Atestace informačních systémů veřejné správy - problematika a praktické zkušenosti - Vladimír Matějíček Atestační středisko Equica 24. 10. 2007

Atestace ISVS Atestace ISVS Dlouhodobé řízení Atestace dlouhodobého řízení Referenční rozhraní Atestace referenčního rozhraní Co je a co není ISVS? Diskuze

Atestace ISVS

Dlouhodobé řízení

Atestace dlouhodobého řízení

Referenční rozhraní

Atestace referenčního rozhraní

Co je a co není ISVS?

Diskuze

I. Atestace ISVS Předmět atestace Dlouhodobé řízení ISVS (informační koncepce úřadu – týká se všech ISVS) = atestace dlouhodobého řízení (DŘ) . Způsobilost k realizaci vazeb ISVS s jinými IS prostřednictvím referenčního rozhraní (týká se jednotlivých ISVS) = atestace referenčního rozhraní (RR) . Zákonná úprava zákon č. 365/2000 Sb. , o informačních systémech veřejné správy (ISVS) novelizován zákonem č. 81/2006 Sb. Prováděcí předpisy vyhláška č. 53/2007 Sb., o referenčním rozhraní vyhláška č. 528/2006 Sb., o informačním systému o ISVS vyhláška č. 529/2006 Sb., o dlouhodobém řízení ISVS vyhláška č. 530/2006 Sb., o postupech atestačních středisek při posuzování dlouhodobého řízení ISVS

Předmět atestace

Dlouhodobé řízení ISVS (informační koncepce úřadu – týká se všech ISVS) = atestace dlouhodobého řízení (DŘ) .

Způsobilost k realizaci vazeb ISVS s jinými IS prostřednictvím referenčního rozhraní (týká se jednotlivých ISVS) = atestace referenčního rozhraní (RR) .

Zákonná úprava

zákon č. 365/2000 Sb. , o informačních systémech veřejné správy (ISVS)

novelizován zákonem č. 81/2006 Sb.

Prováděcí předpisy

vyhláška č. 53/2007 Sb., o referenčním rozhraní

vyhláška č. 528/2006 Sb., o informačním systému o ISVS

vyhláška č. 529/2006 Sb., o dlouhodobém řízení ISVS

vyhláška č. 530/2006 Sb., o postupech atestačních středisek při posuzování dlouhodobého řízení ISVS

I. Atestace ISVS – proč vlastně K čemu to všechno je? dlouhodobé řízení ISVS - informační koncepce – upravuje dlouhodobé cíle a obecné principy při všech činnostech souvisejících se všemi ISVS - provozní dokumentace – vytvářena na základě (a v souladu s) informační koncepce zvlášť pro každý ISVS referenční rozhraní - způsobilost k realizaci vazeb ISVS s jinými IS prostřednictvím referenčního rozhraní (týká se jednotlivých ISVS)

K čemu to všechno je?

dlouhodobé řízení ISVS

- informační koncepce – upravuje dlouhodobé cíle a obecné principy při všech činnostech souvisejících se všemi ISVS

- provozní dokumentace – vytvářena na základě (a v souladu s) informační koncepce zvlášť pro každý ISVS

referenční rozhraní

- způsobilost k realizaci vazeb ISVS s jinými IS prostřednictvím referenčního rozhraní (týká se jednotlivých ISVS)

II. Dlouhodobé řízení ISVS Informační koncepce Co má obsahovat informační koncepce? charakteristiky spravovaných IS a předpokládané změny výhled do budoucna (záměry na pořízení nebo vytvoření nových) dlouhodobé cíle v oblasti řízení kvality dlouhodobé cíle v oblasti řízení bezpečnosti postupy při vyhodnocování dodržování IK postupy při provádění změn IK zásady pro správu IS s postupy pro jejich naplnění financování IS funkční zařazení zaměstnance zodpovědného za naplňování IK

Informační koncepce

Co má obsahovat informační koncepce?

charakteristiky spravovaných IS a předpokládané změny

výhled do budoucna (záměry na pořízení nebo vytvoření nových)

dlouhodobé cíle v oblasti řízení kvality

dlouhodobé cíle v oblasti řízení bezpečnosti

postupy při vyhodnocování dodržování IK

postupy při provádění změn IK

zásady pro správu IS s postupy pro jejich naplnění

financování IS

funkční zařazení zaměstnance zodpovědného za naplňování IK

II. Dlouhodobé řízení ISVS Provozní dokumentace Bezpečnostní dokumentace IS Systémová příručka Uživatelská příručka Poznámky provozní (bezpečnostní) dokumentace může být zpracována pro více IS

Provozní dokumentace

Bezpečnostní dokumentace IS

Systémová příručka

Uživatelská příručka

Poznámky

provozní (bezpečnostní) dokumentace může být zpracována pro více IS

II. Dlouhodobé řízení ISVS Bezpečnostní dokumentace Bezpečnostní politika IS Bezpečnostní směrnice pro činnost bezpečnostního správce systému Poznámky k atestaci se předkládá pouze Bezpečnostní politika IS

Bezpečnostní dokumentace

Bezpečnostní politika IS

Bezpečnostní směrnice pro činnost bezpečnostního správce systému

Poznámky

k atestaci se předkládá pouze Bezpečnostní politika IS

III. Atestace dlouhodobého řízení Atestace stanovení shody dlouhodobého řízení ISVS s požadavky zákona č. 365/2000 Sb. atest je vydáván souhrnně pro všechny ISVS orgánu veřejné správy povinnost zpracovat dokumenty nastává k 1.1.2009 povinnost atestovat dokumenty vzniká k 1.1.2010 Atestované dokumenty Informační koncepce Bezpečnostní politika IS (provozní dokumentace)

Atestace

stanovení shody dlouhodobého řízení ISVS s požadavky zákona

č. 365/2000 Sb.

atest je vydáván souhrnně pro všechny ISVS orgánu veřejné správy

povinnost zpracovat dokumenty nastává k 1.1.2009

povinnost atestovat dokumenty vzniká k 1.1.2010

Atestované dokumenty

Informační koncepce

Bezpečnostní politika IS (provozní dokumentace)

III. Atestace dlouhodobého řízení Postup při atestaci Žadatel o atestaci předloží Atestačnímu středisku Informační koncepci a provozní dokumentaci (Bezpečnostní politiku) ke všem provozovaným ISVS Atestační středisko posoudí vlastnosti předložené dokumentace V případě zjištění nedostatků je možné je odstranit Zjištěné údaje jsou zaznamenávány do protokolu o provedené zkoušce V případě splnění všech požadavků (případně odstranění zjištěných nedostatků) je vydán žadateli atest Atest se vystavuje max. na 5 let (vychází z platnosti informační koncepce)

Postup při atestaci

Žadatel o atestaci předloží Atestačnímu středisku Informační koncepci a provozní dokumentaci (Bezpečnostní politiku) ke všem provozovaným ISVS

Atestační středisko posoudí vlastnosti předložené dokumentace

V případě zjištění nedostatků je možné je odstranit

Zjištěné údaje jsou zaznamenávány do protokolu o provedené zkoušce

V případě splnění všech požadavků (případně odstranění zjištěných nedostatků) je vydán žadateli atest

Atest se vystavuje max. na 5 let (vychází z platnosti informační koncepce)

III. Atestace dlouhodobého řízení Co se při atestaci posuzuje úplnost informační koncepce a provozní dokumentace srozumitelnost, přehlednost textu a jeho logická konzistence kvalita konkrétních řešení vyhodnocování dodržování informační koncepce přijímání opatření k odstranění nedostatků zjištěných při vyhodnocování dodržování informační koncepce Příklady informačních koncepcí IK ústředního orgánu veřejné správy IK obce s rozšířenou působností IK obce s pověřeným obecním úřadem IK obce s výkonem přenesené působnosti v základním rozsahu http://www.micr.cz/scripts/detail.php?id=3768

Co se při atestaci posuzuje

úplnost informační koncepce a provozní dokumentace

srozumitelnost, přehlednost textu a jeho logická konzistence

kvalita konkrétních řešení

vyhodnocování dodržování informační koncepce

přijímání opatření k odstranění nedostatků zjištěných při vyhodnocování dodržování informační koncepce

Příklady informačních koncepcí

IK ústředního orgánu veřejné správy

IK obce s rozšířenou působností

IK obce s pověřeným obecním úřadem

IK obce s výkonem přenesené působnosti v základním rozsahu

http://www.micr.cz/scripts/detail.php?id=3768

IV. Referenční rozhraní Co je referenční rozhraní (RR) ze zákona: sdílené a bezpečné rozhraní ISVS jako souhrn právních, technických, organizačních a jiných opatření vytvářejících jednotné integrační prostředí ISVS pro lidi: rozhraní přes které komunikují 2 různé informační systémy a všechny příslušející náležitosti stanoví a spravuje jej MV ČR OVS jsou povinny zajistit , aby vazby jimi provozovaných IS na jiné IS byly uskutečňovány prostřednictvím RR

Co je referenční rozhraní (RR)

ze zákona: sdílené a bezpečné rozhraní ISVS jako souhrn právních, technických, organizačních a jiných opatření vytvářejících jednotné integrační prostředí ISVS

pro lidi: rozhraní přes které komunikují 2 různé informační systémy a všechny příslušející náležitosti

stanoví a spravuje jej MV ČR

OVS jsou povinny zajistit , aby vazby jimi provozovaných IS na jiné IS byly uskutečňovány prostřednictvím RR

IV. Referenční rozhraní Vazba - charakteristika Povinné uvedení v IS o ISVS: vazba je uskutečnitelná pouze pokud je ISVS uveden v IS o ISVS, kde jsou uvedeny údaje o jeho dostupnosti a obsahu Povinné používání vyhlášených datových prvků: vazba je uskutečnitelná pouze s použitím datových prvků vyhlášených prostřednictvím IS o DP (informační systém o datových prvcích) Povinné vytváření záznamů: vazba je uskutečnitelná pouze pokud jsou o událostech spojených s realizací vazby vytvářeny záznamy a tyto záznamy jsou uchovávány

Vazba - charakteristika

Povinné uvedení v IS o ISVS:

vazba je uskutečnitelná pouze pokud je ISVS uveden v IS o ISVS,

kde jsou uvedeny údaje o jeho dostupnosti a obsahu

Povinné používání vyhlášených datových prvků:

vazba je uskutečnitelná pouze s použitím datových prvků vyhlášených prostřednictvím IS o DP (informační systém o datových prvcích)

Povinné vytváření záznamů:

vazba je uskutečnitelná pouze pokud jsou o událostech spojených s realizací vazby vytvářeny záznamy a tyto záznamy jsou uchovávány

IV. Referenční rozhraní Údaje pro IS o ISVS Technická dokumentace služby - URL dokumentace služby - URL bezpečnostní politiky služby - URL popisu služby Identifikace datových prvků - datové prvky jsou IS o ISVS automatizovaně vybrány z popisu služby - seznam je možné ručně doplnit o prvky z IS o ISVS (návaznost na ISDP)

Údaje pro IS o ISVS

Technická dokumentace služby

- URL dokumentace služby

- URL bezpečnostní politiky služby

- URL popisu služby

Identifikace datových prvků

- datové prvky jsou IS o ISVS automatizovaně vybrány z popisu služby

- seznam je možné ručně doplnit o prvky z IS o ISVS (návaznost na ISDP)

IV. Referenční rozhraní Provoz referenčního rozhraní V případě změn aktualizovat údaje v IS o ISVS . Sledovat vyhlášené datové prvky a udržovat datové prvky použité při realizaci v souladu s obsahem ISDP . Dokumentovat a uchovávat logy (události spojené s realizací vazby). Zajistit atestaci RR nejpozději k 1.1.2009 .

Provoz referenčního rozhraní

V případě změn aktualizovat údaje v IS o ISVS .

Sledovat vyhlášené datové prvky a udržovat datové prvky použité při realizaci v souladu s obsahem ISDP .

Dokumentovat a uchovávat logy (události spojené s realizací vazby).

Zajistit atestaci RR nejpozději k 1.1.2009 .

V. Atestace referenčního rozhraní Atestace Stanovení shody způsobilosti k realizaci vazeb ISVS s jinými ISVS prostřednictvím referenčního rozhraní s požadavky zákona č. 365/2000 Sb. a prováděcích předpisů Atest je vydáván pro každý ISVS zvlášť. Postup Žadatel : předá údaje do ISVS a uzavře smlouvu s vybraným atestačním střediskem. Atestační středisko (AS) : provede praktické posouzení vazby ISVS. Žadatel : odstraní nedostatky v rámci posuzování vazby (pokud byly nějaké zjištěny). Atestační středisko (AS) : vydá protokol o provedené zkoušce a (ne)vydá příslušný atest.

Atestace

Stanovení shody způsobilosti k realizaci vazeb ISVS s jinými ISVS prostřednictvím referenčního rozhraní s požadavky zákona

č. 365/2000 Sb. a prováděcích předpisů

Atest je vydáván pro každý ISVS zvlášť.

Postup

Žadatel : předá údaje do ISVS a uzavře smlouvu s vybraným atestačním střediskem.

Atestační středisko (AS) : provede praktické posouzení vazby ISVS.

Žadatel : odstraní nedostatky v rámci posuzování vazby (pokud byly nějaké zjištěny).

Atestační středisko (AS) : vydá protokol o provedené zkoušce a (ne)vydá příslušný atest.

V. Atestace referenčního rozhraní Atestace – posuzování (jak se shoda posuzuje) Informace - AS čerpá informace o vazbě z IS o ISVS a o datových prvcích z ISDP Praktická zkouška : - AS požádá o službu ISVS (při některých nebo všech možných postupech) - AS obdrží službu / chybové hlášení apod. - AS porovná výsledek s dokumentací v IS o ISVS

Atestace – posuzování (jak se shoda posuzuje)

Informace

- AS čerpá informace o vazbě z IS o ISVS a o datových prvcích z ISDP

Praktická zkouška :

- AS požádá o službu ISVS (při některých nebo všech možných postupech)

- AS obdrží službu / chybové hlášení apod.

- AS porovná výsledek s dokumentací v IS o ISVS

V. Atestace referenčního rozhraní Atestace – posuzování (co se posuzuje) Odpovědi ISVS na žádost o službu nebo informaci, včetně chybových hlášení (pokud k nim dojde) s dokumentací služby. Realizace vazby s dokumentací služby. Zajištění bezpečnosti služby a rozsahu přístupových oprávnění (i jejich omezení) pro jednotlivé uživatele s bezpečnostní politikou sužby. Soulad datových prvků s datovými prvky vyhlášenými v ISDP.

Atestace – posuzování (co se posuzuje)

Odpovědi ISVS na žádost o službu nebo informaci, včetně chybových hlášení (pokud k nim dojde) s dokumentací služby.

Realizace vazby s dokumentací služby.

Zajištění bezpečnosti služby a rozsahu přístupových oprávnění (i jejich omezení) pro jednotlivé uživatele s bezpečnostní politikou sužby.

Soulad datových prvků s datovými prvky vyhlášenými v ISDP.

VI. Co je a co není ISVS? Jak určit ISVS? ISVS je uveden v právních předpisech - zákon přímo upravuje vedení IS, jako ISVS jej označuje a přímo odkazuje na zákon č. 365/2000 - zákon upravuje vedení konkrétního registru = evidence, rejstřík apod., označuje jej jako ISVS (ale v názvu není exaktně uvedeno „informační systém“ nebo „systém“) a odkazuje na zákon č. 365/2000 - zákon upravuje vedení konkrétního registru nebo IS, označuje jej jako ISVS, ale neodkazuje na zákon č. 365/2000 - zákon upravuje vedení ISVS, ale jako ISVS jej výslovně neoznačuje ISVS bez úpravy v právních předpisech - vedení ISVS nemusí být výslovně upraveno zvláštním právním předpisem (např. evidence držitelů psů)

Jak určit ISVS?

ISVS je uveden v právních předpisech

- zákon přímo upravuje vedení IS, jako ISVS jej označuje a přímo odkazuje na zákon č. 365/2000

- zákon upravuje vedení konkrétního registru = evidence, rejstřík apod., označuje jej jako ISVS (ale v názvu není exaktně uvedeno „informační systém“ nebo „systém“) a odkazuje na zákon č. 365/2000

- zákon upravuje vedení konkrétního registru nebo IS, označuje jej jako ISVS, ale neodkazuje na zákon č. 365/2000

- zákon upravuje vedení ISVS, ale jako ISVS jej výslovně neoznačuje

ISVS bez úpravy v právních předpisech

- vedení ISVS nemusí být výslovně upraveno zvláštním právním předpisem (např. evidence držitelů psů)

VI. Co je a co není ISVS? Co není kritériem pro určení ISVS? Dostupnost - není podstatné, zda se jedná o veřejný nebo neveřejný ISVS Outsourcing - není podstatné, zda systém provozuje přímo úřad nebo jiným subjektem Co není ISVS? Provozní ISVS Provozní SW (operační systém, webový prohlížeč, e-mailový klient, textový nebo tabulkový editor) Webové stránky SW pro elektronickou podatelnu, spisovou službu

Co není kritériem pro určení ISVS?

Dostupnost

- není podstatné, zda se jedná o veřejný nebo neveřejný ISVS

Outsourcing

- není podstatné, zda systém provozuje přímo úřad nebo jiným subjektem

Co není ISVS?

Provozní ISVS

Provozní SW (operační systém, webový prohlížeč, e-mailový klient, textový nebo tabulkový editor)

Webové stránky

SW pro elektronickou podatelnu, spisovou službu

VI. Co je a co není ISVS? Jak určit ISVS? Ohrozí nefunkčnost IS povinnosti plynoucí z kompetencí daného OVS? Jsou v IS uloženy údaje o vykonávané správné činnosti (nebo údaje pro podporu této činnosti)? §3 zákona č. 365/2000 Sb. určuje na které ISVS se tento zákon vztahuje Typické ISVS u obcí Evidence pokut Evidence poplatků Evidence obyvatel Evidence držitelů psů Elektronická podatelna Elektronická spisová služba

Jak určit ISVS?

Ohrozí nefunkčnost IS povinnosti plynoucí z kompetencí daného OVS?

Jsou v IS uloženy údaje o vykonávané správné činnosti (nebo údaje pro podporu této činnosti)?

§3 zákona č. 365/2000 Sb. určuje na které ISVS se tento zákon vztahuje

Typické ISVS u obcí

Evidence pokut

Evidence poplatků

Evidence obyvatel

Evidence držitelů psů

Elektronická podatelna

Elektronická spisová služba

VI. Co je a co není ISVS? ISVS v informační koncepci 3 role OVS ve vztahu k ISVS - správce : IK povinně zahrnuje pouze ISVS u nichž je OVS správcem daného IS - provozovatel : provozovatelem může být jakýkoli subjekt (pokud to jiný zákon nevylučuje) - uživatel : OVS může vystupovat i v roli uživatele ISVS V IK tak musí být uvedeny ISVS jejichž je OVS správce a mohou být uvedeny ISVS u nichž je provozovatelem nebo uživatelem.

ISVS v informační koncepci

3 role OVS ve vztahu k ISVS

- správce : IK povinně zahrnuje pouze ISVS u nichž je OVS správcem daného IS

- provozovatel : provozovatelem může být jakýkoli subjekt (pokud to jiný zákon nevylučuje)

- uživatel : OVS může vystupovat i v roli uživatele ISVS

V IK tak musí být uvedeny ISVS jejichž je OVS správce a mohou být uvedeny ISVS u nichž je provozovatelem nebo uživatelem.

VI. Co je a co není ISVS? Provozní informační systémy Provozní ISVS zajišťují informační činnost nutné pro vnitřní provoz příslušného orgánu, například účetnictví nebo správu majetku, a nesouvisejí přímo s výkonem veřejné správy. Příklady: - účetní programy - IS pro správu majetku - evidence docházky zaměstnanců - evidence došlých faktur - další Při zpracovávání IK je, z hlediska praxe, snazší zahrnout do IK všechny IS (včetně provozních).

Provozní informační systémy

Provozní ISVS zajišťují informační činnost nutné pro vnitřní provoz příslušného orgánu, například účetnictví nebo správu majetku, a nesouvisejí přímo s výkonem veřejné správy.

Příklady:

- účetní programy

- IS pro správu majetku

- evidence docházky zaměstnanců

- evidence došlých faktur

- další

Při zpracovávání IK je, z hlediska praxe, snazší zahrnout do IK všechny IS (včetně provozních).

Diskuze Děkuji za pozornost Vladimír Matějíček Atestační středisko Equica [email_address] www.equica.cz Prezentace bude uvedena na: http:// www.slideshare.net/equica

E-vize : Equica Optimalizace nákladů VS pomocí ICT Čt 25.10.07 - 9.00 – 12.00 Kvalita a výkonnost – výzva pro veřejnou správu Kvalita řízení ve veřejné správě Projektové a procesní řízení Definice potřeb – funkcionalita a zastupování potřeb zákazníka Optimalizace nákladů a zdroje financování Informační systémy: ISK – případová studie Řízení VS: Regionální a metropolitní sítě Komunikace se subjekty: Optimalizace datového a hlasového řešení Komunikace s občany: Web a standardy Komunikace s občany: O2 SMS Asistent veřejné správy

Optimalizace nákladů VS pomocí ICT

Čt 25.10.07 - 9.00 – 12.00

Kvalita a výkonnost – výzva pro veřejnou správu

Kvalita řízení ve veřejné správě

Projektové a procesní řízení

Definice potřeb – funkcionalita a zastupování potřeb zákazníka

Optimalizace nákladů a zdroje financování

Informační systémy: ISK – případová studie

Řízení VS: Regionální a metropolitní sítě

Komunikace se subjekty: Optimalizace datového a hlasového řešení

Komunikace s občany: Web a standardy

Komunikace s občany: O2 SMS Asistent veřejné správy