Smlouva o poskytování služeb bezpečnostního manažera
Smlouva o poskytování služeb bezpečnostního manažera
uzavřená níže uvedeného dne, měsíce a roku podle § 1746 odst. 2 zákona č.
89/2012 Sb., občanského zákoníku, mezi těmito smluvními stranami:
Plzeňský kraj
se sídlem: Plzeň, Škroupova 18, PSČ 306 13
IČO: 70890366
DIČ: CZ70890366
zastoupený: x. Xxxxxxxx Xxxxxxx, hejtmanem k podpisu smlouvy
oprávněn: ředitel Krajského úřadu Plzeňského kraje Xxx. Xxxx Xxxxxxxxx na základě Podpisového a kompetenčního řádu PK a KÚPK
Bankovní spojení: Raiffeisenbank a.s., pobočka Plzeň číslo účtu: 1063003350/5500
jako objednatel služeb, na straně jedné
(dále jen „objednatel“)
a
Název dodavatele: Doc. RNDr. Xxxxx XXXXX, XXx. Sídlo/ Místo podnikání: Havlíčkova 927/68, 678 01 Blansko IČO: 756 92 899
DIČ: CZ5503111603 (není plátce DPH)
Jednající: Doc. RNDr. Xxxxx Xxxxx, XXx.
Bankovní spojení: ČSOB, a.s.
Číslo účtu: 191478292/0300
jako poskytovatel služeb, na straně druhé
(dále jen ,,poskytovatel“)
Smluvní strany, vědomy si svých závazků v této smlouvě obsažených a s úmyslem být touto smlouvou vázány, dohodly se na následujícím znění smlouvy:
I.
Předmět smlouvy
1) Předmětem smlouvy je poskytování služby spočívající v zajištění činnosti externího bezpečnostního manažera, když způsob poskytnutí služby služba je specifikován blíže v čl. II této smlouvy a zahrnuje především následující činnosti:
• Poskytovatel je povinen z vlastní iniciativy aktualizovat bezpečnostní dokumentaci, která mu bude zpřístupněná neprodleně po uzavření této smlouvy a o každé aktualizaci neprodleně informovat oprávněnou osobu objednatele.
• Poskytovatel je povinen z vlastní iniciativy analyzovat bezpečnostní rizika z pohledu IT technologií a aplikací pro objednatele. Vždy do deseti dnů od konce čtvrtletí poskytovatel podá objednateli zprávu o těchto rizicích, spolu s jejich vyhodnocením a návrhem na přiměřená opatření.
• Poskytovatel je povinen formou deseti alespoň dvouhodinových přednášek proškolit všechny zaměstnance objednatele v oblasti bezpečnosti informačního systému objednatele.
• Poskytovatel je povinen sledovat právní úpravu a technické normy v oblasti bezpečnosti IT a neprodleně o změnách a jejich dopadech na činnost objednatele informovat oprávněnou osobu objednatele.
• Poskytovatel je povinen průběžně namátkově kontrolovat zabezpečení komunikační sítě – monitorování koncových stanic, serverů, bezpečnosti přenosu dat prostřednictvím sítí, analýza LOGů, monitorování cizích zařízení v síti, monitorování dostupnosti služeb apod. Dále poskytovatel kontroluje zabezpečení dat o občanech a zaměstnancích objednatele, fyzické zabezpečení HW vybavení (zejména pro „mission critical" systém v porovnání s požárem, krádeží, nekontrolovatelnou pohromou, teroristický útok apod.), dodržování právních předpisů objednatelem v oblasti bezpečnosti informačních technologií. Kontrolní zprávu o této činnosti s návrhem na opatření k odstranění zjištěných nedostatků poskytovatel předá objednateli vždy do deseti dnů od konce kalendářního čtvrtletí. Při zjištění závažných nedostatků je poskytovatel povinen informovat oprávněnou osobu objednatele neprodleně.
• Na základě požadavku objednatele poskytovatel posoudí z bezpečnostního hlediska interní předpisy či rozhodnutí, a také projekty objednatele, požadavky ze strany státních orgánů na objednatele a objednatelem zamýšlené změny v informačních systémech.
• Na základě požadavku objednatele poskytovatel poskytne konzultaci při řešení bezpečnosti IT technologií, včetně aplikací.
• Poskytovatel je povinen spolupracovat při přípravě a provádění bezpečnostního auditu.
