Překlady této stránky:

Toto je starší verze dokumentu!


PODMÍNKY PRO AKREDITUJÍCÍ OSOBU A ATESTAČNÍ STŘEDISKA SLOUŽÍCÍ PRO ATESTACI DLOUHODOBÉHO ŘÍZENÍ ISVS VE SMYSLU HLAVY III ZÁKONA č. 365/2000 Sb., O INFORMAČNÍCH SYSTÉMECH VEŘEJNÉ SPRÁVY

Digitální a informační agentura (dále také „DIA“) v souladu s ustanoveními § 6 až § 6f zákona č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů (dále také „ZoISVS"), stanoví tato akreditační pravidla. Požadavky na dlouhodobé řízení informačních systémů veřejné správy jsou stanoveny v ustanovení § 5a odst. 2, 3 a 4 ZoISVS a vyhláškou č. 360/2023 Sb., o dlouhodobém řízení informačních systémů veřejné správy. Postupy atestačních středisek při posuzování dlouhodobého řízení informačních systémů veřejné správy se řídí vyhláškou č. 530/2006 Sb., o postupech atestačních středisek při posuzování dlouhodobého řízení informačních systémů veřejné správy.

V těchto pravidlech jsou obsaženy podmínky pro akreditující osobu a atestační středisko stanovené ze strany DIA, jež je ústředním správním úřadem vykonávajícím působnost stanovenou ZoISVS pro oblast akreditace a atestací.

Akreditace atestačních středisek a následné pověření atestačních středisek budou prováděné v souladu s národními a mezinárodními standardy pro akreditace a inspekce s tím, že DIA upřesňuje některé požadavky na provádění akreditace atestačních středisek, atestace dlouhodobého řízení informačních systémů veřejné správy a pověření atestačních středisek těmito pravidly. Požadavky jsou členěny na:

  • Požadavky na akreditující osobu,
  • Požadavky na atestační středisko,
  • Požadavky na Digitální a informační agenturu,
  • Požadavky na atestaci dlouhodobého řízení informačních systémů veřejné správy.

Akreditující osoba provádí posuzování odborné způsobilosti atestačních středisek v souladu s ČSN EN ISO/IEC 17020:2012.

  1. DIA nominuje, nebo akreditující osoba navrhne a DIA schválí, do akreditačního týmu odborného posuzovatele/experta, který bude garantovat, že v průběhu akreditačního procesu atestačního střediska pro provádění atestací dlouhodobého řízení informačních systémů veřejné správy budou uplatněny všechny požadavky DIA ve vztahu k atestačnímu středisku. Odborný posuzovatel/expert musí mít prokazatelné znalosti práv a povinností vyplývajících ze ZoISVS a jeho prováděcích právních předpisů v platném a účinném znění, případně jiných relevantních právních předpisů určených DIA.
  2. Akreditující osoba doplní skupinu posuzovatelů o další odborné posuzovatele/experty, kteří budou mít alespoň znalosti:
    1. Dlouhodobého řízení informačních systémů veřejné správy, aby byli schopni posoudit úroveň architektury informačního systému a splnění požadavků na řízení jeho kvality a bezpečnosti v souladu s požadavky Informační koncepce ČR a dokumentů, které na ni navazují.
  3. Prokázání naplnění požadavků dle písm. B. doloží posuzovatel / expert:
    1. Pro oblast dlouhodobého řízení informačních systémů správy VŠ vzděláním a 2 roky praxe, nebo SŠ vzděláním a 4 roky praxe v roli architekta informačních systémů, enterprise architekta nebo obdobné pozice.

Akreditaci provádí akreditující osoba v souladu s postupy dle normy ČSN EN ISO/IEC 17020:2012 a těmito pravidly. Výstupem je osvědčení o akreditaci atestačního střediska a jeho inspekčního postupu k provádění atestací.

Akreditující osoba povede evidenci atestačních středisek akreditovaných k provádění atestací dlouhodobého řízení informačních systémů veřejné správy. Akreditující osoba informuje prostřednictvím datové schránky DIA, nebo jiným oboustranně sjednaným způsobem o rozhodnutí a zveřejnění údaje o vydání, pozastavení, změně nebo zrušení osvědčení o akreditaci ve lhůtě do 5 pracovních dnů od data nabytí účinnosti příslušného rozhodnutí.

