Příloha č. 2 smlouvy: Technická specifikace

Příloha č. 2 smlouvy: Technická specifikace

1. Popis výchozího stavu

1. 2. ZŠ, Májová

1. Školu tvoří 1 rozsáhlá budova specifického tvaru, viz obrázek Umístění nemovitosti dle katastru nemovitostí
   
   

2. Připojení k internetu zajišťuje společnost WIA s.r.o., rychlost přípojky je 100 Mbit.

3. Škola nemá v současnosti přidělenu veřejnou IP adresu. Škola nemá v současné době validující DNSSEC resolver na straně školy, neprovádí žádný monitoring provozu. Zabezpečení provozu je jen základní (NAT na zařízení poskytovatele konektivity) bez pokročilých funkcí, škola provozuje vlastní firewall bez pokročilých funkcí.

4. Kabeláž budov není strukturovaná. Rozvody LAN pokrývají pouze základní potřeby – historicky jsou budovány postupně vždy podle konkrétní potřeby a umístění připojeného zařízení. Síť využívá 2 servery a Active Directory jako adresářovou službu pro ověřování pracovníků školy, žáci se přihlašují sdílenými účty. Propojení stanic je zajištěno několika přepínači 10/100 Mb/s, přepínače mají základní management. Pouze část aktivních prvků je umístěna v rozvaděčích a je zabezpečena proti neoprávněné manipulaci. Kabeláž je částečně vedena ve vkládacích lištách.

5. Škola provozuje síť WiFi, která pokrývá pouze některé prostory, v nichž probíhá příprava učitelů na výuku a administrativní činnost (sborovny, ředitelna apod.). Prvky nejsou standardizované a jednotně spravované. Přístup klientů je ověřován pouze pomocí hesla a přístup zařízení je validován MAC adresou. Použité technologie a způsob jejich implementace nezjišťuje kvalitní a rovnoměrné pokrytí vhodné pro začlenění většího počtu koncových (především žákovských) zařízení a datově náročnější přenosy (video konference, multimédia apod.)

6. Škola využívá aktuálně přibližně 100 počítačů, plánovaný cílový počet 200. Průměrné stáří stávajících počítačů přesahuje 5 let. Počítače jsou vybaveny systémem Windows Professional verze 7-10.

7. Hlavní informační systém školy je xxxxx://xxxxxx.xxxxxxxxxx.xx/ a xxxxx://xxx.xxxxxxx.xxx/.

2. 6. ZŠ, Obětí nacismu

1. Školu tvoří 2 budovy. Budovy jsou vzájemně propojené uzavřenou chodbou. Situace je patrná na výpisu z katastru nemovitostí – objekty 4230 a 4231.

2. Hlavní budova má vybudovánu strukturované kabelové rozvody. Síťová infrastruktura je tvořena plně spravovatelnými přepínači a WiFi přístupovými bodu s centrální správou a vysokou dostupností. Přístup k síti je řízen protokolem 802.1X.

3. Síť školy je prostřednictvím metropolitní sítě města Cheb vlastněné a provozované městem Cheb (zřizovatel školy připojena do Technologického centra města. Škola nemá vlastní lokální servery a veškeré serverové služby (Active Directory, DNSSEC resolving, IDM, ukládání a sdílení dat, zálohování, antivirový management, logování provozu, pokročilý firewall atd.) čerpá z Technologického centra města.

4. V současnosti škola nemá vybudovánu kabeláž ani WiFi pokrytí ve druhé budově. Chybí také WiFi pokrytí venkovních prostor-především školního hřiště – pro online přístup ke školskému informačnímu systému.

5. Hlavní informační systém školy je xxxxx://xxx.xxxxxxx.xxx/.

3. Společné

1. Obě školy jsou nebo do zahájení projektu budou prostřednictvím optické metropolitní sítě (MAN) města Cheb propojeny s Technologickým centrem města Cheb. 2. ZŠ, Xxxxxx bude mít k dispozici min. jedno nenasvícené vlákno (dark fiber).

2. Technologické centrum je vybaveno technologiemi, které budou být využity pro realizaci projektu. Konkrétně se jedná o:

• Cluster firewallů Fortinet FG-240 s možností virtuálních firewallů (VDOM), které mohou být poskytnuty školám

• Databázový server Microsoft SQL Standard 2012 R2

• Prostor pro umístění 19“ datového rozvaděče do výšky 45U

• Přípojku 230V

• Dvěma klimatizacemi, jedna slouží jako záložní

• Přípojné body MAN. Přes MAN lze provést připojení k lokálním poskytovatelům internetového připojení

• Přístupovým biometrickým systémem pro přístup do Technologického centra

• Virtualizační platformou na bázi Microsoft Hyper-V se zajištěným zálohováním a serverovými licencemi Windows Server 2016 Datacenter

• Identity management AC Identita

2. Popis cílového stavu a specifikace předmětu plnění

1. Základní požadavky na technické řešení

1. Projekt je členěn na 2 části A-B, které odpovídají jednotlivým dílčím projektům, na něž jednotlivé školy získaly dotační prostředky v rámci Výzvy IROP 92.

2. V rámci projektu bude maximalizováno využití prostředků pořízených jednotlivými školami a to formu sdílení těchto prostředků tam, kde je to technicky, provozně a z pohledu bezpečnosti vhodné a možné. Sdílené prostředky budou umístěny v Technologickém centru města Cheb a školy k nim budou přistupovat prostřednictvím MAN.

3. Cílem projektu je zvýšení bezpečnosti a související modernizace IT infrastruktury, aby implementací projektu byly naplněny Standardy konektivity škol ¹ (dále jen Standard konektivity) a rozšířena funkčnosti ICT prostředí zapojených škol. Dílčí cíle dle jednotlivých komodit jsou specifikovány následovně:

Označení	Komodita	Počet
Část A-2. ZŠ, Xxxxxx
K1	Zabezpečení LAN a Wifi	1
K2	Centrální logování	1
K3	Správa identit	1
K4	Automatizace procesů	1
K5	Koncová zařízení	1
K6	Rozvody LAN
Část B-6. ZŠ, Obětí nacismu
K1	Zabezpečení LAN a Wifi	1
K2	Automatizace procesů	1
K3	Koncová zařízení	1
K4	Rozvody LAN	1

4. Je požadováno řešení zachovávající a rozvíjející současné softwarové platformy Microsoft pro zachování kompatibility se stávajícími systémy a aplikacemi. Přechod na jinou platformu by způsobil uživatelské a provozní potíže.

5. Je požadována unifikace jednotlivých komodit (tj. jejich realizace stejnými prostředky) pro všechny části z důvodu jednotné správy celého prostředí a odpovídající minimalizace provozních nákladů.

6. Pokud prodávající (dále jen jako „dodavatel“)vyžaduje využití konkrétních softwarových produktů a jím zvolený přístup k realizaci zadání je na takových konkrétních řešeních závislý, musí jejich pořízení zahrnout ve své nabídce v potřebném rozsahu
   a v rámci nabídnuté ceny.

7. Pokud dodavatelem nabízené řešení vyžaduje komponenty či služby neobsažené v požadavcích zadání, zahrne dodavatel do své ceny všechny náklady na jejich pořízení, instalaci, konfiguraci a další služby potřebné pro uvedení do provozu, přičemž nesmí překročit ceny za pořízení a provoz v rámci příslušných částí stanovené v Zadávací dokumentaci.

8. Kupující (dále též jako „zadavatel“) z důvodů co nejjednodušší a jednotné správy a minimalizace provozních nákladů vyžaduje využití stávajících prostředků a používaných technologií. V případě, že dodavatel vyžaduje ve svém řešení stejné nebo podobné funkce, jaké poskytují stávající prostředky a technologie, je povinen využít nebo vhodným způsobem rozšířit stávající prostředky.

9. Veškeré produkty, které dodavatel dodává v rámci plnění zadavateli, musí splňovat následující podmínky a dodavatel splnění těchto podmínek potvrdí samostatným čestným prohlášením, které doloží do 15 dnů po podpisu smlouvy:

   1. jsou nové, byly oprávněně uvedeny na trh v EU nebo pochází z autorizovaného prodejního kanálu výrobce,

   2. mají plnou záruku od výrobce,

   3. mohou být podporovány výrobcem a mohou být součástí servisního a podpůrného programu výrobce,

   4. obsahují všechny nezbytné licence na používání příslušného softwaru,

   5. jsou v databázi výrobce uvedeny jako prodaná kupujícímu,

   6. jsou určeny pro provoz v České republice.

Tyto skutečnosti dodavatel doloží čestným prohlášením distributora, popř. dodavatelovým samotným, nelze-li prohlášení distributora získat.

Zadavatel si vyhrazuje právo na zjištění původu výrobků při jejich předávání, a to dle příslušných sériových čísel a právo podpisu akceptačního protokolu, osvědčujícího převzetí dodávky, až po ověření původu výrobku.

10. Veškerá realizační dokumentace dodávaná v rámci veřejné zakázky, musí být zhotovena výhradně v českém jazyce, bude dodána v elektronické formě ve standardních formátech (např. MS Office, Open Office, PDF) používaných zadavatelem na datovém nosiči a 1x v papírové formě. Struktura i forma dokumentace musí být před předáním předána ke kontrole a výslovně schválena zadavatelem.

2. Specifické požadavky na technické řešení komodit

Dále specifikované požadavky na komodity jsou společné pro všechny části projektu (A-B), v nichž je komodita poptávána.

1. Zabezpečení LAN a Wifi

   1. Bude implementováno řízení přístupů k mediu (síti) na základě rolí a členství v uživatelské skupině adresářové služby s využitím technologie 802.1X.

   2. Pro hosty a externí uživatele bude zřízena samostatná VLAN (Guest VLAN), které bude komunikačně (min. L3 pravidla, ACL) oddělena od vnitřních sítí organizace. Tato VLAN bude mít své L3 rozhraní až na úrovní firewallu, tak aby bylo možné komunikaci podrobit kontrole za pomoci UTM nástrojů (min. AV, IPS, kategorizace obsahu) a mohl jí být přiřazen samostatný profil odlišný od profilů pro učitele a žáky. Ověřování přístupu do této VLAN bude zajištěno pomocí tzv. captive portálu – webové autorizace. Captive portál bude zajištěn firewallem případně jiným samostatným řešením nebo prvkem, ale vždy
      s důrazem na bezpečné oddělení uživatelského provozu od zbytku vnitřních sítí.

   3. Řízení provozu v LAN bude realizováno vytvořením VLAN (802.1Q), segmentací sítě s routováním (přepínáním) provozu mezi VLAN na úrovni centrálního přepínače s nastavitelnými ACL. Pro řízení provozu na úrovni kvality služeb bude k dispozici technologie QoS (Quality of Services). Pro zajištění vysoké dostupnosti služeb budou centrální a distribuční aktivní prvky propojeny duálními trasami
      s automatickým rozkládáním zátěže a převzetím služeb v případě výpadku jedné trasy.

   4. Architektura WiFi bude založena na řešení s centrální správou prováděnou virtuálním kontrolerem (řadičem). Virtuální kontroler, bude součástí firmwarů přístupových bodů a bude konfigurován v režimu vysoké dostupnosti a zajistí automatické rozložení zátěže klientů, roaming mezi spravovanými přístupovými body a automatické ladění kanálů a síly signálu včetně detekce a reakce na non-Wi-Fi rušení.

   5. Umístění pořízených AP bude provedeno na základě provedené analýzy pokrytí signálem pro zajištění konzistentní WiFi služby v pokrytých prostorách. Provedení analýzy bude součástí projektu.

   6. Ověřování přístupu do LAN bude realizováno protokolem 802.1X vůči adresářové službě prostřednictvím protokolů radius a P/EAP. Používaná zařízení (min. stolní i přenosné počítače) budou vybavena tzv. suplikantem-softwarovou komponentou, která dokáže předávat ověřovací požadavky síťovým prvkům, které tyto požadavky ověří vůči adresářové služby. Pro ověření zařízení bez suplikantů (např. starší tiskárny, zařízení na bázi jednoduchých operačních systémů či firmware apod.) bude použit jiný-dodavatelem navržený vhodný způsob ověření. Neověřená zařízení nezískají přístup do sítě vůbec nebo jim bude zpřístupněna pouze VLAN s omezeným přístupem (např. Intranet). Spolu s ověřováním (autentizací) bude implementována i autorizace, tedy dynamické zařazení klientského zařízení nebo uživatele do určené VLAN.

   7. Ověřování přístupu do WiFi sítě bude realizováno na stejném principu jako LAN (tj. protokol 802.1X + radius). Wifi bude nabízet více SSID (učitelé, žáci, Guest), které budou obsluhovány samostatnými VLAN a budou napojeny na raduis servery. Učitelé a žáci budou prostřednictvím radius serveru ověřováni
      v adresářové služby. Zabezpečení vnitřních sítí (BSSID) školy bude provedeno dle 802.1i, tedy-WPA3
      (v odůvodněných případech WPA2) s AES šifrováním a konfigurováno shodně pro obě frekvenční pásma. Výjimkou bude síť určená výhradně pro hosty (Guest WiFi), kde bude realizován tzv. captive portál zajišťující webovou autentizaci hostů pomocí přidělených účtů nebo za pomoci před-generovaných číselných kupónů. Preferován bude captive portál firewallu s tzv. lobby přístupem pro správu
      a generování účtů/kupónů ne-technickou osobou.

   8. Pro zajištění bezpečnosti a možnosti řízení provozu v síti a zajištění prokazatelného monitoringu, logování a auditu interního i externího síťového provozu bude vybudována centrální databáze identit na bázi adresářové služby (6 ZŠ již potřebnou databází disponuje).

   9. Adresářová služba bude samostatná pro každou školu. Adresářová služby umožní ukládání a přehlednou správu identit (účtů včetně metadat) učitelů, žáků i externích subjektů, ale i technických prostředků – serverů, tiskáren, pracovních stanic apod. Adresářová služba bude poskytovat službu LDAP a umožní snadné napojení autentizačních mechanismů a protokolů – radius, agenta firewallu a dalších. Adresářová služba zajistí ověřování uživatelů pro účely jejich autorizace k přístupu k síťovým prostředkům (LAN, Internet atd.) i výpočetním zdrojům (pracovní stanice, tiskárny, sdílené složky atd.).

   10. Řadiče adresářové služby budou provozovány ve virtuálním prostředí a budou pravidelně automaticky zálohovány. Součástí řadičů budou základní síťové služby – DNS, DHCP. Ověřování identit musí být dostupné i systémům, které přímo nepodporují LDAP nebo jiný protokol adresářové služby. Součástí projektu bude proto i vybudování tzv. zprostředkovatelů identit, které umožní ověřování i jinými protokoly. Technicky půjde o softwarové komponenty transformující požadavky na ověření identity do formátu akceptovaného adresářovou službou (např. radius).

