| Stručný popis předmětu: |
Předmětem Veřejné zakázky je provedení nezávislé analýzy informačních rizik ve shodě s vnitřními předpisy a platnou politikou zadavatele (dále jen „Analýza rizik“) a vytvoření bezpečnostní dokumentace v souladu s:
- ISO 27000;
- Zákonem o kybernetické bezpečnosti (dále jen „ZoKB“);
- Vyhláškou o kybernetické bezpečnosti (VoKB).
V rámci analýzy rizik budou provedeny především následující činnosti:
- Identifikace a ohodnocení aktiv, hrozeb a zranitelností;
- V rámci identifikace a ohodnocení aktiv je požadováno navržení závazného postupu identifikace a evidence všech aktiv (primárních i podpůrných) včetně vazeb podpůrných a primárních aktiv, v souladu s ČSN ISO/IEC 27005, příloha B. Dále dle tohoto postupu proběhne samotná identifikace a evidence všech primárních aktiv včetně jejich ohodnocení a evidence všech podpůrných aktiv včetně určení jejich vazeb na primární aktiva. U každého identifikovaného primárního aktiva budou určeny a evidovány možné hrozby a zranitelnosti pro účely analýzy rizik;
- Výpočet míry rizika;
- Interpretace výsledku rizik;
- Navržení opatření v návaznosti na zjištěné poznatky.
Návrh jednotlivých opatření bude rozdělen na opatření organizační a technická. Ke každému opatření bude uveden i doporučený způsob řešení a návrh termínu řešení.
V rámci zpracování bezpečnostní dokumentace provedeny následující činnosti:
- Vytvoření odpovídající bezpečnostní dokumentace v souladu s ISO27000, ZoKB a VoKB;
- Projednání a předání bezpečnostní dokumentace k posouzení;
- Zapracování připomínek k bezpečnostní dokumentaci;
- Zpracování a předání finální verze bezpečnostní dokumentace a předání připomínek
- Schválení bezpečnostní dokumentace.
Hmotnými výstupy služby budou:
a) Dokument pojmenovaných „Zpráva o provedení analýzy rizik Slatinných lázní Třeboň s.r.o.“, která bude obsahovat následující části:
- přehled aktiv včetně určení jejich hodnot z hlediska ISMS (Information Security Management System – Systém řízení bezpečnosti informací) a stanovení vlastníků;
- výčet hrozeb a zranitelností, která na aktiva (skupiny aktiv) působí;
- stanovení a vyhodnocení rizik ISMS pro jednotlivá aktiva a stanovení vlastníků rizik;
- návrh úrovní pro akceptaci rizik ISMS a na tomto základě;
- manažerské shrnutí a interpretace výsledků analýzy rizik ISMS.
b) Bezpečnostní dokumentace Slatinných lázní Třeboň s.r.o., která bude obsahovat soubor zásad a pravidel určujících základní aspekty bezpečnosti. Tyto zásady budou vyjádřeny písemně v dokumentu „Rámcová bezpečnostní politika a Rámcová politika informační a kybernetické bezpečnosti Slatinných lázní Třeboň s.r.o.“.
|