• Poskytovatel je povinen poskytovat řešení analýzy bezpečnostních rizik, jejich vyhodnocení, návrhy na protiopatření a snížení rizika.
• Poskytovatel je povinen spolupracovat na přípravě bezpečnostních auditů, penetračních testů a vyhodnocení výsledků. Na základě výsledků provést případná opatření a změny v bezpečnostní dokumentaci.
2) Bezpečnostní manažer se podílí i na řešení bezpečnosti v rámci krajské datové sítě CamelNET, Plzeňským krajem zřizovaných příspěvkových organizací a také bezpečnosti provozu Technologických center Plzeňského kraje.
II.
Způsob poskytování služby
Poskytovatel se zavazuje poskytovat služby, která je předmětem této smlouvy takto:
1) Provést dvanáct (12) 4hodinových návštěv v místě sídla objednatele za 1 kalendářní rok. V rámci těchto návštěv proběhnou procesy, které je nevhodné řešit elektronicky (bezpečnostní fórum, školení zaměstnanců a kontroly dodržování vybraných politik apod.). Harmonogram návštěv bude dohodnut v průběhu plnění zakázky postupem dle čl. VIII této smlouvy. V případě nedodržení harmonogramu návštěv, vzniká poskytovateli povinnost zaplatit smluvní pokutu dle čl. VI. této smlouvy.
2) Ostatní činnosti, které lze provádět vzdáleně (tzn. mimo sídlo objednatele), se provádí v sídle poskytovatele. Ostatními činnostmi se rozumí:
- aktualizace a tvorba bezpečnostní dokumentace,
- příprava školení pro zaměstnance,
- příprava bezpečnostních auditů, penetračních testů a vyhodnocení výsledků,
- provedení případných opatření a změn v bezpečnostní dokumentaci, bude-li toto provedení třeba na základě vyhodnocení výsledků,
- další činnosti vyplývající z „Profilu pozice Bezpečnostního manažera informačních systémů Plzeňského kraje a Krajského úřadu Plzeňského kraje“ (příloha č. 1 této smlouvy).
3) Veškeré dokumenty, které poskytovatel připraví pro objednatele mimo sídlo objednatele se posílají oprávněné osobě objednatele, uvedené v čl. X. této smlouvy, prostřednictvím elektronické pošty, v případě vhodnosti podepsané elektronickým podpisem v souladu s vyhláškou č. 378/2006 Sb., o postupech kvalifikovaných poskytovatelů certifikovaných služeb a zákona č. 227/2000
Sb., o elektronickém podpisu. Vhodnost elektronického podpisu na poště zasílané objednateli vyhodnocuje ad hod poskytovatel, odpovídající za informační zabezpečení objednatele. Data musejí být kryptována kryptografickými algoritmy v souladu s vyhláškou č. 378/2006 Sb., o postupech kvalifikovaných poskytovatelů certifikovaných služeb.
4) Poskytovatel provádí činnost dle této smlouvy samostatně nebo na pokyn objednatele, udělený prostřednictvím pověřené osoby dle postupu čl. VIII této smlouvy. Objednatel stanoví v pokynech či požadavcích pro poskytovatele přiměřené závazné lhůty pro poskytování plnění. V případě nedodržení těchto lhůt vzniká poskytovateli povinnost zaplatit smluvní pokutu dle čl. VI. této smlouvy.
III.
Místo plnění
Místem plnění předmětu této smlouvy je sídlo objednatele (Xxxxxxxxx 00, Plzeň) a místo podnikání / sídlo poskytovatele, dle charakteru poskytované služby.
Některé činnosti je poskytovatel oprávněn vykonávat vzdáleně, přes vzdálené připojení - na základě samostatné uzavřené Smlouvy o vzdáleném přístupu. Vzdáleně lze provádět následující činnosti:
a) aktualizace a tvorba bezpečnostní dokumentace,
b) příprava školení pro zaměstnance,
c) příprava bezpečnostních auditů, penetračních testů a vyhodnocení výsledků.
IV.
Povinnosti poskytovatele
• Poskytovatel se zavazuje poskytovat službu dle této smlouvy osobně a na vlastní účet a odpovědnost.
• Poskytovatel se zavazuje poskytovat službu dle této smlouvy tak, aby nedocházelo ke škodám na majetkových a jiných právech objednatele nebo třetích osob.
• K jakémukoliv zásahu do provozu IT technologií a systému uvnitř a navenek si poskytovatel musí vyžádat souhlas oprávněné osoby objednatele.
• Opatření k zajištění bezpečnosti IT technologií může poskytovatel implementovat jen se souhlasem oprávněné osoby, a to vedoucího odboru IT.
• Poskytovatel se zavazuje, že neposkytne výstupy jeho činnosti provedené pro objednatele třetí osobě. Za každý zjištěný případ porušení této povinnosti vzniká poskytovateli povinnost zaplatit smluvní pokutu ve výši 100 000,- Kč (slovy jedno sto tisíc korun českých). Výši smluvní pokuty považují smluvní strany shodně za přiměřenou.
• Smluvní pokuta je splatná na základě faktury (daňového dokladu) do 30- ti dnů od doručení jejího vyúčtování.
V.
Cena a platební podmínky
• Cena za poskytování služeb bezpečnostního manažera v rozsahu dle čl. I. a přílohy č. 1 této smlouvy je sjednána dohodou smluvních stran a činí částku 17.000,- Kč bez DPH za 1 kalendářní měsíc. V případě, že poskytovatel služeb je plátcem DPH, bude k dohodnuté částce připočtena daň z přidané hodnoty ve výši dle právní úpravy platné ke dni uskutečnění zdanitelného plnění.
• Cena za provedené činnosti je splatná měsíčně pozadu za uplynulý kalendářní měsíc na účet poskytovatele. Podkladem pro úhradu smluvní ceny bude faktura, která bude mít zákonné náležitosti daňového dokladu dle platné právní úpravy (dle zákona č. 563/1991 Sb., o účetnictví, ve znění pozdějších předpisů a zákona č. 235/2004 Sb., o dani z přidané hodnoty, ve znění pozdějších předpisů).
• Splatnost faktury činí 30 dní ode dne jejího prokazatelného doručení na adresu sídla objednatele.
• Jestliže nebude faktura obsahovat veškeré údaje vyžadované platnými právními předpisy nebo pokud v ní nebudou správně uvedené údaje, je objednatel oprávněn vrátit ji poskytovateli s uvedením chybějících náležitostí nebo nesprávných údajů. V takovém případě se přeruší doba splatnosti a nová lhůta splatnosti počne běžet doručením opravené faktury objednateli.
• Poskytovatel není oprávněn požadovat po objednateli zálohy.
VI.
Smluvní pokuta
• Smluvní strany nesou odpovědnost za způsobenou škodu v rámci platných právních předpisů a této smlouvy. Smluvní strany se zavazují k vyvinutí maximálního úsilí k předcházení škodám a k minimalizaci vzniklých škod.
• Žádná ze smluvních stran neodpovídá za škodu, která vznikla v důsledku věcně nebo jinak chybného zadání, které obdržel od druhé smluvní strany. Žádná ze stran není odpovědná za prodlení způsobené prodlením s plněním závazků druhé smluvní strany.
• Smluvní strany se zavazují upozornit druhou smluvní stranu písemně bez zbytečného odkladu na vzniklé okolnosti vylučující odpovědnost bránící řádnému plnění této smlouvy. Smluvní strany se zavazují k vyvinutí maximálního úsilí k odvrácení a k překonání okolností vylučující odpovědnost.
• Poskytovatel je povinen poskytované plnění provést podle smlouvy řádně a v dohodnutých lhůtách. Řádné a včasné plnění smluvních povinností ze strany poskytovatele je zajištěno smluvní pokutou ve výši 1.000,- Kč (slovy jeden tisíc korun českých) za každý, i započatý, den prodlení. Výši smluvní pokuty považují smluvní strany shodně za přiměřenou.
• Smluvní pokuta je splatná na základě faktury (daňového dokladu) do 30- ti dnů od doručení jejího vyúčtování.
• Odstoupení od smlouvy se nedotýká nároku na zaplacení smluvní pokuty.
• Zaplacením smluvní pokuty není dotčeno právo objednatele na náhradu škody a na trvání splnění závazků poskytovatele vyplývajících z této smlouvy.
VII.
Práva objednatele
• Objednatel je oprávněn kontrolovat poskytování služby poskytovatelem. Pokud objednatel zjistí, že poskytovatel provádí poskytování služby v rozporu se svými povinnostmi, je oprávněn dožadovat se toho, aby poskytovatel odstranil vady vzniklé vadným poskytováním služby a službu poskytoval řádným způsobem. Poskytovatel je povinen odstranit vady vzniklé vadným poskytováním služby. Poskytovatel odstraní vady ve lhůtě přiměřené pro odstranění vad, jinak se dostává do prodlení a je povinen uhradit smluvní pokutu dle čl. VI této smlouvy. Objednatel sdělí poskytovateli lhůtu pro odstranění vad společně s oznámením o vadě.
• Objednatel jednou ročně pověří bezpečnostním auditem třetí osobu. Výsledky výše zmíněného auditu může objednatel použít ke kontrole již poskytnutých služeb poskytovatele a jejich souladu se zákonem. Objednatel sdělí poskytovateli výsledky bezpečnostního auditu a nedostatky, které musí poskytovatel odstranit. Poskytovatel odstraní vady ve lhůtě přiměřené pro odstranění nedostatků, jinak se dostává do prodlení a je povinen uhradit smluvní pokutu dle čl. VI této smlouvy. Objednatel sdělí poskytovateli lhůtu pro odstranění nedostatků společně s oznámením o vadě.
• Objednatel se zavazuje zajistit řádné a včasné poskytnutí nezbytné součinnosti tak, aby poskytovatel mohl řádně vykonávat činnosti dle této smlouvy.
VIII.
Způsob sjednávání návštěv a zadávání pokynů
• Objednatel je oprávněn prostřednictvím oprávněných osob určit přesný termín návštěv dle čl. II odst. 1 této smlouvy a specifikovat předmět plnění jednotlivých návštěv ve lhůtě alespoň pěti (5)dní předem.
• Objednatel udílí poskytovateli závazné pokyny a vznáší požadavky na uskutečňování činností, které jsou předmětem této smlouvy. V závazném
pokynu či požadavku musí být specifikován předmět požadované činnosti a přiměřený termín splnění zadané činnosti, který nesmí být kratší než pět (5) dní ode dne prokazatelného doručení závazného pokynu či požadavku poskytovateli.
IX.
Součinnost
• Smluvní strany jsou povinny plnit své závazky vyplývající z této smlouvy tak, aby nedocházelo k prodlení.
• Smluvní strany se zavazují vzájemně spolupracovat a poskytovat si veškeré informace potřebné pro řádné plnění svých závazků. Smluvní strany jsou povinny informovat druhou smluvní stranu o veškerých skutečnostech, které jsou nebo mohou být důležité pro řádné plnění této smlouvy.
• Smluvní strany se zavazují, že v případě změny své adresy, budou o této změně druhou smluvní stranu informovat nejpozději do pěti (5) dnů.
X.
Oprávněné osoby a vzájemná komunikace
• Oprávněnými osobami objednatele jsou:
Xxx. Xxxx Xxxx, vedoucí oddělení správy serverů a sítě Odboru informatiky Krajského úřadu Plzeňského kraje
Email: xxxx.xxxx@xxxxxxxx-xxxx.xx
Xxx. Xxxxxx Xxxxxxxxx, vedoucí Odboru informatiky KÚPK Email: xxxxxx.xxxxxxxxx@xxxxxxxx-xxxx.xx
• Oprávněnou osobou poskytovatele je: Doc. RNDr. Xxxxx XXXXX, XXx. Tel x000 000 000 000, e-mail: Xxxxx.Xxxxx@xxxxx.xxx
• Veškerá komunikace mezi smluvními stranami ve věcech této smlouvy bude probíhat prostřednictvím oprávněných osob.
• Poskytovatel má právo změnit jmenované oprávněné osoby, musí však o každé změně vyrozumět písemně druhou smluvní stranu. Změna oprávněných osob je vůči druhé straně účinná okamžikem, kdy prokazatelně převzala písemné vyrozumění o této změně.
• Veškerá komunikace mezi smluvními stranami ve věcech této smlouvy probíhá prostřednictvím elektronické pošty, v případě vhodnosti podepsané elektronickým podpisem v souladu s vyhláškou č. 378/2006 Sb., o postupech
kvalifikovaných poskytovatelů certifikovaných služeb a zákona č. 227/2000 Sb., o elektronickém podpisu. Vhodnost elektronického podpisu na poště zasílané objednateli vyhodnocuje ad hod poskytovatel, odpovídající za informační zabezpečení objednatele. Data musejí být kryptována kryptografickými algoritmy v souladu s vyhláškou č. 378/2006 Sb., o postupech kvalifikovaných poskytovatelů certifikovaných služeb.
