Atestační středisko (AS): ADA, s.r.o. pověření k výkonu atestací ÚVIS, reg.č. 3 rozhodnutím č.j. 3/2001 A ze dne 11.10. 2001, sídlo 625 00 Brno, Čermákova 28, ČR pobočka (poštovní styk) 664 42 Brno Modřice, Sokolská 725 telefon 5 4721 6717, e-mail info@isystemy.cz, www.isystemy.cz IČO 4699 2430, DIČ 291 4699 2430 odpovědná osoba: RNDr. Milada Ptáčková Veřejná část Protokol o atestačním řízení 1. Identifikace dokumentu Označení: 23/TMAP/03/ PROF Vypracoval: ADA, s.r.o., RNDr. Hajn Dne: 07.04.2003 Počet listů: 8 veřejná část, 10 neveřejná část 2. Zveřejnění informací o udělení atestu a počet výtisků protokolu Rozhodnutím o udělení atestu ze dne 07.04.2003 byl vysloven souhlas s udělením atestu. Atest byl udělen (ano/ne): ANO Celkem byly zhotoveny dva výtisky tohoto protokolu o atestačním řízení, každá smluvní strana obdržela po jednom paré. Datum zaslání opisu atestu a veřejné části protokolu v el. podobě na ÚVIS: do 30.04.2003. Datum zveřejnění veřejné části na www stránkách atestačního střediska: do 30.04.2003. 3. Žadatel o atestaci T-MAPY spol. s r.o. se sídlem Nezvalova 850, 500 03 Hradec Králové telefon 495513335 IČO 47451084, DIČ 228-47451084 zastoupená: ing. Milanem Novotným, jednatelem 4. Typ a důvod atestace Typ atestace: základní Důvod atestace: účinnost zákona č. 365/2000 Sb. 5. Předmět atestačního řízení Produkt uváděný pod obchodním názvem T-WIST, verze 1.2 1
6. Prohlášení o shodě dle normy ČSN EN 45014 Žadatel o atestaci doložil prohlášení o shodě datované dnem 02.04.2003 a podepsané statutárním orgánem ing. Milanem Novotným, jednatelem. 7. Typ produktu, druh dodávky, účel použití, pro který byl produkt testován Systém T-WIST (Týmový Webový Informační Systém firmy T-MAPY) integruje jednotlivé subsystémy informačního systému (registry, pasporty, majetek, evidence, geografický informační systém apod. ) v jednom uživatelském prostředí. K tomuto účelu využívá standardní inter(intra)netové technologie. Systém T-WIST umožňuje využívat data uložená v klasickém souborovém systému i v databázových serverech. Uživatelské prostředí představuje běžný webový prohlížeč (MS Internet Explorer, Netscape). Základem bezpečnosti jsou přístupová práva definovaná na úrovni operačního systému kombinovaná s právy přidělenými jednotlivými aplikacemi. Zvolená technologie umožňuje začlenit T-WIST do intranetu uživatele a využít vzdáleného přístupu ze sítě Internetu i možnosti přímého publikování vybraných informací na externích webových stránkách uživatele. Systém T-WIST dodává dodavatel odběratelům podle jím zpracovaného Projektu implementace vyhotoveného pro jednotlivé odběratele na základě šetření konkrétních podmínek odběratele. Označení typu, druhu a účelu použití produktu (TDU) v dokumentech atestačním řízení: SW/KORE/OB 8. Dohodnutý rozsah atestace (stanovený smlouvou) a shoda se standardy ISVS Byla dohodnuta a provedena základní atestace jakosti produktu specifikovaného v bodě 5 protokolu a atestace shody dokumentace produktu specifikovaného v bodě 5 se standardem ISVS pro životního cyklus produktu (shoda dokumentace). a atestace shody produktu se standardizovanými datovými prvky dle Standardu ISVS pro popis datových prvků, publikovaného ve Věstníku ÚVIS, ročník 2000, částka 3, na rozhraní produktu do ISVS pro rozhraní:! obecné standardizované datové prvky na rozhraní ISVS. V rámci uvedených druhů atestací byla atestována shoda produktu s následujícími standardy ISVS:! Standardem ISVS pro náležitosti procesu a metodiky atestace jakosti produktu, Věstník ÚVIS 2001, částka 2 (007/01.02)! Standardem ISVS pro náležitosti životního cyklu informačního systému, Věstník ÚVIS 2000, částka 5 (005/02.01)! Standardem ISVS pro popis datových prvků, publikovaného ve Věstníku ÚVIS, ročník 2000, částka 3 (003/01.03)! Standardem ISVS - Katalog jednoduchých datových prvků (009/02.01) V souladu s použitou metodikou COBIT, která je součástí registrované metodiky atestace jakosti produktu atestačního střediska, zahrnovala atestace následující procesy životního cyklu produktu: TVORBU A IMPLEMENTACI A SLUŽBY A PODPORU. 9. Použité metodiky atestace a jejich registrace V řízení byly použity následující metodiky atestačního střediska:! pro atestaci jakosti produktu metodika s ozn. 042101/TDU XX/XXX/XX, Metodika atestace jakosti produktu, verze 1.1, zaregistrovaná na ÚVIS dnem 23.11.2001 pod č.j. 895/01-OAK (typ, druh a účel použití atestovaného produktu s ozn. TDU SW/KORE/OB viz. bod 7), 2
