Pravidla provozování a využívání informačních systémů na Vysoké školy ekonomické v Praze (PR 2/2023)

Tento předpis již není platný! Datum konce platnosti: 10. července 2024 Zobrazit novější předpis...

Anotace

Tento příkaz s celoškolskou působností stanovuje pravidla provozování a užívání univerzitního informačního systému na Vysoké škole ekonomické v Praze a způsob nakládání s osobními údaji v nich obsažených. Příkaz navazuje na PR 01/2007 a další vnitřní předpisy VŠE.
Zpracovatel: Přezkoumal: Schválil:
Jméno: Ing. Luboš Pavlíček Ing. Milan Nidl, MBA doc. Ing. Petr Dvořák, Ph.D.
Útvar/funkce: vedoucí odd. rozvoje a podpory studijního IS prorektor pro informatiku a digitalizaci rektor
Datum: 2. 3. 2023 2. 3. 2023 3. 3. 2023
Podpis: Ing. Luboš Pavlíček, v. r. Ing. Milan Nidl, MBA, v. r. doc. Ing. Petr Dvořák, Ph.D. v. r.
Platnost od: 3. března 2023 Platnost do: odvolání
Účinnost od: 3. března 2023 Účinnost do:

1. Předmět úpravy

  1. Tento předpis stanoví práva a povinnosti, které souvisejí s vytvářením, správou, provozem, užíváním a rozvojem informačních systémů Vysoké školy ekonomické v Praze (dále jen „VŠE“).
  2. Pravidla se vztahují na všechny zaměstnance a studenty VŠE, na právní subjekty, které na půdě VŠE vykonávají činnosti pro VŠE na smluvním základě a všechny ostatní uživatele informačních systémů VŠE.
  3. S tímto příkazem úzce souvisí následující interní předpisy:
    • příkaz rektora PR 01/2007 Provozování a využívání výpočetní techniky a počítačové sítě Vysoké školy ekonomické v Praze,
    • směrnice SR 5/2018 Ochrana a zpracování osobních údajů,
    • směrnice SR 6/2021 Zajištění kybernetické bezpečnosti Vysoké školy ekonomické v Praze.

2. Základní pojmy

  1. Informační činností se rozumí získávání a poskytování informací, reprezentace informací daty, shromažďování, vyhodnocování a ukládání dat na nosiče a uchovávání, vyhledávání, úprava nebo pozměňování dat, jejich předávání, šíření, zpřístupňování, výměna, třídění nebo kombinování, blokování a likvidace dat ukládaných na nosičích.
  2. Informační systém (dále jen „IS“) je funkční celek nebo jeho část zabezpečující cílevědomou a systematickou informační činnost. IS zahrnuje data, která jsou uspořádána tak, aby bylo možné jejich zpracování a zpřístupnění, provozní údaje a dále technické a programové prostředky, případně jiné nástroje umožňující výkon informačních činností.
  3. Správcem IS (dále jen správce) je zpravidla útvar školy, který zodpovídá za činnosti a služby, kvůli kterým škola provozuje příslušný IS. V případě IS s působností napříč útvary může rektor VŠE ustanovit řídicí výbor, který přebere kompetence správce.
  4. Provozovatelem IS (dále jen provozovatel) je útvar školy či dodavatel zajišťující funkčnost technických a programových prostředků tvořících IS.
  5. Administrátorem IS (dále jen administrátor) je osoba zajišťující správu, provoz, použití, údržbu a bezpečnost IS.
  6. Uživatelem IS (dále jen uživatel) je fyzická nebo právnická osoba, které využívá IS.
  7. Uživatelé se zvýšenými právy jsou administrátoři a dále uživatelé, kde zneužití jejich přístupových práv může vést:
    • k incidentům se středním či vysokým rizikem dle směrnice SR 5/2018 Ochrana a zpracování osobních údajů,
    • nebo k bezpečnostním incidentům, které mají významný dopad na dostupnost, autenticitu, integritu a důvěrnost uchovávaných, předávaných nebo zpracovávaných dat nebo služeb.

3. Informační systém

  1. IS je vymezen službou či službami, které poskytuje pro podporu činnosti VŠE.
  2. IS má více uživatelů, tito uživatelé pracují nad týmiž daty, a to obvykle na dálku. Aplikace pro jednoho uživatele na jednom počítači (např. Excel) nejsou IS.
  3. IS se může skládat z většího počtu aplikací, někdy i od různých dodavatelů. IS si mohou vzájemně nebo jednostranně poskytovat data. IS mohou sdílet technické prostředky, podpůrné informační a komunikační systémy a služby (např. databáze či zálohování), zaměstnance a dodavatele podílející se na provozu, rozvoji, správě nebo bezpečnosti IS.
  4. IS má obvykle stejný rozsah jako systém zpracování osobních údajů dle SR 5/2018 Ochrana a zpracování osobních údajů.
  5. VŠE vede seznam svých informačních systémů za účelem přehledu a v souladu se zákonnými požadavky[1]. Pro každý IS je evidován i jeho správce a provozovatel. Vedením seznamu IS je pověřen Manažer kybernetické bezpečnosti.
  6. Při nejasnostech s určením IS, určením správce, určením provozovatele či určením hranice mezi IS rozhoduje Výbor kybernetické bezpečnosti, popř. předá podnět k rozhodnutí rektorovi VŠE.

4. Fikce podpisu u úkonů v informačních systémech

  1. IS musí garantovat prokázání totožnosti uživatele, který prostřednictvím něj učinil úkon, pro který se dle jiných předpisů vyžaduje podpis jednající osoby.
  2. IS musí garantovat autorizaci úkonu specifikovaného dle bodu 1 uživatelem a zpětné prokázání projevu vůle uživatele.
  3. Úkon učiněný uživatelem v souladu s body 1 až 2 se považuje za podepsaný tímto uživatelem.
  4. Je-li úkon dle bodů 1 až 2 učiněn studentem nebo zaměstnancem, odešle IS bezprostředně po jeho provedení potvrzení na školní e-mailovou adresu[2]. Je-li úkon dle bodů 1 až 2 učiněn uchazečem, odešle IS bezprostředně pro jeho provedení potvrzení na e-mailovou adresu zadanou uchazečem v rámci přijímacího řízení.
  5. Dokumenty podepsané s využitím fikce podpisu a protokoly o prokázání totožnosti a projevu vůle IS ukládá do důvěryhodného úložiště dokumentů, např. do spisové služby.

5. Správce informačního systému

  1. Správce určuje účel zpracování informací a podmínky provozování IS. Správce odpovídá za soulad funkcionality a užívání IS se zákonnými požadavky a vnitřními předpisy.
  2. Správce může vydávat pokyny provozovateli a uživatelům IS pro zajištění účelu, podmínek a požadavků.
  3. Správce zajišťuje včasnou aktualizaci funkcí IS při změně legislativy, vnitřních pravidel apod.
  4. Správce obvykle zabezpečuje financování pořízení, rozvoje a provozu IS.
  5. Změny nebo rozšiřování funkcí IS lze provádět jen na základě schválení správce IS. Porušení této zásady je kvalifikováno jako porušení pracovních povinností. Při provádění změn nebo rozšiřování funkcí je třeba postupovat s péčí dobrého hospodáře a zejména zvážit, zda požadovaného efektu nelze dosáhnout organizačními změnami spíše než nákladnými úpravami systému.