XI.
Ochrana informací
• Smluvní strany se zavazují, že zabezpečí před nepovolanými osobami takové informace, které tvoří obchodní tajemství ve smyslu obchodního zákoníku a takové, které spadají pod ochranu zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, zákona č. 101/2000 Sb., o ochraně osobních údajů a dále uvedených chráněných informací. Za chráněné informace se pro účely této smlouvy považují takové informace a skutečnosti, které nejsou všeobecně veřejně známé a které svým zveřejněním mohou způsobit škodlivý následek pro kteroukoliv smluvní stranu, a které některá ze smluvních stran jako chráněné označila. Chráněné informace mohou být poskytnuty třetím stranám jen s písemným souhlasem dotčené smluvní strany, a pokud to není v rozporu se zákonnou úpravou. Závazek k ochraně a utajení trvá i po uplynutí doby, na kterou je poskytování služeb sjednáno. Za každý zjištěný případ porušení povinnosti, stanovené tímto odstavcem, vzniká poskytovateli povinnost zaplatit smluvní pokutu ve výši 100 000,- Kč (slovy jedno sto tisíc korun českých). Výši smluvní pokuty považují smluvní strany shodně za přiměřenou. Smluvní pokuta je splatná na základě faktury (daňového dokladu) do 30- ti dnů od doručení jejího vyúčtování.
• Po předání a převzetí plnění ze smlouvy je oprávněna každá ze smluvních stran žádat od druhé strany vrácení všech poskytnutých materiálů, potřebných k realizaci smlouvy, jestliže tyto materiály obsahují chráněné informace. Druhá smluvní strana je povinna tyto materiály včetně případných kopií bez zbytečného odkladu vydat.
XII.
Licenční ujednání
Pro případ, že některý z výstupů činnosti poskytovatele pro objednatele bude mít znaky autorského díla, strany sjednávají bezúplatnou licenci k tomuto dílu, a to ke všem způsobům užití, množstevně neomezeném, v neomezeném rozsahu užití, na dobu trvání autorských majetkových práv k dílu, přičemž objednatel je oprávněn dílo upravit či jinak měnit.
XIII.
Doba trvání smlouvy a způsoby jejího ukončení
• Tato smlouva se sjednává na dobu určitou dvou (2) let od uzavření smlouvy.
• Tato smlouva může být kdykoli vypovězena kteroukoliv ze smluvních stran i bez udání důvodu, a to písemnou výpovědí doručenou druhé smluvní straně na adresu jejího sídla. Výpovědní doba činí jeden kalendářní měsíc a začíná běžet prvním dnem kalendářního měsíce následujícího po měsíci, v němž došlo k doručení výpovědi.
• V případě podstatného porušení povinností stanovených touto smlouvou je kterákoliv ze smluvních stran oprávněna od smlouvy ihned odstoupit. Odstoupení musí být písemné, zdůvodněné a je účinné okamžikem jeho doručení do sídla druhé smluvní strany. Za podstatné porušení smluvních povinností se považuje:
- na straně poskytovatele opakované (nejméně 2x) porušení některé z povinností stanovených v čl. XI. této smlouvy
- na straně objednatele prodlení se zaplacením faktury trvající déle než 30 dnů
• Odstoupením od smlouvy není dotčen nárok na náhradu škody vzniklou porušením povinností stanovených touto smlouvou.
• V případě ukončení smlouvy se smluvní strany zavazují dohodnout na způsobu vypořádání vzájemných závazků.
• Obě smluvní strany se zavazují nejpozději v den ukončení smlouvy vrátit druhé smluvní straně veškeré písemnosti, které jí náleží.
XIV.
Společná a závěrečná ustanovení
• Tato smlouva se uzavírá na základě vyhodnocení veřejné zakázky malého rozsahu s názvem „Bezpečnostní manažer informačních systémů Plzeňského kraje a Krajského úřadu Plzeňského kraje“.
• Veškeré změny a doplňky této smlouvy lze provádět pouze na základě dohody smluvních stran formou písemných, vzestupně číslovaných a oboustranně podepsaných dodatků ke smlouvě.
