§ 12
Náležitosti provozní dokumentace
(1) Provozní dokumentace obsahuje
a) charakteristiku informačního systému,
b) popis architektury informačního systému,
c) podrobný popis informačního systému,
d) bezpečnostní dokumentaci,
e) provozní řád,
f) postupy a procesy související s provozem informačního systému,
g) protokoly související s provozem informačního systému a
h) smluvní a licenční dokumentaci.
(2) Charakteristika informačního systému obsahuje alespoň
a) odkaz na záznam v rejstříku informačních systémů veřejné správy a soukromoprávních systémů pro využívání údajů, v němž jsou údaje o informačním systému vedeny,
b) vlivy působící na informační systém a z nich plynoucí předpokládané změny a cíle informačního systému,
c) přehled dekomponování informačního systému na komponenty s uvedením vyhodnocené bezpečnostní úrovně informačního systému a jeho jednotlivých komponent a
d) přehled ukazatelů hodnocení ekonomické výhodnosti provozu a způsobu provozu informačního systému.
(3) Popis architektury informačního systému obsahuje alespoň dokumentaci na úrovni podrobnosti metody architektury úřadu a metody architektury řešení.
(4) Podrobný popis informačního systému obsahuje alespoň
a) požadavky kladené na informační systém při jeho vytvoření nebo rozvoji,
b) výčet komponent a sdílených prvků technologické a komunikační infrastruktury, které jsou nutné pro provoz informačního systému,
c) popis programových rozhraní,
d) popis připravovaných a realizovaných změn informačního systému,
e) výčet komponent informačního systému, jejich vzájemných vazeb a vazeb na jiné informační systémy,
f) přehled dostupných funkcí a poskytovaných služeb informačního systému,
g) přehled evidovaných údajů a jejich strukturu,
h) přehled zjištěných závad a provedených oprav informačního systému a
i) dobu plánované životnosti informačního systému.
(5) Orgán veřejné správy, kterému nejsou uloženy povinnosti v oblasti kybernetické bezpečnosti podle zákona upravujícího kybernetickou bezpečnost, stanovuje v bezpečnostní dokumentaci alespoň postupy pro
a) hodnocení dopadů narušení dostupnosti, důvěrnosti a integrity informací v informačním systému,
b) způsob řešení a reakce na bezpečnostní události a bezpečnostní incidenty, sběr a vyhodnocování kybernetických bezpečnostních událostí a incidentů,
c) zajištění provozu informačních systémů a bezpečnosti informací v informačních systémech,
d) rozvoj bezpečnostního povědomí a způsob jeho kontroly,
e) zajištění bezpečnosti komunikační sítě a
f) zajištění řízení kontinuity činností.
(6) Provozní řád obsahuje alespoň
a) provozní dobu informačního systému,
b) parametry poskytovaných služeb informačního systému,
c) informace o uživatelské podpoře,
d) pravidla pro odstávky informačního systému,
e) pravidla pro zamezení neúměrného provozního zatížení a nesprávného používání informačního systému nebo jeho služeb a
f) podmínky pro připojení ke službám informačního systému.