! pro atestaci shody dokumentace s požadavky standardu životního cyklu metodika s označením 032201/TDU XX/XXX/XX, Metodika atestace shody IS se Standardem ISVS pro náležitosti životního cyklu IS, verze 1.1.! pro atestaci shody produktu se standardizovanými datovými prvky metodika s ozn. č. 032202/TDU XX/XXX/XX, Metodika atestace shody se standardizovanými datovými prvky, verze 1.1. 10. Personální, organizační a technické podmínky atestace Podmínky byly stanoveny smlouvou o provedení atestace. Atestačního řízení se účastnili:! za žadatele 2 osoby pro věcná jednání, zajištění průběhu a požadavků atestace! za atestační středisko 5 osob pro měření a hodnocení produktu a zajištění průběhu řízení a 1 osoba pro věcná obchodní jednání! osoby AS odpovědné za výsledné hodnocení RNDr. Ptáčková, RNDr. Hajn Rámcový postup atestačního řízení: Proveden v souladu se zákonem č. 365/2000 Sb., standardy ISVS ÚVIS, použitými metodikami atestací, plánem atestačního řízení a schváleným harmonogramem:! Datum zahájení atestačního řízení 27.02.2003! Plán atestačního řízení 10.03.2003! Harmonogram atestace 10.03.2003! Testování produktu zahájení 18.03.2003! Testování produktu ukončení 25.03.2003! Ověření povinných a volitelných informací 18.03., 25.03.2003! Ověření shody produktu se standardy a normami 18.03., 24.03., 25.03. 2003! Zpráva o měření jakosti ze dne 07.04.2003! Rozhodnutí o udělení/neudělení atestu 07.04.2003! Datum ukončení atestačního řízení 07.04.2003! Datum zahájení archivace 09.04.2003 Technické zajištění: Místem plnění byla dohodnuta pobočka AS v Brně Modřicích, Sokolská 725. Produkt byl testován na pracovišti žadatele v Hradci Králové, Nezvalova 850. Služeb testovacích laboratoří nebylo použito. Za zajištění archivace dispoziční dokumentace a testovacího vzorku předmětu atestačního řízení uvedeného v bodě 5 zodpovídá žadatel. Podmínky archivace jsou uvedeny v Protokolu o archivaci. 11. Povinné informace o dodavateli, produktu a poskytovaných službách Žadatel poskytl všechny povinné informace o dodavateli a produktu k předmětu atestačního řízení uvedeném v bodě 5 ve struktuře a rozsahu vymezeném Standardem ISVS pro náležitosti procesu a metodiky atestace jakosti produktu kap. 5.1.1, 5.1.2. a uvedl je v tab. 5.1.1., 5.1.2. a rovněž specifikoval informace o fyzických komponentách produktu v tab. 5.1.2.c a informace o HW konfiguraci systému v tab. 5.1.2.b. Volitelné informace žadatel uvedl v tab. 5.1.2.m až o. AS ověřilo existenci a úplnost informací a tvrzení a provedlo hodnocení. Výsledek hodnocení: Výrok o výsledku hodnocení této části atestační zkoušky: SPLŇUJE 3
12. Informace o shodě se standardy a ostatními předpisy Shoda dokumentace se standardem životního cyklu (ŽC) V průběhu atestačního řízení byl zjišťován soulad produktu (dokumentace) se Standardem ISVS pro náležitosti životního cyklu IS (005/02.01). Seznam dokumentace Žadatel předložil všechny povinné součásti dokumentace. Seznam předložené dokumentace je uveden v tabulce 5.9.0.a. Dílčí výsledek hodnocení této části atestační zkoušky: SPLŇUJE Shoda obsahu a struktury dokumentace produktu s předmětným standardem Byla zkoumána v následujících oblastech: posouzení úplnosti povinné dokumentace se závěrem splňuje bez výhrad; posouzení správnosti dokumentů se závěrem splňuje bez výhrad; posouzení dokumentace z hlediska konzistence, srozumitelnosti a přehlednosti se závěrem splňuje bez výhrad; posouzení jakosti konkrétních řešení projektů implementace produktu bylo šetřeno. Požadavky kladené na technicko-organizační opatření splňuje bez výhrad. Dokumentace obsahuje všechny povinné části v požadované struktuře. Drobnější rozdíly jsou v nepřesnosti používané terminologie (nelegislativní), v číslování kapitol a stran, v neúplnosti identifikace dokumentace a upřednostňování popisů řešení technologické platformy proti popisům řešení aplikační části. Dodavatel má zdokumentovány popisy procesů související s tvorbou a implementací systému T-WIST verze 1.2. Zpracováním projektu implementace u konkrétního odběratele dodavatel podporuje bezpečnost procesu instalace a zavedení produktu. Dokumentace k procesům tvorby a implementace produktu obsahuje všechny části ke všem relevantním procesům. Dílčí výsledek hodnocení této části atestační zkoušky: SPLŇUJE Posouzení kompatibility funkčnosti produktu s dokumentací Při testování byla ověřována shoda funkčnosti SW s popisy funkcí uvedenými v dokumentaci pro všechny části SW. Celkem byla prověřena shoda funkčnosti SW pro 120 funkcí s hodnocením stupněm velmi dobrý. Dílčí výsledek hodnocení této části atestační zkoušky: SPLŇUJE Posouzení jakosti dokumentace Požadavky jakosti dokumentace byly hodnoceny se stejnou váhou. Žadatel předložil k atestaci 11 částí dokumentace. Po stránce jakosti dokumentace byla úplnost dokumentace, správnost (přesnost a jednoznačnost), konzistence, srozumitelnost a přehlednost dokumentace hodnocena stupněm velmi dobrá. Doporučení doplnit dokumentaci o upozornění uživatelů systému T-WIST na povinnost zabezpečit provoz SW ve shodě s požadavky zákona č.106/1999 (ochrana osobních údajů). Dílčí výsledek hodnocení této části atestační zkoušky: SPLŇUJE 4
Celkový výsledek hodnocení Shody dokumentace se standardem životního cyklu (ŽC): Výrok o výsledku hodnocení této části atestační zkoušky: SPLŇUJE Jakost programového vybavení Žadatel předložil dne 2.4.2003 Prohlášení o shodě podle ČSN EN 450 14 ze dne 2.4.2003. Označený produkt byl použit pro zkoušení. Byla provedena celkem 3 testování k prověření 3 hlavních částí produktu a všech 120 funkcí uvedených v soupisu v tab. 5.1.2.a. Testování bylo provedeno pro OS Windows 98. Použité metriky a metody hodnocení: Byly použity metriky, stanovené metodikou atestace jakosti uvedenou v bodě 9. Pro ověření kritérií byly použity kombinace všech 3 typů standardem požadovaných metrik pro ověření vnitřní struktury (ISO 3), externí chování (ISO 2) a efekt použití produktu (ISO 4). Celkem bylo provedeno 33 různých měření podcharakteristik jakosti v souladu s plánem jakosti programového vybavení stanoveným s ohledem na TDU popsaným v bodě 7 protokolu. Hodnocení metrik bylo zaznamenáno v tab. 5.3.1.v a 5.9.1.a. Měření a hodnocení plnění kritérií jakosti bylo prováděno pro všechny části dekompozice produktu.k celkovému hodnocení jakosti bylo použito vícekriteriální váhové hodnocení stanovené vzhledem k TDU. Při atestaci byly hodnoceny procesy a rizika související s tvorbou a implementací produktu žadatele tj. doménou Al předepsanou metodikou COBIT. Výsledné hodnocení bylo stanoveno agregací dílčích výsledků a je hodnocením relativním vzhledem k maximálně možnému referenčnímu hodnocení. Žadatel poskytl informace požadované pro hodnocení procesů a souvisejících rizik (v tab. 5.3.1.b a tab. 5.3.1.d). Byla testována zejména interoperabilnost funkčnosti, časové chování, měnitelnost a přizpůsobitelnost produktu. Hodnocení charakteristik a podcharakteristik jakosti: V průběhu testování bylo zjištěno, že kvalita testovaného software je velmi dobrá. Měření a hodnocení plnění kritérií jakosti bylo prováděno pro všechny části dekompozice produktu, pro Správu skupin a uživatelů, Základní registry (Registr hospodářských subjektů, Registr obyvatel, Registr adres a Evidence nemovitostí) a Projekty mapového serveru (T- MapServer). Hodnocení rizik je uvedeno v tab. 5.9.9.r, celkové hodnocení všech metrik IM, EM, MU v tab. 5.9.9.vch. Výsledné hodnocení této části jakosti bylo zaznamenáno v tab. č. 5.3.1.v. Byla hodnocena: stupněm velmi dobrý podcharakteristika funkčnost/bezpečnost, stupněm velmi dobrý podcharakteristika udržovatelnost/měnitelnost, stupněm velmi dobrý podcharakteristika funkčnost/shoda funkčnosti. 5
Další dílčí problémy se projevily u podcharakteristik Bezporuchovost/Odolnost vůči chybám a Použitelnost/Provozovatelnost. Ostatní podcharakteristiky byly hodnoceny stupněm výborným (viz příloha protokolu listy 000.1 005.1). Měření a hodnocení procesů životního cyklu produktu a jejich rizik Byly měřeny a hodnoceny procesy a jejich rizika v doméně Tvorba a implementace (Al). Celkově bylo analýzou zjištěna 4 rizika se střední a vyšší důležitostí s pravděpodobností do 20% výskytu, které se týkají některých detailů řízeníprojektu (operativnosti řízení) a některých částí projektové dokumentace (nedefinování schéma obsahu). Dodavatel má zpracovány vlastní systémy detailní operativní evidence k procesům a ke sledování dokumentů a námětů (zlepšení SW a chyb) a vlastní systém operativní evidence potřeb podpory uživatele a jejího poskytování na velmi dobré úrovni s možnost plánování svých zdrojů. Dílčí výsledky měření a hodnocení procesů a rizik - podcharakteristiky typu IM (ISO3) Naměřené relativní hodnocení procesů IM dokumentované v tab. 5.9.9.ch u procesů v doméně Tvorba a implementace: 94 % (ze 100% možného) Naměřené relativní hodnocení rizik dokumentované v tab. 5.9.9.r u rizik v doméně Tvorba a implementace: 12 % (ze 100% možného, pravděpodobnost výskytu rizik do 20%) Celkový výsledek hodnocení jakosti programového vybavení: Produkt dosáhl celkového hodnocení charakteristik jakosti (ISO 2, ISO 3 a ISO 4) ve výši 81.13 % maximální referenční hodnoty. Při hodnocení rizik se nevyskytlo riziko s mírou rizika hodnocenou stupněm vysoká u procesů velmi důležitých nebo důležitých. Zjištěná rizika se vyskytují ve vazbě na používané operativním řízení některých interních procesů žadatele a jejich nedostatečné propojením na koncepční dokumentaci k produktu a u procesů zajištění systémové bezpečnosti. Výrok o výsledku hodnocení této části atestační zkoušky: SPLŇUJE. Shoda s obecnými standardizovanými DP na rozhraní ISVS Žadatel předložil Prohlášení o shodě se standardizovanými datovými prvky pro IS komunikující s jinými ISVS ze dne 2.4.2003 společně s DP uvedenými v následujících tabulkách: - 5.2.2.a) 26 identifikovaných standardizovaných datových prvků ISVS z toho: 7 DP rozhraní Registr adres 17 DP rozhraní Registr nemovitostí 2 DP rozhraní Registr hospodářských subjektů. - 5.2.2 b) mandatorní atributy identifikovaných DP pro posouzení shody se Standardem ISVS Katalogem jednoduchých datových prvků (009/02.01) Identifikované standardizované DP splnily podmínku na úplnost a shodu se standardy ISVS. Informace o DP předložené v tabulkách 5.2.2. byly ověřeny v dokumentaci č. 10 (tab. 5.9.0.a.) - Datový slovník T-WIST, který je součástí dokumentace posuzovaného IS a popisuje vztah mezi interním datovým prvkem a prvkem na rozhraní ISVS, realizující požadovanou datovou výměnu. V Datovém slovníku předaném žadatelem o atestaci ve formě EXCEL souboru byly zjištěny chyby, které byly vyhodnoceny jako editační chyby při tvorbě datového slovníku (výpadek jednotlivých údajů s posunem následných údajů). Žadatel na požádání Datový slovník opravil. Doporučení žadateli doplnit co nejdříve základní atestaci podle Standardu ISVS pro strukturu a výměnný formát digitální technické mapy města. 6
Výsledek hodnocení DP: Atestované datové prvky rozhraní Registr adres, Registr nemovitostí a Registr hospodářských subjektů splňují podmínky na úplnost a shodu se standardy ISVS. Výrok o výsledku hodnocení této části atestační zkoušky: SPLŇUJE. Zveřejnění povinných informací: - Nebude podán návrh nových standardizovaných datových prvků a jejich číselníků - Žadatel nepředložil u datových prvků atribut Verze - Datum předložení výpisu všech datových prvků rozhraní a číselníků: 21.3.2003 - Prohlášení o shodě se standardizovanými datovými prvky pro IS komunikující s jinými IS prostřednictvím datového rozhraní uloženo ve spise, datum prohlášení: 2.4.2003 13. Celkové hodnocení produktu Na základě atestačního řízení lze konstatovat, že produkt je ve shodě se Standardem ISVS pro náležitosti životního cyklu IS (005/02.01), protože dokumentace produktu vyhovuje požadavkům standardu na její úplnost, informace obsažené v dokumentaci odpovídají v požadované míře skutečnosti chodu SW, byla dosažena požadovaná úroveň správnosti, konzistence, srozumitelnosti a přehlednosti dokumentace potřebné a vyhovující pro typ, druh a účel použití produktu (komerčního, konfekčního SW), určeného pro malé a střední podnikatelské subjekty a neziskové organizace pro podporu vedení finančního účetnictví. Celkově je jakost dokumentace hodnocena jako dobrá. Dále atestační řízení potvrdilo, že je produkt ve shodě se Standardem ISVS pro náležitosti procesu a metodiky atestace jakosti produktu (007/01.02), neboť dodavatel poskytl všechny povinné informace o dodavateli a produktu a naměřené hodnoty charakteristik jakosti jsou v rozsahu hodnot předepsaných pro udělení atestu jakosti produktu bez výhrad. Celkově je jakost programového vybavení hodnocena jako velmi dobrá. Systém T-WIST pracuje s osobními údaji, jejichž ochrana podléhá zákonu č.106/1999, je potřeba na tyto skutečnosti v dokumentaci upozornit uživatele. Ověření shody s DP na rozhraní ISVS prokázalo, že všechny předložené standardizované DP na atestovaných rozhraních ISVS dle přílohy č.1 Smlouvy o dílo splňují požadavky relevantních standardů. 14. Rozhodnutí o udělení atestu Na základě ověření požadavků, měření a celkového výsledku hodnocení předmětu atestačního řízení uvedeného v bodě 5 provedených v tomto atestačním řízení rozhodlo atestační středisko svým rozhodnutím č. 23/TMAP/03/ROZA ze dne 07.04.2003 ve věci udělení/neudělení atestu takto: Atest (udělen/neudělen): Uvedené výhrady a zdůvodnění: ATEST UDĚLEN BEZ VÝHRAD. 7
15. Opis atestu a plnění podmínek udělení Plnění podmínek udělení! Splněny podmínky udělení atestu (ano/ne): ANO Opis atestu! Číslo atestu 03-20030412! Atest vystavilo atestační středisko ADA, s.r.o.! Obchodní název produktu T-WIST, verze 1.2! Žadatel T-MAPY spol. s r.o.! Typ atestace základní! Rozsah atestace atestace jakosti produktu a atestace shody produktu s životním cyklem (shoda dokumentace) a shoda produktu se standardizovanými datovými prvky! Atestace se standardy - Standardem ISVS pro náležitosti procesu a metodiky atestace jakosti produktu (007/01.02) - Standardem ISVS pro náležitosti životního cyklu informačního systému (005/02.01) - Standardem ISVS pro popis datových prvků ( 003/01.03) - Standardem ISVS - Katalog jednoduchých datových prvků (009/02.01)! Výsledné hodnocení: splňuje povinné požadavky uvedených standardů! Výhrady: žádné! Atestace prověřila části díla - Tvorbu a implementaci a Služby a podpora! Datum a místo vystavení atestu Brno, 07.04.2003! Zodpovědná osoba AS RNDr. Milada Ptáčková! Zodpovědný vedoucí atestačního týmu RNDr. Hajn! Platnost atestu do 07.04.2005! Datum prvé atestace 07.04.2003! Jazykové verze čeština, angličtina 16. Seznam datových prvků navrhovaných ke standardizaci a jejich číselníky Žádné DP ke standardizaci nenavrženy. 17. Seznam povinně posuzované dokumentace životního cyklu Žadatel předložil úplnou dokumentaci požadovanou pro komerční/konfekční SW. 18. Předání a převzetí výsledků hodnocení, výstupních dokumentů, dispoziční dokumentace a vzorku produktu žadatelem při ukončení řízení a zajištění archivace Je popsáno v neveřejné části. 19. Poznámky k veřejné části Žádné. 8