§ 12 Vyhláška o dlouhodobém řízení informačních systémů veřejné správy – Náležitosti provozní dokumentace

§ 12 Náležitosti provozní dokumentace (1) Provozní dokumentace obsahuje a) charakteristiku informačního systému, b) popis architektury informačního systému, c) podrobný popis informačního systému, d) bezpečnostní dokumentaci, e) provozní řád, f) postupy a procesy související s provozem informačního systému, g) protokoly související s provozem informačního systému a h) smluvní a licenční dokumentaci. (2) Charakteristika informačního systému obsahuje alespoň a) odkaz na záznam v rejstříku informačních systémů veřejné správy a soukromoprávních systémů pro využívání údajů, v němž jsou údaje o informačním systému vedeny, b) vlivy působící na informační systém a z nich plynoucí předpokládané změny a cíle informačního systému, c) přehled dekomponování informačního systému na komponenty s uvedením vyhodnocené bezpečnostní úrovně informačního systému a jeho jednotlivých komponent a d) přehled ukazatelů hodnocení ekonomické výhodnosti provozu a způsobu provozu informačního systému. (3) Popis architektury informačního systému obsahuje alespoň dokumentaci na úrovni podrobnosti metody architektury úřadu a metody architektury řešení. (4) Podrobný popis informačního systému obsahuje alespoň a) požadavky kladené na informační systém při jeho vytvoření nebo rozvoji, b) výčet komponent a sdílených prvků technologické a komunikační infrastruktury, které jsou nutné pro provoz informačního systému, c) popis programových rozhraní, d) popis připravovaných a realizovaných změn informačního systému, e) výčet komponent informačního systému, jejich vzájemných vazeb a vazeb na jiné informační systémy, f) přehled dostupných funkcí a poskytovaných služeb informačního systému, g) přehled evidovaných údajů a jejich strukturu, h) přehled zjištěných závad a provedených oprav informačního systému a i) dobu plánované životnosti informačního systému. (5) Orgán veřejné správy, kterému nejsou uloženy povinnosti v oblasti kybernetické bezpečnosti podle zákona upravujícího kybernetickou bezpečnost, stanovuje v bezpečnostní dokumentaci alespoň postupy pro a) hodnocení dopadů narušení dostupnosti, důvěrnosti a integrity informací v informačním systému, b) způsob řešení a reakce na bezpečnostní události a bezpečnostní incidenty, sběr a vyhodnocování kybernetických bezpečnostních událostí a incidentů, c) zajištění provozu informačních systémů a bezpečnosti informací v informačních systémech, d) rozvoj bezpečnostního povědomí a způsob jeho kontroly, e) zajištění bezpečnosti komunikační sítě a f) zajištění řízení kontinuity činností. (6) Provozní řád obsahuje alespoň a) provozní dobu informačního systému, b) parametry poskytovaných služeb informačního systému, c) informace o uživatelské podpoře, d) pravidla pro odstávky informačního systému, e) pravidla pro zamezení neúměrného provozního zatížení a nesprávného používání informačního systému nebo jeho služeb a f) podmínky pro připojení ke službám informačního systému.