6. Provozovatel informačního systému

  1. Provozovatel je povinen vytvořit podmínky pro naplnění povinností souvisejících s provozováním IS a v rámci VŠE je plně zodpovědný za řádné provozování systému. Provozovatel je pro tento účel povinen zajistit nezbytné odborné služby jiných útvarů školy nebo externích organizací (např. údržba a aktualizace software). Provozování zahrnuje:
    • udržování funkčnosti a dostupnosti systému,
    • garance správnosti a integrity uchovávaných dat, řádné provádění archivace a likvidace informací,
    • monitorování dostupnosti a funkčnosti IS,
    • informování správce a případně uživatelů o omezeních funkčnosti a dostupnosti či nedostatcích ve správnosti a integritě dat,
    • poskytování informací a podpory uživatelům v rozsahu stanoveném správcem,
    • změny a rozšiřování funkcí IS na základě pokynů správce,
    • zavádění bezpečnostních opatření a opatření na ochranu osobních údajů, včetně průběžné kontroly dodržování těchto opatření,
    • správu a pravidelnou revizi přístupových práv,
    • detekce kybernetických bezpečnostních událostí a incidentů, informování správce a dalších osob, dle vnitřních předpisů o narušení bezpečnosti IS,
    • detekce a hlášení narušení zabezpečení osobních údajů, dle směrnice SR 5/2018 Ochrana a zpracování osobních údajů,
    • efektivní hospodaření s finančními zdroji určenými na provoz a rozvoj IS.
  1. Provozovatel je oprávněn provádět účinná technická, metodická a organizační opatření pro zajištění povinností z bodu 1. Opatření musí být v souladu se zákony a vnitřními předpisy. Opatření omezující funkčnost IS či přístup uživatelů ke službám IS musí být předem projednány se správcem.
  2. Provozovatel jmenuje administrátory IS.
  3. Na provozování systému se z věcných důvodů mohou podílet i pracovníci mimo útvar provozovatele. V takovém případě provozovatel tyto pracovníky metodicky řídí v rozsahu vyplývajícím z prováděné činnosti, tito pracovníci jsou povinni dbát pokynů provozovatele.
  4. Provozovatel koordinuje činnost administrátorů a ostatních pracovníků podílejících se na provozování IS.
  5. Přidělování přístupových práv je třeba věnovat zvýšenou pozornost a z důvodu bezpečnosti provozu systému je nepřidělovat v míře vyšší, než je nutné. Ve sporných případech ohledně rozsahu poskytnutých práv rozhoduje správce. V závažných případech Výbor kybernetické bezpečnosti.
  6. Provozovatel udržuje aktuální seznam uživatelů se zvýšenými právy. Tento seznam zpřístupní správci a členům Výboru kybernetické bezpečnosti.
  7. V případě ukončení pracovního poměru nebo v případě, že pomine důvod pro přidělená oprávnění pracovníkovi, je provozovatel povinen bez zbytečného odkladu zajistit odebrání těchto práv.

7. Využívání informačních systémů VŠE

  1. Přístup uživatelů k jednotlivým IS, jeho rozsah, obsah a způsob jsou dány přístupovými právy, která jsou odvozována:
    • z charakteru vykonávané činnosti a návazných potřeb uživatelů,
    • z nutnosti ochrany IS před poškozením, příp. zneužitím informací,
    • z technických a organizačních možností VŠE.
  1. Uživatel je povinen nakládat s informacemi v IS či získanými z IS jen v souladu s účelem, pro který získal přístup k IS, a v souladu se zákony a vnitřními předpisy VŠE, primárně se směrnicí SR 5/2018 Ochrana a zpracování osobních údajů.
  2. Funkcionalitu IS je možné používat pouze v rozsahu odpovídajícím odpovědnosti uživatele. Uživatel nesmí využívat funkcionalitu IS, přestože mu ji nastavení práv zpřístupňuje, pokud jejím využitím zasahuje do oblasti odpovědnosti jiné osoby. V těchto případech je potřeba postupovat ve spolupráci s uživateli odpovědnými za příslušnou oblast.
  3. V případě, že se uživatel domnívá, že má z nějakého důvodu v IS přístupová práva, která by neměl mít, a která mu nenáleží v rámci vykonávání své pracovní činnosti, resp. studijních povinností, musí o této skutečnosti informovat provozovatele IS.
  4. Uživatelé IS jsou povinni chránit přidělená přístupová práva, činit bezodkladné opatření při vzniku ohrožení IS (např. prozrazení hesla, chyba v systému, porucha) a vzniklý problém ohlásit provozovateli systému či na HelpDesk Centra informatiky, příp. nadřízenému. Nedodržování těchto zásad je porušením povinnosti vyplývající z právních předpisů vztahujících se k vykonávané práci a povinnosti stanovené právními předpisy nebo vnitřními předpisy VŠE.

8.  Zvláštní ustanovení pro jednotlivé IS

V této kapitole jsou uvedeny specifická ustanovení v kontextu příslušného IS.

A.   Integrovaný studijní informační systém (InSIS)

A.1 Základní pravomoc a odpovědnost za provoz a rozvoj InSIS

  1. Za změny a rozvoj v studijní a pedagogické oblasti je zodpovědný prorektor pro studijní a pedagogickou činnost.
  2. Provozovatelem InSIS je Centrum informatiky. Na zajištění provozu spolupracuje s fakultami, pedagogickým oddělením a dalšími odbornými útvary na škole.
  3. Ředitel Centra informatiky stanoví administrátory InSIS z řad svých pracovníků.
  4. Za bezpečnost systému a ochranu dat je zodpovědný ředitel Centra informatiky.
  5. Za kontrolní a auditní činnost je odpovědný ředitel Centra informatiky.

