Výpis systémových zpráv
Analýza bezpečnostních rizik informačních aktiv a vypracování návrhu bezpečnostních opatření pro jejich snížení
| Systémové číslo: | T002/19/V00056864 |
|---|---|
| Zadavatel: | Podpůrný a garanční... |
Akce se zakázkou
Uveřejnění výsledků ZŘ v e-tržišti
Seznam účastníků zadávacího řízení
| Název | Osloven výzvou | Cena bez DPH | Cena s DPH | Datum a čas |
|---|---|---|---|---|
| ICZ a.s. 25145444 | Ano | 749 000,00 | 906 290,00 | 19.06.2019 09:33:31 |
| Aitcom s.r.o. 27470598 | Ano | 738 000,00 | 892 980,00 | 17.06.2019 09:48:04 |
| SONPO, a.s. 27571505 | Ano | 719 000,00 | 869 990,00 | 19.06.2019 15:11:59 |
Smlouva s vítězným účastníkem zadávacího řízení
| Typ smlouvy | jednorázová smlouva | ||||||||
|---|---|---|---|---|---|---|---|---|---|
| Dodavatel/é, s nímž/nimiž byla uzavřena smlouva | SONPO, a.s. 27571505 | ||||||||
| Odůvodnění na výběr dodavatelů/e | Nejnižší cena | ||||||||
| Datum uzavření smlouvy | 01.07.2019 | ||||||||
| Celková smluvní cena bez DPH | 719 000,00 | ||||||||
| Celková smluvní cena s DPH | 869 990,00 | ||||||||
| Sazba DPH v % | 21,00 | ||||||||
| DPH | 150 990,00 | ||||||||
| Měna | koruna česká | ||||||||
| Základní popis plnění | Předmět: - Analýza rizik stávajícího systému dle ISO/IEC 27001 a ISO/IEC 27002: proces porovnávání odhadovaných rizik proti přínosu a/nebo ceně možných bezpečnostních opatření, který se skládá z následujících částí: a) Návrh a schválení metodiky pro provedení analýzy rizik Hodnocení a řízení rizik je zcela individuální pro každou organizaci. Konzultanti do 60 dní od podpisu smlouvy formálně evidovaným projektovým dokumentem doporučí a pomohou vybrat vhodnou metodiku pro identifikaci a ocenění rizik a definovat kritéria, na základě, kterých se bude rozhodovat o tom kdy je dané riziko pro organizaci akceptovatelné a kdy nikoli. Definici vhodné metody, včetně volby metrik pro ocenění rizik je vhodné popsat ve směrnici, která vznikne nejdéle do konce projektu (povinný dokumentovaný postup – viz čl. 4.2.1. c normy ISO/IEC 27001). Výstup: Metodika analýzy a hodnocení rizik b) Identifikace kontextu a hranic pro analýzu rizik c) Identifikace a ocenění informačních aktiv v rámci hranic analýzy (bezpečnostního perimetru) V rámci tohoto kroku budou identifikována veškerá informační aktiva důležitá z pohledu informační bezpečnosti. Tato aktiva budou vkládána do vhodné tabulky, nebo vhodného IS, dále jen Registru aktiv, který může být v rámci projektu zapůjčen a následně jim bude přiřazena hodnota dle interní klasifikační stupnice. d) Identifikace hrozeb a zranitelností V tomto kroku budou na základě diskuze s jednotlivými vlastníky aktiv vybrány z katalogu hrozeb všechny hrozby, která se vztahují k daným aktivům. Totéž bude provedeno v případě zranitelností. e) Odhad pravděpodobnosti realizace hrozeb/využití zranitelných míst Výše uvedený seznam hrozeb a zranitelností bude v tomto kroku doplněn o odhad pravděpodobnosti výskytu jednotlivých hrozeb. f) Provedení vlastní analýzy rizik dle ISO/IEC 31000 a ISO/IEC 27005 Analýza rizik bude prováděna formou brainstormingu za účasti odborníků objednatele i zadavatele a zkušeného moderátora, přičemž se použije metoda „WHAT – IF“. (Postup při provádění analýzy rizik bude popsán v povinném dokumentovaném postupu, který bude vytvořen v rámci plnění předmětu zakázky. Analýza rizik se bude provádět podle předem sestaveného harmonogramu, který bude sestaven nejdéle do 60 dní po podepsání smlouvy tak, aby Analýza rizik pokryla celou organizaci, všechny klíčové procesy a hlavní provozní operace organizace ve vazbě na ICT. Výstupem z analýzy rizik bude podrobná zpráva s popisem jednotlivých rizik a jejich ohrožení. Tato zpráva bude prezentována vedení. Výstup: Dokument Analýza rizik. Předání dokumentu bude součástí akceptace díla. Návrh opatření ke zvýšení úrovně bezpečnosti informací, dat a IS V této etapě bude vypracován plán řízení rizik s využitím knihovny opatření dle ISO/IEC 27001 a ISO/IEC 27002. Na základě výsledků analýzy rizik odborný tým vybere bezpečnostní opatření, na která vypracuje programy (postupy/projekty) pro odstranění nebo snížení rizik. Při navrhování bezpečnostních opatření pro odstranění nebo minimalizaci rizik je vhodné počítat i s dalšími možnostmi řízení rizik, jako např.: • vědomé přijetí rizik, je-li to v souladu s bezpečnostní politikou a systémem řízení rizik (akceptovatelná rizika), • vyhnutí se rizikům, • přenesení nebo rozložení míry rizika na další strany (například dodavatele, pojišťovny) Při výběru bezpečnostních opatření se bude vycházet především z následujících priorit: • splnění požadavků platných právních předpisů, aplikovaných norem a dalších předpisů a požadavků • plánovaný rozvoj aktivit organizace a jejího ISMS • uplatnění „best practices“ Velký důraz je kladen na přesné strukturování existujících problémů a nedostatků tak, aby připravený program řízení rizik obsahoval klíčové podklady pro kvalifikovaná rozhodnutí managementu Organizace Výstupem je dlouhodobý bezpečnostní program – Plán bezpečnosti, který je složen z několika relativně samostatných projektů s přesně definovanými cíli. Výstup: Plán zvládání rizik, Cíle ISMS. Předání dokumentů bude součástí akceptace díla. Položky předmětu: - Název: Analýza bezpečnostních rizik informačních aktiv a vypracování návrhu bezpečnostních opatření pro jejich snížení - Kód z číselníku NIPEZ: 79417000-0 - Poradenství v oblasti bezpečnosti - Kód z hlavního slovníku číselníku CPV: 79417000-0 - Poradenství v oblasti bezpečnosti - Popis: Analýza bezpečnostních rizik informačních aktiv a vypracování návrhu bezpečnostních opatření pro jejich snížení - viz Smlouva - Parametry: - Identifikace: - Množství: 1 - Měrná jednotka: ks - Předpokládaná hodnota za 1 měrnou jednotku položky: 749 990,00 |
||||||||
| Místo plnění veřejné zakázky |
Sokolovská 394/17, Praha
|
||||||||
| Popis doby plnění | Od účinnosti smlouvy nejpozději do 31.12.2019 | ||||||||
| Smlouva | smlouva |