§ 12 Vyhláška o dlouhodobém řízení informačních systémů veřejné správy – Náležitosti provozní dokumentace
Vyhláška o dlouhodobém řízení informačních systémů veřejné správy · 360/2023 Sb. · § 12 · IT právo a ochrana dat
Stručně: Paragraf 12 vyhlášky 360/2023 stanovuje, jaké konkrétní náležitosti musí obsahovat provozní dokumentace informačního systému veřejné správy, a dále specifikuje obsah některých jejích částí.
§ 12 Náležitosti provozní dokumentace
(1) Provozní dokumentace obsahuje
a) charakteristiku informačního systému,
b) popis architektury informačního systému,
c) podrobný popis informačního systému,
d) bezpečnostní dokumentaci,
e) provozní řád,
f) postupy a procesy související s provozem informačního systému,
g) protokoly související s provozem informačního systému a
h) smluvní a licenční dokumentaci.
(2) Charakteristika informačního systému obsahuje alespoň
a) odkaz na záznam v rejstříku informačních systémů veřejné správy a soukromoprávních systémů pro využívání údajů, v němž jsou údaje o informačním systému vedeny,
b) vlivy působící na informační systém a z nich plynoucí předpokládané změny a cíle informačního systému,
c) přehled dekomponování informačního systému na komponenty s uvedením vyhodnocené bezpečnostní úrovně informačního systému a jeho jednotlivých komponent a
d) přehled ukazatelů hodnocení ekonomické výhodnosti provozu a způsobu provozu informačního systému.
(3) Popis architektury informačního systému obsahuje alespoň dokumentaci na úrovni podrobnosti metody architektury úřadu a metody architektury řešení.
(4) Podrobný popis informačního systému obsahuje alespoň
a) požadavky kladené na informační systém při jeho vytvoření nebo rozvoji,
b) výčet komponent a sdílených prvků technologické a komunikační infrastruktury, které jsou nutné pro provoz informačního systému,
c) popis programových rozhraní,
d) popis připravovaných a realizovaných změn informačního systému,
e) výčet komponent informačního systému, jejich vzájemných vazeb a vazeb na jiné informační systémy,
f) přehled dostupných funkcí a poskytovaných služeb informačního systému,
g) přehled evidovaných údajů a jejich strukturu,
h) přehled zjištěných závad a provedených oprav informačního systému a
i) dobu plánované životnosti informačního systému.
(5) Orgán veřejné správy, kterému nejsou uloženy povinnosti v oblasti kybernetické bezpečnosti podle zákona upravujícího kybernetickou bezpečnost, stanovuje v bezpečnostní dokumentaci alespoň postupy pro
a) hodnocení dopadů narušení dostupnosti, důvěrnosti a integrity informací v informačním systému,
b) způsob řešení a reakce na bezpečnostní události a bezpečnostní incidenty, sběr a vyhodnocování kybernetických bezpečnostních událostí a incidentů,
c) zajištění provozu informačních systémů a bezpečnosti informací v informačních systémech,
d) rozvoj bezpečnostního povědomí a způsob jeho kontroly,
e) zajištění bezpečnosti komunikační sítě a
f) zajištění řízení kontinuity činností.
(6) Provozní řád obsahuje alespoň
a) provozní dobu informačního systému,
b) parametry poskytovaných služeb informačního systému,
c) informace o uživatelské podpoře,
d) pravidla pro odstávky informačního systému,
e) pravidla pro zamezení neúměrného provozního zatížení a nesprávného používání informačního systému nebo jeho služeb a
f) podmínky pro připojení ke službám informačního systému.
Paragraf 12 vyhlášky 360/2023 stanovuje, jaké konkrétní náležitosti musí obsahovat provozní dokumentace informačního systému veřejné správy, a dále specifikuje obsah některých jejích částí.
Co to znamená v praxi
Každý informační systém veřejné správy musí mít podrobnou provozní dokumentaci, která zahrnuje osm základních okruhů informací (např. charakteristiku systému, popis architektury, bezpečnostní dokumentaci, smluvní a licenční dokumentaci).
Charakteristika informačního systému musí obsahovat mimo jiné odkaz na záznam v rejstříku informačních systémů, vlivy působící na systém a cíle, přehled dekompozice na komponenty s bezpečnostní úrovní a ukazatele ekonomické výhodnosti.
Podrobný popis informačního systému musí zahrnovat požadavky na systém, výčet potřebných komponent a infrastruktury, popis programových rozhraní, přehled změn, vazby na jiné systémy, dostupné funkce, evidované údaje, zjištěné závady a plánovanou životnost.
Bezpečnostní dokumentace musí u orgánů veřejné správy, které nepodléhají zákonu o kybernetické bezpečnosti, obsahovat alespoň postupy pro hodnocení dopadů narušení dostupnosti, důvěrnosti a integrity informací, řešení bezpečnostních událostí a incidentů, zajištění provozu a bezpečnosti informací, rozvoj bezpečnostního povědomí a zajištění bezpečnosti komunikační sítě.
Na co si dát pozor
Provozní dokumentace musí být velmi podrobná a pokrývat široké spektrum informací o informačním systému.
Je třeba dbát na to, aby všechny uvedené náležitosti byly v dokumentaci skutečně obsaženy a odpovídaly specifikacím v odstavcích 2 až 5.
Při atestaci informačního systému je nutné předložit provozní dokumentaci v plném rozsahu náležitostí uvedených v odstavci 1 písm. a) až h).
Související témata
§ 4 Zkouška Vyhláška o postupech atestačních středis
§ 4 Zkouška Vyhláška, kterou se mění vyhláška č. 530
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.