Common use of Bezpečnost informací Clause in Contracts

Bezpečnost informací. Rozsah zapojení Poskytovatele na rozvoji a provozu primárních a podpůrných aktiv dle VKB je určen předmětem Smlouvy, jejími přílohami a touto Přílohou. Rozsah zapojení Poskytovatele na zajištění bezpečnosti těchto aktiv je určen zejména touto Přílohou a Pravidly pro Poskytovatele a bezpečnostními politikami. Poskytovatel se zavazuje při nakládání s aktivy chránit jejich důvěrnost, dostupnost a integritu s ohledem na jejich povahu a klasifikaci. Poskytovatel se zavazuje pro klasifikaci aktiv užívat úrovně klasifikace Objednatele, pokud mu byly sděleny, nebo je povinen zavést vlastní mapování či překlad rizik mezi klasifikačním schématem a klasifikací Objednatele. Poskytovatel je povinen zpracovat a do 20 pracovních dnů od zahájení poskytování plnění dle Smlouvy Objednateli předat dokumentaci zpracovanou v souladu s Pravidly pro Poskytovatele a bezpečnostními politikami Objednatele dle čl. 6 této Přílohy, která bude ve vztahu k aktivům Objednatele ve smyslu přílohy č. 5 VKB zahrnovat alespoň: postupy pro řízení provozu a komunikací; postupy pro řízení přístupů (konkrétní postupy pro pracovníky Poskytovatele a jeho poddodavatelů podílející se na poskytování plnění dle Smlouvy); postupy pro bezpečné chování uživatelů (konkrétní postupy pro pracovníky Poskytovatele a jeho poddodavatelů podílející se na poskytování plnění dle Smlouvy); postupy pro zálohování a obnovu a dlouhodobé ukládání; postupy pro řízení technických zranitelností; postupy pro zajištění bezpečnosti komunikační sítě; postupy pro ochranu před škodlivým kódem; postupy pro nasazení a používání nástroje pro detekci kybernetických bezpečnostních událostí postupy pro řízení změn alespoň v rozsahu stanoveném v čl. 7 této Přílohy; postupy pro zvládání incidentů; pro řízení kontinuity činnosti; další dokumentaci relevantní pro poskytování služby. Dokumentaci podle bodu 1.3 této Přílohy je Poskytovatel povinen revidovat a případně aktualizovat nejméně jednou ročně a dále kdykoli při změně skutečností zachycených v dokumentaci. Poskytovatel je povinen výsledek provedené revize a případné aktualizace oznámit Objednateli bez zbytečného odkladu od jejich provedení. Poskytovatel nesmí používat nebo sdílet informace Objednatele a nesmí používat jiná aktiva Objednatele pro jiné účely a/nebo jiným způsobem, než jsou vymezeny ve Smlouvě a jejích přílohách. Poskytovatel je povinen omezit přístup k aktivům Objednatele pouze na ty zaměstnance a třetí strany, u kterých přístup vyžaduje plnění Smlouvy nebo plnění zákonných povinností. Poskytovatel nesmí umožnit přístup k aktivům Objednatele jiným třetím stranám bez předcházejícího písemného souhlasu Objednatele. Vysloví-li Objednatel ve Smlouvě nebo jinak písemně souhlas se zapojením konkrétního poddodavatele do plnění Smlouvy, uděluje tím souhlas se zpřístupněním aktiv Objednatele poddodavateli v rozsahu nezbytném pro plnění Smlouvy. V případě, že Objednatel při hodnocení rizik spojených s touto Smlouvou identifikuje podstatná rizika, jejichž existence tvoří podstatnou kybernetickou hrozbu a riziko pro předmět této Smlouvy a dosahují kritické úrovně dle přílohy č. 2 VKB, může Objednatel Poskytovateli uložit přijetí dalších bezpečnostních opatření ve smyslu § 5 ZKB bez nutnosti přijetí dodatku Smlouvy ve smyslu § 100 odst. 1 zákona č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů. Objednatel při naplnění podmínek výše předá Poskytovateli seznam vybraných bezpečnostních opatření, která navrhuje ke snížení identifikovaného rizika zavést, a to včetně konkrétní specifikace formy bezpečnostního opatření. Poskytovatel je povinen bezodkladně zavést požadovaná bezpečnostní opatření a jejich zavedení oznámit Objednateli. Poskytovatel je oprávněn do 3 pracovních dní podat připomínky k formě zvolených bezpečnostních opatření a navrhnout jinou formu zvolených bezpečnostních opatření, kterou je povinen zavést bezodkladně, po jejich schválení Objednatelem, a jejich zavedení Objednateli oznámit. Učiní-li orgány činné v trestním řízení nebo jiné orgány státní správy jakoukoli právně závaznou žádost o poskytnutí informací Objednatele, je Poskytovatel povinen tuto skutečnost oznámit Objednateli s předstihem před poskytnutím takových informací, pokud mu to právní předpisy nezakazují.

Bezpečnost informací. Rozsah zapojení Poskytovatele na rozvoji 11.1 Prodávající je povinen dodržovat platnou legislativu ČR i EU, která se týká bezpečnosti informací. 11.2 Prodávající se zavazuje dodržovat požadavky a provozu primárních a podpůrných aktiv dle VKB je určen předmětem Smlouvy, jejími přílohami a touto Přílohou. Rozsah zapojení Poskytovatele na opatření pro zajištění bezpečnosti těchto informací a informačních aktiv Kupujícího uvedené v příloze č. 2 této smlouvy. 11.3 Prodávající je určen zejména povinen zajistit plnění bezpečnostních opatření a požadavků stanovených touto Přílohou smlouvou ve stejné míře u všech případných poddodavatelů či jiných osob, které mají přístup k informačním aktivům Kupujícího prostřednictvím Prodávajícího. 11.4 Prodávající je povinen zachovávat mlčenlivost o všech skutečnostech a Pravidly pro Poskytovatele a bezpečnostními politikami. Poskytovatel se zavazuje při nakládání s aktivy chránit jejich důvěrnostinformacích, dostupnost a integritu s ohledem na jejich povahu a klasifikaci. Poskytovatel se zavazuje pro klasifikaci aktiv užívat úrovně klasifikace Objednatele, pokud které mu byly v souvislosti s touto smlouvou nebo jejím plněním jakkoliv zpřístupněny, předány či sděleny, nebo o nichž se jakkoliv dozvěděl, vyjma těch, které jsou v okamžiku, kdy se s nimi Prodávající seznámil, prokazatelně veřejně přístupné nebo těch, které se bez zavinění Prodávajícího veřejně přístupnými stanou (dále jen „důvěrné informace“). Prodávající nesmí důvěrné informace použít v rozporu s jejich účelem, nesmí je povinen zavést vlastní mapování či překlad rizik mezi klasifikačním schématem a klasifikací Objednatele. Poskytovatel je povinen zpracovat a do 20 pracovních dnů od zahájení poskytování plnění dle Smlouvy Objednateli předat dokumentaci zpracovanou v souladu s Pravidly pro Poskytovatele a bezpečnostními politikami Objednatele dle čl. 6 této Přílohy, která bude použít ve vztahu k aktivům Objednatele ve smyslu přílohy č. 5 VKB zahrnovat alespoň: postupy pro řízení provozu a komunikací; postupy pro řízení přístupů (konkrétní postupy pro pracovníky Poskytovatele a jeho poddodavatelů podílející se na poskytování plnění dle Smlouvy); postupy pro bezpečné chování uživatelů (konkrétní postupy pro pracovníky Poskytovatele a jeho poddodavatelů podílející se na poskytování plnění dle Smlouvy); postupy pro zálohování a obnovu a dlouhodobé ukládání; postupy pro řízení technických zranitelností; postupy pro zajištění bezpečnosti komunikační sítě; postupy pro ochranu před škodlivým kódem; postupy pro nasazení a používání nástroje pro detekci kybernetických bezpečnostních událostí postupy pro řízení změn alespoň v rozsahu stanoveném v čl. 7 této Přílohy; postupy pro zvládání incidentů; pro řízení kontinuity činnosti; další dokumentaci relevantní pro poskytování služby. Dokumentaci podle bodu 1.3 této Přílohy je Poskytovatel povinen revidovat a případně aktualizovat nejméně jednou ročně a dále kdykoli při změně skutečností zachycených v dokumentaci. Poskytovatel je povinen výsledek provedené revize a případné aktualizace oznámit Objednateli bez zbytečného odkladu od jejich provedení. Poskytovatel nesmí používat prospěch svůj nebo sdílet informace Objednatele třetích osob a nesmí používat jiná aktiva Objednatele pro jiné účely a/je použít ani v neprospěch Kupujícího. Povinnosti dle tohoto odstavce je Prodávající povinen zachovávat i po zániku této smlouvy, vyjma případů, kdy se důvěrné informace stanou prokazatelně veřejně přístupné bez zavinění Prodávajícího. Povinnosti dle tohoto odstavce se nevztahují na případy, kdy je Prodávající povinen zveřejnit důvěrnou informaci na základě povinnosti uložené Prodávajícímu právním předpisem nebo jiným způsobemrozhodnutím orgánu veřejné moci. 11.5 Kupujícímu na základě této smlouvy nevzniká žádné právo na užití dat zpracovávaných prostřednictvím Věcí. 11.6 Kupující si vyhrazuje právo na provedení kontroly či auditu plnění vybraných požadavků a ustanovení této Smlouvy u Prodávajícího, než přičemž za vybrané požadavky a ustanovení této smlouvy jsou vymezeny ve Smlouvě a jejích přílohách. Poskytovatel je povinen omezit přístup k aktivům Objednatele pouze na ty zaměstnance a třetí strany, u kterých přístup vyžaduje plnění Smlouvy nebo plnění zákonných povinností. Poskytovatel nesmí umožnit přístup k aktivům Objednatele jiným třetím stranám bez předcházejícího písemného souhlasu Objednatele. Vysloví-li Objednatel ve Smlouvě nebo jinak písemně souhlas se zapojením konkrétního poddodavatele do plnění Smlouvy, uděluje tím souhlas se zpřístupněním aktiv Objednatele poddodavateli považována všechna ustanovení specifikovaná v rozsahu nezbytném pro plnění příloze č 1 této Smlouvy. V případěrámci kontroly či auditu u Prodávajícího se Prodávající zavazuje poskytnout důkaz o plnění Kupujícím vybraného požadavku a to buď fyzicky přímo v provozovně Prodávajícího nebo vzdáleně pomocí elektronických prostředků. 11.7 Kupující si vyhrazuje právo na informace o: a. významné změně ovládání Prodávajícího podle zákona o obchodních korporacích, b. změně vlastnictví zásadních aktiv Prodávajícího, že Objednatel při hodnocení které souvisejí s plněním této smlouvy, c. změně oprávnění nakládat s těmito aktivy, d. způsobu řízení rizik spojených s touto Smlouvou identifikuje podstatná rizika, jejichž existence tvoří podstatnou kybernetickou hrozbu a riziko pro předmět této Smlouvy a dosahují kritické úrovně dle přílohy informační bezpečnosti na straně Prodávajícího. 11.8 Za nesplnění kterékoliv povinnosti obsažené v tomto článku (č. 2 VKB, může Objednatel Poskytovateli uložit přijetí dalších bezpečnostních opatření ve smyslu § 5 ZKB bez nutnosti přijetí dodatku Smlouvy ve smyslu § 100 odst11 Bezpečnost informací) nebo v příloze č. 1 zákona č. 134/2016 Sb.Smlouvy, o zadávání veřejných zakázek, je Kupující oprávněn účtovat Prodávajícímu smluvní pokutu ve znění pozdějších předpisů. Objednatel při naplnění podmínek výše předá Poskytovateli seznam vybraných bezpečnostních opatření, která navrhuje ke snížení identifikovaného rizika zavéstvýši až 100 000 Kč, a to včetně konkrétní specifikace formy bezpečnostního opatřeníza každé jednotlivé porušení povinností obsažených v tomto článku či příloze č. Poskytovatel je povinen bezodkladně zavést požadovaná bezpečnostní opatření a jejich zavedení oznámit Objednateli. Poskytovatel je oprávněn do 3 pracovních dní podat připomínky k formě zvolených bezpečnostních opatření a navrhnout jinou formu zvolených bezpečnostních opatření, kterou je povinen zavést bezodkladně, po jejich schválení Objednatelem, a jejich zavedení Objednateli oznámit. Učiní-li orgány činné v trestním řízení nebo jiné orgány státní správy jakoukoli právně závaznou žádost o poskytnutí informací Objednatele, je Poskytovatel povinen tuto skutečnost oznámit Objednateli s předstihem před poskytnutím takových informací, pokud mu to právní předpisy nezakazují1.

Bezpečnost informací. 1.1 Rozsah zapojení Poskytovatele na rozvoji a provozu primárních a podpůrných aktiv dle VKB je určen předmětem Smlouvy, jejími přílohami a touto Přílohou. Rozsah zapojení Poskytovatele na zajištění bezpečnosti těchto aktiv je určen zejména touto Přílohou a Pravidly pro Poskytovatele a bezpečnostními politikami. . 1.2 Poskytovatel se zavazuje při nakládání s aktivy chránit jejich důvěrnost, dostupnost a integritu s ohledem na jejich povahu a klasifikaci. Poskytovatel se zavazuje pro klasifikaci aktiv užívat úrovně klasifikace Objednatele, pokud mu byly sděleny, nebo je povinen zavést vlastní mapování či překlad rizik mezi klasifikačním schématem a klasifikací Objednatele. . 1.3 Poskytovatel je povinen zavést vhodná opatření pro ochranu aktiv přiměřené úrovni jejich klasifikace. 1.4 Poskytovatel je povinen zpracovat a do 20 pracovních dnů od zahájení poskytování plnění dle Smlouvy Objednateli předat dokumentaci zpracovanou v souladu s Pravidly pro Poskytovatele a bezpečnostními politikami Objednatele dle čl. 6 této Přílohy, která bude ve vztahu k aktivům Objednatele ve smyslu přílohy č. 5 VKB zahrnovat alespoň: : 1.4.1 postupy pro řízení provozu a komunikací; ; 1.4.2 postupy pro řízení přístupů (konkrétní postupy pro pracovníky Poskytovatele a jeho poddodavatelů podílející se na poskytování plnění dle Smlouvy); ; 1.4.3 postupy pro bezpečné chování uživatelů (konkrétní postupy pro pracovníky Poskytovatele a jeho poddodavatelů podílející se na poskytování plnění dle Smlouvy); ; 1.4.4 postupy pro zálohování a obnovu a dlouhodobé ukládání; ; 1.4.5 postupy pro řízení technických zranitelností; ; 1.4.6 postupy pro zajištění bezpečnosti komunikační sítě; ; 1.4.7 postupy pro ochranu před škodlivým kódem; ; 1.4.8 postupy pro nasazení a používání nástroje pro detekci kybernetických bezpečnostních událostí událostí 1.4.9 postupy pro řízení změn alespoň v rozsahu stanoveném v čl. 7 této Přílohy; ; 1.4.10 postupy pro zvládání incidentů; ; 1.4.11 pro řízení kontinuity činnosti; ; 1.4.12 další dokumentaci relevantní pro poskytování služby. . 1.5 Dokumentaci podle bodu 1.3 čl. 1.4 této Přílohy je Poskytovatel povinen revidovat a případně aktualizovat nejméně jednou ročně a dále kdykoli při změně skutečností zachycených v dokumentaci. Poskytovatel je povinen výsledek provedené revize a případné aktualizace oznámit Objednateli bez zbytečného odkladu od jejich provedení. . 1.6 Poskytovatel nesmí používat nebo sdílet informace Objednatele a nesmí používat jiná aktiva Objednatele pro jiné účely a/nebo jiným způsobem, než jsou vymezeny ve Smlouvě a jejích přílohách. . 1.7 Poskytovatel je povinen omezit přístup k aktivům Objednatele pouze na ty zaměstnance a třetí strany, u kterých přístup vyžaduje plnění Smlouvy nebo plnění zákonných povinností. Poskytovatel nesmí umožnit přístup k aktivům Objednatele jiným třetím stranám bez předcházejícího písemného souhlasu Objednatele. Vysloví-Vysloví- li Objednatel ve Smlouvě nebo jinak písemně souhlas se zapojením konkrétního poddodavatele do plnění Smlouvy, uděluje tím souhlas se zpřístupněním aktiv Objednatele poddodavateli v rozsahu nezbytném pro plnění Smlouvy. . 1.8 V případě, že Objednatel při hodnocení rizik spojených s touto Smlouvou identifikuje podstatná rizika, jejichž existence tvoří podstatnou kybernetickou hrozbu a riziko pro předmět této Smlouvy a dosahují kritické úrovně dle přílohy č. 2 VKB, může Objednatel Poskytovateli uložit přijetí dalších bezpečnostních opatření ve smyslu § 5 ZKB bez nutnosti přijetí dodatku Smlouvy ve smyslu § 100 odst. 1 zákona č. 134/2016 Sb., o zadávání veřejných zakázekZZVZ, ve znění pozdějších předpisů. Objednatel při naplnění podmínek výše předá Poskytovateli seznam vybraných bezpečnostních opatření, která navrhuje ke snížení identifikovaného rizika zavést, a to včetně konkrétní specifikace formy bezpečnostního opatření. Poskytovatel je povinen bezodkladně zavést požadovaná bezpečnostní opatření a jejich zavedení oznámit Objednateli. Poskytovatel je oprávněn do 3 tří (3) pracovních dní podat připomínky k formě zvolených bezpečnostních opatření a navrhnout jinou formu zvolených bezpečnostních opatření, kterou je povinen zavést bezodkladně, po jejich schválení Objednatelem, a jejich zavedení Objednateli oznámit. . 1.9 Učiní-li orgány činné v trestním řízení nebo jiné orgány státní správy jakoukoli právně závaznou žádost o poskytnutí informací Objednatele, je Poskytovatel povinen tuto skutečnost oznámit Objednateli s předstihem před poskytnutím takových informací, pokud mu to právní předpisy nezakazují.