Contract
1 Úvodní ustanovení
1.1 Předmětem této Rámcové smlouvy je vymezení základních podmínek pro poskytování odborných poradenských a konzultačních služeb Poskytovatelem pro Objednatele v oblasti strategického řízení informačních a komunikačních technologií, a to dle specifikace a v rozsahu dle této Rámcové smlouvy.
1.2 Služby poskytované na základě této Rámcové smlouvy zahrnují tyto oblasti:
1.2.1 Služby systémové integrace,
1.2.2 Služby projektové kanceláře,
1.2.3 Služby bezpečnosti informací, a
1.2.4 Služby řízení IKT služeb.
1.3 Jednotlivé služby (včetně popisu oblastí služeb), jež mají být na základě této Rámcové smlouvy poskytovány, jsou vymezeny a blíže specifikovány v příloze č. 1, jež tvoří nedílnou součást této Rámcové smlouvy (dále jen „Služby“). Služby budou poskytovány dle věcných, časových a místních potřeb Objednatele, na základě samostatných objednávek Objednatele, kterými si Objednatel bude poptávat časový rozsah (kapacitu v člověkodnech) poskytování Služeb.
2 Podmínky poskytování služeb
2.1 Poskytovatel se zavazuje poskytnout Objednateli služby vymezené touto Rámcovou smlouvou vždy na základě písemné výzvy Objednatele k poskytnutí plnění. Objednatel bude na základě této Rámcové smlouvy poptávat časový rozsah (kapacitu) Poskytovatele jak na opakující se činnosti, které budou vždy upřesněny pro každé nacházející čtvrtletí, tak na jednorázové ad hoc činnosti dle potřeb Objednatele. Písemná výzva bude zahrnovat specifikaci požadovaných služeb a jejich rozsahu včetně časových požadavků Objednatele.
2.2 Písemná výzva podle předchozího odstavce bude obsahovat detailní specifikaci poptávaných služeb (zejména druh poptávaných služeb, předpokládaný časový rozsah v člověkodnech, místo plnění) a další relevantní informace vztahující se k poptávaným službám.
2.3 Poskytovatel je povinen výzvu v řádné lhůtě (nikoli delší než 10 pracovních dní) Objednateli potvrdit, vyjma případů: (i) kdy má Poskytovatel k nepotvrzení výzvy vážné důvody (které je vždy povinen specifikovat a v případě dodatečné písemné žádosti Objednatele též doložit) nebo
(ii) kdy Objednatel poptává Služby nad rámec rozsahu uvedeného v bodě 6.4 této Rámcové smlouvy nebo (iii) kdy Objednatel poptává Služby nad rámec kapacit specialistů uvedených v příloze č. 3 této Rámcové smlouvy. Potvrzení výzvy Objednatelem je v souladu
s ustanovením § 92 odst. 1 písm. a) ZVZ považováno za uzavření dílčí smlouvy („Dílčí smlouva“); Poskytovatel je povinen na základě potvrzené výzvy poskytnout požadované dílčí služby v souladu s termíny a lhůtami požadovanými Objednatelem.
2.5 Potvrzením písemné výzvy Poskytovatel přijímá smluvní podmínky Dílčí smlouvy specifikované v písemné výzvě a v Rámcové smlouvě. Poskytovatel zahájí činnosti dle výzvy
(Dílčí smlouvy), neprodleně po uzavření Dílčí smlouvy, případně v termínu stanoveném Objednatelem;
2.6 V případě zadávání plnění v rámci periodického poskytování služeb zasílá Objednatel Poskytovateli čtvrtletní plán (písemnou výzvu) minimálně 10 dnů před začátkem příslušného kalendářního čtvrtletí. V něm Objednatel vymezí druhy požadovaných služeb (dílčích plnění) včetně odhadu rozsahu tzv. člověkodnů za každou požadovanou službu. Postup dle předchozích bodů se uplatní obdobně.
2.7 Minimální doba trvání jakékoli Dílčí smlouvy není stanovena. Zánik Rámcové smlouvy nemá vliv na trvání konkrétních Dílčích smluv, ustanovení článku 8.5 této Rámcové smlouvy tímto není dotčeno. Konkrétní Dílčí smlouvy zanikají způsoby v nich uvedenými.