2. Centrální logování

   1. Bude implementováno řešení, které umožní příjem a vyhodnocení všech požadovaných informací. Řešení umožní správu z jedné grafické konzole, přístupné nativně skrze https bez nutnosti instalace klienta. Data bude ukládána do jedné databáze (nebo více integrovaných databází) tak, aby bylo možno realizovat multikriteriální vyhledávání napříč informacemi z různých zdrojů (např. přepínače/ netflow
      a firewall/syslog).

   2. Veškeré dále požadované informace si bude systém automaticky získávat, vyčítat z monitorovaných systémů a současně bude umožňovat příjem protokolů určených pro přenos logovacích, provozních informací, alertů a událostí. Systém bude přijímat informace standardními protokoly ze síťových
      a dalších aktivních zařízení a Windows server systémů.

   3. Mandatorní informace, která bude v systému vždy obsažena a uchována, je vazba IP-uživatel-čas. Tuto informaci bude systém čerpat ze security event-logu adresářové služby, dále z informací o probíhajících komunikacích prostřednictvím firewallu a dalších přístupových a autentifikačních systémů (např. radius logy). Dále budou získávány informace o překladu zdrojových, vnitřních IP adres na externím výstupním rozhraní firewallu, kde bude prováděn NAT. Bude se tedy jednat o informace obsažené v NAT tabulce. Spolu s tím musí být po stanovenou dobu možné zpětně dohledat i vnější provoz k vnitřnímu zařízení. Další funkcionalitou bude plnohodnotná práce se síťovými toky, jejich zpracování a archivace. Nástroje systému budou umožňovat i analytickou práci s přijímanými toky a to i zpětně.

   4. Kombinací požadavků Zákona o uchování informací v elektronické komunikaci spolu s požadavky Standardu konektivity škol a praktického pohledu na možné časové prodlení mezi vznikem incidentu
      a jeho vyšetřováním je definováno, že monitorovací a logovací systém bude umožňovat retenci dat min. 180 dnů. Na tento rozsah retence musí být dostatečně dimenzován, tak aby nedocházelo k výkonovým problémům a systém měl dostatečnou rezervu pro očekávatelný budoucí nárůst informací a jejich zdrojů.

   5. Technicky se může jednat o zařízení, softwarový nástroj či appliance nebo samostatné komplexní řešení.

3. Správa identit

   1. V rámci komodity bude implementován systém pro správu identit (IDM – Identity management). Systém bude čerpat údaje o uživatelích (identitách) se školského informačního systému a bude umožňovat doplňovat identity/uživatele ručně, pokud nejsou zavedeni ve školském informačním systému.

   2. IDM bude na základě atributů uživatele (např. třída, doba studia apod.) a zadaných pravidel automaticky vytvářet/měnit/mazat uživatelské účty a nastavovat jejich oprávnění v řízených systémech. Automaticky tak bude vytvářeno a průběžně upravováno pracovní prostředí žáků a učitelů v počítačové síti (přihlášení do sítě, přístup k programům a datům, přístup k internetu, mapování sdílených složek a tiskáren atd.) tak, aby vždy odpovídalo nastaveným pravidlům a aktuálním atributům uživatele.

   3. Technicky se může jednat o softwarový nástroj či appliance nebo licenční a technické rozšíření současného řešení.

4. Automatizace procesů

   1. Pro řízení správy celého prostředí a koordinaci prací administrátorů škol a zřizovatele bude pořízen systém uživatelské podpory typu Service desk. Systém bude podporovat řízení služeb podle standardu ITIL (Information Technology Infrastructure Library) – uznávaného souboru praxí prověřených konceptů a postupů, které umožňují lépe plánovat, využívat a zkvalitňovat využití informačních technologií, a to jak ze strany dodavatelů IT služeb, tak i z pohledu uživatelů. Fungování systému bude založeno na katalogu služeb vytvořeném v rámci dodávky, který bude možno dále rozvíjet a modifikovat libovolně podle požadavků škol a správců.

   2. Součástí Systému uživatelské podpory a správy majetku bude systém či modul pro evidenci a správu prostředků (Asset management). Systém umožní evidenci jakéhokoli majetku či zařízení a svázání požadavků ze Service desku s konkrétním aktivem. Je požadováno, aby systém dokázal automaticky (bezagentově) detekovat hardwarové konfigurace a softwarové vybavení počítačů v síti a umožnil provádět softwarový audit.

   3. Správa prostředků bude umožňovat veškeré obvyklé operace s majetkem (pořízení, zavedení, převod, opravy, údržba, vyřazení apod.) včetně tisku příslušných předávacích protokolů a automatického upozorňování na opakované události (revize, údržba, kalibrace apod.). Pro správu IT majetku bude systém obsahovat obvyklé funkce pro podporu softwarového auditu (přehled, přidělování, odebírání licencí) v rozsahu akceptovaném hlavními výrobci software - např. Microsoft, Adobe, Autodesk.

5. Koncová zařízení

   1. Požadované licence operačních systémů musí umožnit využití implementovaných funkcionalit serverových řešení.

   2. Požadované licence desktopových operačních systémů musí umožnit začlenění stávajících počítačů pod kontrolu a centrální řízení adresářové služby, ověřování přístupu k síti a poskytování potřebných informací pro systém centrálního logování.

   3. Pro obvyklá zařízení využívané školami a určená k připojení do počítačové sítě (kategorie stolní
      a přenosné počítače, tiskárny, tablety a chytré telefony, ostatní síťová koncová zařízení) bude předvedena vzorová konfigurace a plné funkcionalita zařízení v síti, dále bude provedeno seznámení
      s vazbami zabezpečení sítě-konfigurace zařízení a demonstrováno logování provozu zařízení a činnosti jeho uživatele. Pro každou školu bude předvedení provedeno pro takový počet vzorků, aby byly pokryty významné odlišnosti vzorků v rámci kategorie z pohledu funkcí či potřebných konfigurací (např. tablety s OS Android a IOS).

6. Rozvody LAN

   1. Rozvody LAN budou vybudovány jako hvězdicovité, tj. distribuční přepínače (popř. sestavy/stohy přepínačů v datovém rozvaděči) budou přímo napojeny na centrální přepínač školy tak, aby na centrálním přepínači mohl být monitorován veškerý síťový provoz školy s výjimkou peer-to-peer komunikaci v rámci distribučních přepínačů.

1. Implementační služby

1. V rámci implementace předmětu plnění dodavatel realizuje pro všechny nabízené komodity následující služby:

   1. Provedení předimplementační analýzy (včetně plánovaných změn v konfiguraci současné infrastruktury) a zpracování detailního finálního popisu cílového stavu a postupu implementace.

   2. Zpracování prováděcí dokumentace, podle které bude dodavatel řešení implementovat. Prováděcí dokumentace musí být před zahájením implementace výslovně schválena zadavatelem. Prováděcí dokumentace musí vycházet z předimplementační analýzy a respektovat a využívat osvědčené praktiky (tzv. Best Practice) a doporučení výrobců nabízených technologií.

   3. Dodávka a implementace předmětu plnění dle schválené prováděcí dokumentace včetně technické podpory.

   4. Zajištění projektového vedení realizace předmětu plnění.

   5. Zpracování provozní dokumentace v rozsahu detailního popisu skutečného provedení popisu činností běžné údržby a činností pro spolehlivé zajištění provozu. Popis činností běžné údržby bude pokrývat minimálně následující oblasti:

      1. Active Directory – správa uživatelů a skupin, zařazení počítače do domény

      2. Monitorovací a logovacího systém-vyhledávání činnosti uživatelů a systémů, běžná správa
         a kontrola funkce

      3. LAN a Wifi-připojení zařízení vč. podrobných uživatelských postupů pro Wifi připojení mobilních zařízení (tablety, chytré telefony, notebooky) s operačními systémy Windows 7 a 10, Android, iOS
         a MacOS.

      4. Systém pro správu identit – podrobná příručka pro správce i uživatele

   6. Zpracování dokumentu Zásady využívání ICT a přístupu k síti dle Standardu konektivity pro začlenění do vnitřních předpisů 2. ZŠ.

   7. Zpracování materiálů pro školení a provedení školení v rozsahu dle kapitoly 2.4..

   8. Zajištění zkušebního provozu infrastruktury v délce minimálně 2 týdnů včetně technické podpory specialistů na dané zařízení/službu s dostupností maximálně do 4 hodin na místě realizace od nahlášení požadavku v pracovní den v době od 8h do 17h.

   9. Provedení akceptačních testů.

   10. Předání do plného provozu.

2. Činnosti omezující práci uživatelů musí být prováděny mimo běžnou pracovní dobu, tj. mimo pracovní dny 7 – 15 hod.

3. Zadavatel dále požaduje provést minimálně následující implementační služby na dodaných komponentech
   a zařízeních. Dodavatel je dále povinen zahrnout do nabídky veškeré další činnosti a prostředky, které jsou nezbytné pro provedení díla v rozsahu doporučeném výrobci a dle tzv. nejlepších praktik, i v případě, pokud nejsou explicitně uvedeny, ale jsou pro realizaci předmětu plnění podstatné. Specifikace služeb pro implementaci komodit je společná pro obě části A a B.

Zabezpečení LAN a Wifi

1. Analýza stávajícího síťového prostředí a návrh nového architektury LAN i WiFi

2. Implementace pořízených technologií

3. Provedení segmentace LAN – VLAN, adresování, routování

4. Zavedení IPv6 pro přístup k internetovým zdrojům publikovaným na IPv6 adresách

5. Zavedení IPv6 pro veškeré publikované služby z interních či externích prostředků. Včetně zajištění jednání a řízení změn u externích poskytovatelů služeb. Jde zejména (ale ne výhradně) o služby hostování domén škol, DNS, e-mail, weby škol, publikované nebo hostované školské informační systémy.

6. Zabezpečení komunikace publikovaných služeb pomocí nabízeného certifikátu.

7. Zavedení DNSSEC pro interní DNS služby i zabezpečení domén škol.

8. Návrh a implementace 802.1X pro kabelovou LAN i WiFi včetně uživatelské dokumentace pro konfigurace obvyklých zařízení a jejich systémů-PC, notebooky, chytré telefony, tablety, tiskárny-Windows, Linux, MacOS, Android, IOS, embedded systémy periferií

9. Návrh a implementace firewallu včetně vhodné konfigurace UTM (antivir, IPS, aplikační kontrola, URL filtrace dle kategorií) pro školy

10. Vybudování VPN pro vzdálený přístup uživatelů LAN na bázi webového portálu

11. Respektování min. 3 různých skupinu uživatelů (učitelé, studenti, hosté) v návrzích a implementaci bezpečnostních a ostatních politik

12. Implementace portálu pro registraci a řízení přístupů hostů – tzv. captive portál

13. Zajištění ostatních nezbytných činností pro naplnění Standardu konektivity

14. Návrh a provedení akceptačních testů, musí zahrnovat testy propustnosti LAN a pokrytí WiFi

Centrální logování

1. Návrh a implementace systému pro centrální logování pro naplnění požadavků Standardu konektivity, především, ale nejen:

• monitoring a logování NAT (RFC 2663) provozu za účelem dohledatelnosti veřejného provozu
  k vnitřnímu zařízení (ve spolupráci s firewallem)

• logování přístupu uživatelů do sítě umožňující dohledání vazeb IP adresa – čas – uživatel, a to včetně ošetření v případě sdílených učeben (pracovních stanic apod.)

• monitorování IP (IPv4 a IPv6) datových toků formou exportu provozních informací o přenesených datech v členění minimálně zdrojová/cílová IP adresa, zdrojový/cílový TCP/UDP port (či ICMP typ) -RFC3954 nebo ekvivalent (např. netflow) – systém pro monitorování a sběr provozně-lokačních údajů minimálně na úrovni rozhraní WAN, ideálně i LAN) a to bez negativních vlivů na zátěž
  a propustnost zařízeni

2. Provedení souvisejících konfigurací monitorovaných systémů

3. Návrh a provedení akceptačních testů, musí zahrnovat ověření logování veškerých požadovaných uživatelů a správnost přiřazení identit uživatelů logovaným údajům

Správa identit

Předimplementační analýza bude obsahovat následující oblasti specifické pro komoditu:

1. provedení analýzy ICT prostředí škol se zaměřením na oblast správy uživatelských účtů, přidělování oprávnění a rolí,

2. technologický popis stávajících technologií s vazbou na systém správy identit

3. návrh životního cyklu identity uživatelů,

4. model organizační struktury,

5. přiřazení zaměstnanců a žáků k pracovním pozicím a rolím

6. atributy poskytované školským informačním systémem ve vazbě na řízené systémů a návrh jejich využití,

7. analýzu možností správy výstupních struktur,

8. analýzu evidenčních údajů a logů,

9. analýzu a návrh řízení identit a jejich oprávnění v řízených (napojených) systémech

Další požadované služby

1. kompletní implementace systémů dle předimplementační analýzy a prováděcí dokumentace

2. metodické a odborné vedení pracovníků škol při jednání o poskytnutí potřebných rozhraní na straně školských informačních systémů. Případné náklady na rozhraní nejsou součástí této zakázky

3. návrh a provedení akceptačních testů, musí zahrnovat výkonové testy a prokázat plnou funkčnost integrací v obvyklých scénářích použití

Automatizace procesů

1. Analýza životního cyklu požadavků a souvisejících procesů ve vztahu k řešeným oblastem

2. Návrh katalogu služeb včetně vhodného a logického členění struktury služeb v jednotlivých oblastech řešení

3. Návrh grafického rozhraní katalogu služeb včetně intuitivních piktogramů (ikon) jednotlivých služeb

4. Návrh vhodných pracovních postupů (workflow) pro řešení požadavků

5. Návrh konfigurační databáze pro zavedení do systému

6. Návrh způsobu automatické inventarizace koncových zařízení (počítačů a notebooků)

7. Návrh vhodného způsobu iniciačního zavedení evidovaného majetku (naplnění databáze)

8. Implementace systému dle provedených návrhů a doporučení výrobce

9. Návrh a provedení akceptačních testů

Koncová zařízení

1. Dodávka a kompletní zprovoznění nabízených komponent včetně potřebných konfiguračních služeb

2. U upgradů operačních systémů nabízených zařízení není požadováno provedení instalace
   a aktivace upgrade – s výjimkou vzorku viz. (a). Uvedené činnosti provede zadavatel vlastními silami dle připraveného vzorku a dodavatelem poskytnuté dokumentace.

Rozvody LAN

1. provedení detailního měření realizovaných metalických i optických rozvodů včetně přenosových parametrů (útlum, odrazy apod.), zhotovení a poskytnutí dokumentace měření.