A.2 Řídicí výbor InSIS

  1. Členy Řídicího výboru jsou:
    • ředitel Centra informatiky (předsedající),
    • prorektor pro studijní a pedagogickou činnost,
    • zástupce proděkanů pro pedagogickou činnost,
    • vedoucí pedagogického oddělení
    • vedoucí oddělení rozvoje a podpory studijního IS.
  1. Řídicí výbor dle potřeby zve na svá jednání další zástupce školy, fakulty i zástupce provozovatele.
  2. Řídicí výbor se schází obvykle 1x měsíčně.
  3. Řídicí výbor řeší spory dle kapitoly 6, odstavců 6 a 8 tohoto předpisu, případně je předává k řešení vedení VŠE.
  4. Řídicí výbor schvaluje metodické pokyny pro správnou funkci InSIS. Metodické pokyny z oblasti bezpečnosti a ochrany dat doporučuje ke schválení Výboru kybernetické bezpečnosti. Není tím omezeno právo provozovatele provádět opatření dle příkazu rektora 1/2007.
  5. Řídicí výbor projednává a schvaluje změny InSIS, jejich prioritizaci a kontrolu financování. Schvalování může být řešeno per rollam.
  6. Řídicí výbor může delegovat schvalování drobných změn na některého ze svých členů.
  7. Řídicí výbor projednává měsíční report Koordinačního týmu InSIS a schvaluje opatření navržená Koordinačním týmem.
  8. Řídicí výbor může zadat provozovateli vypracování analýz provozu a používání InSIS.

A.3 Dílčí administrátoři

  1. Fakulty stanoví dílčí administrátory s působností omezenou na příslušnou fakultu. Tito dílčí administrátoři se nazývají systémoví integrátoři fakult (SIF).
  2. Vedoucí pedagogického oddělení stanoví dílčího administrátora pro oblast studijní agendy.
  3. Celoškolské odborné útvary mohou ustanovit své dílčí administrátory po schválení Řídicím výborem.

A.4 Koordinační tým InSIS

  1. Členy Koordinačního týmu jsou vedoucí rozvoje a podpory studijního informačního systému (předsedající), vedoucí pedagogického oddělení, systémoví integrátoři fakult (SIF), dílčí administrátoři z dalších útvarů a administrátoři InSIS z Centra informatiky.
  2. Koordinační tým se schází obvykle 1x měsíčně.
  3. Koordinační tým zajišťuje koordinaci aktivit v rámci proběhlých či plánovaných změn InSIS a dále slouží k výměně informací mezi provozovatelem a dílčími administrátory a mezi dílčími administrátory navzájem.
  4. Koordinační tým vyhodnocuje požadavky, které byly uplatněny prostřednictvím Helpdesku, nebo přímo na členy Koordinačního týmu.
  5. Koordinační tým předkládá Řídicímu výboru pravidelný písemný report.

A.5 Práva v InSIS

  1. Za správu a revizi práv odpovídá provozovatel. Práva se přiřazují pomocí skupin práv pro jednotlivé funkce a role.
  2. Provozovatel pro fakulty a další útvary s dílčím administrátorem připravuje skupiny práv dle funkcí a rolí na fakultě/útvaru. Za přiřazení a odebrání skupiny práv konkrétní osobě odpovídá děkan fakulty. Vedoucí útvaru po předchozím projednání a schválení příslušným prorektorem, nebo kvestorem. Konkrétní přiřazení osoby ke skupině práv provádí dílčí administrátor.

A.6 Hlášení chyb

  1. Uživatelé z fakult a útvarů s dílčím administrátorem hlásí chyby prostřednictvím svého dílčího administrátora. Studenti hlásí chyby prostřednictvím příslušného dílčího administrátora či prostřednictvím HelpDesku Centra informatiky. Ostatní uživatelé hlásí chyby na Helpdesk Centra informatiky.
  2. Dílčí administrátor je povinen nahlášenou chybu dle svých možností prověřit a opravit. Pokud k tomu nemá dostatečná práva či znalosti, chybu řádně zdokumentuje a předá ji k řešení centrálnímu integrátorovi nebo provozovateli, a to dle charakteru nahlášené chyby.
  3. Chyby vyžadující zásah dodavatele řeší provozovatel.

A.7 Změny a rozšiřování funkcí InSIS

  1. Návrhy na změny InSIS eviduje Centrum informatiky. Centrum informatiky ověřuje technickou realizovatelnost, zjišťuje finanční náročnost a, v případě schválení návrhu, zajišťuje komunikaci s dodavatelem při jeho řešení.
  2. Součástí návrhu na změnu musí být vyjádření celoškolského odborného útvaru či odborných útvarů, jejichž činnosti se změna týká. Změny obvykle navrhují přímo tyto odborné útvary.
  3. Součástí návrhu na změnu musí být způsob financování.
  4. Pokud grant, rozvojový projekt či dotace předpokládá změny v InSIS, tak žadatel musí získat odpovídající souhlas Řídicího výboru InSIS s navrhovanou změnou před vlastním podáním žádosti.

A.8 Uživatelé InSIS

  1. Uživatel nesmí svévolně upravovat, vkládat či mazat data uložená v InSIS.
  2. Uživatel nesmí využívat žádný program, programový kód ani jiné technické prostředky k automatickému spouštění jakékoli funkcionality InSIS ani sestavovat URL odkazy pro spouštění funkcionalit InSIS. Výjimky posuzuje a schvaluje Řídicí výbor InSIS.
  3. V případě, že se uživatel domnívá, že má z nějakého důvodu v InSIS přístupová práva k objektům, které by neměl mít, a které mu nenáleží v rámci vykonávání své pracovní, činnosti, resp. studijních povinností, musí o této skutečnosti neprodleně informovat provozovatele InSIS prostřednictvím HelpDesku Centra informatiky.
  4. Uživatel smí využívat (poskytnout práva nebo přijmout) delegování práv na aplikace pouze v případě, že situace neumožňuje jiný způsob řešení, např. osobním kontaktem, postoupením správci s vyšším oprávněním. Není dovoleno delegováním práv soustavně nebo záměrně rozšiřovat rozsah práv jiného uživatele.
  5. Přebírání identity se smí využívat pouze v rámci řešení pracovních úkolů, když není možný osobní kontakt s uživatelem. Není dovoleno tímto způsobem získávat informace, ke kterým uživatel dle nastavení svých práv nemá přístup.
  6. Přebrání identity uživatele s takovým nastavením práv, že přesahují práva přebírajícího, je možné pouze po jeho písemném souhlasu.
  7. Uživatel nesmí zneužívat přebírání identity k získání důvěrných dat jiného uživatele, zejména obsahu poštovní schránky nebo spisového uzlu.

B. Microsoft 365

B.1 Základní pravomoc a odpovědnost za provoz Microsoft 365

  1. Správcem Microsoft 365 je Centrum informatiky.
  2. Provozovatelem Microsoft 365 je Centrum informatiky, administrátoři jsou pověření zaměstnanci Centra informatiky. Vlastní servery pro služby Microsoft 365 provozuje firma Microsoft, u firmy Microsoft je uložena i většina dat.

B.2 Uživatelé Microsoft 365

  1. V případě, že se uživatel domnívá, že má z nějakého důvodu v Microsoft 365 přístupová práva k objektům, které by neměl mít, a které mu nenáleží v rámci vykonávání své pracovní činnosti, resp. studijních povinností, musí o této skutečnosti neprodleně informovat provozovatele prostřednictvím HelpDesku Centra informatiky či přímo administrátory Microsoft 365.
  2. Administrátor má možnost přístupu do uživatelovy osobní kolekce webů bez jeho souhlasu v případě podezření na nedovolené využívání Microsoft 365, v rámci řešení problému související se zajištěním bezproblémového chodu Microsoft 365 a v rámci řešení incidentů, které mu byly ohlášeny.
  3. Uživatelé nesmí v prostředí Microsoft 365 využívat nebo instalovat programy, skripty ani jiné prostředky, takovými způsoby, které by měly za následek negativní dopad na tento IS, na počítačovou síť VŠE, popřípadě byly v rozporu se zákonem nebo dobrými mravy.

9.  Závěrečná ustanovení

Tímto předpisem se v plném rozsahu ruší PR 07/2018 Pravidla provozování a využívání univerzitního informačního systému Vysoké školy ekonomické v Praze

Přílohy tohoto předpisu:

  • Tento předpis nemá žádné přílohy.

[1] Např. vyhláška č. 317/2014 o významných informačních systémech a jejich určujících kritériích.

[2] Viz SR 4/2019 Pravidla provozu elektronické pošty na Vysoké škole ekonomické v Praze.

  • Odpovědná osoba: Ing. Luboš Pavlíček
  • Vytvořeno:
  • Poslední aktualizace: