Vyhláška o dlouhodobém řízení informačních systémů veřejné správy

ČÁST PRVNÍ

ÚVODNÍ USTANOVENÍ

§ 1

Předmět úpravy

Tato vyhláška stanoví

• a) požadavky na strukturu a náležitosti informační koncepce orgánu veřejné správy a postupy orgánů veřejné správy při jejím vytváření, vydávání a při vyhodnocování jejího dodržování,

• b) požadavky na řízení informačních systémů veřejné správy (dále jen „informační systém“) a dekomponování informačních systémů,

• c) technické požadavky na informační systémy,

• d) pravidla pro strukturování dat v informačních systémech,

• e) požadavky na strukturu a náležitosti hodnocení ekonomické výhodnosti způsobu provozu informačních systémů, hodnocení ekonomické výhodnosti provozu informačních systémů a hodnocení ekonomické výhodnosti využití poptávaného cloud computingu a postup při jejich provádění a

• f) požadavky na strukturu a náležitosti provozní dokumentace a na rozsah provozní dokumentace předkládané při atestaci.

§ 2

Vymezení pojmů

Pro účely této vyhlášky se rozumí

• a) řízením informatiky činnost související s vytvářením, správou, provozováním, užíváním a rozvojem informačních systémů,

• b) architekturou orgánu veřejné správy použití metody architektury úřadu na orgán veřejné správy jako celek,

• c) metodou architektury úřadu poznání a popis celkové struktury a chování úřadu jakožto systému, který je vyjádřen výčtem jeho prvků, klíčových vlastností těchto prvků, vazeb mezi nimi, klíčových vazeb těchto prvků na okolí, a který je zároveň vyjádřen principy navržení a budoucího vývoje tohoto systému,

• d) metodou architektury řešení poznání a popis architektury informačního systému vypovídající o tom, jak tento informační systém naplňuje požadavky na něj kladené,

• e) centrální sdílenou službou služba informačního systému poskytovaná prostřednictvím informačního systému, který je spravovaný ústředním správním úřadem, a který je určený k poskytování služeb těm informačním systémům, které spravují jiní správci,

• f) komponentou část informačního systému, která je jednoznačně oddělitelná od jiných částí informačního systému a zabezpečuje cílevědomou a systematickou informační činnost,

• g) otevřeným zdrojovým kódem eGovernmentu zdrojový kód komponenty určený pro další využití jiným orgánem veřejné správy,

• h) prostředím informačního systému výskyt sady jeho komponent splňující určitý účel v rámci životního cyklu informačního systému,

• i) produkčním prostředím prostředí, v rámci kterého je provozován informační systém ve fázi produkčního provozu a zkušebního provozu,

• j) produkčním provozem provoz, při kterém jsou poskytovány služby informačního systému, s výjimkou zkušebního provozu,

• k) produkčním údajem

• 1. údaj, jehož vedení v informačním systému je důvodem vytvoření informačního systému a

• 1. údaj zajišťující integritu, důvěrnost a dostupnost údaje podle bodu 1,

• l) sdíleným prvkem technologické a komunikační infrastruktury orgánu veřejné správy součást informačního systému, která je sdílena alespoň s jedním dalším informačním systémem,

• m) etapou životního cyklu informačního systému nebo jeho části období mezi dvěma okamžiky uvedení do produktivního provozu nové nebo výrazně obměněné sady služeb tohoto systému,

• n) fází životního cyklu informačního systému nebo jeho části část etapy životního cyklu, která má od jiných částí etapy odlišný účel, metody, činnosti a výstupy.

ČÁST DRUHÁ

DLOUHODOBÉ ŘÍZENÍ INFORMAČNÍCH SYSTÉMŮ

HLAVA I

INFORMAČNÍ KONCEPCE ORGÁNU VEŘEJNÉ SPRÁVY

§ 3

Struktura a náležitosti informační koncepce orgánu veřejné správy

(1) Informační koncepci orgánu veřejné správy tvoří

• a) plán rozvoje informačních systémů orgánu veřejné správy,

• b) plán řízení informatiky a

• c) dokumentace o správě informační koncepce orgánu veřejné správy.

(2) Plán rozvoje informačních systémů orgánu veřejné správy obsahuje

• a) popis stávajícího stavu architektury orgánu veřejné správy,

• b) popis důvodů pro změny architektury orgánu veřejné správy,

• c) navržený cílový stav architektury orgánu veřejné správy a

• d) plán realizace změn informačních systémů orgánu veřejné správy.

(3) Plán řízení informatiky obsahuje

• a) popis stávajícího stavu řízení informatiky,

• b) popis důvodů pro změny řízení informatiky,

• c) navržený cílový stav řízení informatiky a

• d) plán realizace změn pro dosažení cílového stavu řízení informatiky.

(4) Dokumentace o správě informační koncepce orgánu veřejné správy obsahuje

• a) dobu platnosti informační koncepce orgánu veřejné správy,

• b) postupy při vyhodnocování dodržování informační koncepce orgánu veřejné správy,

• c) postupy při provádění změn informační koncepce orgánu veřejné správy a

• d) změnové listy, kterými byla informační koncepce orgánu veřejné správy změněna.

§ 4

Vydávání a vyhodnocování dodržování informační koncepce orgánu veřejné správy

(1) Orgán veřejné správy vydává informační koncepci orgánu veřejné správy na období 5 let.

(2) Orgán veřejné správy uvádí informační koncepci orgánu veřejné správy do souladu se skutečným stavem, a to nejpozději do 6 měsíců ode dne, kdy informační koncepce orgánu veřejné správy přestala odpovídat skutečnému stavu.

(3) Orgán veřejné správy uvádí informační koncepci orgánu veřejné správy do souladu se skutečným stavem

• a) změnovými listy, které obsahují části informační koncepce orgánu veřejné správy, které jsou měněny, nebo

• b) vydáním nové informační koncepce orgánu veřejné správy.

(4) Orgán veřejné správy zveřejňuje informační koncepci orgánu veřejné správy způsobem umožňujícím dálkový přístup.

(5) Orgán veřejné správy provádí vyhodnocení dodržování informační koncepce orgánu veřejné správy alespoň jednou za 2 roky ode dne jejího vydání nebo změny.

HLAVA II

ŘÍZENÍ INFORMATIKY

§ 5

Oblasti řízení informatiky

Oblastmi řízení informatiky jsou

• a) strategie, plánování a organizace informatiky,

• b) pořizování a změny informačních systémů,

• c) provozování informačních systémů,

• d) poskytování služeb informačních systémů a

• e) útlum, konzervace a ukončování informačních systémů.

§ 6

Strategie, plánování a organizace řízení informatiky

Orgán veřejné správy v oblasti strategie, plánování a organizace řízení informatiky

• a) zavádí a uplatňuje strategické řízení informatiky,

• b) plánuje a v porovnání s plánem vyhodnocuje činnosti informatiky, zejména pořízení, změny a provoz informačních systémů,

• c) určí útvar pověřený řízením informatiky a blíže vymezuje jeho úkoly a

• d) nastavuje a udržuje procesy řízení informatiky a zajišťuje k tomu potřebné nástroje.

§ 7

Pořízení a změny informačních systémů

Orgán veřejné správy v oblasti pořízení a změn informačních systémů

• a) zajišťuje zdroje potřebné pro pořízení nebo změny informačních systémů,

• b) identifikuje požadavky na informační systémy a podmínky jejich zajištění,

• c) vyhodnocuje a v případě potřeby zajišťuje podmínky pro vytvoření ověřovacích konceptů sloužících pro ověření realizovatelnosti pořízení nebo změn informačních systémů,

• d) zajišťuje řízení programů a projektů potřebných pro pořízení a změny informačních systémů,

• e) zajišťuje řízení změn informačního systému na organizační a procesní úrovni a

• f) vyhodnocuje využitelnost existujících řešení a komponent s otevřeným zdrojovým kódem eGovernmentu pro jím spravované informační systémy.

§ 8

Provoz informačních systémů

(1) Orgán veřejné správy v oblasti provozu informačních systémů

• a) nastavuje systém řízení provozu informačních systémů,

• b) sleduje klíčové parametry provozu informačních systémů,

• c) zajišťuje správu zdrojů potřebných pro uspokojení servisních požadavků, řešení provozních incidentů a provoz informačních systémů,

• d) zajišťuje řízení kontinuity provozu informačních systémů,

• e) zajišťuje řízení bezpečnosti provozu informačních systémů a

• f) vyhodnocuje možnost využití centrálních sdílených služeb poskytovaných jinými orgány veřejné správy.

(2) Orgán veřejné správy na své internetové adrese užívá doménového jména třetí nebo nižší úrovně v doméně .gov.cz, je-li orgán veřejné správy státním orgánem. Doménu .gov.cz nemusí orgán veřejné správy, který je státním orgánem, užívat, zajistí-li následné přesměrování na internetovou adresu užívající doménu .gov.cz.

§ 9

Poskytování služeb informačních systémů

(1) Orgán veřejné správy v oblasti poskytování služeb informačních systémů stanovuje závazné parametry služeb poskytovaných informačními systémy, vyhodnocuje jejich plnění a dává pokyny k nápravě.

(2) Orgán veřejné správy zveřejňuje závazné parametry podle odstavce 1 a vyhodnocuje jejich plnění na základě informací získaných z činnosti podle odstavce 1 způsobem umožňujícím dálkový přístup.

§ 10

Útlum, konzervace a ukončení informačních systémů

Orgán veřejné správy v oblasti útlumu, konzervace a ukončení informačních systémů vytváří a průběžně aktualizuje strategii ukončování provozu informačních systémů.

HLAVA III

PROVOZNÍ DOKUMENTACE

§ 11

Struktura provozní dokumentace

(1) Provozní dokumentaci každé etapy životního cyklu informačního systému tvoří sady dokumentací

• a) plánování vytvoření a rozvoje informačního systému,

• b) zadání a smluv pro vytvoření a rozvoj informačního systému,

• c) stavu informačního systému při uvedení do produkčního provozu po jeho vytvoření nebo rozvoji,

• d) plánu a zajišťování provozu,

• e) změn informačního systému a

• f) hodnocení informačního systému, včetně hodnocení ekonomické výhodnosti.

(2) Orgán veřejné správy může zpracovat jednu provozní dokumentaci pro více informačních systémů, a to za předpokladu, že postupy pro vytvoření, správu, provoz, užívání a rozvoj těchto informačních systémů jsou shodné, nebo v příslušné fázi životního cyklu společné. V takovém případě uvede do provozní dokumentace informaci o tom, pro které informační systémy je provozní dokumentace společná.

(3) Orgán veřejné správy zveřejňuje sady dokumentací podle odstavce 1 způsobem umožňujícím dálkový přístup; to neplatí, jestliže zveřejnění vylučuje jiný právní předpis^1) nebo úkon anebo právní jednání vyžadované nebo umožněné takovým právním předpisem.

(4) Správce informačního systému zařadí dokumenty provozní dokumentace do typového spisu a jako identifikátor typového spisu použije přidělený identifikátor informačního systému. Typový spis se člení na součásti typového spisu, které jsou tvořeny sadami dokumentací podle odstavce 1. Součásti typového spisu jsou členěny na díly, do kterých jsou vkládány spisy provozní dokumentace za stanovené časové období; po uplynutí tohoto období se díly uzavírají. Je-li zpracována jedna provozní dokumentace pro více informačních systémů podle odstavce 2, zakládá se do typového spisu pouze jednou, ve spisech ostatních informačních systémů je uveden odkaz na typový spis, ve kterém je založena.

§ 12

Náležitosti provozní dokumentace

(1) Provozní dokumentace obsahuje

• a) charakteristiku informačního systému,

• b) popis architektury informačního systému,

• c) podrobný popis informačního systému,

• d) bezpečnostní dokumentaci,

• e) provozní řád,

• f) postupy a procesy související s provozem informačního systému,

• g) protokoly související s provozem informačního systému a

• h) smluvní a licenční dokumentaci.

(2) Charakteristika informačního systému obsahuje alespoň

• a) odkaz na záznam v rejstříku informačních systémů veřejné správy a soukromoprávních systémů pro využívání údajů, v němž jsou údaje o informačním systému vedeny,

• b) vlivy působící na informační systém a z nich plynoucí předpokládané změny a cíle informačního systému,

• c) přehled dekomponování informačního systému na komponenty s uvedením vyhodnocené bezpečnostní úrovně informačního systému a jeho jednotlivých komponent a

• d) přehled ukazatelů hodnocení ekonomické výhodnosti provozu a způsobu provozu informačního systému.

(3) Popis architektury informačního systému obsahuje alespoň dokumentaci na úrovni podrobnosti metody architektury úřadu a metody architektury řešení.

(4) Podrobný popis informačního systému obsahuje alespoň

• a) požadavky kladené na informační systém při jeho vytvoření nebo rozvoji,

• b) výčet komponent a sdílených prvků technologické a komunikační infrastruktury, které jsou nutné pro provoz informačního systému,

• c) popis programových rozhraní,

• d) popis připravovaných a realizovaných změn informačního systému,

• e) výčet komponent informačního systému, jejich vzájemných vazeb a vazeb na jiné informační systémy,

• f) přehled dostupných funkcí a poskytovaných služeb informačního systému,

• g) přehled evidovaných údajů a jejich strukturu,

• h) přehled zjištěných závad a provedených oprav informačního systému a

• i) dobu plánované životnosti informačního systému.

(5) Orgán veřejné správy, kterému nejsou uloženy povinnosti v oblasti kybernetické bezpečnosti podle zákona upravujícího kybernetickou bezpečnost, stanovuje v bezpečnostní dokumentaci alespoň postupy pro

• a) hodnocení dopadů narušení dostupnosti, důvěrnosti a integrity informací v informačním systému,

• b) způsob řešení a reakce na bezpečnostní události a bezpečnostní incidenty, sběr a vyhodnocování kybernetických bezpečnostních událostí a incidentů,

• c) zajištění provozu informačních systémů a bezpečnosti informací v informačních systémech,

• d) rozvoj bezpečnostního povědomí a způsob jeho kontroly,

• e) zajištění bezpečnosti komunikační sítě a

• f) zajištění řízení kontinuity činností.

(6) Provozní řád obsahuje alespoň

• a) provozní dobu informačního systému,

• b) parametry poskytovaných služeb informačního systému,

• c) informace o uživatelské podpoře,

• d) pravidla pro odstávky informačního systému,

• e) pravidla pro zamezení neúměrného provozního zatížení a nesprávného používání informačního systému nebo jeho služeb a

• f) podmínky pro připojení ke službám informačního systému.

§ 13

Rozsah provozní dokumentace předkládané při atestaci

Orgán veřejné správy při atestaci předkládá provozní dokumentaci v rozsahu náležitostí podle § 12 odst. 1 písm. a) až h).

HLAVA IV

ŘÍZENÍ ŽIVOTNÍHO CYKLU INFORMAČNÍHO SYSTÉMU

§ 14

Organizace řízení životního cyklu informačního systému

(1) Orgán veřejné správy určuje pro řízení každého informačního systému věcného správce a technického správce.

(2) Věcný správce stanovuje požadavky na služby informačního systému a poskytování služeb informačního systému splňujících tyto požadavky.

(3) Technický správce zajišťuje

• a) návrh a realizaci informačního systému z hlediska splňování

• 1. požadavků na služby informačního systému podle odstavce 2 a

• 1. požadavků na technické a programové prostředky kladených na ně právními předpisy upravujícími informační nebo komunikační technologie, informační koncepcí orgánu veřejné správy a provozní dokumentací, a jde-li o informační systém spravovaný orgánem veřejné správy, pro nějž jsou závazná usnesení vlády, rovněž informační koncepcí České republiky a jinými usneseními vlády týkajícími se informačních nebo komunikačních technologií,

• b) zpracování provozní dokumentace a její aktuálnost.

§ 15

Fáze životního cyklu informačního systému

Fázemi životního cyklu informačního systému jsou

• a) strategické plánování vytvoření a rozvoje informačního systému,

• b) plánování a příprava vytvoření a rozvoje informačního systému,

• c) realizace vytvoření a rozvoje informačního systému,

• d) produkční provoz informačního systému,

• e) vyhodnocení životního cyklu informačního systému a

• f) ukončení životního cyklu informačního systému.

§ 16

Strategické plánování vytvoření a rozvoje informačního systému

(1) Věcný správce ve fázi strategického plánování vytvoření a rozvoje informačního systému

• a) identifikuje motivace k vytvoření nebo rozvoji informačního systému, porovná je se stávajícím stavem architektury orgánu veřejné správy a prostřednictvím aktualizace informační koncepce orgánu veřejné správy provede strategické naplánování vytvoření nebo rozvoje tohoto systému,

• b) v návaznosti na plán v informační koncepci orgánu veřejné správy vypracuje a schválí investiční záměr a v případě určeného informačního systému obdrží souhlasné vyjádření Digitální a informační agentury a

• c) stanoví cíle, kterých chce dosáhnout vytvořením nebo rozvojem informačního systému nebo se odkáže na platné strategické cíle orgánu veřejné správy nebo cíle České republiky, jejichž splnění bude podpořeno plánovaným informačním systémem.

§ 17

Plánování a příprava vytvoření a rozvoje informačního systému

(1) Věcný správce ve fázi plánování a přípravy vytvoření a rozvoje informačního systému

• a) identifikuje a stanovuje požadavky na služby informačního systému, zpracování informací a bezpečnostní úrovně informačního systému,

• b) vyhodnocuje a schvaluje řešení informačního systému podle předložených variant řešení informačního systému,

• c) plánuje zajištění zdrojů potřebných pro plánování a přípravu vytvoření a rozvoje informačního systému,

• d) identifikuje požadavky na zpracování datového výstupu určeného k dlouhodobému uchovávání,

• e) schvaluje plán ukončení provozu informačního systému a

• f) zajišťuje vypracování studie proveditelnosti k posouzení možných variant nebo zjištění podmínek pro realizovatelnost nových nebo významně měněných informačních systémů.

(2) Technický správce ve fázi plánování a přípravy vytvoření a rozvoje informačního systému

• a) zpracovává a předkládá varianty řešení informačního systému podle požadavku věcného správce, přičemž posuzuje možnost využití stávajících infomačních systémů,