4. Akceptační testy musí pro všechny komodity vždy zahrnovat minimálně prokázání kompletnosti dodávky
   a požadované funkčnosti. Návrh vhodných akceptačních kritérií bude součástí nabídky, zadavatel může v průběhu zpracování Předimplementační analýzy provést jejich upřesnění či rozšíření. Povinným akceptačním kritériem bude prokázání naplnění požadavků Standardu konektivity dle manuálu uveřejněného na xxxx://xxx.xxxx.xxx.xx/xx/Xxxxxxx/Xxx/Xxxxxxx/Xxxxxxxxxx-xxxxxxxxxxxxxx-xxxxxxx-x-xxxxxxxx-xxx-x včetně úspěšného provedení a doložení testu na xxxxx://xxx.xxxxxxxxxxxxxxxxxxx.xx/. Prokázání naplnění požadavků poskytne dodavatel v písemné formě vhodné jako příloha k Závěrečné zprávě o realizaci projektu pro každou část A a B samostatně.

5. Náklady na provedení implementačních služeb musí být zahrnuty v nabídkové ceně k položce (komoditě), ke které se vztahují a nelze je vyčíslit zvlášť.

4. Školení

1. Dodavatel provede pro každou komoditu odborné školení na obsluhu a práci s dodanými zařízeními a to minimálně v rozsahu provozní dokumentace.

2. Školení bude pokrývat všechna zařízení a systémy všech komodit, dodávané v rámci této veřejné zakázky, a to minimálně v rozsahu:

   1. běžných administrátorských činností pro implementované systémy

   2. standardní údržby systémů pro administrátory zadavatele

3. Školení dále zajistí seznámení pracovníků zadavatele se všemi podstatnými částmi díla v rozsahu potřebném pro provoz, údržbu a identifikaci nestandardních stavů systému a jejich příčin.

4. Minimální rozsah školení pro každou komoditu (pro každou část A-B) jsou 2 hodiny, není-li uvedeno jinak. Školení bude probíhat v sídle zadavatele. Předpokládá se účast max. 3 osob.

1. Harmonogram projektu

   1. Zadavatel vyžaduje dodržení následujícího harmonogramu plnění – zde jsou uvedeny maximální možné lhůty pro jednotlivé kritické milníky. Údaj D značí datum nabytí účinnosti smlouvy o dílo. Čísla značí počet kalendářních dnů.
      
      
      

Aktivita	Začátek	Termín
Účinnost smlouvy	D	D
Zahájení projektu – úvodní projektová schůzka	D	D+5
Předimplementační analýza – zpracování	D+5	D+20
Předimplementační analýza – připomínkové řízení, schválení	D+20	D+27
Prováděcí dokumentace – zpracování	D+27	D+35
Prováděcí dokumentace – připomínkové řízení, schválení	D+35	D+40
Realizace předmětu plnění	D+40	D+120
Školení administrátorů	D+120	D+130
Zkušební provoz	D+120	D+140
Akceptační testy	D+120	D+150
Zahájení ostrého provozu	D+150	-

2. Dodavatel může dle svého uvážení výše uvedené maximální lhůty trvání zkrátit při dodržení všech částí předmětu plnění a bez snížení kvality dodávaných služeb.

3. Popis povinných parametrů dodávaného řešení

1. V dále uvedených tabulkách jsou uvedeny povinné parametry prvků nabízeného řešení. Dodavatel musí všechny parametry splnit.

Část A - Komodita K1 - Zabezpečení LAN a Wifi
Část	Xxxxxxxx	Popis povinného parametru	Dodavatel popíše způsob naplnění tohoto povinného parametru včetně značkové specifikace nabízených dodávek	Dodavatel uvede odkaz na přiloženou část nabídky, kde je možné ověřit naplnění parametru
Centrální přepínač školy 1x	Základní parametry	L2/L3 přepínač v rackovém provedení max. 1U
	Porty	Min. 12x 1 Gb SFP + 12x 1GbE, 4x 1OGb SFP+, vyhrazený samostatný LAN port pro management
	Propustnost	neblokovaná architektura, propustnost min. 128 Gbps / 200 Mpps
	Agregace portů	podpora LACP
	Směrování	statické a dynamické routování včetně VLAN, policy based routing, BGP
	Řízení provozu	víceúrovňový QoS
	VLAN	VLAN 802.1Q, MAC i protocol based, podpora zařazování do VLAN a přidělení QoS a přístupových filtrů na základě 802.1X ověření
	Ověřování uživatelů a zařízení	podpora 802.1X
	Dualstack	plný IPv4 a IPv6 dualstack včetně směrování a QoS
	MAC	podpora min. 20 000 MAC adres pro použití jako centrální switch (router)
	Stohování	možnost stohování pro jednotný management a vysokou dostupnost - technologie MLAG (Multi-Chassis Link Aggregation nebo obdobná)
	Sledování toků	plný export síťových toků - Netflow, IPFIX nebo ekvivalent (sFlow není ekvivalent)
	Napájení	interní redundantní zdroje (min 2)
	Monitoring a správa	plná podpora CLI, SSH, SNMP, syslog, sFlow, web rozhraní
	Záruka	min. 60 měsíců poskytovaná výrobce zařízení, odeslání náhradního zařízení max. následující pracovní den po nahlášení závady, včetně nároku na opravné verze firmware
Centrální přepínač škol (sdílený) 1 ks	Základní parametry	L2/L3 přepínač v rackovém provedení max. 1U
	Porty	min. 16x 10 Gb SFP+ a vyhrazený LAN port pro správu
	Propustnost	neblokovaná architektura, přepínání/směrování min. 480 Gbps
	Agregace portů	podpora LACP
	Směrování	statické a dynamické routování včetně VLAN, policy based routing, BGP
	Řízení provozu	víceúrovňový QoS
	VLAN	VLAN 802.1Q, MAC i protocol based, podpora zařazování do VLAN a přidělení QoS a přístupových filtrů na základě 802.1X ověření
	Ověřování uživatelů a zařízení	podpora 802.1X
	Dualstack	plný IPv4 a IPv6 dualstack včetně směrování a QoS
	Standardy	podpora standardů IEEE 802.1ad, 802.1v
	Rozšiřitelnost	volné sloty pro dalších min 8 SFP+ 10 Gb portů / 2 QSFP+ 40 Gb porty s možností kombinace SFP+ a QSFP+
	Stohování	podpora pokročilého stohování pro vysokou dostupnost - více přepínačů se chová jako jeden virtuální
	Napájení	interní redundantní zdroje (min 2) vyměnitelné za provozu a ventilátory
	Monitoring a správa	plná podpora CLI, SSH, SNMP 1-3, syslog, sFlow, RMON, web rozhraní, REST API rozhraní pro automatizaci
	Záruka	min. 60 měsíců poskytovaná výrobce zařízení, odeslání náhradního zařízení max. následující pracovní den po nahlášení závady, včetně nároku na opravné verze firmware
Přístupové přepínače 7 ks	Společné parametry
	Základní parametry	L2 přepínač v rackovém provedení max. 1U
	Stohování	podpora stohování pro jednotný management (přepínače musí stohovatelné vzájemně bez ohledu na provedení - viz. Porty a propustnost)
	Propustnost	neblokovaná architektura
	Agregace portů	podpora LACP
	Dualstack	IPv4 a IPv6 dualstack včetně podpory ACL a QoS
	VLAN	VLAN 802.1Q, MAC i protocol based, podpora zařazování do VLAN a přidělení QoS a přístupových filtrů na základě 802.1X ověření
	Ověřování uživatelů a zařízení	podpora 802.1X
	PoE	u PoE modelů podpora standardů 802.3af a 802.3at (PoE+ 30W/port), celkový PoE výkon min. 190/370W (24/48 portů)
	Hlučnost	maximální hlučnost max. 45 dB při plné zátěži pro možnost umístění v učebně
	Monitoring a správa	plná podpora CLI, SSH, SNMP 1-3, syslog, sFlow, RMON, web rozhraní
	Záruka	min. 60 měsíců, oprava do 2 pracovních dnů v místě instalace, včetně nároku na opravné verze firmware
	Specifické parametry
	Porty a propustnost	3 kusy - 24x 1 GB RJ-45 PoE+ + 4x 1Gb SFP (nesdílené), min. 56 Gb/s 3 kusy - 48x 1 GB RJ-45 PoE+ + 4x 1Gb SFP (nesdílené), min. 104 Gb/s 1 kus - 48x 1 GB RJ-45 + 4x 1Gb SFP (nesdílené), min. 104 Gb/s
WiFi přístupové body vnitřní (AP) 30 ks	Základní funkce	Přístupový bod (AP) standardu Wi-Fi 6 včetně montážního materiálu na stěnu nebo strop
	Frekvence	činnost v radiovém pásmu 2,4 a 5 GHz současně, 2 radiové moduly s podporou standardu OFDMA
	Anténní systém	interní systém pro min. 2x 2 MIMO, optimalizovaný pro montáž na strop
	Přenosové rychlosti	SU-MIMO 5GHz min 1200Mbps, SU-MIMO 2.4 GHz min. 550Mbps
	Standardy	podpora 802.3at, 802.11n, 802.11ax, 802.1x včetně přiřazování do VLAN
	Řízení klientů	automatické směrování komunikace klientů z 2.4 GHz na 5 GHz (pokud klienti podporují obě pásma)
	Rušení	průběžná detekce non-WiFi rušení a spektrální analýza
	Multi SSID	podpora vysílání min. 8 SSID (WiFi sítí) současně, podpora přiřazení každého SSID samostatné VLAN
	Zatížení	min. 250 přiřazených (asociovaných) klientů na radiový modul
	Porty	min. 1x 1Gb, PoE s podporou standardů 802.3at a 802.3af
	Úsporné napájení	podpora standardu 802.3az - Energy-Efficient Ethernet (EEE)
	Řízení provozu	klasifikace a kontrola provozu, detekce obvyklých aplikací s možností určení priority nebo šířky pásma zvoleného provozu
	Řízení kvality služeb	automatické řízení kvality služeb (QoS) pro hlas a video
	Současná obsluha více klientů	Popdora MU-MIMO (Multi-User MIMO) - multi-user multiple input/multiple output
	Bezpečnost	Detekce cizích přístupových bodů zjištěných v LAN i v radiofrekvenčním pásmu Integrovaný bezpečnostní modul TPM pro uložení citlivých údajů (přihlašovací údaje, šifrovací klíče apod.)
	Virtuální kontroler	Virtuální, vysoce dostupný kontroler obsažený ve firmware každého přístupového bodu. Umožňuje kompletní centrální správu WiFi infrastruktury a řízení jejího provozu včetně roamingu klientů bez potřeby externích systémů - cloud, management aplikace/appliance apod.
	WPA	podpora standardu WPA3 (Wi-Fi Protected Access III)
	IoT a lokalizace	integrovaná hardwarová podpora standardu 802.15.4 (Zigbee) a Bluetooth 5.0
	Monitoring a správa	plná podpora CLI, SSH, SNMP 1-3, syslog, web rozhraní.
	Správa frekvenčního pásma	automatické dynamické přidělování kanálů a řízení výkonu přístupových bodů pro vyrovnané pokrytí a minimalizaci interference
	Záruka	záruka min. 60 měsíců
WiFi přístupový bod venkovní (AP) 1 ks	Základní funkce	Přístupový bod (AP) standardu Wi-Fi 6 určený pro venkovní provoz, včetně montážního materiálu na sloup
	Frekvence	činnost v radiovém pásmu 2,4 a 5 GHz současně, 2 radiové moduly s podporou standardu OFDMA
	Anténní systém	interní systém pro min. 2x 2 MIMO se směrovým vyzařováním - 90 stupňů horizontálně i vertikálně, zisk více něž 6 db pro 2.4 i 5 GHz WiFi
	Přenosové rychlosti	SU-MIMO 5GHz min 1200Mbps, SU-MIMO 2.4 GHz min. 550Mbps
	Standardy	podpora 802.3at, 802.11n, 802.11ax, 802.1x včetně přiřazování do VLAN
	Řízení klientů	automatické směrování komunikace klientů z 2.4 GHz na 5 GHz (pokud klienti podporují obě pásma)
	Rušení	průběžná detekce non-WiFi rušení a spektrální analýza
	Multi SSID	podpora vysílání min. 8 SSID (WiFi sítí) současně, podpora přiřazení každého SSID samostatné VLAN
	Zatížení	min. 250 přiřazených (asociovaných) klientů na radiový modul
	Porty	min. 1x 1Gb, PoE s podporou standardů 802.3at a 802.3af. Včetně mediakonvertoru 1Gb SFP - RJ45, metalický port s PoE+ napájením
	Úsporné napájení	podpora standardu 802.3az - Energy-Efficient Ethernet (EEE)
	Řízení provozu	klasifikace a kontrola provozu, detekce obvyklých aplikací s možností určení priority nebo šířky pásma zvoleného provozu
	Řízení kvality služeb	automatické řízení kvality služeb (QoS) pro hlas a video
	Současná obsluha více klientů	Popdora MU-MIMO (Multi-User MIMO) - multi-user multiple input/multiple output
	Bezpečnost	Detekce cizích přístupových bodů zjištěných v LAN i v radiofrekvenčním pásmu Integrovaný bezpečnostní modul TPM pro uložení citlivých údajů (přihlašovací údaje, šifrovací klíče apod.)
	Virtuální kontroler	Virtuální, vysoce dostupný kontroler obsažený ve firmware každého přístupového bodu. Umožňuje kompletní centrální správu WiFi infrastruktury a řízení jejího provozu včetně roamingu klientů bez potřeby externích systémů - cloud, management aplikace/appliance apod.
	WPA	podpora standardu WPA3 (Wi-Fi Protected Access III)
	IoT a lokalizace	integrovaná hardwarová podpora standardu 802.15.4 (Zigbee) a Bluetooth 5.0
	Monitoring a správa	plná podpora CLI, SSH, SNMP 1-3, syslog, web rozhraní.
	Správa frekvenčního pásma	automatické dynamické přidělování kanálů a řízení výkonu přístupových bodů pro vyrovnané pokrytí a minimalizaci interference
	Záruka	záruka min. 60 měsíců
Optické prvky	SFP+ modul	1 ks modulu SFP+ 10 Gb, SM, BiDi, 10 km včetně DMI diagnostiky pro nabízený centrální přepínač školy, LC konektor
	SFP moduly	14 ks modulů SFP 1 Gb, SM, 1 km včetně DMI diagnostiky pro nabízený centrální přepínač školy, LC konektor
	SFP moduly	14 ks modulů SFP 1 Gb, SM, 1 km včetně DMI diagnostiky pro nabízené přístupové přepínače, LC konektor
	SFP modul	1 ks modulu SFP 1 Gb, SM, 1 km včetně DMI diagnostiky pro venkovní WiFi přístupový bod nebo převodník, LC konektor
	SFP+ moduly	6 ks modulu SFP+ 10 Gb, SM, BiDi, 10 km včetně DMI diagnostiky pro nabízený centrální přepínač škol (sdílený), LC konektor
	SFP+ moduly	2 ks modulů SFP+ 10 Gb, MM včetně DMI diagnostiky pro nabízený centrální přepínač škol (sdílený), LC konektor
	Optické patch kabely	2 ks kabel MM s konektory LC-LC, délka 3m 30 ks kabel SM s konektory LC-SC, délka 3m
	Záruka	36 měsíců
Bezpečnostní certifikát	Popis	Hvězdičkový (tzv. wildcard) certifikát veřejné certifikační autority pro zabezpečení služeb publikovaných do internetu. Kořenový certifikát certifikační autority musí být standardně obsažen v běžných desktopových a mobilních operačních systémech a být automaticky aktualizován v rámci aktualizace operačního systému.
	Záruka	min 12 měsíců

Část A - Komodita K2 - Centrální logování
Část	Xxxxxxxx	Popis povinného parametru	Dodavatel popíše způsob naplnění tohoto povinného parametru včetně značkové specifikace nabízených dodávek	Dodavatel uvede odkaz na přiloženou část nabídky, kde je možné ověřit naplnění parametru
Monitorovací a logovací systém 1x	Základní funkce	Systém pro sběr, ukládání a správu provozních a bezpečnostních informací a událostí ze sledovaných systémů
	Protokoly sběru logů	syslog, TCP, UDP, HTTP, AMQP, JSON
	Sběr síťových toků	Netflow či kompatibilní dle nabízeného firewallu a přístupového přepínače
	Zdroje logů	Min. REST API, textové soubory, Radius, Active Directory, MS SQL databáze, Windows Event Log - včetně rozšířených "Applications and Services Logs", síťové prvky - syslog a Netflow, ostatní aktivní prvky - syslog, SNMP trap
	Parsování logů	Integrovaný nástroj pro parsování logů. Možnost nahrání části logu, online vytváření parseru a snadné testování výsledku. Podpora vytváření opakovaně použitelných vzorků - např. definice IP adresy regulárním dotazem apod.
	Retence	Uchovávání logů min. 6 měsíců, automatická retence logů a indexů
	Geolokace	Podpora automatické doplňování logů o informaci o lokalitě podle IP adresy
	Normalizace logů	Sjednocení názvů shodných dat z různých zdrojů logů např. pro snadné vyhledávání napříč zdroji
	Rozšíření logů	Podpora rozšíření logů o vlastní statické a dynamické (kalkulované) položky integrovaným nástrojem.
	Rozšiřitelnost	Podpora snadného rozšíření funkčnosti pomocí plug-inů nebo modulů
	Bezpečnost	Podpora šifrované komunikace se zdroji (SSL apod.), ověřování zdrojů (TLS apod.)
	Výkon	Min. 500 EPS (event per second), 5000 FPM (flows per minute)
	Dashboardy	Uživatelské vytváření dashboardů (pracovních desek) včetně možnosti využití grafických prvků (grafy, mapy, histogramy apod.) i strukturovaných dat (tabulek)
	Export dat	Export dat do csv a/nebo xls - min. výsledky hledání
	Kanály	Možnost vytváření kanálů - datových sad či toků - na základě pravidel (logických podmínek) a to i napříč různými zdroji. Podpora dalšího zpracování - tvorba alarmů, zobrazení na dashboardu, online odesílání do nadřazeného systému apod.
	Alerty, notifikace	Podpora vytváření alertů - překročení okamžitých či kumulovaných hodnot, zasílaní upozornění
	Active Directory	integrace s Active Directory pro ověřování uživatelů, nastavení oprávnění min. administrator a operátor
	Vyhledávání	Rychlé a intuitivní vyhledávání v záznamech napříč všemi zdroji i při velkých objemech dat (řády TB). Jednoduchý dotazovací jazyk. Rychlá vyhledávání či filtrování bez tvorby dotazů - např. výběrem v kontextovém menu vybraného pole uloženého záznamu.
	Ovládání	Intuitivní grafické rozhraní
	Kompatibilita	Podpora provozu v prostředí nabízené serverové virtualizace
	Ukládání dat	do databáze, případná databázová licence musí být součástí dodávky
	Výstupy	Možnost výstupů do nadřazeného systému pro účely vzdáleného expertního dohledu. Zabezpečený přenos vhodným protokolem
	Záruka	min. 12 měsíců včetně poskytnutí opravných verzí

Část A - Komodita K3 - Správa identit
Část	Xxxxxxxx	Popis povinného parametru	Dodavatel popíše způsob naplnění tohoto povinného parametru včetně značkové specifikace nabízených dodávek	Dodavatel uvede odkaz na přiloženou část nabídky, kde je možné ověřit naplnění parametru
Systém pro správu identit (Identity management - IDM)	Základní funkce	IDM (dále IDM nebo Systém) bude udržovat a spravovat identity a organizační strukturu organizace - třídy, učitelský sbor, administrativa atd. Spravované identity budou sloužit jako referenční identity pro ostatní vnitřní i vnější informační systémy. Identity budou ukládány v databázi.
	Licence	Poskytnutá licence umožní nasazení a provoz IDM bez omezení na počet uživatelů, spravovaných identit a napojených systémů. Nejsou přípustná žádná další omezení omezující obvyklé nasazení a provoz s ohledem na charakter organizace Zadavatele (počet záznamů, velikost databází atd.). Předpokládaný počet uživatelů je do 2500.
	Škálovatelnost	Systém musí umožnit zvyšování výkonu (zlepšování odezvy) rozložením komponent Systému na více serverů - minimálně oddělení rolí (serverů) uživatelského rozhraní od výkonu integračních a provozních úloh.
	Evidence aplikací a rolí	Integrovaný registr aplikací a informačních systémů (souhrnně IS) a jejich uživatelských rolí včetně možnosti importu rolí přes webové služby.
	Uživatelské role	Integrovaná správa uživatelských rolí, včetně zařazení uživatele do odpovídající role v příslušných IS.
	Historizace	Vestavěná detailní databázové historizace pro evidenci změn identit včetně referenčních objektů a vazeb mezi nimi. Historizace poskytne data v libovolném časovém okamžiku - aktuálním nebo zpětně v minulosti.
	Automatizace	Podpora intuitivní tvorby pravidel v grafickém prostředí pro automatické vytváření uživatelských účtů, začleňování uživatelů do skupin a přiřazování aplikačních rolí uživatelům na základě libovolných atributů identity a přidružených referenčních objektů (organizační jednotka, aplikační role, pracovní pozice atd.).
	Logování SIEM	Systém bude poskytovat auditní logy pro pořizovaný logovací a monitorovací systém
	Logování systému	Systém obsahuje logování min. následujících typů událostí: - události systému (aplikační log) - změny entit evidovaných systémem a změny konfigurace systému (auditní log) - synchronizace s napojenými systémy (synchronizační log) - odeslané notifikace a upozornění (notifikační log)
	Správa identit	Systém bude spravovat organizační strukturu obsahující interní a externí identity jako samostatné větve struktury.
	Podpora eIDAS	Systém umožní implementaci procesů a rozhraní, která jsou vyžadována v Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES.
	Požadavky na portál - obecné	IDM bude obsahovat webový portál (dále jen Portál), který bude sloužit jako hlavní rozhraní pro uživatele i správce pro přístup k datům, funkcím, správu a konfiguraci Systému.
	Správa referenčních objektů	Portál bude umožňovat přehlednou správu samostatných identifikovatelných objektů - referenčních objektů, na které se identity mohou odkazovat: min. pracovní pozice, organizační jednotka, skupina, aplikace, skupina aplikací, aplikační role.
	Referenční objekty	Systém umožní přidávání a správu dalších typů referenčních objektů a to i v průběhu správy konkrétní identity s možností okamžitého použití referenčního objektu u spravované identity
	Zabezpečení referenčních objektů	Systém umožní nastavení samostatných nezávislých administrátorských oprávnění pro správu jednotlivých referenčních objektů
	Rozšiřující atributy	Systém umožní dodatečné rozšiřování identit a referenčních objektů o další atributy a zajistí publikaci těchto nových atributů externím aplikacím prostřednictvím rozhraní webových služeb IDM.
	Přehledné zobrazení	Portál umožní grafické zobrazení a současné vyhledávání identit / uživatelských účtů ve stromové organizační struktuře a prohledávání organizační struktury včetně pracovních pozic až do úrovně jednotlivých uživatelských účtů (identit).
	Vyhledávání - diakritika	Portál bude umožňovat vyhledávat i bez diakritiky (např. zadání Xxxxxxx vyhledává x Xxxxxxx apod.)
	Obrázky	Systém umožní k jednotlivým účtům (identitám) přikládat obrázky - fotografie.
	Ochrana proti chybám	Systém bude obsahovat mechanismus zabránění hromadným změnám z důvodu případných chybných vstupních dat (např. z personálního systému), aby nedošlo k hromadným nežádoucím změnám (například smazání objektů v Active Directory apod).
	Aktivní uživatelé	Systém bude obsahovat přehled uživatelů aktuálně pracujících s Portálem
	Slučování identit	Systém umožní sjednocení více uživatelů (identit) do jedné a odpovídající sjednocení spravovaných účtů.
	Export údajů	Vestavěný export přehledů a seznamů zobrazených na portále do souborů CSV nebo obdobného strojově zpracovatelného a současně běžně čitelného formátu
	Filtrování	Vestavěný editor filtrů pro vyhledávání identit a referenčních identit. Možnost filtrování libovolných atributů identity včetně přidružených referenčních objektů. Možnost uložení filtrů pro opakované použití.
	Správa oprávnění	Víceúrovňová správa administrátorských oprávnění s možností nastavení oprávnění min. na úrovni organizační jednotky (nebo hlouběji) a detailní přiřazení rolí a oprávnění (např. přiřazení činnostní role, přiřazení aplikační role, editace identity apod.)
	Granularita oprávnění	Oprávnění přidělovaná uživatelům a správcům bude možné definovat a přidělovat pro jednotlivé části systému (identity, referenční objekty, notifikací, synchronizací, konfigurace systému, reporty, workflow, webové služby atd.). U jednotlivých částí bude možnost definovat akce, které může uživatel s přidělenými oprávnění v konkrétní části IDM provádět.
	Správa licencí	IDM umožní spravovat licence pro jednotlivé evidované aplikace a přiřazovat je jednotlivým uživatelům (identitám). Pro schvalování přiřazování licencí bude IDM obsahovat workflow platformu s možností vytvářeni víceúrovňových schvalovacích workflow.
	Časová omezení	IDM bude umožňovat přiřazení rolí konkrétní identitě, pracovní pozici, skupině a organizační jednotce včetně možnosti nastavení data a času vypršení platnosti přiřazení. Po vypršení platnosti přiřazení IDM rolí přiřazenému objektu automaticky odebere.
	Vícenásobné vazby	Možnost přiřazení identit k pracovním pozicím ve vazbě M:N. Identita může být v IDM evidována na více pracovních pozicích současně a současně na pracovní pozici může být evidováno více identit.
	Přehled rolí	Možnost zobrazení přidělených rolí k jednotlivým identitám s přehledným rozlišením rolí navázaných na pracovní pozici, rolí navázaných na identitu, rolí navázaných na organizační jednotku, rolí navázaných na skupinu a delegovaných role.
	Přehled dědičností	IDM umožní evidenci a přehledné souhrnné zobrazení všech rolí včetně informace, odkud uživatel roli zdědil (z organizační jednotky, pracovní pozice, skupiny) nebo zda má nějakou roli od někoho delegovánu.
	Skupiny	IDM bude obsahovat správu skupin s možností začleňovat více skupin do sebe, přiřazovat do skupin jednotlivé uživatele i pracovní pozice.
	Delegování oprávnění	Možnost delegování administrátorských práv.
	Obnovení hesla	IDM bude obsahovat samoobslužné uživatelské rozhraní pro reset hesla jednotlivých účtů daného uživatele. Zasílání kódů pro reset hesla danému uživatele musí být možnou provádět pomocí SMS (tj. IDM musí být možné na SMS bránu či službu napojit). Rozhraní musí umožnit i běžnou změnu hesla (bez resetu).
	Individualizace	IDM umožní uživatelům individuálně nastavit vlastní zobrazení rozhraní - min. zobrazení / skrytí sloupců u všech seznamů, počet zobrazených záznamů na stránku - vždy pro každý seznam samostatně.
	Upozornění	IDM zajistí zasílání konfigurovatelných emailových upozornění min. pro následující události: vytvoření a změna identity, referenčního objektu (pracovní pozice, organizační jednotka, skupina, aplikace, skupina aplikací, aplikační role atd.), problém při synchronizaci, vypršení hesla v Active Directory, vypršení platnosti certifikátu.
	Včasná upozornění	Upozornění na vypršení časových termínů musí být možno zasílat v předstihu. Velikost předstihu (např. 10 dnů) musí být možno konfigurovat pro každý typ upozornění samostatně.
	Šablony upozornění	Šablony upozornění umožní definovat příjemce, předmět a obsah upozornění. U upozornění vázaného k identitám musí být možné nastavovat různé příjemce pro různé části organizační struktury (např. odbor, oddělení) apod. Šablony musí umožnit vložit do obsahu upozornění libovolný atribut identity a/nebo referenčního objektu.
	Kontext upozornění	Pro zasílání jednotlivých typů upozornění bude možno konfigurovat kontext, resp. podmínky, za jakých bude upozornění zasláno. V konfiguraci bude možné využít atributů identit a referenčních objektů. Příklad: notifikace budou generovány pouze pro identity v konkrétních uvedených skupinách, které mají uvedenu konkrétní aplikační role a konkrétní atribut atd.
	Logování	Veškeré změny vyvolané požadavky uživatele a administrátorů/správců IDM budou provedeny transakčně. Budou logovány tak, aby bylo možné zpětně prokázat co, kdo a kdy měnil v identitách a referenčních objektech i v administraci a konfiguraci IDM. Záznam v logu bude obsahovat původní i novou hodnotu.
	Důvěryhodnost logování	Veškeré požadavky na změny v IDM bude možné zadávat výhradně prostřednictvím Portálu. Není přípustné realizovat požadavky ručními změnami textových soubory jako XML, CSV, atd. z důvodu zajištění úplného logování všech změn jednotlivých konfigurovaných parametrů IDM.
	Auditní report	IDM umožní export auditního reportu z údajů o identitách uložených v IDM a to i historických. Auditní reporty budou minimálně ve formátu XML nebo CSV a budou obsahovat souhrnné zobrazení daných uživatelů (identit) a jejich rolí v IS napojených na IDM, agendových rolí, přiřazených skupin ve vybraném časovém okamžiku od aktuálního času do minulosti.
	Auditní report - výběr	Identity pro generování auditního reporty musí být možné vybrat (filtrovat) dle libovolných atributů identity včetně přidružených referenčních objektů.
	Reporty uživatelů	Vestavěné reporty obsahující uživatele s přímo přiřazenými aplikačními rolemi a s aplikačními rolemi delegovanými od jiných uživatelů. Reporty budou exportovatelný do CSV souboru.
	Reporty - historie	Automatické ukládání vygenerovaných reportů s možností pozdějšího zobrazení či stažení.
	Webové služby (WS)	IDM bude poskytovat rozhraní webových služeb pro napojení dalších systémů s možností konfigurace v Portálu.
	Standardy WS	Webové služby IDM budou definované v rozšířeném standardu WSDL a podporovat protokol SOAP.
	Bezpečnost WS	Konfigurace webových služeb umožní konfigurovat přístup pro volání jednotlivých vybraných služeb pro každý odpovídající systémový účet samostatně.
	Logování WS	Volání webových služeb bude logováno a bude možné je zobrazit v prostředí Portálu
	Služby rozhraní WS	Rozhraní bude poskytovat minimálně následující služby: - Získání organizační struktury - Získání hierarchie pracovních pozic - Získání seznamu identit - Získání nadřízené osoby pro daného zaměstnance - Získání seznamu aplikační rolí - Získání seznamu uživatelů dané aplikace - Zápis seznamu aplikačních rolí do IDM - Zápis a změna identit
	Synchronizace	Ruční i automatické spuštění synchronizací s propojenými systémy.
	Synchronizace - simulace	Spuštění synchronizací i v simulačním režimu pro ověření dopadu reálného spuštění bez ovlivnění produkčních dat a napojených systémů. Simulační logy budou zobrazitelné v Portálu.
	Simulace - průběh	Zobrazení jednotlivých stavů průběhu synchronizace bude k dispozici v přehledné grafické podobě.
	Synchronizace - režimy	Pro napojení na jednotlivé systémy a implementaci jejich synchronizací s IDM umožní IDM u každého systému využít více režimů synchronizací (za předpokladu podpory napojovaného systému): - Plná synchronizace – prochází všechny objekty v IDM a synchronizuje je s objekty daného systému - Změnová synchronizace – synchronizuje vždy jen změny od poslední spuštěné synchronizace. - Simulační synchronizace – synchronizace vytvoří report očekávaných změn v napojeném systému pro provedení ostré synchronizace. Report změn bude evidován jako pohled nebo přehledná souhrnná tabulka. - Historie běhu synchronizací – jednotlivé běhy synchronizací budou zaznamenány v historii dostupné v Portálu. Historie plné synchronizace bude obsahovat odkazy na objekty, které byly synchronizovány a log, co bylo u těchto objektů změněno v synchronizovaném systému. V případě změnové synchronizace pak bude v historii dále informace o události, která změnovou synchronizaci vyvolala.
	Synchronizace - správa	Vestavěná správa jednotlivých synchronizací včetně nastavení připojení na synchronizované systémy, nastavení plné a změnové synchronizace, počet změn, které je možné zpracovat, nastavení časového intervalu spouštění, nastavení intervalu odstávky. U jednotlivých synchronizací je rovněž požadováno, aby bylo možné vybírat organizace, které se mají z IDM synchronizovat s danými systémy. Správa bude součástí Portálu.
	Obecný konektor	Pro správu identit nenapojených aplikací a testování. Konektor simuluje aplikaci, požadavky na změny nastavení v aplikaci zasílá e-mailem správci aplikace. Podpora zpětné vazby - správce v IDM potvrzuje provedení požadavků pro účely logování
	Aplikační konektory	IDM bude spravovat identity a řídit oprávnění v dále vyjmenovaných systémech. V těchto systémech bude IDM vytvářet, aktualizovat, vytvářet uživatele, nastavovat jim oprávnění k rolím a (v prostředí cloudu) přiřazovat licence - Microsoft Active Directory - Google Workspace
	Zdrojový systém	IDM bude napojeno na školský informační systém xxxxx://xxxxxx.xxxxxxxxxx.xx/. Ze systému budou načítány údaje o organizační struktuře, osobách a tyto údaje budou pro IDM sloužit jako zdrojové
	Záruka	12 měsíců včetně nároku na opravné verze

Část A - Komodita K4 - Automatizace procesů
Část	Xxxxxxxx	Popis povinného parametru	Dodavatel popíše způsob naplnění tohoto povinného parametru včetně značkové specifikace nabízených dodávek	Dodavatel uvede odkaz na přiloženou část nabídky, kde je možné ověřit naplnění parametru
Systém uživatelské podpory Service desk	Základní požadavky	Systém musí poskytovat alespoň následující funkčnost: • Technologická podpora pro řízení interních služeb a procesů • Podpora uživatelů • Řízení externích dodavatelů IT služeb. • Jediné centrální místo hlášení a řešení servisních požadavků
	Podpora procesů dle ITIL	Systém musí pokrývat následující procesy a funkce dle doporučení ITIL: • Service Desk • Incident Management • Request Fulfillment • Change Management • Service Catalog • Asset and Configuration Management
	Implementované procesy a funkce	Z procesů ITIL, které musí navržený systém podporovat (viz výše), budou v rámci projektu realizovány procesy a funkce: • Service Desk - řízení požadavků koncových uživatelů ICT služeb • Incident Management - řízení rychlého řešení výpadků nebo nestandardních stavů v infrastruktuře. • Request Fulfillment - standardní proces řízení požadavků na služby. Zpracovány budou služby: - Mobilní telefony – včetně veškerých souvisejících podslužeb – de/aktivace roamingu, blokace/výměna SIM, žádost o datový balíček, ztráta zařízení, de/aktivace služeb, požadavek na přístroj či jeho opravu, obecné požadavky - Počítače a koncová zařízení (tiskárny, skenery) – rozsah navrhne dodavatel dle „best practice“ • Change Management - standardní proces řízení životního cyklu změn, včetně předávání HW a SW s podporou schvalování. • Service Catalog – vytvoření katalogu služeb pro naplnění výše definovaných požadavků
	Katalog služeb	Logicky a přehledně strukturovaný katalog služeb. Katalog bude ve stromové struktuře členěn na jednotlivé oblasti/kategorie (Správa vozového parku, IT, Lidské zdroje atd.) a každá oblast bude obsahovat samostatný podstrom. Počet oblastí a služeb nesmí být licenčně omezen.
	Služby	Pro každou službu v katalogu služeb musí být možno plně definovat vstupní zadávací formulář včetně tvorby vlastních položek.
	Uživatelská přívětivost	Katalog služeb bude uživatelům přístupný prostřednictvím uživatelsky přívětivého a intuitivního grafického rozhraní. Prostředí bude odpovídat moderním trendům a zvyklostem - přehlednost, rychlá orientace bez nutnosti čtení textů, využití piktogramů či ikon, kontextové nápovědy. Vhodné pro použití na mobilních (dotykových) zařízeních
	Automatické přidělení požadavku	Výběrem služby z katalogu služeb bude automaticky bez dalšího výběru či zadávání automaticky přidělena skupina řešitelů a parametry SLA (Service Level Agreement).
	SLA	SLA musí být automaticky přiděleno jako vlastnost dané služby kombinovaná s uživatelem – pro stejnou službu může být různým uživatelům automaticky přiděleno různé SLA.
	Nastavení priority	Podpora nastavení priority řešených požadavků.
	Lokalizace	Lokalizované uživatelské rozhraní.
	Reporty	Integrované generování a tisk reportů.
	Zasílání reportů	Podpora automatického zasílání reportů emailem.
	Šablony reportů	Podpora tvory a úprav předpřipravených šablon pro automatické reporty.
	Znalostní databáze	Integrovaná znalostní databáze s možností její aktualizace.
	Zabezpečený přístup	Zabezpečený přístup do aplikace včetně integrovaného přihlašování do uživatelského prostředí i konzol prostřednictvím účtu Active Directory, řízení oprávnění přístupu k informacím.
	Portál	Integrovaný portál pro zaměstnance (vidí své požadavky) a manažery/nadřízené (vidí požadavky podřízených).
	Active Directory	Nativní integrace se stávající Microsoft Active Directory pro správu uživatelů a oprávnění. Automatické přihlašování do aplikace.
	Active Directory - metadata	Automatické načítání vztahu zaměstnance a jeho nadřízeného.
	Integrace s nástroji pro správu pracovních stanic	Integrace s nástroji pro správu pracovních stanic (VNC, RemoteDesktop, apod.).
	Integrace s poštovními servery	Integrace s poštovními servery min. integrace se stávajícím IceWarp pro automatické vyčítání e-mailů a zakládání nových požadavků či nových záznamů k stávajícím požadavkům.
	Integrace s majetkovým systémem	Požadavky bude při zadávání možno provázat s konkrétním majetkem ze Systému pro správu a evidenci majetku (Komodita K3) předěleným uživateli. Požadavek bude evidován v evidenci historie Systému pro správu a evidenci majetku.
	Pracovní postupy (workflow)	Podpora tvorby workflow pro řešení požadavků včetně požadavků typu nadřízený / podřízený požadavek
	Skripty	spouštění vlastních skriptů v průběhu řešení workflow
	Automatizace	Podpora vytváření a spuštění akcí na základě událostí - vytvoření, úprava, zrušení požadavku.
	Pravidelné požadavky	Podpora tvorby šablon libovolných úkolů a plánování jejich pravidelného automatické zakládání.
	Eskalace, zastupitelnost	Podpora nastavení eskalačních pravidel a cesta, podpora nastavení zastupitelnosti řešitele
	Vyhledávání	Fulltextové vyhledávání napříč požadavky
	Pohledy	Xxxxxxx definování vlastních pohledů a filtry nad požadavky uživateli.
	Komplexní požadavky	Podpora komplexních požadavků - jeden požadavek automaticky generuje související další požadavky v závislosti na stavu vyplnění údajů v požadavku. Přehledná kontrola plnění požadavků.
	Plánování	Operativní načítání emailů z poštovního klienta (min. Microsoft Outlooku) a plánování schůzky nebo úkolu do kalendářů.
	Založení požadavku e-mailem	Podpora automatického založení požadavku strukturovaným e-mailem
	Export dat	Možnost exportu dat do Microsoft Word, Excel.
	Rozšiřitelnost	Systém musí být možno licenčně nebo standardními doplňkovými moduly (ne programovými úpravami) rozšiřitelný o možnost integrace s telefonní ústřednou
	API	Systém musí umožnit rozšíření pomocí otevřeného rozhraní API na bázi webových služeb.
	ITIL	Nabízená hlavní verze systému musí být certifikována na shodu se standardy ITIL 2011. Plnění požadavku bude prokázáno certifikátem způsobilé certifikační autority přiloženým k nabídce
	Licence	Systém bude licencován min. pro 35 uživatelů, kteří mohou zakládat a řešit (uzavírat) požadavky a 2 uživatele, kteří mohou řešit (uzavírat) požadavky neomezený počet žáků (mohou jen zakládat, sledovat a doplňovat požadavky).
	Záruka	Záruka včetně nároku na opravné verze min. 12 měsíců.
Systém evidence a správy prostředků Asset management	Základní požadavky	Systém pro správu a technickou provozní evidenci veškerého počítačového i ostatního majetku (aktiva). Systém bude určený technicky i licenčně pro podnikové nasazení s profesionální podporu výrobce
	Podpora procesů dle ITIL	Systém musí pokrývat následující procesy dle doporučení ITIL: - Asset and Configuration Management - Software Asset Management
	Implementované procesy a funkce	Z procesu Asset and Configuration Management budou implementovány min. následující funkce: - podpora správy konfigurační databáze, musí být uchovávána historie konfiguračních položek - podpora automatizace zjišťování informací o konfiguračních položkách hardware Z procesu Software Asset Management budou implementovány min. následující funkce: - řízení životního cyklu spojeného se softwarovými aktivy - automatické zjišťování informací o konfiguračních položkách software - podpora operativní práce IT správců spojená s řešením a udržením softwarové a licenční čistoty.
	Typy majetku	Systém umožní evidovat a spravovat libovolný druh majetku, kromě IT zařízení např. vozidla, nemovitosti, vybavení tříd a kanceláří, pracovní prostředky a nástroje apod.
	Automatický sběr dat	Systém umožní automatický neinvazivní (bezagentový) sběr údajů o hardware a software z počítačů
	Neznámý software	Automatické odeslání vzorků nerozpoznaného software výrobci k analýze a automatické stažení aktualizovaných signatur pro rozpoznávání.
	Mobilní zařízení	Počítače umístěné mimo LAN zadavatele budou se systémem komunikovat zabezpečeným protokolem prostřednictvím internetu bez nutnosti použití VPN
	Vizualizace	Grafické zobrazení evidovaného majetku a dalších hlavních struktur/objektů systému (např. organizační jednotky, skupiny uživatelů) v hierarchické struktuře. Struktura musí být volně upravitelná podle potřeb Zadavatele
	Řízení oprávnění	Systém umožní nastavit oprávnění na úrovní vlastností objektů - např. zamezit zobrazení pořizovací ceny uživatelům
	Rozšiřitelnost	Systém umožní přidávat do systému libovolné objekty a přidávat k těmto objektům libovolné vlastnosti.
	Dokumenty	V systému musí být možno ukládat libovolné elektronické dokumenty (faktury, licenční certifikáty apod.) a tyto dokumenty propojit s konkrétním objektem nebo více objekty.
	Platnost dokumentů	Dokumenty bude možno v systému zneplatnit (v systému zůstanou zachovány)
	Dědičnost	Systém bude podporovat dědičnost vlastností objektů
	Protokoly	Předpřipravené podpisové protokoly pro formální úkony při správě majetku (předání/převzetí/převod).
	Zabezpečení přístupu	Zabezpečený přístup do aplikace včetně integrovaného přihlašování do uživatelského prostředí i u konzol, řízení oprávnění přístupu k informacím.
	Historie záznamů	Systém musí umožnit automaticky evidovat změny provedené s jednotlivými objekty. Rozsah změn min. přesuny, instalace, předávací protokoly včetně informace kdo, kdy změnu provedl.
	Reporty	Systém musí umožnit vytváření vlastních pohledů, filtrů a exportů min. do Microsoft Excel.
	Zaměstnanecký portál	Umožňuje zaměstnancům kdykoli zobrazit aktuální stav svěřeného majetku prostřednictvím webového prohlížeče
	Intuitivné ovládání	Snadná orientace v přehledech majetku, možnost přetahování položek myší, podpora kontextových menu pro rychlé úpravy a eliminaci chyb
	Lokalizace	Rozhraní systému pro uživatele i správce bude plně lokalizováno do českého jazyka
	Vyhledávání	Integrované vyhledávání a filtrování
	Automatické názvy	Systém musí umožnit automatické pojmenovávání spravovaných zařízení, min. pomocí definice (přednastavení) číselné řady.
	Řízení změn konfigurace	Systém musí umožnit evidenci konfigurace systémů a zařízení.
	Vzdálená správa	Systém bude možno integrovat s nástroji pro vzdálenou správu počítačů - min. Vzdálená plocha Windows, VNC a Microsoft Management Console
	Elektronická inventura	Integrovaná elektronická inventura - zaměstnanci explicitně potvrdí v prostředí portálu trvající existenci a používání svěřeného majetku. Hromadná kontrola inventur správci majetku.
	API	Systém musí umožnit rozšíření pomocí otevřeného rozhraní API na bázi webových služeb.
	Import	Systém musí umožnit import majetku min. ze souborů csv
	Správa uživatelů	Systém bude integrován s Active Directory, bude přebírat uživatele včetně jejich vlastností a organizační hierarchie (nadřízený/podřízený)
	ITIL	Nabízená hlavní verze systému musí být certifikována na shodu se standardy ITIL 2011. Plnění požadavku bude prokázáno certifikátem způsobilé certifikační autority přiloženým k nabídce
	Licence	Licence musí umožnit spravovat 200 počítačů a min. 10000 ostatních aktiv. Poskytnutá licence bude trvalá
	Záruka	Záruka včetně nároku na opravné verze a aktualizace signatur pro rozpoznání hw a sw min. 12 měsíců.