2.8 Předmětem každé jednotlivé Dílčí smlouvy bude poskytnutí služeb specifikovaných v potvrzené výzvě ve smyslu článku 2.3 nebo 2.4 této Rámcové smlouvy, a to za cenu specifikovanou
v článku 0 této Rámcové smlouvy. Další obchodní podmínky jsou obsaženy níže v článcích této Rámcové smlouvy.
2.9 Otázky neupravené v Dílčí smlouvě se předně řídí touto Rámcovou smlouvou (princip subsidiarity Rámcové smlouvy) a dále ObchZ a ZVZ.
3 Povinnosti Poskytovatele
3.1 Poskytovatel je povinen poskytovat Služby na základě této Rámcové smlouvy, resp. na základě jednotlivých uzavřených Dílčích smluv v souladu s pokyny a požadavky Objednatele a
v souladu s dohodnutým časovým harmonogramem. Současně je Poskytovatel povinen poskytovat Služby v souladu s dokumentem „Způsob poskytování služeb“, který tvoří přílohu č. 2 této Rámcové smlouvy (tj. dokument, který byl dílčím hodnotícím kritériem veřejné zakázky na uzavření této Rámcové smlouvy – tato veřejná zakázka dále jen „Veěejná zakázka“).
3.2 Poskytovatel bude Služby poskytovat prostřednictvím týmu specialistů složeného z osob, které jako pracovníky pro plnění předmětu Veřejné zakázky Poskytovatel uvedl v rámci své nabídky, tento seznam týmu specialistů tvoří přílohu č. 3 této Rámcové smlouvy. Jakékoliv změny
v týmu specialistů jsou možné jen po předchozí písemné dohodě s Objednatelem. Přitom musí být vždy zachovány a splněny požadavky Objednatele stanovené na tým specialistů v zadávací dokumentaci na Veřejnou zakázku.
3.3 Poskytovatel je povinen zajistit osobní přítomnost specialistů realizujících příslušné Služby na základě uzavřené Dílčí smlouvy na místě určeném Objednatelem. Poskytovatel je povinen zajistit splnění této povinnosti i u svých případných subdodavatelů, kteří jsou uvedeni v týmu specialistů.
3.4 Poskytovatel bude poskytovat Služby Objednateli především v rámci řádné pracovní doby Objednatele, pokud nebude příslušnou Dílčí smlouvou nebo na základě dohody stran sjednáno jinak. Poskytovatel je však povinen akceptovat možnost Objednatele využít zajištění dodávky Služeb v případě jeho potřeby i mimo rámec řádné pracovní doby.
3.5 Poskytovatel se zavazuje poskytovat své Služby s odbornou péčí, chránit a prosazovat práva a oprávněné zájmy Objednatele a řídit se jeho pokyny. Pokyny Objednatele však není vázán, jsou- li tyto pokyny v rozporu se zákonem.
Služeb. Dojde-li k rozporu mezi pokyny jednotlivých oprávněných osob, je Poskytovatel povinen vyžádat si v příslušné věci pokyn od nadřízené osoby těchto oprávněných osob a podle tohoto pokynu postupovat. Pokyny od osob neuvedených v tomto článku je Poskytovatel oprávněn plnit jen je-li zřejmé, že nelze včas opatřit souhlas oprávněné osoby a že hrozí nebezpečí z prodlení.
3.7 Poskytovatel se zavazuje přijmout taková opatření, aby při poskytování Služeb z jeho strany nemohlo dojít k neoprávněnému nebo nahodilému přístupu třetích osob k osobním údajům, k jejich změnění, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů, které spravuje Objednatel.
3.8 Poskytovatel se dále zavazuje, že při poskytování Služeb nezneužije informace získané v této souvislosti a tyto bude využívat pouze pro potřeby Objednatele a pro poskytování Služeb dle této Rámcové smlouvy, resp. i Dílčích smluv.
3.9 K přijímání pokynů od Objednatele je oprávněn vedoucí týmu Poskytovatele nebo osoba jím pověřená.
3.10 Dle potřeby Objednatele a po vzájemné dohodě může být komunikace mezi Poskytovatelem a Objednatelem šifrována, kryptována či kódována pro zabezpečení ochrany předávaných informací.