Pro atestační střediska s platným Pověřením k provádění atestací dlouhodobého řízení informačních systém veřejné správy a Osvědčením o akreditaci na rozsah inspekce „Atestace dlouhodobého řízení ISVS v rozsahu požadavků vyhlášky č. 529/2006 Sb., ve znění pozdějších předpisů, a postupem dle vyhlášky č. 530/2006 Sb., ve znění pozdějších předpisů“ k 1.6.2024 platí, že na základě smlouvy o provedení atestace dle § 6d odst. 3 ZoISVS, uzavřených v době od platnosti a vyhlášení těchto pravidel, musí veškeré atesty dlouhodobého řízení informačních systémů veřejné správy udělovat nejvýše na 3 roky bez možnosti jejich prodloužení dle § 6d odst. 6 ZoISVS.

Pokud atestační středisko nebude moci získat osvědčení o akreditaci (reakreditovat svůj postup) dle § 6a ZoISVS od akreditující osoby, aby mohlo provádět atestace dlouhodobého řízení informačních systémů veřejné správy v souladu s novými vyhláškami do 30.6.2024 z důvodů, které nejsou zapříčiněny atestačním střediskem, může atestační středisko provádět atestace podle právních předpisů platných a účinných před 1.7.2024. Atestační středisko v takovém případě uvědomí Digitální a informační agenturu o této skutečnosti, a sdělí termín, do kdy bude osvědčení o akreditaci získáno. Atesty se v tomto případě udělují stejně jako v předchozím odstavci nejvýše na 3 roky bez možnosti jejich prodloužení dle § 6d odst. 6 ZoISVS.

Atestační středisko provádí atestaci v souladu s:

  • vyhláškou č. 530/2006 Sb., o postupech atestačních středisek při posuzování dlouhodobého řízení informačních systémů veřejné správy,
  • akreditovaným postupem pro provádění atestací dle požadavků vyhlášky č. 360/2023 Sb., o dlouhodobém řízení informačních systémů veřejné správy,
  • akreditovaným systémem řízení inspekčního orgánu dle normy ČSN EN ISO/IEC 17020:2012
  • těmito pravidly.

Atestační středisko není oprávněno provádět atestaci dlouhodobého řízení informačních systémů veřejné správy u orgánu veřejné správy, u kterého se podílelo či podílí samo nebo s ním ekonomicky nebo personálně spojenou osobou na vývoji, přípravě a údržbě informačních systémů veřejné správy, informační koncepce či provozní dokumentace.

  1. Osoby provádějící atestaci jménem atestačního střediska se nazývají inspektoři. Všichni inspektoři atestačního střediska musí disponovat platným osvědčením o absolvování kurzu pořádaného DIA k potvrzení znalosti problematiky dlouhodobého řízení informačních systémů veřejné správy. Získání osvědčení je nezbytnou podmínkou pro získání oprávnění realizovat činnosti inspektora pro atestaci dlouhodobého řízení informačních systémů veřejné správy.
  2. Inspektor musí disponovat prokazatelnou znalostí inspekčních postupů tak, aby byl schopen provést atestaci dlouhodobého řízení informačních systémů veřejné správy.
  3. Inspektor musí disponovat prokazatelnou znalostí systému řízení služeb v IT v takovém rozsahu, aby byl schopen posoudit kvalitu posuzovaného řešení, např. pomocí posouzení míry plnění SLA parametrů, procesů a řízení služeb v IT, které vyplývají z požadavků normy ČSN ISO/IEC 20000-1, ITIL apod.
  1. DIA zajistí možnost kurzu pro inspektory atestačních středisek, a to obvykle pro minimálně 4 žadatele. Kurz bude zakončen přezkoumáním získaných znalostí písemnou zkouškou (testem), na základě které DIA vydá osvědčení o získané úrovni znalostí dlouhodobého řízení informačních systémů veřejné správy. Rozsah znalostí bude zahrnovat zejména:
    1. Základní principy ZoISVS a vyhlášky č. 530/2006 Sb., o postupech atestačních středisek při posuzování dlouhodobého řízení informačních systémů veřejné správy.
    2. Další požadavky na informační systémy veřejné správy vyplývající z jiných právních předpisů.
    3. Základní principy architektury veřejné správy a dostatečnosti jejího popisu v informační koncepci.
    4. Správnost a dostatečnost plnění požadavků vyhlášky č. 360/2023 Sb., o dlouhodobém řízení informačních systémů veřejné správy.
    5. Další relevantní informace s dopadem do hodnocení informačních systémů veřejné správy a činnosti atestačních středisek.
  2. Osvědčení obdrží inspektor atestačních středisek na místě vykonané zkoušky.
  3. Osvědčení o získané úrovni znalostí dlouhodobého řízení informačních systémů veřejné správy se vydává s platností na 2 roky.
  4. Oznámení o získaném osvědčení zašle DIA atestačnímu středisku, jehož je inspektor zaměstnanec, do jeho datové schránky.
  5. DIA poskytne na vyžádání atestačního střediska nebo akreditující osoby seznam platných osvědčení.
  1. DIA poskytuje atestačním střediskům součinnost ve formě dodaných podkladů z centrálních evidencí sloužící ke kontrole informací obsažených v předkládaných podkladech od orgánu veřejné správy a informací obsažených v centrálních evidencích.
  2. DIA poskytuje součinnost na vyžádání atestačního střediska na základě zahájené atestace u orgánu veřejné správy.

Atestační středisko zveřejní atestační (obchodní) podmínky k provádění atestací dlouhodobého řízení informačních systémů veřejné správy vydané atestačním střediskem obsahující zejména vymezení předmětu atestace a postupy atestačního střediska při provádění atestací schválené DIA, každou jejich změnu, odejmutí pověření k provádění atestací nebo zrušení rozhodnutí o schválení postupů atestačního střediska ve své provozovně. Atestační středisko zveřejní výše uvedené dokumenty způsobem umožňujícím dálkový přístup do 7 pracovních dnů od vydání příslušného rozhodnutí DIA.

4.1.1 Rozsah atestačního řízení

  1. Minimální rozsah každé atestace dlouhodobého řízení informačních systémů veřejné správy dle kapitoly 4.1.2 je stanoven na dva auditodny pro posouzení předložené dokumentace a jeden den pro posouzení informací předaných DIA v rámci poskytované součinnosti.
  2. Atestační středisko stanoví písemný postup pro výpočet doby trvání atestace v závislosti na rozsahu předaných podkladů od orgánu veřejné správy k atestaci.
  3. Na počet zaměstnanců orgánu veřejné správy dedikovaných k provedení atestace nebude brán zřetel.
  4. Inspektor musí provést atestační řízení postupem stanoveným body 4.2 až 4.5.

4.1.2 Průběh atestačního řízení

  1. Každé atestační řízení bude prováděno dvoustupňově.
    1. V prvním stupni inspektor posoudí soulad předložené dokumentace s požadavky na informační koncepci a provozní dokumentaci a v případě identifikace neshod vydá zprávu, která bude obsahovat zjištěné nedostatky.
    2. Ve druhém stupni inspektor posoudí soulad předložené dokumentace od orgánu veřejné správy s předanými podklady od DIA, tj. reálný stav vůči deklarovanému stavu. Inspektor provede ověření všech informačních systémů veřejné správy a dalších informací, které žadatel uvedl v předložené dokumentaci, nebo které atestační středisko zjistilo v rámci poskytnuté součinnosti od DIA.
  1. Žádost o atestaci zaslaná atestačnímu středisku je výzvou atestačnímu středisku k předložení smluvního návrhu žadateli ve smyslu § 6e odst. 2 zákona č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů.
  2. Atestačnímu středisku je na základě § 3 odst. 2 vyhlášky č. 530/2006 Sb., o postupech atestačních středisek při posuzování dlouhodobého řízení informačních systémů veřejné správy, předkládána informační koncepce a provozní dokumentace. Rozsah provozní dokumentace předkládané při atestaci stanovuje § 13 vyhlášky č. 360/2023 Sb., o dlouhodobém řízení informačních systémů veřejné správy.
  3. Atestační středisko provádí atestace na základě smlouvy uzavřené s žadatelem o atestaci za úplatu, přičemž atestační středisko navrhne uzavření smlouvy a provedení atestace každému, kdo jej způsobem stanoveným v atestačních podmínkách vyzve k uzavření smlouvy podle zveřejněných atestačních podmínek. Odchylky od atestačních podmínek lze pro jednotlivý případ sjednat jen tehdy, jestliže to atestační podmínky připouštějí a jestliže se těmito změnami nemění povaha nabízené atestační služby.
  4. Atestačnímu středisku nevzniká povinnost navrhnout uzavření smlouvy o provedení atestace, jestliže jejím obsahem mají být také odchylky od atestačních podmínek.
  5. Žádost o atestaci, tj. úmysl uzavřít s atestačním střediskem smluvní vztah, oznamuje žadatel přímo atestačnímu středisku dostupnou formou, zejména elektronicky nebo písemně.
  6. Na základě žádosti o atestaci poskytne atestační středisko žadateli informace o nezbytných pokladech k uzavření smluvního vztahu, návrh ceny, seznam podkladů k atestačnímu řízení, specifikaci požadavků, informace o průběhu atestace a výstupech z atestace, případně další podmínky nebo informace nezbytné k zasmluvnění služby a provedení atestace.
  7. Atestační středisko může vyzvat/vyzve žadatele k doplnění podkladů k uzavření smlouvy o provedení atestace, v případě, že jsou tyto podklady neúplné nebo obsahují nesprávné údaje.
  1. Atestační řízení je zahájeno neprodleně po uzavření smlouvy o provedení atestace, přičemž je podmíněno předáním podkladů k provedení atestace v rozsahu stanoveném vyhláškou č. 360/2023 Sb., o dlouhodobém řízení informačních systémů veřejné správy, a vyhláškou č. 530/2006 Sb., o postupech atestačních středisek při posuzování dlouhodobého řízení informačních systémů veřejné správy, a k tomu akreditovaným postupem. Vlastní atestace probíhá v souladu s podmínkami dle smlouvy o provedení atestace, oboustranně schváleného časového harmonogramu atestace, atestačních podmínek a postupů a těchto pravidel.
  2. Atestace je prováděna podle akreditovaného a schváleného postupu pro provádění atestací v souladu s těmito pravidly.
  3. Atestační středisko musí při svém hodnocení zohlednit informace poskytnuté v rámci součinnosti DIA.
  4. Výstupem z atestace je vždy Atestační protokol a v případě úspěšného splnění všech požadavků je výstupem Atestační protokol a Atest.
  5. Výstupy z atestace budou obsahovat informaci, že další atestace musí proběhnout nejpozději do doby stanovené v Atestu, nejpozději však za 5 let.
  6. Atestační středisko stanoví dobu, za kterou musí proběhnout opětovně atestace na dobu kratší než 5 let v případě, že:
    1. Atest je vydán dle § 6 odst. 3 vyhlášky č. 530/2006 Sb., o postupech atestačních středisek při posuzování dlouhodobého řízení informačních systémů veřejné správy, s výhradou. V takovém případě může být atest udělen nejdéle na 2 roky.
    2. Atestovaný orgán veřejné správy nemá dle jím dodaných podkladů 4.2. B a podkladů dodaných DIA v rámci součinnosti dle 3.2. připojeny své informační systém veřejné správy na referenční rozhraní veřejné správy pro účely vazeb na informační systémy veřejné správy jiného orgánu veřejné správy. V takovém případě může být atest udělen nejdéle na 2 roky.
    3. Atestovaný orgán veřejné správy nemá dle jím dodaných podkladů 4.2. B a podkladů dodaných DIA v rámci součinnosti dle 3.2. zajištěnou identifikaci a autentizaci fyzických osob, u kterých se vyžaduje prokázání totožnosti pomocí kvalifikovaného systému. V takovém případě může být atest udělen nejdéle na 2 roky.
    4. Atestovaný orgán veřejné správy nemá dle jím dodaných podkladů 4.2. B a podkladů dodaných DIA v rámci součinnosti dle 3.2. zajištěnou vazbu svých informačních systémů veřejné správy na informační systémy veřejné správy jiného orgánu veřejné správy prostřednictvím centrálního místa služeb. V takovém případě může být atest udělen nejdéle na 2 roky.
    5. Atestovaný orgán veřejné správy nemá dle jím dodaných podkladů 4.2. B a podkladů dodaných DIA v rámci součinnosti dle 3.2. souhlasná stanoviska odboru Hlavního architekta eGovernmentu DIA na projekty architektonických změn svých informačních systémů veřejné správy. V takovém případě může být atest udělen nejdéle na 2 roky.
  1. Atestační středisko vede seznam vydaných, ukončených a odňatých atestů. Atestační středisko oznámí elektronicky DIA vydání atestu, změnu jeho rozsahu, odnětí atestu shody nebo jakékoliv jiné relevantní skutečnosti nejpozději do 7 pracovních dnů ode dne nabytí účinnosti příslušného rozhodnutí. Součástí oznámení budou DIA předem stanovené strukturované informace o provedené atestaci.
  2. Oznámení dle bodu 4.4. A. bude atestační středisko zasílat do datové schránky DIA, nebo jiným způsobem, na kterém se obě strany shodnou.

Tato pravidla se uplatní ode dne jejich vydání.

Atestační středisko má povinnost doložit plnění těchto pravidel v rámci nejbližšího dozorového nebo akreditačního auditu svého inspekčního orgánu.

Vložte svůj komentář: