných dat na strukturované. průběžně PK03 Vytvořit metadata k datům, službám a dokumentacím. průběžně PK04 Zavést organizační opatření pro zajištění včasné aktualizace dat PK05 Doplnit konkrétní požadavky na výměnu dat pro konkrétní systémy PK06 Zajistit implementace kontrol identifikace subjektů/osob, adres a nemovitostí PK07 Zajistit implementaci kontrol obsahu dat (např. kontrola správnosti rodného čísla, identifikačního čísla, správnost položek typu datum a čas apod.). průběžně PK08 Maximalizovat množství informací a dokumentů, zpracovávaných elektronicky v digitální, strukturované formě. 19/46

20 průběžně PK09 Zajistit historizaci záznamů, tzn. zavést mechanismus zaznamenávání historie změn záznamů a zajistit možnost sledovat postupné změny záznamu v čase a provádět časové řezy. průběžně PK10 Zavést auditovatelnost záznamů ve smyslu identifikace vlastníka každé provedené změny v záznamech PK12 Vytvořit cílovou architekturu PK13 Zavést standardy IT Governance do vnitřních procesů ICT PK14 Zajistit praktické využívání IS VIRTUOS pro elektronizaci agend a egovernment průběžně PK15 Dále rozvíjet sdílení dat na bázi webových služeb PK16 Zavést jednotný způsob autorizace a autentizace v návaznosti na datové schránky a jednotný identitní prostot veřejné správy, prioritně prostřednictvím SSO. průběžně PK17 Zajistit dostupnost uživatelské dokumentace online v rámci nápovědy, případně v aplikaci Helpdesk. průběžně PK18 Rozšířit návody řešící typické postupy práce s IS. průběžně PK19 Zavést dlouhodobé hodnocení dodavatelů, monitorování kvality dodávek. průběžně PK22 Rozvíjet projektové řízení při dodávce ICT služeb. průběžně PK23 Používat standardizované a auditovatelné formy poptávek při realizaci zakázek prostřednictvím interních formulářů odboru IT PK24 Sjednotit technologie na základě stanovené Technologické strategie. průběžně PK25 Pokračovat v pravidelné obnově HW a SW dle nastavených životních cyklů. Tabulka č. 11: Harmonogram plnění požadavků na kvality. 20/46

21 6 Řízení bezpečnosti 6.1 Dlouhodobé cíle v oblasti řízení bezpečnosti IS Dlouhodobé cíle v oblasti řízení bezpečnosti informačního systému KÚPK byly stanoveny v následujících třech oblastech: zajištění bezpečnosti dat, která jsou v IS zpracovávána, zajištění bezpečnosti služeb, které jsou prostřednictvím IS poskytovány, zajištění bezpečnosti technických a programových prostředků. Dlouhodobé cíle v oblasti řízení bezpečnosti IS jsou uvedeny v následující tabulce, a to v členění do výše uvedených oblastí. Uvedené cíle jsou stanoveny tak, aby byla zajištěna bezpečnost zpracovávaných informací a poskytovaných služeb, tj. aby byla zajištěna jejich důvěrnost, dostupnost a integrita Celková bezpečnost IS Oblast bezpečnosti Označení cíle Název cíle Popis cíle Atribut bezpečnosti celková bezpečnost IS CB01 CB02 Řízení informační bezpečnosti Soulad s legislativou Splnit požadavky ČSN ISO/IEC 27001, ČSN ISO/IEC 17799, ČSN ISO/IEC 25999, a dalších norem a tím dostat informační bezpečnost IS KÚPK na certifikovanou úroveň vzhledem k mezinárodním normám a standardům. Zajistit, aby všechny oblasti IS byly v souladu s platnou legislativou a interními předpisy. Stanovit požadavky a mechanismy na ochranu jednotlivých oblastí IS, vyplývající z legislativy. řízení legislativa Tabulka č. 12: Celkové bezpečnostní cíle IS Bezpečnost zpracovávaných dat Oblast bezpečnosti Označení cíle Název cíle Popis cíle Atribut bezpečnosti 21/46

22 Oblast bezpečnosti Označení cíle Název cíle Popis cíle Atribut bezpečnosti bezpečnost zpracovávaných dat v IS CB03 CB04 Dostupnost a důvěrnost dat Odpovědnost za operace s daty Klasifikovat data podle jejich charakteru bezpečnosti a citlivosti. V závislosti na tomto charakteru implementovat v jednotlivých IS adekvátní mechanismy, chránící data před neoprávněným přístupem při operacích s nimi. V závislosti na charakteru dat v jednotlivých IS implementovat mechanismy pro zajištění auditovatelnosti práce s daty, především o ošetření a kontrolu vstupu, zpracování a výstupu dat z IS. dostupnost a důvěrnost auditovateln ost Tabulka č. 13: Cíle v oblasti bezpečnosti zpracovávaných dat Bezpečnost poskytovaných služeb Oblast bezpečnosti Označení cíle Název cíle Popis cíle Atribut bezpečnosti Klasifikovat funkcionalitu služeb IS podle jejich charakteru bezpečnosti a citlivosti prováděných operací a přístupu k datům. CB05 Dostupnost a důvěrnost funkcionality V závislosti na tomto charakteru implementovat v jednotlivých IS adekvátní mechanismy, chránící danou funkcionalitu před neoprávněným přístupem. dostupnost důvěrnost a bezpečnost služeb IS Budou stanoveny SLA pro jednotlivé služby, které budou pravidelně kontrolovány a vyhodnocována dostupnost jednotlivých služeb. CB06 Odpovědnost za operace se službami V závislosti na charakteru funkcionality v jednotlivých IS implementovat mechanismy pro zajištění auditovatelnosti práce s danou funkcionalitou. Ke každé službě bude definován vlastník, to je konkrétní zodpovědná osoba za danou službu. auditovatelnost Tabulka č. 14: Cíle v oblasti bezpečnosti poskytovaných služeb. 22/46