3.11 Poskytovatel je povinen umožnit kontrolu ze strany Objednatele a jiných orgánů oprávněných k provádění kontroly po dobu danou právními předpisy České republiky k jejich archivaci (zákon č. 563/1991 Sb., o účetnictví a zákon č. 235/2004 Sb., o dani z přidané hodnoty), zejména ze strany Ministerstva vnitra ČR, Ministerstva financí ČR, Centra pro regionální rozvoj České republiky, územních finančních orgánů, Nejvyššího kontrolního úřadu, Evropské komise, Evropského účetního dvora, případně dalších orgánů oprávněných k výkonu kontroly a ze strany třetích osob, které tyto orgány ke kontrole pověří nebo zmocní. Poskytovatel si je vědom, že je ve smyslu ust. § 2 písm. e) zákona č. 320/2001 Sb., o finanční kontrole ve veřejné správě a o změně některých zákonů (zákon o finanční kontrole), ve znění pozdějších předpisů, povinen spolupůsobit při výkonu finanční kontroly.
4 Spolupráce stran, možnost subdodávek
4.1 Po celou dobu trvání této Smlouvy si budou Objednatel a Poskytovatel vzájemně poskytovat součinnost a informace, jež jsou potřebné ke splnění jejich závazků dle této Rámcové smlouvy.
4.3 Objednatel v souladu čl. 4.1 Poskytovateliposkytne:
a) kontaktní osobu, případně tým pracovníků pro jednotlivá plnění na základě Dílčích smluv,
b) přístup k technické dokumentaci existujících subsystémů, které souvisejí s předmětem poskytovaných služeb,
c) přístup k technické, projektové, provozní a smluvní dokumentaci existujících a plánovaných subsystémů IKT Objednatele,
d) přístup k bezpečnostní dokumentaci existujících subsystémů, pokud existuje,
e) definice rozhraní na okolní IKT prostředí Objednatele,
f) prostory s příslušným vybavením nezbytným pro realizaci služeb dle Dílčích smluv.
4.4 Případnou další součinnost nad rámec úkonů vyjmenovaných výše v tomto článku 0 Objednatel Poskytovateli poskytne pouze na základě předchozí dohody.
4.5 V případě použití subdodavatele není jakkoli dotčena odpovědnost Poskytovatele za případné nesplnění či vadné plnění příslušných závazků.
5 Vytvoěení díla, záruční podmínky
5.1 Pro případ vzniku díla chráněného příslušnými předpisy práva autorského či jiných práv duševního vlastnictví v průběhu poskytování Služeb se Poskytovatel zavazuje poskytnout Objednateli výhradní licenci k výkonu práv užívat taková díla, která Poskytovatel při poskytování Služeb pro Objednatele v budoucnu vytvoří („Dílo“). Takto poskytnutá licence bude poskytnuta minimálně pro celé území České republiky a bude časově neomezená. Poskytovatel se zavazuje poskytnout Objednateli příslušnou licenci bezúplatně. Poskytovatel licenci Objednateli dále poskytne včetně možnosti zcela nebo zčásti poskytnout oprávnění tvořící součást licence třetí osobě avšak pouze pro potřeby plnění úkolu Objednatele.
5.2 Jsou-li součástí poskytování Služeb či případně vytvořeného Díla jiná díla nebo jiné předměty ochrany práv duševního vlastnictví vytvořená třetími osobami, zavazuje se Poskytovatel udělit Objednateli právo užívat (nebo zajistit udělení takového práva Objednateli) takové dílo nebo jiný předmět ochrany práv duševního vlastnictví v rozsahu nezbytném pro řádné užívání Díla vytvořeného dle této Rámcové smlouvy či Dílčí smlouvy a pro splnění účelu této Rámcové smlouvy či Dílčí smlouvy. Odměna za udělení práva užívat díla či předměty ochrany dle předchozí věty tohoto odstavce je již zahrnuta v odměně dle této Rámcové smlouvy.
5.3 V případě, kdy nedojde k udělení licence k případně vytvořenému Dílu přímo na základě této Rámcové smlouvy, zavazuje se Poskytovatel licenci za podmínek stanovených v čl. 5.1 Objednateli bezodkladně po výzvě Objednatel udělit.
5.4 Poskytovatel se dále zavazuje při poskytování Služeb udělit Objednateli záruku na poskytnuté Služby a jejich kvalitu na dobu nejméně 2 let od data poskytnutí služby, a dále v případech, kdy dojde při poskytování služeb k vytvoření Díla, záruku na toto Dílo v délce trvání minimálně dvou let ode dne předání a převzetí díla Objednatelem.
6 Odměna za služby a platební podmínky
6.1 Objednatel se touto Smlouvou zavazuje zaplatit Poskytovateli za Služby poskytnuté podle této Rámcové smlouvy, resp. podle Xxxxxxx smluv odměnu.
6.2 Odměna za Služby poskytované Poskytovatelem bude Objednatelem uhrazena na základě skutečného plnění měsíčně částkou, která bude vypočtena na základě jednotkových cen za člověkoden příslušných členů týmu Poskytovatele („Specialistů“) dle tabulky uvedené níže v tomto článku tak, že tyto jednotkové ceny za člověkoden budou vynásobeny počtem člověkodnů skutečně strávených jednotlivými Specialisty v daném měsíci poskytováním příslušných Služeb.
Jednotková cena za člověkoden v Kč bez DPH | |
Vedoucí projektu | 7 400,- |
Vedoucí týmu SI | 5 900,- |
2. člen týmu SI | 3900,- |
3. člen týmu SI | 3900,- |
Vedoucí týmu PK | 5 900,- |
2. člen týmu PK | 3900,- |
3. člen týmu PK | 3900,- |
4. člen týmu PK | 3900,- |
Vedoucí týmu BI | 5 900,- |
2. člen týmu BI | 3900,- |
3. člen týmu BI | 3900,- |
4. člen týmu BI | 3900,- |
Vedoucí týmu ěS | 5 900,- |
2. člen týmu ěS | 3900,- |
3. člen týmu ěS | 3900,- |
6.3 Jednotkové ceny za člověkoden u příslušných Specialistů jsou ceny závazné, maximální a nepřekročitelné.
6.4 Poskytovatel garantuje poskytování Služeb Specialistů v níže uvedeném rozsahu a tyto Specialisty musí pro tyto účely alokovat.
Předpokládaný maximální počet člověkodnů v kalendářním roce | |
Vedoucí projektu | 110 |
Vedoucí týmu SI | 120 |
2. člen týmu SI | 120 |
3. člen týmu SI | 120 |
Vedoucí týmu PK | 120 |
2. člen týmu PK | 120 |
3. člen týmu PK | 120 |
4. člen týmu PK | 120 |
Vedoucí týmu BI | 95 |
2. člen týmu BI | 90 |
3. člen týmu BI | 90 |
4. člen týmu BI | 90 |
Vedoucí týmu ěS | 95 |
2. člen týmu ěS | 90 |
3. člen týmu ěS | 90 |
6.5 Zálohy nebudou Objednatelem poskytovány.
6.6 Fakturace bude probíhat na základě skutečného plnění, jehož poskytnutí bude potvrzováno Objednatelem formou podpisu měsíčních pracovních přehledů Poskytovatele. Odměna bude splatná do třiceti (30) dnů poté, co Poskytovatel doručí Objednateli daňový doklad na příslušnou částku.
6.7 Jakýkoliv daňový doklad bude vystaven a doručen Objednateli nejpozději do dvacátého (20.) dne kalendářního měsíce bezprostředně následujícího po skončení příslušného kalendářního měsíce a bude jako přílohu obsahovat měsíční pracovní přehled potvrzený Objednatelem za příslušný kalendářní měsíc.
6.8 Objednatel je oprávněn vrátit Poskytovateli přede dnem splatnosti příslušnou fakturu bez zaplacení, pokud taková faktura nemá náležitosti uvedené v předchozím odstavci nebo má jiné závady v obsahu nebo formě stanovené obecně závaznými právními předpisy, a to s uvedením důvodu vrácení. Poskytovatel je povinen v případě vrácení faktury vyhotovit fakturu novou. Důvodným vrácením faktury přestává běžet původní lhůta splatnosti. Nová lhůta v původní délce splatnosti běží znovu ode dne doručení opravené nebo nově vystavené faktury.
6.9 Cena za služby poskytované Poskytovatelem Objednateli bude hrazena bezhotovostním
převodem na účet Poskytovatele, jenž bude vyznačen na příslušném daňovém dokladu.
