PŘÍLOHA OBCHODNÍ SMLOUVY O POSKYTOVÁNÍ SLUŽEB SPECIFIKACE služeb interního auditu v oblasti informačních a komunikačních systémů a bezpečnosti informací SZIF

PŘÍLOHA OBCHODNÍ SMLOUVY O POSKYTOVÁNÍ SLUŽEB

SPECIFIKACE služeb interního auditu v oblasti informačních a komunikačních systémů a bezpečnosti informací SZIF

A Plánování auditů

Ve spolupráci se zaměstnanci Odboru interního auditu Objednatele připraví Zhotovitel podklady pro plánování činnosti interního auditu v oblasti informačních a komunikačních systémů a bezpečnosti informací SZIF na období 01/2015 – 12/2017. Pro roky 2016 a 2017 se Zhotovitel bude podílet na sestavení ročního plánu činnosti Odboru interního auditu upřesněním tříletého plánu pro dané roky, a to vždy v prosinci roku předcházejícího.

Plán interních auditů bude založen na základě posouzení specifických rizik. Prvotní posouzení rizik určí specifické oblasti, procesy nebo činnosti, které představují nejvyšší rizika. Hlavním výstupem bude plánovací dokumentace obsahující:

• identifikaci a zhodnocení rizikových oblastí IT prostředí

• cíl a rozsah interního auditu

• časový harmonogram auditů v předmětném období.

Podrobnosti této dokumentace budou dohodnuty v průběhu spolupráce. Výběr oblastí/procesů k samostatným auditům je v kompetenci Objednatele na základě doporučení Zhotovitele. Jednotlivé audity budou zadány formou samostatné objednávky, kde budou uvedeny základní parametry auditu.

Vzhledem k certifikaci Objednatele dle normy ISO/IEC 27001:2013 budou pro plánování auditů v oblasti bezpečnosti informací primárně využity Zásady dobré praxe dle ISO/IEC 27002:2013 a rozdělení bezpečnostních oblastí dle této normy při zohlednění podmínky zauditování všech prvků ISMS zavedeného v SZIF dle ISO/IEC 27001:2013 do provedení prodlužovacího auditu certifikačním místem, tj. v průběhu tříletého období.

B Provádění jednotlivých auditů

Během platnosti smlouvy bude provedeno 6 plnohodnotných samostatných auditů vždy po dvou v letech 2015 – 2017. Audity budou prováděny v souladu s metodikou Objednatele a metodikou provádění auditů ISO/IEC 19011:2003 na základě parametrů definovaných v plánovací fázi respektive uvedených na objednávce a budou obsahovat minimálně tyto klíčové aktivity:

• plánovací příprava

• shromažďování informací

• hodnocení IT a bezpečnosti informací

• prezentace výstupů.

Dle povahy auditu, především u auditů technického rázu, může dojít k rozšíření těchto metodik o metodiky a auditní manuály související s auditovaným prostředím/technologií.

V rámci dodávky bude udržován a následně Objednateli předán auditní spis dle interních standardů Objednatele, případně dle interní metodologie Zhotovitele. Součástí takového spisu jsou především tyto části:

• organizace a interní předpisová základna

• plánování a rozpočet

• použité metodologie

• popis technologií a systémová schémata

• popis aplikací a aplikačních vazeb

• dokumentace auditních prací

• auditní zjištění

• návrh zprávy

• závěrečná zpráva.

Publikace zpráv bude prováděna dvoukolově:

• Návrh zprávy odsouhlasený Odborem interního auditu Objednatele bude distribuován představitelům auditovaných útvarů pro zpracování jejich připomínek, námětů a reakcí na auditní nálezy.

• Závěrečná zpráva bude distribuovaná všem zainteresovaným osobám dle zvyklostí a postupů Objednatele. Tato podoba zprávy je rovněž oficiálním výsledkem auditu a její schválení je potvrzením dodávky auditu.

Výsledná zpráva z auditu bude členěna rovněž v souladu s postupy Objednatele a bude obsahovat minimálně tyto komponenty:

• definici auditu

• manažerské shrnutí

• přehled zjištěných nedostatků vč. identifikovaných rizik a navržených doporučení

• detailní popis auditorské práce

• auditní doložku.

Přesnější členění a formát výsledných zpráv bude dohodnut v rámci spolupráce.

C Volné hodiny

Zhotovitel poskytne v průběhu trvání smlouvy auditory pro potřeby auditorského týmu Odboru interního auditu Objednatele v rozsahu až 35 člověkodní (tj. 280 pracovních hodin), kdy auditor Xxxxxxxxxxx bude na vyžádání spolupracovat s interními auditory Objednatele i na ostatních interních auditech, ve kterých je jedním z cílů prověření oblastí informačních a komunikačních systémů a bezpečnosti informací. Kapacita auditorů může být Objednatelem též využita ve smyslu konzultací poskytovaných k problematice oblasti informačních a komunikačních systémů a bezpečnosti informací. Objednatel požadovanou kapacitu auditorů oznámí poskytovateli nejpozději 10 pracovních dní před plánovaným uskutečněním auditu či konzultace, pokud se se Zhotovitelem nedohodne jinak. Z vykonané činnosti vznikne výkaz práce a akceptační protokol, případně jiný výstup dle dohody.

Volné hodiny auditorů Zhotovitele jsou k dispozici Objednateli dle jeho potřeby.

Pro objednávání volných hodin auditorů Zhotovitele bude využíván následující mechanizmus:

• ohlášení potřeby a dohodnutí parametrů – definovat shodu nad osobami, předmětem prací, termíny případně parametry dodávky

• vytvoření objednávky dle dohodnutých parametrů

• provedení prací čerpáním hodin

• potvrzení dodávky schválením definovaného výstupu

• fakturace dle objednávky.

D Harmonogram plnění zakázky

Bližší popis trvání jednotlivých fází je uveden v časovém harmonogramu dle jednotlivých let.

období	činnost
2014	Zpracování plánu na období 01/2015 - 12/2017
	Samostatné hodiny dle potřeby
2015	2 x samostatný audit
	Upřesnění plánu pro rok 2016
	Samostatné hodiny dle potřeby
2016	2 x samostatný audit
	Upřesnění plánu pro rok 2017
	Samostatné hodiny dle potřeby
2017	2 x samostatný audit
	Samostatné hodiny dle potřeby

Strana 3 (celkem 3)