Jednou z hojně diskutovaných oblastí mezi starosty, primátory, hejtmany a informatiky městských a obecních úřadů se staly atestace informačních systémů veřejné správy (ISVS). Je to téma, které zajímá nejen odborníky, kteří informační systémy vytvářejí a spravují, ale zejména ty, kteří nesou za jejich provoz odpovědnost ze zákona, tj. managementobecních a krajských úřadů. Některé postřehy z této diskuse jsme konzultovali s RNDr. Miladou Ptáčkovou, výkonnou ředitelkou brněnské společnosti ADA, jednoho z prvních tří atestačních středisek pověřenýchuž v roce 2001 prováděním atestací ISVS.
Můžete uvést, do jakého systému atestace patří?
Standardy ISVS, systém atestací a systém kontrol, to jsou základní technické nástroje koordinace výstavby a zabezpečení provozu informačních systémů veřejné správy v celorepublikovém rozsahu. Standardy vymezují technická a organizační pravidla. Systém atestací prokazuje v jednoznačně vymezených případech dodržení pravidel a tím způsobilost pro použití ve veřejné správě. Systém kontrol ověřuje dodržování povinností správců ISVS vyplývající ze zákona č. 365/2000Sb.
Co je pro atestace ISVS prvořadé?
Na začátku celého procesu by měl úřad zpracovat své strategické dokumenty ISVS. Je to manažerská řídící dokumentace konkrétního úřadu nutná pro systematické řízení rozvoje ISVS, jeho financování, zajištění jednotné koncepce hardwarových i softwarových platforem, nezbytné bezpečnosti a jakosti provozu ISVS v konkrétních podmínkách daného úřadu. Strategické dokumenty určují i koncepci kontrolní činnosti úřadu v oblasti ISVS a delegují pravomoci a odpovědnost z managementu úřadu na pracovníky úseku informatiky.
Kromě strategické dokumentace musí správce zajistit i atestace dokumentací agend informačních systémů (IS).
Nejčastější diskuse se vedou o tom, kdo vlastně o atestace žádá?
Povinné atestace musí ze zákona zajistit správce ISVS, některé atestace však může zabezpečit dodavatel IS, dodavatel dokumentace IS nebo souvisejících služeb. Atestace zabezpečené dodavatelem usnadňují atestace u správce, který produkt nakupuje, implementuje nebo provozuje. Dodavatel může zabezpečit například atestaci systémové a uživatelské části dokumentace informačního systému nebo atestaci jakosti produktu. Tím je pro správce bezpečnějším partnerem. Správce musí například zabezpečit atestaci strategické dokumentace ISVS nebo provozní bezpečnostní dokumentace svého konkrétního IS, který podléhá atestaci.
Podle mezinárodních principů je každá implementace informačního systému unikátní. To se týká i komerčních informačních systémů. Přihlásí-li softwarové řešení k atestaci správce ISVS, pak je zřejmé, že se jedná o implementaci a atestaci řešení v jeho konkrétním prostředí. Produkty používané správcem ISVS se většinou průběžně rozvíjejí o nové aplikace nebo v souvislosti se změnami zákonů, vyhlášek a standardů ISVS. Zajistí-li tedy správce základní atestaci ISVS už před uvedením informačního systému do provozu, má zaručenu kontinuitu následných přírůstkových atestací a management úřadu se může spolehnout na bezpečnost a jakost aplikací provozovaných IS s výhledem na prodloužení životnosti IS nad osm let. Tím se v pozdější době sníží náklady na provoz IS i náklady a časová náročnost dalších atestací.
Mnohdy se setkáváme s ryze formálním přístupem k atestacím. Proč?
Myslím si, že tzv. administrativní cesta k získání atestu vznikla z neznalosti úskalí, která takové krátkodobé řešení přináší. Formální atestace nezohledňují konkrétní a specifické podmínky daného úřadu a nepřispívají k posílení bezpečnosti vývoje a provozu ISVS úřadu, za který je plně odpovědný starosta, primátor nebo hejtman. Nedostatky nekvalitně provedené atestace se projeví v následných přírůstkových atestacích a správce ISVS je pak postaven před odstraňování chyb a nedodělků z předchozích období. Formální atestace nechrání ani úřad, ani investice do ISVS. Řádně provedené atestace však přinášejí navíc i určité "druhotné" výhody. V našem středisku chápeme atestace nikoli jako administrativní záležitost, ale jako odborný technický proces směřující k zajištění požadovaných technických parametrů, bezpečnosti a jakosti daného ISVS při vývoji i provozu v každodenní praxi, tak jak je zvykem v EU. Už při analýze dokumentace ISVS se objeví nejen klady, ale i skryté nedostatky, které třeba ani sami autoři softwarového řešení neznají a neví o nich ani odpovědní pracovníci správce ISVS. V průběhu atestačního řízení je tedy možné některé nedostatky zcela odstranit nebo stanovit, které úpravy budou provedeny v nových verzích. Řadu nedostatků je také možné odstranit při atestaci u dodavatele ještě před zkušebním provozem v reálném prostředí úřadu. Tento proces postupnéhoodstraňování nedostatků a zajištění plnění technických požadavků pomáhá zkvalitnit informační systém úřadu a jeho řízení managementem úřadu.
Co může atestační středisko nabídnout kromě konečného certifikátu?
Atestační střediska ISVS jsou pověřená odborná pracoviště ve svém oboru. Analýzy a hodnocení prováděné při atestacích připravují zkušení odborníci s dlouholetou praxí a bylo by škoda nevyužít jejich zkušeností v širším měřítku. Naše středisko proto také například poskytuje žadatelům odbornou podporu při přípravě k atestacím, pomáhá správcům při zaškolení pracovníků k práci se standardy ISVS a jejich širokém použití pro praxi úřadu, pro zabezpečení jakostních procesů na úřadu, vysvětluje principy pro vytváření samostatné dokumentace ISVS úřadu, seznamuje s úskalími při uzavírání smluv s dodavateli IS a služeb v souvislosti s plněním standardů ISVS.
ADA je atestačním střediskem, které je zaměřeno na ty správce ISVS, kteří jsou ochotni respektovat doporučení nezávislých specializovaných expertů, chtějí postupovat systematicky a odborně s výhledem na delší časový horizont životnosti ISVS a uvědomují si význam ISVS pro úřad. Námi provedené atestace potvrdily správnost takového přístupu k atestacím a praktickou užitečnost atestací pro dodavatele i správce ISVS.