INFORMAČNÍ KONCEPCE. Zákon č. 365/2000 Sb., o informačních systémech veřejné správy. Město Sokolov

INFORMAČNÍ KONCEPCE Zákon č. 365/2000 Sb., o informačních systémech veřejné správy Město Sokolov

2 /52 Obsah: 1. Identifikace dokumentu... 5 1.1. Základní údaje... 5 1.2. Verze... 5 1.2.1. Verze 2.0... 6 1.2.2. Verze 1.0... 6 2. Informační koncepce... 8 2.1. Manažerské shrnutí... 8 2.1.1. Identifikace dokumentu... 8 2.1.2. Informační koncepce:... 8 2.1.3. Informační systémy:... 8 2.1.4. Záměry rozvoje informačních systémů:... 8 2.1.5. Řízení kvality informačních systémů:... 9 2.1.6. Řízení bezpečnosti informačních systémů:... 9 2.1.7. Správa informačních systémů:... 9 2.1.8. Financování informačních systémů:... 9 2.1.9. Naplňování informační koncepce:... 9 2.1.10. Odpovědnosti osob:... 9 2.1.11. Přílohy... 9 3. Informační systémy... 11 4. Záměry rozvoje informačních systémů... 14 4.1. Plán rozvoje informačních systémů... 14 4.2. Portfolio IT projektů... 14 4.2.1. IT projekty... 14 4.3. Rámcová specifikace IT projektů... 15 4.3.1. Konsolidace IT a nové služby TC ORP Sokolov... 15 4.3.2. Elektronizace a automatizace vnitřních procesů úřadu... 15 4.3.3. Rámcová specifikace IT projektu Rozvoj IS pro Městskou policii... 16 4.3.4. Rozšíření současného objednávkového systému na MěÚ... 17 4.3.5. Finanční závazky vůči městu... 17 4.3.6. Nasazení a rozšíření aplikace pro mobilní zařízení... 18

3 /52 4.3.7. Modernizace MAN, LAN... 18 5. Řízení kvality informačních systémů... 19 5.1. Systém řízení kvality informačních systémů... 19 5.1.1. Lidské zdroje systému řízení kvality informačních systémů... 19 5.2. Základní dlouhodobé cíle kvality informačních systémů... 20 5.3. Charakteristiky kvality informačních systémů... 20 5.3.1. Kvalita zpracovávaných dat a informací... 20 5.3.2. Kvalita poskytovaných služeb... 20 5.3.3. Kvalita používaných technologických a programových prostředků... 21 5.4. Plán řízení kvality informačních systémů... 21 5.4.1. Nástroje řízení kvality dat informačních systémů... 22 5.4.2. Stanovení dlouhodobých cílů kvality dat... 23 5.4.3. Stanovení požadavků na kvalitu dat... 24 5.4.4. Stanovení nezbytných činností v oblasti řízení kvality dat... 26 6. Řízení bezpečnosti informačních systémů... 27 6.1. Zákon o kybernetické bezpečnosti... 27 6.2. Systém řízení bezpečnosti informací... 27 6.3. Bezpečnostní politika... 28 6.3.1. Bezpečnost zpracovávaných dat a informací... 28 6.4. Plán řízení bezpečnosti informačních systémů... 29 7. Správa informačních systémů... 35 7.1. Životní cyklus informačního systému... 35 7.2. Základní role správy informačního systému... 35 7.2.1. Systémový správce... 35 7.2.2. Bezpečnostní správce... 36 7.2.3. Klíčový uživatel... 36 7.3. Příprava informačního systému... 36 7.3.1. Sběr podnětů k novému IS... 36 7.3.2. Zpracování záměru pořízení IS dodavatelským způsobem... 37 7.3.3. Zpracování záměru vytvoření (vývoje) IS vlastními zdroji... 38 7.4. Pořízení/Vývoj (vytvoření) informačního systému... 38 7.4.1. Pořízení IS dodavatelským způsobem... 38 7.4.2. Vývoj (vytvoření) IS vlastními zdroji... 39

4 /52 7.4.3. Instalace a testování IS... 39 7.4.4. Příprava nasazení IS do rutinního provozu... 39 7.5. Provoz a údržba informačního systému... 40 7.5.1. Nasazení IS do rutinního provozu... 40 7.5.2. Zajištění provozu a údržby IS... 40 7.5.3. Řízení změn IS... 41 7.6. Ukončení provozu a činnosti informačního systému... 41 7.6.1. Ukončení provozu IS... 41 7.6.2. Ukončení činnosti IS... 42 8. Financování informačních systémů... 43 8.1. Plán financování informačních systémů... 43 8.1.1. Rozpočet informačního systému... 43 8.1.2. Rozpočet IT... 43 8.2. Zdroje financování informačních systémů... 44 8.2.1. Rozpočet města... 44 8.2.2. Dotace... 44 9. Naplňování informační koncepce... 45 9.1. Provádění změn informační koncepce... 45 9.1.1. Zajištění včasné změny informační koncepce... 45 9.1.2. Zápis změny informační koncepce nová verze... 45 9.1.3. Schvalování změny informační koncepce... 46 9.1.4. Příprava nové informační koncepce... 46 9.2. Vyhodnocování dodržování informační koncepce... 46 9.2.1. Vyhodnocované oblasti... 46 10. Odpovědnosti osob... 49 10.1. Odpovědnosti za realizaci informační koncepce... 49 10.2. Odpovědnosti za splnění zákonných povinností... 50 11. Přílohy a seznamy... 52 11.1. Přílohy... 52 11.2. Seznam tabulek... 52 11.3. Seznam obrázků... 52

5 /52 1. Identifikace dokumentu 1.1. Základní údaje Tabulka 1: Základní identifikační údaje dokumentu Název dokumentu Informační koncepce Města Sokolov Název a sídlo organizace Město Sokolov Rokycanova 1929 356 01 Sokolov Identifikační číslo: 00259586 Typ orgánu veřejné správy Zpracovatel Schvalovatel Obec s rozšířenou působností Ing. Jiří Krotil Vedoucí odboru informatiky +420 359 808 317 Jiri.Krotil@mu-sokolov.cz Mgr. Miroslava Kurcová Tajemnice městského úřadu +420 359 808 280 Miroslava.Kurcova@mu-sokolov.cz Datum zpracování 28. 11. 2014 Datum schválení 1. 12. 2014 Datum platnosti 15. 12. 2014 Datum ukončení platnosti 14. 12. 2019 Počáteční verze 1.0 Aktuální verze 2.0 Elektronická verze Informacni_koncepce_Sokolov.pdf Počet stran 52 Počet příloh 4 Důvěrnost Veřejné informace 1.2. Verze Verze dokumentu jsou chronologicky řazené od nejnovější k nejstarší. Tabulka změn obsahuje popis a odůvodnění změn v předchozí verzi dokumentu a identifikaci příslušných částí, které byly změněny.

6 /52 1.2.1. Verze 2.0 Tabulka 2: Základní identifikační údaje verze 2.0 dokumentu Název dokumentu Informační koncepce Města Sokolov Verze 2.0 Zpracovatel Schvalovatel Ing. Jiří Krotil Vedoucí odboru informatiky +420 359 808 317 Jiri.Krotil@mu-sokolov.cz Mgr. Miroslava Kurcová Tajemnice městského úřadu +420 359 808 280 Miroslava.Kurcova@mu-sokolov.cz Datum zpracování 28. 11. 2014 Datum schválení 1. 12. 2014 Datum platnosti 15. 12. 2014 Elektronická verze Informacni_koncepce_Sokolov.pdf Počet stran 52 Počet příloh 4 Tabulka 3: Změny provedené mezi verzemi 2.0 a 1.0 dokumentu Identifikace změněné části Popis a odůvodnění změny - Doplnění kapitoly 2. Informační koncepce obsahující manažerské shrnutí dokumentu. Kapitola 2. Informační systémy veřejné správy (ISVS) Ostatní kapitoly Služby a charakteristiky informačních systémů popsány v příloze č. 2 - dokumentu Katalog informačních systémů. Aktualizace obsahu kapitol. - Doplnění kapitoly 11. Přílohy obsahující výčet příloh dokumentu. 1.2.2. Verze 1.0 Tabulka 4: Základní identifikační údaje verze 1.0 dokumentu Název dokumentu Informační koncepce Města Sokolov Verze 1.0 Zpracovatel Ing. Jiří Krotil Vedoucí odboru informatiky

7 /52 Schvalovatel Mgr. Miroslava Kurcová Tajemník MěÚ Datum zpracování 4. 12. 2009 Datum schválení 7. 12. 2009 Datum platnosti 15. 12. 2009 Elektronická verze Sokolov_IK.pdf Počet stran 62 Počet příloh 0 Tabulka 5: Změny provedené mezi verzemi 1.0 a "0.0" dokumentu Identifikace změněné části Popis a odůvodnění změny Celý dokument První verze dokumentu

8 /52 2. Informační koncepce 2.1. Manažerské shrnutí 2.1.1. Identifikace dokumentu - Verze dokumentu jsou chronologicky řazené od nejnovější k nejstarší. - Verze dokumentu obsahuje popis a odůvodnění změn oproti předchozí verzi a identifikaci příslušných částí, které byly změněny. 2.1.2. Informační koncepce: - Město Sokolov je dle zákona č. 365/2000 Sb., o ISVS, v rámci dlouhodobého řízení ISVS, povinno vytvářet a vydávat informační koncepci, uplatňovat ji v praxi a vyhodnocovat její dodržování. V informační koncepci mj. stanoví své dlouhodobé cíle v oblasti řízení kvality a bezpečnosti spravovaných informačních systémů a vymezí obecné principy jejich pořizování a provozování. - Vedení města si uvědomuje důležitost koncepčního řízení informačních systémů a prostřednictvím Řídícího výboru IT svou činností vytváří podmínky pro naplňování této informační koncepce v souladu se zákonem č. 365/2000 Sb., o informačních systémech veřejné správy. - Komponentami informačních systémů jsou informační a komunikační technologie, data a lidé. Pokud tedy hovoříme o řízení informačních systémů, tak hovoříme o řízení všech tří komponent, resp. celého IT města. - Řízení informačních systémů prostřednictvím informační koncepce využívá: o principy procesního a projektového řízení, o praktiky řízení služeb IT - z rámce ITIL, příp. metodologie CobiT, o prvky systému správy IT služeb (norma ISO/IEC 20000), o prvky systému správy bezpečnosti informací (norma ISO/IEC 27001, 27002), o prvky systému řízení kvality (norma ISO/IEC 9001). 2.1.3. Informační systémy: - Informační systémy města a jejich služby a charakteristiky jsou popsány v dokumentu Katalog informačních systémů (příloha č. 2). V informační koncepci je uveden pouze seznam (portfolio) informačních systémů. - Příloha č. 2 se aktualizuje průběžně, minimálně 1x ročně. 2.1.4. Záměry rozvoje informačních systémů: - Záměry rozvoje informačních systémů jsou popsány v dokumentu Plán rozvoje informačních systémů (příloha č. 3). V informační koncepci je uveden pouze seznam (portfolio) IT projektů a jejich rámcová specifikace. - Příloha č. 3 se aktualizuje průběžně, minimálně 1x ročně.

9 /52 2.1.5. Řízení kvality informačních systémů: - Systém řízení kvality informačních systémů města funguje dle cyklu plánuj dělej kontroluj jednej a vytváří řízenou kvalitu informačních systémů, která splňuje požadavky a očekávání všech zainteresovaných stran. - Plán řízení kvality informačních systémů se připravuje 1 x za 5 let v souvislosti s přípravou nové informační koncepce města, aktualizován je minimálně 1 x za 2 roky. 2.1.6. Řízení bezpečnosti informačních systémů: - Systém řízení bezpečnosti informačních systémů (informací) města funguje dle cyklu plánuj dělej kontroluj jednej a vytváří řízenou bezpečnost informačních systémů (informací), která splňuje požadavky a očekávání všech zainteresovaných stran. - Plán řízení bezpečnosti informačních systémů (informací) se připravuje 1 x za 5 let v souvislosti s přípravou nové informační koncepce města, aktualizován je minimálně 1 x za 2 roky. 2.1.7. Správa informačních systémů: - Správa informačních systémů probíhá průběžně dle stanovených zásad a postupů pro všechny fáze životního cyklu informačního systému (příprava, pořízení/vývoj (vytvoření), provoz a údržba, ukončení provozu a činnosti). 2.1.8. Financování informačních systémů: - Financování informačních systémů je popsáno v dokumentu Plán financování informačních systémů (příloha č. 4). - Příloha č. 4 se aktualizuje průběžně, minimálně 1x ročně. 2.1.9. Naplňování informační koncepce: - Za jeden z nejdůležitějších mechanismů dlouhodobého řízení lze považovat vyhodnocování, zda se dodržují a naplňují požadavky, které jsou stanoveny v informační koncepci. Na základě tohoto vyhodnocení se formulují závěry a v případě zjištěných nedostatků jsou přijímána přiměřená opatření k jejich odstranění. - Vyhodnocování dodržování informační koncepce probíhá min. 1 x za 2 roky a je popsáno v dokumentu Zápis o vyhodnocení informační koncepce (příloha č. 1). - Příloha č. 1 se aktualizuje minimálně 1x za 2 roky. - Revize informační koncepce probíhá minimálně 1x za 2 roky. - Vypracování nové informační koncepce probíhá minimálně 1x za 5 roků. 2.1.10. Odpovědnosti osob: Vrcholnou odpovědnost za naplnění informační koncepce má Odbor informatiky. 2.1.11. Přílohy - Příloha č. 1 Zápis o vyhodnocení informační koncepce. - Příloha č. 2 Katalog informačních systémů. - Příloha č. 3 Plán rozvoje informačních systémů.

