Dokumentace pro ISVS, Služby pro Vás

Dokumentace pro ISVS

Současná platná legislativa ukládá úřadům povinnost mít v pořádku dokumenty, které se vztahují k používání, řízení a bezpečnosti informačních systémů veřejné správy, tzv. ISVS.

Dva nejvýznamnější dokumenty jsou Informační koncepce a Bezpečnostní politika.

Informační koncepce

Informační koncepce definuje pravidla pro pořizování a provozování ISVS, stanovuje cíle v oblasti bezpečnosti i kvality.

Je povinným dokumentem pro úřady a naplňuje vyhlášku č. 529/2006 Sb., o dlouhodobém řízení ISVS.

Informační koncepce Vám pomůže v každodenní praxi.

Díky ní definujete kompetence, postupy, pravidla a delegujete odpovědnost během rozvoje, provozu a zabezpečení Vašeho informačního systému.

Nejvýznamnější kapitoly studie:

  1. Přehled provozovaných ISVS a provozních agend s vazbou na ISVS – kapitola podrobně popisuje software, který je považován za ISVS, nebo s nějakým ISVS komunikuje.
  2. Zásady a postupy pro správu ISVS – kapitola definuje zásady, které musejí být dodržovány při pořizování nových ISVS a správě stávajících ISVS.
  3. Řízení kvality ISVS, stanovení dlouhodobých cílů kvality ISVS – kapitola vymezuje cíle, plán, požadavky, role a odpovědnosti, řízení a vyhodnocování kvality pro celkový IS i jednotlivé ISVS.
  4. Řízení bezpečnosti ISVS, stanovení dlouhodobých cílů bezpečnosti ISVS – kapitola specifikuje, jak má být zajištěna bezpečnosti hardware, software, dat a služeb.
  5. Vyhodnocování dodržování informační koncepce – v kapitole jsou určeny zásady, role a odpovědnosti pro pravidelné vyhodnocování informační koncepce.

Příklady, kdy se Vám tento dokument hodí:

  • Při rozvoji IS a ISVS: Chcete koupit nový software. Pokud se budete řídit zásadami při pořizování nových ISVS, bude tak zajištěna poměrně vysoká míra kvality pořízovaného software. Nemusíte se s nikým dohadovat. Dodržujete pravidla, která jsou ze zákona povinná a oatestovaná.
  • Při provozování IS a ISVS: U každého software, který používáte zejména u těch, které jsou ISVS nebo s nějakým ISVS komunikují, byste měli mít okamžitý přehled o právním rámci, zpracovávaných datech, vědět zda a s čím software komunikuje, jaké je jeho technické prostředí, atd.
  • Při zabezpečení IS a ISVS: Bezpečnost, kybernetická bezpečnost, ochrana osobních údajů – strašáci doby! Dokud se nic nestane, je to v pohodě. Aby to bylo relativně v pohodě i po té, až se něco stane, musíte mít a dodržovat plán řízení bezpečnosti IS a ISVS.

Více informací najdete také zde: Informační koncepce

Bezpečnostní politika

Bezpečnostní politika definuje postupy a zásady zabezpečení Vašich informačních systémů i všech ostatních ICT technologií.

Je pro většinu organizací povinným dokumentem a naplňuje například vyhlášku č. 529/2006 Sb., o dlouhodobém řízení ISVS.

Bezpečnostní politika Vám pomůže v každodenní praxi.

Díky studii definujete kompetence, postupy, pravidla a delegujete odpovědnost během rozvoje, provozu a zabezpečení Vašeho informačního systému.

Nejvýznamnější kapitoly studie:

  1. Dlouhodobé cíle v oblasti bezpečnosti – kapitola stanovuje dlouhodobé bezpečnostní cíle v oblasti ochrany dat, zajištění bezpečné komunikace, atp.
  2. Základní požadavky na bezpečnost – kapitola konkretizuje základní bezpečnostní cíle a stanovuje požadavky v oblastech identifikace uživatelů, integrity dat, atp.
  3. Role a odpovědnosti v oblasti řízení bezpečnosti – kapitola přesně vymezuje role a odpovědnosti, deleguje kompetence v oblasti řízení a vyhodnocování bezpečnosti.
  4. Identifikace možných hrozeb a následků – kapitola uvádí možné hrozby, které mohou ohrozit bezpečnost ICT a specifikuje opatření, které tato rizika snižují na přijatelnou míru.
  5. Analýza rizik – kapitola vymezuje a analyzuje veškerá hmotná a nehmotná aktiva v rámci informačního systému a určuje zásady i postupy pro jejich ochranu.

Příklady, kdy se Vám tento dokument hodí:

  • Při rozvoji informačního systému: Chcete koupit nový software nebo hardware. Pokud se budete řídit zásadami bezpečnostní politiky, bude tak zajištěna poměrně vysoká míra bezpečnosti pořízovaného software nebo hardware a o to více i ochrana zpracovávaných a uchovávaných dat.
  • Při provozování informačního systému: Bezpečnost, kybernetická bezpečnost, ochrana osobních údajů – strašáci doby! Dokud se nic nestane, je to v pohodě. Aby to bylo relativně v pohodě i po té, když se něco stane, musíte zajistit každodenní dodržování pravidel bezpečností politiky.
  • Při zabezpečení informačního systému: Jasně definovaná a dodržovaná pravidla v oblasti bezpečnosti minimalizují rizika poškození, ztráty nebo úniku dat a nebo dlouhodobého výpadku informačních a komunikačních technologií.

Více informací najdete také zde: Bezpečnostní politika

Dále Vám rozhodně doporučujeme:

Ochrana osobních a citlivých údajů

Jste si jisti, že máte dostatečně ošetřenou ochranu osobních a citlivých údajů dle Zákona č. 101/2000 Sb., o ochraně osobních údajů?

Ochrana osobních a citlivých údajů je pro všechny organizace povinnou agendou.

V duchu Zákona č. 101/2000 Sb., o ochraně osobních údajů však nestačí mít pouze vnitřní směrnici, ale potřebujete kompletní dokumentaci.

správně a pečlivě zpracovaná dokumentace pro ochranu osobních a citlivých údajů Vám pomůže v každodenní praxi.

Díky ní definujete kompetence, postupy, pravidla a delegujete odpovědnost při ochraně osobních údajů, před neoprávněným přístupem, zneužitím či jejich ztrátě.

Nejvýznamnější kapitoly studie:

  1. Směrnice pro osobní a citlivé údaje – vnitro-organizační směrnice pro zpracovávání osobních a citlivých údajů přesně odpovídající platné legislativě a přizpůsobená Vašim podmínkám.
  2. Evidence manuálních i automatizovaných agend – přehled činností i softwarových aplikací, u kterých dochází ke zpracovávání osobních a citlivých údajů.
  3. Karty zaměstnanců – u každého zaměstnance stanovíme, zda a za jakých podmínek může mít přístup k osobním a citlivým údajům.
  4. Zveřejňování, předávání a registrace – pravidla, jak mohou nebo musí být osobní údaje zveřejňovány, předávány a případně registrovány na Úřadě pro ochranu osobních a citlivých údajů.
  5. Revizní zpráva – revize současného stavu, zda nedochází k neoprávněnému zpracování nebo přístupům k osobním údajům včetně nápravných opatření.

Příklady, kdy se Vám tento dokument hodí:

  • Při rozvoji informačního systému: Koupili jste nový software a nastavujete přístupová práva uživatelům. Pokud se budete důsledně řídit zásadami pro ochranu osobních údajů, nemůže docházet k neoprávněnému přístupu nebo zpracovávání osobních údajů.
  • Při personální nebo agendové reorganizaci: Život je změna a často se lecos mění. Práce, agendy, zaměstnanci. Přístup k osobním údajům musí vycházet nejen z platné legislativy, ale také přesně odpovídat aktuálním pracovním náplním zaměstnanců.
  • Během kontroly Úřadu na ochranu osobních údajů: Kontrolnímu orgánu doložíte komplexní dokumentaci tak, jak ji legislativa vyžaduje a to například včetně povinně zveřejňovaných informací či registrací osobních údajů. A vyhnete se zbytečným problémům případně i vysokým pokutám.

Více informací najdete také zde: Ochrana osobních a citlivých údajů

,
13 ledna, 2015, Redakce
Facebook
Autor Redakce