23 6.1.4 Bezpečnost technických a programových prostředků Oblast bezpečnosti Označení cíle Název cíle Popis cíle Atribut bezpečnosti CB07 Klientské stanice Definice aplikace bezpečnostních postupů pro zajištění vyšší bezpečnosti stanic úřadu. dostupnost a důvěrnost bezpečnost technických a programových prostředků CB08 Servery stanice a Aplikace bezpečnostních postupů pro zajištění vyšší bezpečnosti serverů a stanic. dostupnost a důvěrnost CB09 Síťová infrastruktura Aplikace bezpečnostních postupů pro zajištění vyšší bezpečnosti síťové infrastruktury. dostupnost a důvěrnost Tabulka č. 15: Cíle v oblasti bezpečnosti technických a programových prostředků. 6.2 Požadavky na bezpečnost ISVS Požadavky na bezpečnost ISVS vznikly konkretizací výše stanovených cílů řízení bezpečnosti, a to pro jednotlivé informační systémy resp. záměry na vybudování nových IS, nebo jejich skupiny, případně pro nebo záměry na jejich vybudování. Souhrn požadavků včetně vazeb na cíl, který naplňují, a vazeb na IS, pro které platí, je uveden v následující tabulce. Cíl bezpečnosti Označení požadavku Popis požadavku Platí pro PB01 Pravidelně aktualizovat analýzu rizik. CB01: Řízení bezpečnostních rizik PB02 PB03 Na základě analýzy rizik vytvořit a udržovat aktuální souhrn požadovaných organizačních, personálních, technických a fyzických opatření na eliminaci rizik či na minimalizaci případných škod a zahájit jejich postupnou realizaci. Realizovat organizační opatření, které zajistí pravidelnou aktualizaci analýzy rizik po významnějších změnách IS a průběžně kontrolovat jejich plnění. PB04 Začlenit požadavek na vytvoření bezpečnostního projektu s analýzou rizik pro nově pořizované IS do jejich zadávací dokumentace. všechny nové IS 23/46

24 Cíl bezpečnosti Označení požadavku Popis požadavku Platí pro PB05 Na základě doporučení analýzy rizik vytvořit nebo doplnit a dále pravidelně aktualizovat související provozní dokumentaci (provozní řád IS, bezpečnostní koncepce). CB02: Soulad s legislativou PB06 Zavést proces řízení souladu IS s legislativou, který bude pravidelně kontrolovat soulad IS s interní, národní a evropskou legislativou a navrhovat opatření pro případné neshody. PB07 Vytvořit datovou architekturu IS a klasifikovat data podle jejich charakteru bezpečnosti a citlivosti (veřejná, citlivá či jinak chráněná). CB03: Dostupnost a důvěrnost dat PB08 V závislosti na datové architektuře IS implementovat v jednotlivých IS adekvátní mechanismy, chránící data před neoprávněným přístupem při operacích s nimi (především při jejich pořizování, ukládání, přenosu i zálohování). PB09 Realizovat organizační opatření, které zajistí řízení koncepce oprávnění přístupu k datům a funkcionalitě na základě klasifikace dat (viz PB07) a funkcionality (viz PB11). CB04: Odpovědnost za operace s daty PB10 V závislosti na charakteru dat v jednotlivých IS implementovat mechanismy pro zajištění auditovatelnosti práce s daty (např. nepopiratelnost provedených změn, prokazatelnost odpovědnosti za vložená data, sledování přístupu k datům aj.). PB11 Klasifikovat funkcionalitu služeb IS podle jejich charakteru bezpečnosti a citlivosti prováděných operací a přístupu k datům. CB05: Dostupnost a důvěrnost funkcionality PB12 V závislosti na tomto charakteru implementovat v jednotlivých IS adekvátní mechanismy, chránící danou funkcionalitu před neoprávněným přístupem. PB09 Realizovat organizační opatření, které zajistí řízení koncepce oprávnění přístupu k datům a funkcionalitě na základě klasifikace dat (viz PB07) a funkcionality (viz PB11). CB06: Odpovědnost za operace se službami PB13 V závislosti na charakteru funkcionality v jednotlivých IS implementovat mechanismy pro zajištění auditovatelnosti práce s danou funkcionalitou (např. sledování přístupu k funkcionalitě nebo pokusu o něj aj.). 24/46