- Příloha č. 4 Plán financování informačních systémů. 10 /52

11 /52 3. Informační systémy - Informační systémy města a jejich služby a charakteristiky jsou popsány v dokumentu Katalog informačních systémů (příloha č. 2). - Příloha č. 2 se aktualizuje průběžně, minimálně 1x ročně. - Seznam (portfolio) informačních systémů je obsahem následující tabulky

12 /52 Tabulka 6: Portfolio informačních systémů města Sokolov ID Název Zkratka Typ Specifikace Dodavatel IS 1 IS Proxio Proxio ISVS IS pro výkon agend veřejné správy Marbes Consulting s.r.o. IS 2 IS EVI 8 EVI ISVS IS pokrývající evidenci odpadů Inisoft s.r.o. IS 3 IS ESPI 8 ESPI ISVS IS pro evidenci správních řízení OŽP Inisoft s.r.o. IS 4 IS Spisová služba ELISA ELISA ISVS IS pro sledování oběhu dokumentů CNS a.s. IS 5 CityWare CityWare ISVS IS pro strateg. a operat. řízení města Geovap, spol. s r.o. IS 6 Správní agendy SA ISVS IS pro výkon agend veřejné správy Vita Software s.r.o. IS 7 Evidence myslivosti EM ISVS IS pro mysliveckou problematiku Ing. Karel Janeček - YAMACO Software IS 8 Evidence rybářských a mysliveckých průkazů ERM ISVS IS pro vedení rybář. a mysliv. lístků Ing. Karel Janeček - YAMACO Software IS 9 Evidence dopravních agend EDA ISVS IS pro agendy odborů dopravy Ing. Karel Janeček - YAMACO Software IS 10 Matrika Matrika ISVS Evidence narození, manželství, úmrtí MIRODATA Pohořal IS 11 Avensio Avensio PIS IS pro účetnictví i personální agendu Alfa Software s.r.o. IS 12 Archiv Archiv PIS IS pro archivaci dokumentů MIRODATA Pohořal IS 13 Kancelářské potřeby KP PIS IS pro skladové hospodářství Ing. Karel Janeček - YAMACO Software IS 14 ASPI ASPI PIS IS pro právní informace Wolters Kluwer, a.s. IS 15 PowerKey PowerKey PIS IS pro řízení identifikačních systémů TETRONIK výrobní družstvo Terezín

13 /52 ID Název Zkratka Typ Specifikace Dodavatel IS 16 Tetronik zvací Zvací PIS - TETRONIK výrobní družstvo Terezín IS 17 Prodej Bytů Prodej Bytů ISVS IS pro evidenci prodeje bytů CTM s.r.o. IS 18 Základní technické popisy ZPS ISVS IS pro evid. technické způsob. vozidel Autimo CZ s.r.o. IS 19 Lesní hospodářská kniha LHK ISVS IS pro hospodaření s lesním majetkem FORESTA SG, a.s. IS 20 AVG AVG PoIS IS pro ochranu PC proti virům Systém NET Karlovy Vary s.r.o.

14 /52 4. Záměry rozvoje informačních systémů Záměry rozvoje informačních systémů jsou podrobně popsány v dokumentu Plán rozvoje informačních systémů (příloha č. 3). V informační koncepci je uveden pouze seznam (portfolio) IT projektů a jejich rámcová specifikace. 4.1. Plán rozvoje informačních systémů - Plán rozvoje informačních systémů je plán pořizování, vytváření, provozování, změn a ukončení činnosti informačních systémů města. Součástí plánu je tedy přehled informačních systémů, které mají vzniknout, které mají být upraveny, které nahrazeny a které ukončeny bez náhrady. - Komponentami informačních systémů jsou informační a komunikační technologie, data a lidé. Pokud tedy hovoříme o rozvoji informačních systémů, tak hovoříme o rozvoji všech tří komponent, resp. celého IT města. - Plán rozvoje informačních systémů je upřesněním projektů, záměrů a cílů (dále jen souhrnně projektů) uvedených v informační koncepci. Ve svém jádru se v podstatě jedná o každoroční akční operativní plán, ve kterém jsou projekty podrobně specifikovány, vč. časového harmonogramu provádění příslušných aktivit. 4.2. Portfolio IT projektů - IT projekt je projekt vyvolaný za účelem pořízení nebo adaptace (změny) IT, směřující k dosažení předem určených cílů. Komplexnost IT projektů je dána skutečností, že projekty směřují k realizaci svých cílů ve vyvíjejícím se světě uživatelských cílů, požadavků, průběžně zlepšovaných věcných (business) procesů, rychle se vyvíjejících technologií a integrujících se systémů. - Portfolio IT projektů chápeme jako kolekci projektů, které sdílí stejné strategické cíle a využívají stejné zdroje, o které navzájem soutěží. - Portfolio IT projektů obsahuje aplikační IT projekty (týkající se aplikací) a ostatní IT projekty, které mohou být technologického, datového, organizačního, či jiného charakteru. 4.2.1. IT projekty Uvedené projekty vycházejí z rozpočtu města pro rok 2015. Veškeré projekty jsou jinak definované v dokumentu Informační strategie města Sokolov, který je vypracován na období 2014-2018. Dokument je k dispozici na odboru informatiky. Plánované a předpokládané rozvojové aplikační IT projekty s předpokládaným termínem realizace v letech 2015 2019: - Konsolidace IT a nové služby TC ORP Sokolov - Elektronizace a automatizace vnitřních procesů úřadu - Rozvoj IS pro Městskou policii - Rozšíření současného objednávkového systému na MěÚ - Finanční závazky vůči městu - Nasazení a rozšíření aplikace pro mobilní zařízení - Modernizace MAN, LAN

15 /52 4.3. Rámcová specifikace IT projektů 4.3.1. Konsolidace IT a nové služby TC ORP Sokolov Tabulka 7: Rámcová specifikace IT projektu Konsolidace IT a nové služby TC ORP Sokolov ID 1 Název Navrhovatel Popis Termín Konsolidace IT a nové služby TC ORP Sokolov Město Sokolov Jedná se o výzvu 22 IOP z kontinuální výzvy pro 6.2.1 konsolidace IT a nové služby TC obcí. Projekt má vazbu na zákon o bezpečnosti. Projekt si klade za cíle rozšíření technologického centra a infastruktury o systém zálohování, terminálové služby a zabezpečení LAN a WAN infrastruktury. Dále zvýšení bezpečnosti provozované infrastruktury prostřednictvím systému pro centrální logování, rozšíření VPN a funkcí Checkpoint a certifikační autoritu PKI. Dále elektronizaci agend veřejné správy v oblastech jednání rady a zastupitelstva, vyvolávacího zařízení a integrace elektronické úřední desky s portálem občana a zvýšení transparentnosti veřejné správy prostřednictvím publikace podrobného rozklikávacího rozpočtu v prostředí webové prezentace města. Předpokládaný termín zahájení 03. 03. 2014, ukončení realizace projektu 30. 09. 2015 termín bude z nedostatku financí ze strany ministerstva posunut nejspíše na rok 2015 Finance Předpokládané celkové způsobilé výdaje projektu: Kč 5.994.580,00 Priorita vysoká 4.3.2. Elektronizace a automatizace vnitřních procesů úřadu Tabulka 8: Rámcová specifikace IT projektu Elektronizace a automatizace vnitřních procesů úřadu ID 2 Název Elektronizace a automatizace vnitřních procesů úřadu