Část A - Komodita K5 - Koncová zařízení
Část	Xxxxxxxx	Popis povinného parametru	Dodavatel popíše způsob naplnění tohoto povinného parametru včetně značkové specifikace nabízených dodávek	Dodavatel uvede odkaz na přiloženou část nabídky, kde je možné ověřit naplnění parametru
Stolní počítač All-in-one 5 x	Provedení	Stolní počítač typu "All-in-one"
	Displej	Dotykový 24" (min. viditelná plocha 23.8") IPS, antireflexní, s rozlišením FullHD (min. 1920 x 1080)
	CPU	výkon CPU dle xxxxx://xxx.xxxxxxxxxxxx.xxx min. 13000 bodů
	Video	výkon video/grafického procesoru dle xxxxx://xxx.xxxxxxxxxxxxxxxxxx.xxx min. 1350 bodů
	RAM	8GB DDR4, rozšiřitelná min na 32 GB
	HDD	min. 250 GB SSD, provedení PCIe M.2 NVMe
	LAN	1 Gb, standardní RJ-45 port
	Konference	integrovaná kamera min 720p (HD) s podporou přihlašování Windows Hello, integrované stereo mikrofony a reproduktory,
	Bezdrátové připojení	WiFi 6, 2.4 + 5 GHz, anténní systém MIMO 2x2 pro vysokou propustnost Bluetooth min. 5
	Porty	Celkem min.6x USB, z toho 1x USB-C (10 Gb) a 1x USB-A (10 Gb + nabíjení) na čelním panelu nebo boku monitoru, ostatní porty min USB 3.2 (5 Gb/s) 1x HDMI vstup, 1x HDMI výstup, 1x DisplayPort 1.4 Audio - sluchátka a mikrofon na předním panelu nebo boku monitoru
	Sloty	Slot pro SD kartu
	Periferie	USB klávesnice se samostatným numerickým blokem a českým popisem USB optická myš
	Bezpečnost	TPM 2.0 čip
	Ergonomie	Výškově stavitelný stojan
	Software	Operační systém Microsoft Windows v aktuální verzi s podporou domény Active Directory, 64 bitový, české rozhraní Kancelářský balík Microsoft Office Standard v aktuální verzi, české rozhraní Požadavky na software jsou dány kompatibilitou se stávajícím prostředím a pořízeným výukovým programovým vybavením.
	Záruka	min. 36 měsíců poskytovaná výrobcem, oprava následující pracovní den v místě instalace
SW licence operačních systémů	Klientské licence	klientské licence pro operační systém Windows Server v aktuální verzi umožňující využívat těchto systémů uživatelům celkem na 200 zařízeních.
Licence antivirového systému 200 ks	Bezpečnost	ochrana před malware včetně ransomware, integrovaný firewall, ochrana před průnikem HIPS (Host based intrusion prevention ), řízení a ochrana webového přístupu
	Správa	Centrální správa součástí dodávky
	Instalace	Centrální vzdálená instalace nabízeného produktu a odinstalace obvyklých antivirových řešení třetích výrobců včetně free verzí
	Správa aplikací	Řízení aplikací - centrální vzdálená instalace, povolení/zákaz spouštění
	Výměnná zařízení	Řízení přístupu (zákaz/povolen) k výměnným zařízením - USB flash/diskům CD/DVD
	Mobilní zařízení	Správa mobilních zařízení iOS a Android - omezení spouštění aplikací, řízení internetového přístupu
	Podporované operační systémy	všechny desktopové a serverové operační systémy Microsoft aktuálně podporované výrobcem, macOS, iOS a Android
	Záruka	min. 12 měsíců včetně bezpečnostních aktualizací

Část A - Komodita K6 - Rozvody LAN
Položka	Specifikace - popis položky	počet MJ	MJ
1	Stojanový rozvaděč jednodílný 42U (š)600x(h)800	1	ks
2	Stojanový rozvaděč jednodílný 22U (š)600x(h)800	1	ks
3	Police 19", 500mm, 40 kg, pro NAS	2	ks
4	19" modulární osazený panel 24portů pro CAT6	8	ks
5	19” Vyvazovací panel VP01 s oky 1-U	10	ks
6	19” Zásuvkový rozvodný panel 1-U s ochranou proti přepětí 5x 230V	2	ks
7	Sada montážních šroubů Rack mount KIT	40	ks
8	UTP kabel CAT6, LSOH	10600	m
9	Optický kabel 4x vlákno	350	m
10	Optická vana 19" černá vč. čela	4	ks
11	Optická kazeta - 12 svárů	4	ks
12	Pigtail 9/125 LC	28	ks
13	Adaptér LC SM	28	ks
14	Optický svár	28	ks
15	Zásuvka datová na omítku CAT6 2xRJ45 modulární, osazená	77	ks
16	Zásuvka datová na omítku CAT6 1xRJ45 modulární, osazená	30	ks
17	Patch kabel CAT6 UTP PVC 1m do racku	200	ks
18	Patch kabel CAT6 UTP PVC 0, 5m k AP	30	ks
19	Patch cord UTP Cat6 šedý 5m zásuvka vs PC / NB	92	ks
20	Drátěný kabelový žlab 54x50 včetně mont. materiálu	90	m
21	Lišta LV 20x20 datové rozvody	100	m
22	Lišta LV 40x20 datové rozvody	200	m
23	Lišta LV 40x40 datové rozvody	200	m
24	Lišta LV 60x40 datové rozvody	260	m
25	Lišta LV 80x40 datové rozvody	80	m
26	Hmoždinka s vrutem	2500	ks
27	Ostatní drobný materiál	1	kmpl
28	Sádra štukovací balení 5kg	5	ks
29	Pásek stahovací přírodní	600	ks
30	Kabel CYKY 3Cx2,5 - el přívod pro Rack skříně	100	m
31	Zásuvka 230V na omítku	2	ks
32	Jistič 230V 16A-C	2	ks
33	Svodič přepětí 230V na DIN	1	ks
34	Montáž- příprava kabelových tras - průraz 80cm/4cm	76	ks
35	Montáž- příprava kabelových tras - průraz do pr. 90mm	42	ks
36	Montáž- příprava kabelových tras - lištování	900	m
37	Montáž- tažení kabelů	10950	m
38	Montáž- osazení, zapojení	295	hod
39	Dokončovací práce, začištění, popis, dohled a řízení dodávky	146	hod
40	Měření propustnosti sítě vč. certifikačního protokolu	184	x
41	Revize el. přívodů	2	ks
42	Dokumentace skutečného provedení (zakreslení do stávajících půdorysů)	1	sada
43	Likvidace odpadů a VRN	1	ks
44	Sloup pro umístění venkovního AP se zábranou proti odcizení AP, výška min. 3 m, včetně montáže do země nebo ke stěně a osazení AP	1	ks

Část B - Komodita K1 - Zabezpečení LAN a Wifi
Část	Xxxxxxxx	Popis povinného parametru	Dodavatel popíše způsob naplnění tohoto povinného parametru včetně značkové specifikace nabízených dodávek	Dodavatel uvede odkaz na přiloženou část nabídky, kde je možné ověřit naplnění parametru
Přístupové přepínače 3 ks	Společné parametry
	Základní parametry	L2 přepínač v rackovém provedení max. 1U
	Stohování	podpora stohování pro jednotný management (přepínače musí stohovatelné vzájemně bez ohledu na provedení - viz. Porty a propustnost), kompatibilita pro stohování se stávajícími přepínači řady Aruba 2530
	Propustnost	neblokovaná architektura
	Agregace portů	podpora LACP
	Dualstack	IPv4 a IPv6 dualstack včetně podpory ACL a QoS
	VLAN	VLAN 802.1Q, MAC i protocol based, podpora zařazování do VLAN a přidělení QoS a přístupových filtrů na základě 802.1X ověření
	Ověřování uživatelů a zařízení	podpora 802.1X
	PoE	u PoE modelů podpora standardů 802.3af a 802.3at (PoE+ 30W/port), celkový PoE výkon min. 65/370W (8/48 portů)
	Hlučnost	maximální hlučnost max. 45 dB při plné zátěži pro možnost umístění v učebně
	Monitoring a správa	plná podpora CLI, SSH, SNMP 1-3, syslog, sFlow, RMON, web rozhraní
	Záruka	min. 60 měsíců, oprava do 2 pracovních dnů v místě instalace, včetně nároku na opravné verze firmware
	Specifické parametry
	Porty a propustnost	1 kus - 48x 1 PoE+ GB RJ-45 + 4x 1Gb SFP (nesdílené), min. 104 Gb/s 1 kus - 8x 1 GB PoE+ RJ-45 + 2x 1Gb SFP (nesdílené), min. 20 Gb/s
WiFi přístupové body vnitřní (AP) 6 ks	Základní funkce	Přístupový bod (AP) standardu Wi-Fi 6 včetně montážního materiálu na stěnu nebo strop
	Frekvence	činnost v radiovém pásmu 2,4 a 5 GHz současně, 2 radiové moduly s podporou standardu OFDMA
	Anténní systém	interní systém pro min. 2x 2 MIMO, optimalizovaný pro montáž na strop
	Přenosové rychlosti	SU-MIMO 5GHz min 1200Mbps, SU-MIMO 2.4 GHz min. 550Mbps
	Standardy	podpora 802.3at, 802.11n, 802.11ax, 802.1x včetně přiřazování do VLAN
	Řízení klientů	automatické směrování komunikace klientů z 2.4 GHz na 5 GHz (pokud klienti podporují obě pásma)
	Rušení	průběžná detekce non-WiFi rušení a spektrální analýza
	Multi SSID	podpora vysílání min. 8 SSID (WiFi sítí) současně, podpora přiřazení každého SSID samostatné VLAN
	Zatížení	min. 250 přiřazených (asociovaných) klientů na radiový modul
	Porty	min. 1x 1Gb, PoE s podporou standardů 802.3at a 802.3af
	Úsporné napájení	podpora standardu 802.3az - Energy-Efficient Ethernet (EEE)
	Řízení provozu	klasifikace a kontrola provozu, detekce obvyklých aplikací s možností určení priority nebo šířky pásma zvoleného provozu
	Řízení kvality služeb	automatické řízení kvality služeb (QoS) pro hlas a video
	Současná obsluha více klientů	Podpora MU-MIMO (Multi-User MIMO) - multi-user multiple input/multiple output
	Bezpečnost	Detekce cizích přístupových bodů zjištěných v LAN i v radiofrekvenčním pásmu Integrovaný bezpečnostní modul TPM pro uložení citlivých údajů (přihlašovací údaje, šifrovací klíče apod.)
	Virtuální kontroler	Virtuální, vysoce dostupný kontroler obsažený ve firmware každého přístupového bodu. Umožňuje kompletní centrální správu WiFi infrastruktury a řízení jejího provozu včetně roamingu klientů bez potřeby externích systémů - cloud, management aplikace/appliance apod.
	Kompatibilita	podpora integrace se stávajícím kontrolerem Aruba Instant pro homogenní WiFi síť
	WPA	podpora standardu WPA3 (Wi-Fi Protected Access III)
	IoT a lokalizace	integrovaná hardwarová podpora standardu 802.15.4 (Zigbee) a Bluetooth 5.0
	Monitoring a správa	plná podpora CLI, SSH, SNMP 1-3, syslog, web rozhraní.
	Správa frekvenčního pásma	automatické dynamické přidělování kanálů a řízení výkonu přístupových bodů pro vyrovnané pokrytí a minimalizaci interference
	Záruka	záruka min. 60 měsíců
WiFi přístupový bod venkovní (AP) 1 ks	Základní funkce	Přístupový bod (AP) standardu Wi-Fi 6 určený pro venkovní provoz, včetně montážního materiálu na sloup
	Frekvence	činnost v radiovém pásmu 2,4 a 5 GHz současně, 2 radiové moduly s podporou standardu OFDMA
	Anténní systém	interní systém pro min. 2x 2 MIMO se směrovým vyzařováním - 90 stupňů horizontálně i vertikálně, zisk více něž 6 db pro 2.4 i 5 GHz WiFi
	Přenosové rychlosti	SU-MIMO 5GHz min 1200Mbps, SU-MIMO 2.4 GHz min. 550Mbps
	Standardy	podpora 802.3at, 802.11n, 802.11ax, 802.1x včetně přiřazování do VLAN
	Řízení klientů	automatické směrování komunikace klientů z 2.4 GHz na 5 GHz (pokud klienti podporují obě pásma)
	Rušení	průběžná detekce non-WiFi rušení a spektrální analýza
	Multi SSID	podpora vysílání min. 8 SSID (WiFi sítí) současně, podpora přiřazení každého SSID samostatné VLAN
	Zatížení	min. 250 přiřazených (asociovaných) klientů na radiový modul
	Porty	min. 1x 1Gb, PoE s podporou standardů 802.3at a 802.3af. Včetně mediakonvertoru 1Gb SFP - RJ45, metalický port s PoE+ napájením
	Úsporné napájení	podpora standardu 802.3az - Energy-Efficient Ethernet (EEE)
	Řízení provozu	klasifikace a kontrola provozu, detekce obvyklých aplikací s možností určení priority nebo šířky pásma zvoleného provozu
	Řízení kvality služeb	automatické řízení kvality služeb (QoS) pro hlas a video
	Současná obsluha více klientů	Podpora MU-MIMO (Multi-User MIMO) - multi-user multiple input/multiple output
	Bezpečnost	Detekce cizích přístupových bodů zjištěných v LAN i v radiofrekvenčním pásmu Integrovaný bezpečnostní modul TPM pro uložení citlivých údajů (přihlašovací údaje, šifrovací klíče apod.)
	Virtuální kontroler	Virtuální, vysoce dostupný kontroler obsažený ve firmware každého přístupového bodu. Umožňuje kompletní centrální správu WiFi infrastruktury a řízení jejího provozu včetně roamingu klientů bez potřeby externích systémů - cloud, management aplikace/appliance apod.
	Kompatibilita	podpora integrace se stávajícím kontrolerem Aruba Instant pro homogenní WiFi síť
	WPA	podpora standardu WPA3 (Wi-Fi Protected Access III)
	IoT a lokalizace	integrovaná hardwarová podpora standardu 802.15.4 (Zigbee) a Bluetooth 5.0
	Monitoring a správa	plná podpora CLI, SSH, SNMP 1-3, syslog, web rozhraní.
	Správa frekvenčního pásma	automatické dynamické přidělování kanálů a řízení výkonu přístupových bodů pro vyrovnané pokrytí a minimalizaci interference
	Záruka	záruka min. 60 měsíců
Optické prvky	SFP moduly	12 ks modulů SFP 1 Gb, SM, 1 km včetně DMI diagnostiky pro nabízené přístupové přepínače, LC konektor
	SFP modul	1 ks modulu SFP 1 Gb, SM, 1 km včetně DMI diagnostiky pro venkovní WiFi přístupový bod nebo převodník, LC konektor
	Optické patch kabely	14 ks kabel SM s konektory LC-SC, délka 3m
	Záruka	36 měsíců

Část B - Komodita K2 - Automatizace procesů
Část	Xxxxxxxx	Popis povinného parametru	Dodavatel popíše způsob naplnění tohoto povinného parametru včetně značkové specifikace nabízených dodávek	Dodavatel uvede odkaz na přiloženou část nabídky, kde je možné ověřit naplnění parametru
Systém uživatelské podpory Service desk	Základní požadavky	Systém musí poskytovat alespoň následující funkčnost: • Technologická podpora pro řízení interních služeb a procesů • Podpora uživatelů • Řízení externích dodavatelů IT služeb. • Jediné centrální místo hlášení a řešení servisních požadavků
	Podpora procesů dle ITIL	Systém musí pokrývat následující procesy a funkce dle doporučení ITIL: • Service Desk • Incident Management • Request Fulfillment • Change Management • Service Catalog • Asset and Configuration Management
	Implementované procesy a funkce	Z procesů ITIL, které musí navržený systém podporovat (viz výše), budou v rámci projektu realizovány procesy a funkce: • Service Desk - řízení požadavků koncových uživatelů ICT služeb • Incident Management - řízení rychlého řešení výpadků nebo nestandardních stavů v infrastruktuře. • Request Fulfillment - standardní proces řízení požadavků na služby. Zpracovány budou služby: - Mobilní telefony – včetně veškerých souvisejících podslužeb – de/aktivace roamingu, blokace/výměna SIM, žádost o datový balíček, ztráta zařízení, de/aktivace služeb, požadavek na přístroj či jeho opravu, obecné požadavky - Počítače a koncová zařízení (tiskárny, skenery) – rozsah navrhne dodavatel dle „best practice“ • Change Management - standardní proces řízení životního cyklu změn, včetně předávání HW a SW s podporou schvalování. • Service Catalog – vytvoření katalogu služeb pro naplnění výše definovaných požadavků
	Katalog služeb	Logicky a přehledně strukturovaný katalog služeb. Katalog bude ve stromové struktuře členěn na jednotlivé oblasti/kategorie (Správa vozového parku, IT, Lidské zdroje atd.) a každá oblast bude obsahovat samostatný podstrom. Počet oblastí a služeb nesmí být licenčně omezen.
	Služby	Pro každou službu v katalogu služeb musí být možno plně definovat vstupní zadávací formulář včetně tvorby vlastních položek.
	Uživatelská přívětivost	Katalog služeb bude uživatelům přístupný prostřednictvím uživatelsky přívětivého a intuitivního grafického rozhraní. Prostředí bude odpovídat moderním trendům a zvyklostem - přehlednost, rychlá orientace bez nutnosti čtení textů, využití piktogramů či ikon, kontextové nápovědy. Vhodné pro použití na mobilních (dotykových) zařízeních
	Automatické přidělení požadavku	Výběrem služby z katalogu služeb bude automaticky bez dalšího výběru či zadávání automaticky přidělena skupina řešitelů a parametry SLA (Service Level Agreement).
	SLA	SLA musí být automaticky přiděleno jako vlastnost dané služby kombinovaná s uživatelem – pro stejnou službu může být různým uživatelům automaticky přiděleno různé SLA.
	Nastavení priority	Podpora nastavení priority řešených požadavků.
	Lokalizace	Lokalizované uživatelské rozhraní.
	Reporty	Integrované generování a tisk reportů.
	Zasílání reportů	Podpora automatického zasílání reportů emailem.
	Šablony reportů	Podpora tvory a úprav předpřipravených šablon pro automatické reporty.
	Znalostní databáze	Integrovaná znalostní databáze s možností její aktualizace.
	Zabezpečený přístup	Zabezpečený přístup do aplikace včetně integrovaného přihlašování do uživatelského prostředí i konzol prostřednictvím účtu Active Directory, řízení oprávnění přístupu k informacím.
	Portál	Integrovaný portál pro zaměstnance (vidí své požadavky) a manažery/nadřízené (vidí požadavky podřízených).
	Active Directory	Nativní integrace se stávající Microsoft Active Directory pro správu uživatelů a oprávnění. Automatické přihlašování do aplikace.
	Active Directory - metadata	Automatické načítání vztahu zaměstnance a jeho nadřízeného.
	Integrace s nástroji pro správu pracovních stanic	Integrace s nástroji pro správu pracovních stanic (VNC, RemoteDesktop, apod.).
	Integrace s poštovními servery	Integrace s poštovními servery min. integrace se stávajícím IceWarp pro automatické vyčítání e-mailů a zakládání nových požadavků či nových záznamů k stávajícím požadavkům.
	Integrace s majetkovým systémem	Požadavky bude při zadávání možno provázat s konkrétním majetkem ze Systému pro správu a evidenci majetku (Komodita K3) předěleným uživateli. Požadavek bude evidován v evidenci historie Systému pro správu a evidenci majetku.
	Pracovní postupy (workflow)	Podpora tvorby workflow pro řešení požadavků včetně požadavků typu nadřízený / podřízený požadavek
	Skripty	spouštění vlastních skriptů v průběhu řešení workflow
	Automatizace	Podpora vytváření a spuštění akcí na základě událostí - vytvoření, úprava, zrušení požadavku.
	Pravidelné požadavky	Podpora tvorby šablon libovolných úkolů a plánování jejich pravidelného automatické zakládání.
	Eskalace, zastupitelnost	Podpora nastavení eskalačních pravidel a cesta, podpora nastavení zastupitelnosti řešitele
	Vyhledávání	Fulltextové vyhledávání napříč požadavky
	Pohledy	Xxxxxxx definování vlastních pohledů a filtry nad požadavky uživateli.
	Komplexní požadavky	Podpora komplexních požadavků - jeden požadavek automaticky generuje související další požadavky v závislosti na stavu vyplnění údajů v požadavku. Přehledná kontrola plnění požadavků.
	Plánování	Operativní načítání emailů z poštovního klienta (min. Microsoft Outlooku) a plánování schůzky nebo úkolu do kalendářů.
	Založení požadavku e-mailem	Podpora automatického založení požadavku strukturovaným e-mailem
	Export dat	Možnost exportu dat do Microsoft Word, Excel.
	Rozšiřitelnost	Systém musí být možno licenčně nebo standardními doplňkovými moduly (ne programovými úpravami) rozšiřitelný o možnost integrace s telefonní ústřednou
	API	Systém musí umožnit rozšíření pomocí otevřeného rozhraní API na bázi webových služeb.
	ITIL	Nabízená hlavní verze systému musí být certifikována na shodu se standardy ITIL 2011. Plnění požadavku bude prokázáno certifikátem způsobilé certifikační autority přiloženým k nabídce
	Licence	Systém bude licencován min. pro 35 uživatelů, kteří mohou zakládat a řešit (uzavírat) požadavky a 2 uživatele, kteří mohou řešit (uzavírat) požadavky neomezený počet žáků (mohou jen zakládat, sledovat a doplňovat požadavky).
	Záruka	Záruka včetně nároku na opravné verze min. 12 měsíců.
Systém evidence a správy prostředků Asset management	Základní požadavky	Systém pro správu a technickou provozní evidenci veškerého počítačového i ostatního majetku (aktiva). Systém bude určený technicky i licenčně pro podnikové nasazení s profesionální podporu výrobce
	Podpora procesů dle ITIL	Systém musí pokrývat následující procesy dle doporučení ITIL: - Asset and Configuration Management - Software Asset Management
	Implementované procesy a funkce	Z procesu Asset and Configuration Management budou implementovány min. následující funkce: - podpora správy konfigurační databáze, musí být uchovávána historie konfiguračních položek - podpora automatizace zjišťování informací o konfiguračních položkách hardware Z procesu Software Asset Management budou implementovány min. následující funkce: - řízení životního cyklu spojeného se softwarovými aktivy - automatické zjišťování informací o konfiguračních položkách software - podpora operativní práce IT správců spojená s řešením a udržením softwarové a licenční čistoty.
	Typy majetku	Systém umožní evidovat a spravovat libovolný druh majetku, kromě IT zařízení např. vozidla, nemovitosti, vybavení tříd a kanceláří, pracovní prostředky a nástroje apod.
	Automatický sběr dat	Systém umožní automatický neinvazivní (bezagentový) sběr údajů o hardware a software z počítačů
	Neznámý software	Automatické odeslání vzorků nerozpoznaného software výrobci k analýze a automatické stažení aktualizovaných signatur pro rozpoznávání.
	Mobilní zařízení	Počítače umístěné mimo LAN zadavatele budou se systémem komunikovat zabezpečeným protokolem prostřednictvím internetu bez nutnosti použití VPN
	Vizualizace	Grafické zobrazení evidovaného majetku a dalších hlavních struktur/objektů systému (např. organizační jednotky, skupiny uživatelů) v hierarchické struktuře. Struktura musí být volně upravitelná podle potřeb Zadavatele
	Řízení oprávnění	Systém umožní nastavit oprávnění na úrovní vlastností objektů - např. zamezit zobrazení pořizovací ceny uživatelům
	Rozšiřitelnost	Systém umožní přidávat do systému libovolné objekty a přidávat k těmto objektům libovolné vlastnosti.
	Dokumenty	V systému musí být možno ukládat libovolné elektronické dokumenty (faktury, licenční certifikáty apod.) a tyto dokumenty propojit s konkrétním objektem nebo více objekty.
	Platnost dokumentů	Dokumenty bude možno v systému zneplatnit (v systému zůstanou zachovány)
	Dědičnost	Systém bude podporovat dědičnost vlastností objektů
	Protokoly	Předpřipravené podpisové protokoly pro formální úkony při správě majetku (předání/převzetí/převod).
	Zabezpečení přístupu	Zabezpečený přístup do aplikace včetně integrovaného přihlašování do uživatelského prostředí i u konzol, řízení oprávnění přístupu k informacím.
	Historie záznamů	Systém musí umožnit automaticky evidovat změny provedené s jednotlivými objekty. Rozsah změn min. přesuny, instalace, předávací protokoly včetně informace kdo, kdy změnu provedl.
	Reporty	Systém musí umožnit vytváření vlastních pohledů, filtrů a exportů min. do Microsoft Excel.
	Zaměstnanecký portál	Umožňuje zaměstnancům kdykoli zobrazit aktuální stav svěřeného majetku prostřednictvím webového prohlížeče
	Intuitivné ovládání	Snadná orientace v přehledech majetku, možnost přetahování položek myší, podpora kontextových menu pro rychlé úpravy a eliminaci chyb
	Lokalizace	Rozhraní systému pro uživatele i správce bude plně lokalizováno do českého jazyka
	Vyhledávání	Integrované vyhledávání a filtrování
	Automatické názvy	Systém musí umožnit automatické pojmenovávání spravovaných zařízení, min. pomocí definice (přednastavení) číselné řady.
	Řízení změn konfigurace	Systém musí umožnit evidenci konfigurace systémů a zařízení.
	Vzdálená správa	Systém bude možno integrovat s nástroji pro vzdálenou správu počítačů - min. Vzdálená plocha Windows, VNC a Microsoft Management Console
	Elektronická inventura	Integrovaná elektronická inventura - zaměstnanci explicitně potvrdí v prostředí portálu trvající existenci a používání svěřeného majetku. Hromadná kontrola inventur správci majetku.
	API	Systém musí umožnit rozšíření pomocí otevřeného rozhraní API na bázi webových služeb.
	Import	Systém musí umožnit import majetku min. ze souborů csv
	Správa uživatelů	Systém bude integrován s Active Directory, bude přebírat uživatele včetně jejich vlastností a organizační hierarchie (nadřízený/podřízený)
	ITIL	Nabízená hlavní verze systému musí být certifikována na shodu se standardy ITIL 2011. Plnění požadavku bude prokázáno certifikátem způsobilé certifikační autority přiloženým k nabídce
	Licence	Licence musí umožnit spravovat 200 počítačů a min. 10000 ostatních aktiv. Poskytnutá licence bude trvalá
	Záruka	Záruka včetně nároku na opravné verze a aktualizace signatur pro rozpoznání hw a sw min. 12 měsíců.

Část B - Komodita K3 - Koncová zařízení
Část	Xxxxxxxx	Popis povinného parametru	Dodavatel popíše způsob naplnění tohoto povinného parametru včetně značkové specifikace nabízených dodávek	Dodavatel uvede odkaz na přiloženou část nabídky, kde je možné ověřit naplnění parametru
Stolní počítač - učitel 1 ks	Provedení	Formát SFF nebo menší
	CPU	výkon CPU dle xxxxx://xx.xxxxxxxxxxxx x.xxx min. 13000 bodů
	Video	výkon video/grafického procesoru dle xxxxx://xxx.xxxxxxxxxxxxxxxxxx.xxx min. 1350 bodů
	RAM	8GB DDR4 , rozšiřitelná min. na 16 GB
	HDD	min. 250 GB SSD, provedení PCIe NVMe
	LAN	1 Gb, standardní RJ-45 port
	Bezdrátové připojení	WiFi 6, 2.4 + 5 GHz, anténní systém MIMO 2x2 pro vysokou propustnost Bluetooth min. 5.1
	Optická mechanika	DVD R/W, min. 8x
	Porty	Čelní panel - min. 4x USB, z toho min 2x USB 3.2, audio - sluchátka a mikrofon Zadní panel - min. 2x DisplayPort 1.4, 1x HDMI 2.0, min. 5x USB, z toho min 1x USB Type-C, min. 2 x USB 3.2 a min. 2x USB s podporou nabíjení externích zařízení
	Periferie	USB klávesnice se samostatným numerickým blokem a českým popisem USB optická myš
	Bezpečnost	TPM 2.0 čip
	Software	Operační systém Microsoft Windows v aktuální verzi s podporou domény Active Directory, 64 bitový, české rozhraní Kancelářský balík Microsoft Office Standard v aktuální verzi, české rozhraní Požadavky na software jsou dány kompatibilitou se stávajícím prostředím a pořízeným výukovým programovým vybavením.
	Záruka	min. 36 měsíců poskytovaná výrobcem, oprava následující pracovní den v místě instalace
Monitor 2x	Provedení	24" (min. 23,8" viditelná plocha), tenký rámeček, matný - antireflexní povrch
	Panel	technologie IPS, podsvícení LED, odezva do 5 ms
	Rozlišení	FullHD, min. 1920 x 1080
	Porty - video	min. 1x DisplayPort 1.2, 1x HDMI 1.4, 1x VGA, včetně DisplayPort kabelu pro připojení k počítači
	Porty - data	min. 5x USB (1x IN, 4x OUT) včetně kabelu pro připojení k počítači, min. 2 porty snadno dostupné na boku nebo čelním panelu monitoru
	Nastavení polohy	Výškově stavitelný, otočný kolem svislé osy, nastavitelný sklon, otočný na výšku (PIVOT)
	Záruka	min. 36 měsíců poskytovaná výrobcem, oprava následující pracovní den v místě instalace
Stolní počítač All-in-one 31 x	Provedení	Stolní počítač typu "All-in-one"
	Displej	Dotykový 24" (min. viditelná plocha 23.8") IPS, antireflexní, s rozlišením FullHD (min. 1920 x 1080)
	CPU	výkon CPU dle xxxxx://xxx.xxxxxxxxxxxx.xxx min. 13000 bodů
	Video	výkon video/grafického procesoru dle xxxxx://xxx.xxxxxxxxxxxxxxxxxx.xxx min. 1350 bodů
	RAM	8GB DDR4, rozšiřitelná min na 32 GB
	HDD	min. 250 GB SSD, provedení PCIe M.2 NVMe
	LAN	1 Gb, standardní RJ-45 port
	Konference	integrovaná kamera min 720p (HD) s podporou přihlašování Windows Hello, integrované stereo mikrofony a reproduktory,
	Bezdrátové připojení	WiFi 6 802.11 ax, 2.4 + 5 GHz, anténní systém MIMO 2x2 pro vysokou propustnost Bluetooth min. 5
	Porty	Celkem min.6x USB, z toho 1x USB-C (10 Gb) a 1x USB-A (10 Gb + nabíjení) na čelním panelu nebo boku monitoru, ostatní porty min USB 3.2 (5 Gb/s) 1x HDMI vstup, 1x HDMI výstup, 1x DisplayPort 1.4 Audio - sluchátka a mikrofon na předním panelu nebo boku monitoru
	Sloty	Slot pro SD kartu
	Periferie	USB klávesnice se samostatným numerickým blokem a českým popisem USB optická myš
	Bezpečnost	TPM 2.0 čip
	Ergonomie	Výškově stavitelný stojan
	Software	Operační systém Microsoft Windows v aktuální verzi s podporou domény Active Directory, 64 bitový, české rozhraní Kancelářský balík Microsoft Office Standard v aktuální verzi, české rozhraní Požadavky na software jsou dány kompatibilitou se stávajícím prostředím a pořízeným výukovým programovým vybavením.
	Záruka	min. 36 měsíců poskytovaná výrobcem, oprava následující pracovní den v místě instalace
Notebook - učitel 3 ks	Displej	rozlišení FullHD (min. 1980 x 1080), provedení IPS, LED podsvícení, antireflexní
	CPU	výkon CPU dle xxxxx://xxx.xxxxxxxxxxxx.xxx min. 11 000 bodů, nízká spotřeba - TDP do 35W
	Video	výkon video/grafického procesoru dle xxxxx://xxx.xxxxxxxxxxxxxxxxxx.xxx min. 2600 bodů
	RAM	min. 8 GB DDR4, rozšiřitelná min na 16 GB
	HDD	min. 250 GB SSD, provedení PCIe NVMe
	LAN	1 Gb, standardní RJ-45 port
	Bezdrátové připojení	WiFi 6, 2.4 + 5 GHz, anténní systém MIMO 2x2 pro vysokou propustnost Bluetooth min. 5.1
	Porty	min. 3x USB, z toho min 1x Type-C s podporou DisplayPort a napájení (PD - power delivery) a min 1x USB 3.2 HDMI s rozlišením 4K audio - sluchátka a mikrofon
	Konference	Webkamera HD rozlišení, min. 720p, podpora obvyklých videokonferenčních aplikací (Teams, Meet, Zoom atd.), integrované stereo reproduktory a mikrofony
	Čtečka karet	integrovaná čtečka paměťových karet standardu SD
	Klávesnice	podsvícená klávesnice se samostatným numerickým blokem
	Polohovací zařízení	touchpad s podporou multidotyků a gest
	Bezpečnost	TPM 2.0 čip, snímač otisků prstů s podporu Windows Hello
	Napájení	kapacita baterie min. 50 Wh, odpovídající napájecí adaptér
	Hmotnost	max. 1.8 kg
	Software	Operační systém Microsoft Windows v aktuální verzi s podporou domény Active Directory, 64 bitový, české rozhraní Kancelářský balík Microsoft Office Standard v aktuální verzi, české rozhraní Požadavky na software jsou dány kompatibilitou se stávajícím prostředím a pořízeným výukovým programovým vybavením.
	Záruka	min. 36 měsíců poskytovaná výrobcem, oprava následující pracovní den v místě instalace
Notebook - žák 25 ks	Displej	rozlišení FullHD (min. 1980 x 1080), provedení IPS, LED podsvícení, antireflexní
	CPU	výkon CPU dle xxxxx://xxx.xxxxxxxxxxxx.xxx min. 11 000 bodů, nízká spotřeba - TDP do 35W
	Video	výkon video/grafického procesoru dle xxxxx://xxx.xxxxxxxxxxxxxxxxxx.xxx min. 2600 bodů
	RAM	min. 8 GB DDR4, rozšiřitelná min na 16 GB
	HDD	min. 250 GB SSD, provedení PCIe NVMe
	LAN	1 Gb, standardní RJ-45 port
	Bezdrátové připojení	WiFi 6, 2.4 + 5 GHz, anténní systém MIMO 2x2 pro vysokou propustnost Bluetooth min. 5.1
	Porty	min. 3x USB, z toho min 1x Type-C s podporou DisplayPort a napájení (PD - power delivery) a min 1x USB 3.2 HDMI s rozlišením 4K audio - sluchátka a mikrofon
	Konference	Webkamera HD rozlišení, min. 720p, podpora obvyklých videokonferenčních aplikací (Teams, Meet, Zoom atd.), integrované stereo reproduktory a mikrofony
	Čtečka karet	integrovaná čtečka paměťových karet standardu SD
	Klávesnice	podsvícená klávesnice se samostatným numerickým blokem
	Polohovací zařízení	touchpad s podporou multidotyků a gest
	Bezpečnost	TPM 2.0 čip, snímač otisků prstů s podporu Windows Hello
	Napájení	kapacita baterie min. 50 Wh, odpovídající napájecí adaptér
	Hmotnost	max. 1.8 kg
	Software	Operační systém Microsoft Windows v aktuální verzi s podporou domény Active Directory, 64 bitový, české rozhraní Kancelářský balík Microsoft Office Standard v aktuální verzi, české rozhraní Požadavky na software jsou dány kompatibilitou se stávajícím prostředím a pořízeným výukovým programovým vybavením.
	Záruka	min. 36 měsíců poskytovaná výrobcem, oprava následující pracovní den v místě instalace
SW licence operačních systémů	Klientské licence	klientské licence pro operační systém Windows Server v aktuální verzi umožňující využívat těchto systémů uživatelům celkem na 61 zařízeních.
Licence antivirového systému 61 ks	Bezpečnost	ochrana před malware včetně ransomware, integrovaný firewall, ochrana před průnikem HIPS (Host based intrusion prevention ), řízení a ochrana webového přístupu
	Správa	Centrální správa součástí dodávky
	Instalace	Centrální vzdálená instalace nabízeného produktu a odinstalace obvyklých antivirových řešení třetích výrobců včetně free verzí
	Správa aplikací	Řízení aplikací - centrální vzdálená instalace, povolení/zákaz spouštění
	Výměnná zařízení	Řízení přístupu (zákaz/povolen) k výměnným zařízením - USB flash/diskům CD/DVD
	Mobilní zařízení	Správa mobilních zařízení iOS a Android - omezení spouštění aplikací, řízení internetového přístupu
	Podporované operační systémy	všechny desktopové a serverové operační systémy Microsoft aktuálně podporované výrobcem, macOS, iOS a Android
	Kompatibilita	Podpora pro integraci se stávajícím systém Kaspersky pro jednotnou správu
	Záruka	min. 12 měsíců včetně bezpečnostních aktualizací

Část B - Komodita K4 - Rozvody LAN
Položka	Specifikace - popis položky	počet MJ	MJ
1	Stojanový rozvaděč jednodílný 12U (š)600x(h)600	2	ks
2	19" modulární osazený panel 24portů pro CAT6	2	ks
3	19” Vyvazovací panel VP01 s oky 1-U	1	ks
4	19” Zásuvkový rozvodný panel 1-U s ochranou proti přepětí 5x 230V	2	ks
5	UTP kabel CAT6, LSOH	800	m
6	Optický kabel 4x vlákno	170	m
7	Optická vana 19" černá vč. čela	3	ks
8	Optická kazeta - 12 svárů	3	ks
9	Pigtail 9/125 LC	16	ks
10	Adaptér LC SM	16	ks
11	Optický svár	16	ks
12	Zásuvka datová na omítku CAT6 2xRJ45 modulární, osazená	2	ks
13	Zásuvka datová na omítku CAT6 1xRJ45 modulární, osazená	8	ks
14	Patch kabel CAT6 UTP PVC 1m do racku	10	ks
15	Patch kabel CAT6 UTP PVC 0, 5m k AP	7	ks
16	Lišta LV 40x20 datové rozvody	100	m
17	Lišta LV 40x40 datové rozvody	200	m
18	Xxxxxxxxx s vrutem	300	ks
19	Ostatní drobný materiál	1	kmpl
20	Sádra štukovací balení 5kg	1	ks
21	Pásek stahovací přírodní - různé délky	100	ks
22	Kabel CYKY 3Cx2,5 - el přívod pro Rack skříně (odhad)	50	m
23	Zásuvka 230V na omítku	2	ks
24	Jistič 230V 16A-C	2	ks
25	Svodič přepětí 230V na DIN	2	ks
26	Montáž- příprava kabelových tras - průraz 25mm	10	ks
27	Montáž- příprava kabelových tras - průraz do 50mm	5	ks
28	Montáž- příprava kabelových tras - lištování	300	m
29	Montáž- tažení kabelů	970	m
30	Montáž- osazení, zapojení	85	hod
31	Dokončovací práce, začištění, popis, dohled a řízení dodávky	42	hod
32	Měření propustnosti sítě vč. certifikačního protokolu	12	x
33	Revize el. přívodů	1	ks
34	Dokumentace skutečného provedení (zakreslení do stávajících půdorysů)	1	x
35	Likvidace odpadů a VRN	1	ks
36	Sloup pro umístění venkovního AP se zábranou proti odcizení AP, výška min. 3 m, včetně montáže do země nebo ke stěně a osazení AP	1	ks

4. Záruky a servisní podmínky

1. Požadavky na záruky a servisní podmínky

1. Zadavatel uvádí u jednotlivých komodit, resp. jejich částí požadovanou min. záruku, popř. podporu. Uváděné parametry byly průzkumem trhu zjištěny jako standardní, tj. poskytovány výrobci jako součást standardní dodávky a ceny. Není-li záruka části uvedena, je pro tuto část požadována záruka min. 24 měsíců.

2. Z důvodu zajištění udržitelnosti projektu požaduje zadavatel poskytnutí prodloužení záruky a záručního servisu vybraných komodit či jejich částí. Cenu poskytnutí uvede dodavatel v Příloze č. 1 – Kalkulace nabídkové ceny jako samostatné do určených polí v listu Pořízení.

3. Zadavatel požaduje bezplatný (zahrnutý v ceně zakázky) přístup k aktualizacím software a firmware dodaných komodit minimálně po dobu záruky.

4. Veškeré opravy po dobu záruky budou provedeny bez dalších nákladů pro zadavatele.

5. Veškeré komponenty, náhradní díly a práce, poskytnuté v rámci záruky budou poskytnuty bezplatně.

6. Není-li uvedeno u konkrétní komodity jinak, požaduje zadavatel provedení záruční opravy do pěti pracovních dnů.

7. Po dobu 60 měsíců od předání díla jako celku do plného provozu, musí dodavatel nebo výrobce všech zařízení garantovat běžnou dostupnost náhradních komponentů a dostupnost servisu.

8. Dodavatel ve své nabídce výslovně uvede všechny podmínky záruk.

9. Pro hlášení servisních požadavků zajistí dodavatel zhotoviteli přístup ke svému helpdeskovému systém s on-line přístupem pro kompletní správu požadavků včetně uchování historie požadavků a jejich řešení. Detailní popis helpdeskového systému a jeho obsluhy musí být součástí nabídky. Provozní doba helpdeskového systému musí být minimálně 7-17 hod. v pracovních dnech.

2. 4.2. Požadavky na zabezpečení provozu

1. Z důvodu zajištění udržitelnosti projektu po dobu 60 měsíců a zajištění bezpečnosti provozu požaduje zadavatel zajištění poskytnutí podpory softwarových produktů. Podpory jsou požadovány minimálně v stejném rozsahu, jako byly poskytovány v rámci záruky, resp. standardní podpory. Cenu poskytnutí uvede dodavatel v Příloze č. 1 – Kalkulace nabídkové ceny do určených polí v listu Provoz.

1 Viz. aktuální verze xxxxx://xxxx.xxx.xx/xx/xxxxxxxx - a - prijemci/dokumenty/dokumenty/dokumenty - k - jednotlivym - vyzvam/vyzva - c - 92 - infrastruktura - zakladnich - skol - pro - u - Přílohy_Specifická pravidla pro žadatele a příjemce_výzva č.92_6.12.2019 (zip soubor) - příloha P8_Standard konektivity škol _ZŠ_92. výzva SC 2.4_1.0.docx

Stránka 11 z 43