• Smluvní strany se dohodly využít smluvní volnosti a uzavřít tuto smlouvu podle
§ 1746 odst. 2 zákona č. 89/2012 Sb., občanského zákoníku.
• Smluvní strany se zavazují, že jakékoli případné spory, vzniklé z této smlouvy nebo v souvislosti s ní, budou řešeny mimosoudním jednáním na úrovni statutárních nebo zplnomocněných zástupců obou smluvních stran, s cílem zachování dobrých vztahů. Teprve nepovede-li takové smírčí jednání k vyřešení sporu, bude soudní spor veden u příslušného soudu ČR.
• Tato smlouva nabývá platnosti a účinnosti dnem jejího podpisu oběma smluvními stranami, resp. druhé z nich.
• Smlouva se pořizuje ve čtyřech (4) vyhotoveních s platností originálu. Každá smluvní strana obdrží dvě vyhotovení.
• Nedílnou součást této smlouvy tvoří její příloha č. 1 – Profil pozice bezpečnostního manažera informačních systémů PK, resp. KÚPK (náplň práce, klíčové aktivity a odpovědnost bezpečnostního manažera).
• Smluvní strany prohlašují, že si tuto smlouvu před jejím podpisem přečetly, zcela rozumí jejímu obsahu a s celým jejím obsahem souhlasí. Dále prohlašují, že tato smlouva vyjadřuje jejich pravou, svobodnou a vážně míněnou vůli a že smlouva byla sepsána určitě a srozumitelně. Na důkaz toho připojují podpisy svých zástupců na smlouvě.
Za objednatele: | Za poskytovatele: |
V Plzni dne 29.6.2016 V Blansku dne 30.6.2016
PODEPSÁNO PODEPSÁNO
.................................................. ..................................................
Xxx. Xxxx Xxxxxxxxx Doc. RNDr. Xxxxx Xxxxx, XXx. ředitel Krajského úřadu Plzeňského kraje
Příloha č. 1 Smlouvy o poskytování služeb bezpečnostního manažera
SPECIFIKACE ČINNOSTÍ PŘI POSKYTOVÁNÍ SLUŽEB BEZPEČNOSTNÍHO MANAŽERA INFORMAČNÍCH SYSTÉMŮ PLZEŇSKÉHO KRAJE A KRAJSKÉHO ÚŘADU PLZEŇSKÉHO KRAJE
1) Celkově 12 cca 4hodinových návštěv v sídle zadavatele (Krajský úřad Plzeňského kraje, Škroupova 18, Plzeň)) za kalendářní rok.
V rámci těchto návštěv proběhnou procesy, které nelze nebo je nevhodné řešit elektronicky (zasedání bezpečnostního fóra, neelektronická školení zaměstnanců KÚPK, fyzická kontrola dodržování vybraných politik, bezpečnostní kontroly a audity dle zpracovaného plánu bezpečnostních kontrol, který zpracuje dodavatel, apod.). Harmonogram návštěv bude dohodnut v průběhu plnění zakázky, přičemž se předpokládá frekvence 1xměsíčně.
2) Ostatní činnosti, které lze vykonávat vzdáleně, budou prováděny přes vzdálené připojení – na základě uzavřené Smlouvy o vzdáleném přístupu.
3) Seznam činností, které lze provádět vzdáleně:
a. aktualizace a tvorba bezpečnostní dokumentace,
b. příprava školení pro zaměstnance,
c. příprava bezpečnostních auditů, penetračních testů a vyhodnocení výsledků.
Na základě výsledků uvedených činností bude bezpečnostní manažer povinen provést případná opatření a změny v bezpečnostní dokumentaci.
4) Další činnosti vyplývající z „Profilu pozice Bezpečnostního manažera IS Pk a KúPk“.
Profil pozice Bezpečnostního manažera IS Pk a KúPk:
Pozice Bezpečnostního manažera je zcela oddělena od vlastního provozu odboru informatiky Krajského úřadu Plzeňského kraje. Úkolem Bezpečnostního manažera není řídit odbor informatiky KÚPK.
Bezpečnostní manažer se podílí i na řešení bezpečnosti v rámci krajské datové sítě CamelNET, Plzeňským krajem zřizovaných příspěvkových organizací a také bezpečnosti provozu Technologických center Plzeňského kraje.
Náplň práce, pravomoci a odpovědnost Bezpečnostního manažera:
a) Je zodpovědný za řízení systému managementu informační bezpečnosti (fyzické, logické a administrativní bezpečnosti a bezpečnosti informací) dle podmínek a požadavků uvedených v normách ISO/IEC 27001 a ISO/IEC 27002.
b) Je zodpovědný za návrh a kontrolu opatření, která plynou ze zákona o kybernetické bezpečnosti č. 181/2014 Sb. a vyhlášky o kybernetické bezpečnosti č. 316/2014 Sb.
c) Úkolem je řízení a kontrola procesů IT z hlediska bezpečnosti dle ČSN ISO/IEC 27001, ČSN ISO/IEC 27002, ČSN ISO/IEC 27005, ISO/IEC 14508, ISO/IEC 227/2000 Sb. atd. a odpovídající legislativy (např. zákony č. 101/2000 Sb., 121/2000 Sb., 480/2004 Sb., 227/2000 Sb., 365/2000 Sb.).
d) Aktivní zapojení do procesu managementu rizik a provádění aktualizace registru rizik v podmínkách OIT v kvartálních intervalech. Návrh opatření pro řízení rizik a z toho pramenící požadavky na úpravu dokumentace. Spolupráce při evidenci, řešení a vyhodnocování bezpečnostních incidentů.
e) Koordinuje činnosti ostatních oddělení, hlavně IT, technického, úseku řízení lidských zdrojů, interních služeb a administrace.
Hlavní zodpovědnosti:
• Aktualizace stávající bezpečnostní dokumentace.
• Analýza bezpečnostních rizik z pohledu IT technologií.
• Vypracování písemné zprávy o provedení nebo aktualizaci analýzy rizik, včetně doporučení a návrhu opatření ke snížení bezpečnostních rizik dle IOS/IEC 27001 a ISO/IEC 27005.
• Provádění školení z oblasti bezpečnosti informačních technologií pro pracovníky OIT (rozsah = cca 2h/rok).
• Sledování právních úprav a technických norem v oblasti bezpečnosti IT a vypracování zprávy o dopadech těchto změn na činnosti úřadu, včetně aktualizace dotčené dokumentace úřadu v co nejkratším termínu.
• Kontrola zabezpečení komunikační sítě – monitorování serverů, bezpečnosti přenosu dat prostřednictvím sítí, analýza LOGů, monitorování cizích zařízení v síti, monitorování dostupnosti služeb apod.
• Kontrola fyzického zabezpečení HW vybavení (zejména pro „kritické systémy" z pohledu největšího ohrožení - požár, krádež, teroristický útok apod.).
• Kontrola dodržování právních předpisů v oblasti bezpečnosti informací v rámci KúPk.
• Spolupráce na posuzování bezpečnostních aspektů interních předpisů či rozhodnutí, a také projektů úřadu, požadavků ze strany státních orgánů na úřad a úřadem zamýšlených změn v IS/IT.
• Poskytování konzultace při řešení bezpečnosti IT technologií, včetně aplikací.
• Spolupráce při přípravě a provádění bezpečnostních auditů.
• Odpovědnost za bezpečnostní politiku v oblasti IT.
• Návrh preventivních opatření a opatření k nápravě v oblasti systému informační bezpečnosti.
• Připomínkování a návrh bezpečnostním aspektů a opatření v rámci nových řešení, jak v oblasti sítí, tak v oblasti IS.
• Schvalování implementace a zavádění nových nebo modifikovaných IT/IS systémů z pohledu informační bezpečnosti.
• Odpovědnost za provedení interních bezpečnostních testů IT/IS technologií a testů zranitelnosti.
Klíčové aktivity
• Řízení systému managementu informační bezpečnosti dle ISO/IEC 27001.
• Aktualizace a doplňování metodických a prováděcích dokumentů v oblasti bezpečnosti IT/IS technologií (ve spolupráci s odborem IT) dle platných interních předpisů úřadu.
• Plánování a řízení provádění bezpečnostních auditů ISMS dle plánu KúPk.
• Řízení procesu managementu rizik odboru IT (OIT), včetně pravidelných aktualizací.
• Spolupráce při provádění bezpečnostních testů IT technologií, penetračních testů v KúPK.
• Metodické vedení při řešení bezpečnosti IT/IS technologií, včetně aplikací.
Vztahy
• Spolupracuje na všech úrovních řízení v organizaci