16 /52 Navrhovatel Popis Město Sokolov Elektronizace a automatizace vnitřních procesů úřadu (rozvoj platformy Sharepoint & Nintex dokumenty mimo spisovou službu) cestovní příkazy, žádost o volno, žádost o zvýšení kvalifikace Termín 2015 Finance Kč 200.000,00 Priorita 4.3.3. Rámcová specifikace IT projektu Rozvoj IS pro Městskou policii Tabulka 9: Rámcová specifikace IT projektu Rozvoj IS pro Městskou policii ID 3 Název Navrhovatel Popis Rozvoj IS pro Městskou policii Městská policie Operační mapa událostí, lokalizace událostí, Vazba operační evidence událostí s MKDS, Evidence pokutových bloků, Mapa kriminality, Predikce událostí, Sdílení operačních informací s okolními městy, Sdílení operačních informací se složkami IZS, Vazba Operační evidence událostí s PCO, Podpora kontrolních činností strážníků, Silniční hospodářství, Podpora evidence přestupků, Rozvoj mobilní aplikace - události Termín 2014-2018 Finance Kč 8.000.000,00 Priorita

17 /52 4.3.4. Rozšíření současného objednávkového systému na MěÚ Tabulka 10: Rozšíření současného objednávkového systému MěÚ ID 4 Název Navrhovatel Popis Rozšíření současného objednávkového systému na MěÚ Město Sokolov Rozšíření současného objednávkového systému na MěÚ (tzv. rezervace času úředníka) o on-line komunikaci, Virtuální úředník - analýza, integrace, HelpDesk, ve vazbě na pořizovanou ústřednu ReDat Termín 2015 Finance Kč 500.000,00 Priorita 4.3.5. Finanční závazky vůči městu Tabulka 11: Finanční závazky vůči městu ID 5 Název Navrhovatel Popis Finanční závazky vůči městu Město Sokolov Finanční závazky vůči městu - co má občan společného s městem Termín 2015 Finance Kč 500.000,00 Priorita

18 /52 4.3.6. Nasazení a rozšíření aplikace pro mobilní zařízení Tabulka 12: Nasazení a rozšíření aplikace pro mobilní zařízení ID 6 Název Navrhovatel Popis Nasazení a rozšíření aplikace pro mobilní zařízení Město Sokolov Nasazení a rozšíření aplikace pro mobilní zařízení (mapa města, místa na parkování, veřejné WC, kontakty na muzea, restaurace, veřejné instituce včetně na integraci vlastních řešení typu Maruschka Foto) Termín 2015 Finance Kč 500.000,00 Priorita 4.3.7. Modernizace MAN, LAN Tabulka 13: Modernizace MAN, LAN ID 7 Název Navrhovatel Popis Modernizace MAN, LAN Město Sokolov provedení upgrade prvků LAN a MAN - obnova zastaralých technologií, využití nových technologií s důrazem na bezpečnost (upgrade aktivních prvků metropolitní sítě) Termín 2015 Finance Kč 1.200.000,00 Priorita

19 /52 5. Řízení kvality informačních systémů 5.1. Systém řízení kvality informačních systémů - Systémem řízení kvality informačních systémů se rozumí část systému řízení založená na přístupu k aktivům informačních systémů, která stanoví způsob ustavení, zavádění, provoz, monitorování, přezkoumání, udržování a zlepšování kvality zpracovávaných dat a informací, poskytovaných služeb a používaných technologických a programových prostředků. - Systém řízení kvality informačních systémů přijímá požadavky a očekávání zainteresovaných stran na kvalitu informačních systémů a pomocí nezbytných činností a procesů vytváří řízenou kvalitu, která splňuje tyto požadavky a očekávání. - Základní cyklus systému řízení kvality informačních systémů: o Plánuj plánování v oblasti řízení kvality informačních systémů. o Dělej realizace požadavků na kvalitu informačních systémů. o Kontroluj - ověřování splnění požadavků na kvalitu informačních systémů. o Jednej vyhodnocení požadavků na kvalitu informačních systémů. Obrázek 1: Základní cyklus systému řízení kvality IS (PDCA cyklus) - Kvalitou informačních systémů se rozumí především: o Kvalita dat (a informací), která jsou v těchto systémech zpracovávána. o Kvalita služeb, které jsou prostřednictvím těchto systémů poskytovány. o Kvalita používaných technologických a programových prostředků (HW/SW), jejichž prostřednictvím jsou prováděny informační činnosti v oblasti řízení kvality. 5.1.1. Lidské zdroje systému řízení kvality informačních systémů - Základní lidské zdroje a jejich role v rámci systému řízení kvality informačních systémů: - Vedoucí odborů (a jiných organizačních jednotek) odpovědnost za data a jejich kvalitu.

3 20 /52 - Interní auditor osoba nezávislá na ostatních organizačních jednotkách provádějící vyhodnocování naplňování a dodržování informační koncepce. - Externí dodavatelé informačních systémů. 5.2. Základní dlouhodobé cíle kvality informačních systémů - Zajištění kvality zpracovávaných dat a informací. - Zajištění kvality poskytovaných služeb. - Zajištění kvality používaných technologických a programových prostředků. 5.3. Charakteristiky kvality informačních systémů 5.3.1. Kvalita zpracovávaných dat a informací - Základní charakteristiky kvality zpracovávaných dat a informací: o Přesnost dat - reprezentace skutečné hodnoty v IS by měla být v kontextu jejího použití dostatečně přesná. o Úplnost dat - v IS by měly být vedeny hodnoty pokud možno pro všechny atributy entity, a také všechny ostatní relevantní entity. o Konzistence dat - různé údaje ke stejné entitě v IS by neměly být ve zřejmém logickém rozporu. o Aktuálnost dat - IS by měl využívat a poskytovat aktuální data. o Důvěryhodnost dat - data, poskytovaná IS by měla být pravdivá a důvěryhodná. o Přístupnost dat - data vedená v IS by měla být vedena v takové formě, aby byla přístupná, a to zejména pro osoby, které vyžadují podpůrné technologie. o Dostupnost dat - data vedená v IS by měla být vždy dostupná všem uživatelům s oprávněním k přístupu. o Utajitelnost dat - data vedená v IS by měla být přístupná pouze oprávněným uživatelům. o Srozumitelnost dat - data vedená v IS by měla být snadno interpretovatelná uživatelem a vyjádřena ve vhodném jazyce a jednotkách. o Efektivita dat - při zpracování dat v IS by měl být zajištěn odpovídající výkon systému a mělo by být využito odpovídající množství systémových zdrojů. o Přenositelnost dat - data vedená v IS by měla umožňovat převod na odlišnou platformu při zachování své kvality. o Sledovatelnost dat - při přístupu k datům, vkládání nebo změně dat v IS by mělo probíhat sledování kdo a kdy k datům přistupoval a kdo a kdy vložení nebo změny provedl. o Soulad dat v IS s právními předpisy - data v IS musí být uložena v souladu s platnými obecně závaznými právními předpisy. Data v IS by měla být uložena podle veřejně dostupných standardů a datových formátů. 5.3.2. Kvalita poskytovaných služeb - Základní charakteristiky kvality poskytovaných služeb:

3 21 /52 o Dostupnost služeb - služby IS by měly být dostupné za předem určených podmínek (místo, formát, čas). o Přehlednost služeb - služby IS, zejména ty, které využívají grafického uživatelského rozhraní, by měly být přehledné. o Srozumitelnost služeb - služby IS, zejména ty, které využívají grafického uživatelského rozhraní, by měly být srozumitelné. o Přístupnost služeb - služby IS, zejména ty, které využívají grafického uživatelského rozhraní, by měly být přístupné i uživatelům, kteří pro přístup vyžadují speciální technologie. o Interoperabilita služeb - služby IS by měly být způsobilé ke komunikaci s jinými informačními systémy. o Dohledatelnost služeb - služby IS by měly být dohledatelné za pomoci běžných nástrojů. 5.3.3. Kvalita používaných technologických a programových prostředků - Základní charakteristiky kvality používaných technologických a programových prostředků: o Funkčnost software - IS by měl poskytovat funkce, které uspokojují stanovené a předpokládané potřeby. o Interoperabilita software - IS by měl být schopen interakce s dalšími IS. o Použitelnost software - IS by měl být pro své uživatele srozumitelný, zvládnutelný a atraktivní. o Efektivita software - IS by měl poskytovat odpovídající výkon při odpovídajícím využití systémových zdrojů. o Bezporuchovost software - IS by měl poskytovat bezporuchový provoz. o Udržovatelnost software - IS by měl být způsobilý k úpravám a implementaci nových funkcí dle nových legislativních a dalších požadavků. o Přenositelnost software - IS by měl být způsobilý k převodu na odlišnou platformu při zachování své kvality. o Dostupnost software - IS by měl být dostupný pro všechny oprávněné uživatele. o Certifikace hardware - technologické prostředky IS by měly mít platnou certifikaci pro zamýšlené programové prostředky. o Odolnost hardware vůči poruchám - technologické prostředky IS by měly být odolné vůči poruchám. o Úroveň služeb síťové infrastruktury - síťová infrastruktura města nezbytná pro provoz IS by měla být na odpovídající úrovni. o Úroveň internetové konektivity - konektivita do internetu nezbytná pro provoz IS by měla být na odpovídající úrovni. 5.4. Plán řízení kvality informačních systémů - Plán řízení kvality informačních systémů pokrývá všechny základní oblasti kvality informačních systémů, především však oblast kvality zpracovávaných dat jako nejcennějšího informačního aktiva. Data jsou kvalitní tehdy, pokud o nich uživatelé (zjednodušeně) řeknou, že jsou přesná a použitelná ke svému určení. Zodpovědní za data a jejich kvalitu tedy nejsou lidé z odboru informatiky, ale přímo

3 22 /52 uživatelé systémů (prostřednictvím klíčového uživatele), kteří mají k datům nejblíže, rozumí jim a ví, jestli jsou správná a úplná. - Kvalita zpracovávaných dat není statická, ale dynamická - v čase se mění. Řízení datové kvality je nekonečný proces s dílčími kroky a přínosy (viz. PDCA cyklus). - Formulace plánu řízení kvality dat má několik kroků: o stanovení relevantních nástrojů řízení kvality dat, o stanovení relevantních charakteristik kvality dat viz. kap. 5.3.1., o stanovení dlouhodobých cílů kvality dat, o stanovení požadavků na kvalitu dat, o stanovení nezbytných činností v oblasti řízení kvality dat a stanovení odpovědností osob za tyto činnosti, o stanovení časového harmonogramu plnění cílů kvality a požadavků na kvalitu dat. 5.4.1. Nástroje řízení kvality dat informačních systémů - Řízení datové kvality je uskutečňováno dodržováním stanovených pravidel a postupů za použití vhodných nástrojů: o nástroje data profiling - popisuje již uložená data v informačních systémech, a identifikuje tak jejich úplnost nebo nedostatky (vč. dohledání vzájemných vztahů mezi objekty i napříč několika systémy), o nástroje data monitoring - upozorňují uživatele v reálném čase na základě stanovených pravidel a postupů a zabraňují tak opětovnému vzniku nedostatků (uživatelé jsou upozorňováni, pokud byly zadány hodnoty mimo stanovený rámec, pokud nebyla splněna stanovená pravidla, nebo když je vývoj a postup procesu v rozporu s jeho definicí), o nástroje data cleansing specializované nástroje čištění dat používající složitější a sofistikovanější metody, které mají vestavěné různé vzory a předdefinované operace (několik základních manuálních čisticích operací provádějí pracovníci odboru informatiky, např. prostřednictvím SQL skriptů), o nástroje verifikace dat data se povinně ověřují vůči interním či externím číselníkům (prostřednictvím systému základních registrů), o nástroje obohacování dat data se doplňují za využití externích, volně přístupných zdrojů informací.

23 /52 5.4.2. Stanovení dlouhodobých cílů kvality dat - Dlouhodobé cíle kvality dat a informací informačních systémů městského úřadu by měly být v souladu s celkovou strategií rozvoje města. Každý dlouhodobý cíl kvality dat a informací má stanovený požadovaný termín naplnění. - Dlouhodobé cíle kvality dat a informací informačních systémů města jsou obsahem následující tabulky. Tabulka 14: Dlouhodobé cíle kvality dat a informací informačních systémů města Charakteristiky kvality dat Dlouhodobé cíle kvality dat a informací informačních systémů města Označení cíle Termín Přesnost dat Přesné údaje v informačních systémech (typu evidence). CKD1 Probíhá průběžně Úplnost dat Zaznamenané všechny povinné údaje u všech dotčených subjektů. CKD2 Probíhá průběžně Konzistence dat Konzistentní data ve všech informačních systémech. CKD3 Probíhá průběžně Aktuálnost dat Informační systémy poskytují aktuální data. CKD4 Probíhá průběžně Důvěryhodnost dat Informační systémy využívají a poskytují důvěryhodné údaje. CKD5 Probíhá průběžně Přístupnost dat Data informačních systémů jsou přístupná všem oprávněným uživatelům vč. handicapovaných. CKD6 2015 Dostupnost dat Data informačních systémů jsou dostupná všem oprávněným uživatelům. CKD7 Probíhá průběžně Utajitelnost dat Data informačních systémů jsou odpovídajícím způsobem chráněna před zneužitím. CKD8 Probíhá průběžně Srozumitelnost dat Data na výstupu informačních systémů jsou snadno pochopitelná. CKD9 Probíhá průběžně Efektivita dat Data jsou v informačních systémech efektivně zpracovávána. CKD10 Probíhá průběžně Přenositelnost dat Data jsou přenositelná na jinou platformu. CKD11 2018-2019 Sledovatelnost dat Přístup k datům je auditovatelný. CKD12 Probíhá průběžně Soulad dat s právními předpisy Data jsou v informačních systémech vedena v souladu s požadavky platné legislativy a obecných standardů. CKD13 Probíhá průběžně

24 /52 5.4.3. Stanovení požadavků na kvalitu dat - Požadavky na kvalitu dat a informací jsou konkretizací dlouhodobých cílů kvality dat a informací. Požadavky by měly být měřitelné a termínované. - U požadavků na kvalitu dat a informací vztahujících se k danému cíli se stanoví dílčí termíny (milníky) takové, aby byl splněn konečný termín požadovaného naplnění cíle. - Požadavky na kvalitu dat a informací informačních systémů města jsou obsahem následující tabulky. Tabulka 15: Požadavky na kvalitu dat a informací informačních systémů města Označení cíle Požadavky na kvalitu dat Školení uživatelů o povědomí kvality dat. Označení požadavku PKD1 Milník CKD1 Implementace SQL skriptů pro automatické čištění dat. PKD2 Probíhá průběžně Pořízení SW nástroje pro data profiling, monitoring, cleansing. PKD3 CKD2 Při vkládání evidenčních údajů požadovat přesné vyplnění všech povinných položek. PKD4 Probíhá průběžně CKD3 Při vkládání údajů provádět kontroly správnosti (např. IČ, RČ) implementací automatizovaných kontrolních mechanizmů. PKD5 Probíhá průběžně CKD4 Povinná verifikace dat oproti základním registrům veřejné správy. PKD6 Probíhá průběžně CKD5 Při návrhu nových informačních systémů aplikovat zásadu pro import aktuálních dat přímo z registrů městského úřadu a ze základních registrů veřejné správy. PKD7 Probíhá CKD6 V informačních systémech ukládat data v podobě přístupné i handicapovaným PKD8 2015

25 /52 uživatelům. CKD7 Zavést a definovat bezpečnostní politiku přístupů uživatelů. PKD9 Probíhá průběžně CKD8 Používat datové prvky vyhlášené v ISDP (Informační systém o datových prvcích). Používat unifikované kódování textů (UTF-8). PKD10 PKD11 probíhá CKD9 Homogenizace datové základny. PKD12 2016 CKD10 Používat otevřené datové formáty a formáty nezávislé na platformě. Využívat definovaných rozhraní pro sdílení dat mezi různými systémy. PKD13 PKD14 2015 CKD11 Zajistit účtovatelnost uživatelských přístupů ke všem informačním systémům. PKD15 Probíhá průběžně CKD12 Sledování a naplňování požadavků relevantní legislativy (zákon č. 101/2000 Sb., o ochraně osobních údajů, zákon č. 106/1999 Sb., o svobodném přístupu k informacím, vyhláška č. 442/2006 Sb., kterou se stanoví struktura informací zveřejňovaných o povinném subjektu způsobem umožňujícím dálkový přístup, vyhláška č. 64/2008 Sb. o přístupnosti). PKD16 Probíhá průběžně

26 /52 5.4.4. Stanovení nezbytných činností v oblasti řízení kvality dat - V oblasti řízení kvality dat budou periodicky (PDCA cyklus) vykonávány následující činnosti: o Stanovení cílů kvality: - Stanovení požadavků na kvalitu: manažer kvality IT vymezí obecné cíle kvality, popíše je, přidělí jim příslušné atributy (charakteristiky) včetně požadovaného termínu naplnění a sestaví katalog cílů kvality. o obecné cíle kvality jsou předány osobám odpovědným za data, které buď konstatují, že jejich IS a zpracovávaná data již cíl splňuje, nebo sestaví požadavky, jejichž postupným splněním bude tento cíl naplněn, o u požadavků stanoví dílčí termíny takové, aby byl splněn termín požadovaného naplnění cíle, o manažer kvality IT sestaví seznam požadavků na kvalitu, který je součástí katalogu cílů kvality. - Implementace požadavků na kvalitu: o vychází z požadavků na kvalitu a časového harmonogramu jejich naplnění, o provádí externí dodavatelé informačních systémů nebo manažer kvality IT v závislosti na způsobu budování, resp. údržby informačních systémů. - Prověrka naplnění a dodržování požadavků na kvalitu: o provádí interní auditor, o impuls dává manažer kvality IT, o prověřuje se buď konkrétní implementace požadavku na konkrétním IS, nebo konkrétní požadavek na všech relevantních IS nebo všechny požadavky na vybraném IS, apod., o z prověření se vytváří zápis, který obdrží členové Řídícího výboru pro IT. - Vyhodnocení řízení kvality: o minimálně jednou za rok provádí manažer kvality IT, o součástí je vyhodnocení závěrů z provedených prověrek dodržování požadavků na kvalitu, o provede se též revize dlouhodobých cílů kvality a jejich aktualizace, o vyřadí se implementované a prověřené požadavky na kvalitu a vytvoří se nové.

27 /52 6. Řízení bezpečnosti informačních systémů 6.1. Zákon o kybernetické bezpečnosti - Základní povinnosti ze zákona o kybernetické bezpečnosti: o řízení rizik, o vytvoření a schválení bezpečnostní politiky v oblasti systému řízení bezpečnosti informací, která obsahuje hlavní zásady, cíle, bezpečnostní potřeby, práva a povinnosti ve vztahu k řízení bezpečnosti informací a na základě bezpečnostních potřeb a výsledků hodnocení rizik stanoví bezpečnostní politiku i v dalších oblastech a zavede příslušná bezpečnostní opatření, o aktualizace zprávy o hodnocení rizik, bezpečnostní politiky, plánu zvládání rizik a plánu rozvoje bezpečnostního povědomí. 6.2. Systém řízení bezpečnosti informací - Systémem řízení bezpečnosti informací (ISMS - Information Security Management System) se rozumí část systému řízení města založená na přístupu k rizikům informačních systémů, která stanoví způsob ustavení, zavádění, provoz, monitorování, přezkoumání, udržování a zlepšování bezpečnosti informací. - ISMS přijímá požadavky a očekávání zainteresovaných stran na bezpečnost informací a pomocí nezbytných činností a procesů vytváří řízenou bezpečnost, která splňuje tyto požadavky a očekávání. - ISMS primárně vychází z následujících bezpečnostních norem, rámců a metodik: o ISO/IEC 27001:2005 Systémy řízení bezpečnosti informací Požadavky o ISO/IEC 27002:2005 Soubor postupů pro management bezpečnosti informací o ISO/IEC 27001:2013 Systémy řízení bezpečnosti informací Požadavky o ISO/IEC 27002:2013 Soubor postupů pro opatření bezpečnosti informací o ISO/IEC 20000-1:2011 Řízení služeb Požadavky na systém řízení služeb o COBIT 5 for Information Security metodika pro strategické a operativní řízení informační bezpečnosti - PDCA cyklus základní cyklus systému řízení bezpečnosti informací: o Plánuj plánování v oblasti řízení bezpečnosti informací. o Dělej realizace požadavků na bezpečnost informací. o Kontroluj - ověřování splnění požadavků na bezpečnost informací. o Jednej vyhodnocení požadavků na bezpečnost informací.

28 /52 Obrázek 2: Základní cyklus ISMS - Manažer bezpečnosti IT základní role řízení bezpečnosti informací. 6.3. Bezpečnostní politika - Bezpečnostní politika tvoří jeden ze základních pilířů, na kterém stojí systém řízení bezpečnosti informací. Definuje základní bezpečnostní požadavky, opatření a nařízení, které mají za cíl zajistit ochranu a bezpečnost informací města. - Struktura bezpečnostní politiky dle zákona o kybernetické bezpečnosti: o systém řízení bezpečnosti informací, o organizační bezpečnost, o řízení dodavatelů, o klasifikace aktiv, která zahrnuje pravidla pro bezpečné nakládání s aktivy, o bezpečnost lidských zdrojů, o řízení provozu a komunikací, o řízení přístupu, o bezpečné chování uživatelů, o používání kryptografické ochrany, o nasazení a používání nástroje pro detekci kybernetických bezpečnostních událostí, o ochrana před škodlivým kódem. 6.3.1. Bezpečnost zpracovávaných dat a informací - Základním cílem bezpečnosti zpracovávaných dat a informací je zajištění jejich integrity, dostupnosti a důvěrnosti, a to při současném zajištění dohledatelnosti aktivit ve vztahu k informacím a prostředkům pro jejich zpracování:

29 /52 o Dostupnost dat - data v IS jsou k dispozici vždy, když jsou oprávněně autorizovaným uživatelem vyžadována. o Důvěrnost dat - data v IS jsou chráněna před neautorizovaným přístupem, rozšiřováním, modifikací a před ztrátou či zničením dle principu identifikace, autentizace a autorizace uživatele. o Integrita dat - data v IS jsou autentická, přesná a úplná. 6.4. Plán řízení bezpečnosti informačních systémů - Plán řízení bezpečnosti informačních systémů (informací) vychází z požadavků zákona o kybernetické bezpečnosti. - Odpovědnost za naplnění Plánu řízení bezpečnosti informačních systémů má vedoucí odboru OI. - Konečným termínem naplnění Plánu řízení bezpečnosti informačních systémů je 31. 12. 2019. - Plán řízení bezpečnosti informačních systémů je obsahem následující tabulky

30 /52 Tabulka 16: Plán řízení bezpečnosti informačních systémů (informací) I. Organizační opatření bezpečnosti informací PLÁN ŘÍZENÍ BEZPEČNOSTI INFORMAČNÍCH SYSTÉMŮ (INFORMACÍ) ID OOI.1 OOI.2 OOI.3 OOI.4 OOI.5 OOI.6 Organizační opatření Systém řízení bezpečnosti informací (cyklus plánuj dělej kontroluj jednej): - požadavky vychází z PDCA cyklu ISO/IEC 27001 - omezeny úkony v oblasti zpětné vazby - pouze aktualizace existujících plánů Řízení rizik: - identifikace a hodnocení rizik primárních aktiv významných informačních systémů - určí a schválí zbytková rizika, vytvoří zprávu o hodnocení rizik a provádí její pravidelnou aktualizaci, vytvoří prohlášení o aplikovatelnosti, zpracuje a zavede plán zvládání rizik Bezpečnostní politika: - stanovení pravidel pro 10 základních oblastí kybernetické bezpečnosti (ISMS, aktiva, rizika, ) - hodnocení účinnosti politik a jejich aktualizace Organizační bezpečnost: - dokumentace o bezpečnostních rolích Stanovení bezpečnostních požadavků na dodavatele: - využití dodavatelů při rozvoji, provozu ICT nebo zajištění bezpečnosti podmíněno smlouvou včetně ujednání o bezpečnosti informací Řízení aktiv: - identifikování a ohodnocení primárních aktiv, určení garanta aktiva - stanovení a prosazení pravidel pro ochranu aktiv podle jejich klasifikace - spolehlivé mazání a likvidace

31 /52 OOI.7 OOI.8 OOI.9 OOI.10 OOI.11 OOI.12 OOI.13 Bezpečnost lidských zdrojů: - poučení o bezpečnosti informací, kontrola dodržování pravidel, plán rozvoje bezpečnostního povědomí, vrácení svěřených prostředků Řízení provozu a komunikací: - detekce kybernetických bezpečnostních událostí a jejich vyhodnocení - zajištění bezpečného provozu, stanovení provozních pravidel a postupů Řízení přístupu a bezpečné chování uživatelů: - povinnost řízení přístupu - závazek ochrany autorizačních údajů ze strany všech uživatelů Akvizice, vývoj a údržba: - stanovení bezpečnostních požadavků na systémy Zvládání kybernetických bezpečnostních událostí a incidentů: - zajistit hlášení kybernetických bezpečnostních incidentů: - připravit prostředí pro vyhodnocení kybernetických bezpečnostních událostí - provést neprodlené hlášení kybernetického bezpečnostního incidentu - dokumentuje systém zvládání kybernetických bezpečnostních incidentů Řízení kontinuity činností: - dokumentace strategie a cílů řízení kontinuity + postupy pro provedení protiopatření Kontrola a audit: - dokumentace požadavků relevantních právních a regulatorních předpisů a smluvních závazků: - provádění a dokumentování kontrol dodržování stanovených pravidel II. Technická opatření bezpečnosti informací ID Technická opatření

32 /52 TOII.1 TOII.2 TOII.3 TOII.4 TOII.5 Fyzická bezpečnost: - ochrana neoprávněného vstupu, poškození, kompromitace aktiv - prostředky fyzické bezpečnosti mechanické zábranné, EZS, vstupní systémy, kamerové systémy, UPS, klima Nástroj pro ochranu integrity komunikačních sítí: - ochrana integrity rozhraní vnější a vnitřní sítě: - bezpečné řízení komunikace mezi vnější a vnitřní sítí - segmentace pomocí DMZ k zamezení přímé komunikace mezi vnější a vnitřní sítí - šifrování pro vzdálený přístup a bezdrátové technologie - blokování informací, které neodpovídají požadavkům Nástroje pro ověřování identity uživatelů: - nástroje pro ověření identity musí zajistit: - ověření identity všech uživatelů - minimální délku hesla 8 znaků - minimální složitost alespoň jedno velké písmeno, jedno malé písmeno, číslici a speciální znak - maximální dobu platnosti hesla 100 dní Nástroje pro řízení přístupových oprávnění: - nástroje pro řízení přístupových práv musí zajistit: - řízení oprávnění uživatelů k aplikacím a datovým entitám - řízení oprávnění: čtení, zápis a změna oprávnění Nástroj pro ochranu před škodlivým kódem: - povinné použití nástrojů pro antivirovou ochranu: - ověření a kontrola komunikace mezi interní a veřejnou sítí - ověření a kontrola serverů a sdílených prostředků - ověření a kontrola pracovních stanic - pravidelná aktualizace

33 /52 TOII.6 TOII.7 TOII.8 TOII.9 Nástroj pro zaznamenávání činností významných informačních systémů, jejich uživatelů a správců: - povinné použití nástrojů pro zaznamenávání činností, které zajistí: - sběr informací o událostech a jejich ochranu - zaznamenání následujících událostí přihlášení a odhlášení, činnosti privilegovaných účtů, činnosti vedoucí k navýšení oprávnění neúspěšné činnosti, spuštění a ukončení práce systému, varování a chybová hlášení, přístupy a manipulace s logy, použití mechanismů autentizace, odmítnuté činnosti v důsledku nedostatku oprávnění - synchronizace času Nástroj pro detekci kybernetických bezpečnostních událostí: - povinné použití nástroje pro detekci kybernetických bezpečnostních událostí - kontrola a případné blokování komunikace mezi vnitřní a vnější sítí Aplikační bezpečnost: - provádí bezpečnostní testy aplikací přístupných z vnější sítě před uvedením do provozu Kryptografické prostředky: - stanovení politiky kryptografické ochrany: - typ a síla kryptografického algoritmu - ochrana přenosu po komunikačních sítích, uložení na mobilní zařízení nebo vyměnitelná média III. Bezpečnostní dokumentace ID BDIII.1 Bezpečnostní dokumentace Bezpečnostní politika Metodika pro identifikaci a hodnocení aktiv a pro identifikaci a hodnocení rizik Zpráva o hodnocení rizik Prohlášení o aplikovatelnosti Plán zvládání rizik Plán rozvoje bezpečnostního povědomí

34 /52 Zvládání kybernetických bezpečnostních incidentů Strategie řízení kontinuity činností Přehled obecně závazných právních předpisů, vnitřních předpisů a jiných předpisů a smluvních závazků IV. Certifikace ISMS ID CIV.1 Certifikace Certifikace systému řízení bezpečnosti informací

35 /52 7. Správa informačních systémů 7.1. Životní cyklus informačního systému - Fáze životního cyklu IS: o fáze přípravy - shromáždění a posouzení požadavků, formulace zadání IS, o fáze pořízení/vývoje pořízení/tvorba, přizpůsobení zákaznickým požadavkům - customizace, testování, instalace, implementace, o fáze provozu a údržby, o fáze ukončení provozu. - Zásady správy informačního systému dle jednotlivých fází životního cyklu jsou obsahem následující tabulky. Tabulka 17: Zásady správy informačního systému dle jednotlivých fází životního cyklu Fáze životního cyklu IS Zásady správy IS Sběr podnětů k novému IS 1. Příprava Zpracování záměru pořízení IS dodavatelským způsobem Zpracování záměru vytvoření (vývoje) IS vlastními zdroji Pořízení IS dodavatelským způsobem 2. Pořízení/Vývoj (vytvoření) Vývoj (vytvoření) IS vlastními zdroji Instalace a testování IS Příprava nasazení IS do rutinního provozu Nasazení IS do rutinního provozu 3. Provoz a údržba Zajištění provozu a údržby IS Řízení změn IS 4. Ukončení provozu a činnosti Ukončení provozu IS Ukončení činnosti IS 7.2. Základní role správy informačního systému 7.2.1. Systémový správce - Základní pravomoci a odpovědnosti systémového správce: o od různých zdrojů shromažďuje veškeré náměty a požadavky na IS, o formuluje zadání pro vytvoření/úpravu IS nebo jeho části (subsystému, modulu), o posuzuje analýzu řešitele (dodavatele) a ve formě nabídky ji předkládá prostřednictvím vedoucího odboru ke schválení odpovědným orgánům města,

36 /52 o prostřednictvím vedoucího odboru předkládá požadavky a návrhy na finanční krytí IS z investičních nebo neinvestičních prostředků správci rozpočtu k posouzení a konečnému rozhodnutí odpovědných orgánů města, o předkládá požadavky na počet licencí a garantuje majetková, licenční a užívací práva k IS, o upřesňuje podmínky realizace, navrhuje a konzultuje s dodavatelem IS platformu pro budoucí realizaci IS a začlenění do stávajícího informačního systému a je odpovědný za její zřízení a funkčnost, o v součinnosti s dodavatelem a bezpečnostním správcem provádí instalaci a konfiguraci IS dle dodané instalační dokumentace, o je odpovědný za životní cyklus IS, o je odpovědný za pořízení takového IS, který koresponduje s celkovou koncepcí a plánovaným rozvojem informačního systému města, o je odpovědný za obsah a provedení akceptačního testování a za akceptaci IS po stránce funkčnosti a spolehlivosti. 7.2.2. Bezpečnostní správce - Základní pravomoci a odpovědnosti bezpečnostního správce: 7.2.3. Klíčový uživatel o provádí uplatňování a kontrolu funkčnosti bezpečnostních opatření a mechanismů, a na základě zkušeností přezkoumává a navrhuje pozitivní změny bezpečnostní politiky, o je odpovědný za vytvoření bezpečnostních směrnic, přípravu a realizaci potřebných školení, o zabezpečuje plynulý, bezporuchový a bezpečný průběh rutinního provozu IS v oblasti bezpečnosti HW, systémového SW a bezpečnosti provozu IS, o je odpovědný za řízení bezpečnostních incidentů. - Základní pravomoci a odpovědnosti klíčového uživatele: o zaměstnanec daného odboru či oddělení městského úřadu, který IS v rozsahu svých uživatelských oprávnění používá jako prostředek k automatizovanému provádění konkrétních činností v rámci svého pracovního pověření a jako zdroj pro něj nezbytných informací, o z uživatelského hlediska zodpovídá (a provádí kontrolu) za kvalitu zpracovávaných dat a informací, provádí kontrolu kvality poskytovaných služeb a kontrolu kvality používaných technologických a programových prostředků, o poskytuje součinnost systémovému a bezpečnostnímu správci v rámci realizace celého životního cyklu IS, o je spoluodpovědný za zajištění či vytvoření uživatelských příruček. 7.3. Příprava informačního systému 7.3.1. Sběr podnětů k novému IS - Podnětem k novému ISVS mohou být:

37 /52 o mise, poslání, strategické cíle města, o novely právních předpisů či nově vzniklé legislativní předpisy (zákony, vyhlášky, nařízení), o místní legislativní předpisy (např. vyhlášky), interní směrnice a nařízení, o požadavky uživatelů IS reprezentované klíčovým uživatelem, o podněty správců IS (změny topologie počítačové sítě, změna HW a SW platformy, ztráta dat a jiné havárie, atp.), o další jiné podněty (např. podněty vzešlé z porad, analýza chybových hlášení, aj.). - Základní realizované postupy: o shromáždění podnětů a požadavků z různých míst a od různých subjektů u systémového správce, o posouzení došlých požadavků správci IS a jejich prvotní eliminace - schválení nebo zamítnutí, o předání požadavků ke schválení vedoucím orgánům města. 7.3.2. Zpracování záměru pořízení IS dodavatelským způsobem - Základní realizované postupy: o definování potřeby IS, analýza zdrojů pro jeho pořízení, očekávaná finanční náročnost (v případě potřeby též analýza časové dostupnosti zdrojů apod.), o analýza výchozího stavu (též s ohledem na možnost využití služeb nebo zdrojů jiných IS), o stanovení požadovaného cílového stavu IS (vyplývající z definice potřeby IS), o stanovení požadavků na kvalitu a bezpečnost IS (vyplývající z dlouhodobých cílů a obecných požadavků), o analýza důsledků, které pořízení IS může vyvolat (např. dopad na procesy, činnost městského úřadu, organizační opatření apod.), o definice požadavků na dokumentaci IS, požadavky na oprávnění nezbytná pro provádění údržby a změn v IS, a to v závislosti na tom, zda hodlá údržbu a změny systémový či bezpečnostní správce IS provádět vlastními silami, nebo bude údržbu a změny provádět taktéž dodavatel, o požadavky na projektové řízení u dodavatele, přičemž je možné ponechat výběr metody na dodavateli; doporučuje se vycházet z obecně uznávaných českých norem v této oblasti (např. ČSN ISO/IEC 15288 Systémové inženýrství - Procesy životního cyklu systému), o požadavky na testování IS a podmínky akceptace. - Zadávání veřejných zakázek v oblasti IS se řídí zákonem o veřejných zakázkách. Základní realizované postupy: o vypracování a schválení záměru a zadání IS, o předání poptávky (zadání) řešitelům (uchazečům, dodavatelům) k vypracování návrhu na řešení, o vypracování nabídek řešiteli (mj. analýza problematiky včetně dopadů na informační a komunikační infrastrukturu, cenová kalkulace, návrh smluvního ujednání, návrh řešení ochrany autorských práv),