6.10 Za jakékoliv prodlení s placením splatných částek dle výše uvedených pravidel má Poskytovatel právo uplatňovat úrok z prodlení dle sazby stanovené nařízením vlády č. 142/1994 Sb., kterým se stanoví výše úroku z prodlení a poplatku z prodlení podle občanského zákoníku, ve znění pozdějších předpisů.
7 Důvěrnost informací
7.1 Žádná ze Stran není oprávněna zpřístupnit jakékoli třetí straně, ani použít nebo využít k jakémukoli účelu jakékoli informace týkající se druhé Strany nebo jejich zástupců, spřízněných osob, podnikatelské činnosti a obchodů zamýšlených touto Rámcovou smlouvou nebo kteroukoli Dílčí smlouvou (dále jen „Důvěrné informace“), jež získá nebo získala na základě této Rámcové smlouvy nebo kterékoli ze smluv na ni navazujících, vyjma pokud tak učiní (i)
s předchozím písemným souhlasem příslušné Strany, nebo (ii) v souladu s požadavky
příslušných právních předpisů (včetně práva Objednatele zveřejnit tuto Rámcovou smlouvu
v souladu se zákonem č. 106/1999 Sb., o svobodném přístupu k informacím, v platném znění), platných účetních předpisů, platných burzovních předpisů a rozhodnutí příslušného soudu, nebo
(iii) pokud to tato Rámcová smlouva výslovně umožňuje.
7.2 Pro účely této Rámcové smlouvy se za Důvěrné informace nepokládají žádné informace, jež:
a) jsou nebo se stanou veřejně dostupnými (jinak než na základě neoprávněného sdělení nebo užití), nebo
b) poskytne některé ze Stran třetí osoba, jež je oprávněna zpracovávat takové informace a má zákonné právo takové informace zpřístupňovat nebo používat.
7.3 Jakákoli ze Xxxxx je oprávněna sdělovat Důvěrné informace svým spřízněným osobám, subdodavatelům, právním zástupcům, účetním, zaměstnancům a zástupcům, avšak s tím, že taková Strana zajistí, aby ty osoby, jež budou mít přístup k Důvěrným informacím, nezpřístupňovaly Důvěrné informace třetím osobám, ani je nepoužívaly, ani nevyužívaly k
jinému účelu, než (i) za účelem plnění (resp. zajištění plnění) zákonných povinností příslušné Strany, nebo (ii) za účelem plnění (resp. zajištění plnění) povinností vyplývajících Straně z této Rámcové smlouvy.
7.4 Každá ze Stran se zavazuje, že bude dodržovat přiměřená bezpečností opatření za účelem zamezení neoprávněného přístupu třetích osob k Důvěrným informacím, jež jsou v držení příslušné Strany.
7.5 Závazky obsažené v tomto článku 7 Rámcové smlouvy týkající se zachovávání důvěrnosti
zůstanou v plném rozsahu platné a účinné i po dobu pěti (5) let od zániku Rámcové smlouvy.
8 Doba trvání Rámcové smlouvy, místo poskytování Služeb
8.1 Tato Rámcová smlouva nabývá platnosti a účinnosti dnem jejího podpisu oběma Stranami a je uzavírána na dobu určitou v délce trvání čtyř let ode dne jejího podpisu.
8.2 Před okamžikem zániku této Rámcové smlouvy lze tuto Rámcovou smlouvu ukončit výhradně na základě písemné dohody Stran.
8.3 Zánik Rámcové smlouvy nemá vliv na trvání konkrétních již uzavřených Dílčích smluv. Dílčí smlouvy však mohou být účinné maximálně 1 rok po zániku Rámcové smlouvy.
8.4 Objednatel je oprávněn odstoupit od Dílčích smluv v případě prodlení Poskytovatele s plněním povinností ve sjednaných termínech i přes to, že byl Poskytovatel Objednatelem na prodlení písemně upozorněn a vyzván k odstranění prodlení v přiměřené dodatečné lhůtě (nikoli kratší než 15 dní). Objednatel může odstoupit od Dílčí smlouvy po marném uplynutí uvedené přiměřené dodatečné lhůty.
8.5 Strany v případě ukončení Dílčí smlouvy zpracují vyúčtování vzájemných plnění a pohledávek a provedou finanční vypořádání nejpozději ve lhůtě 30 dnů od ukončení Dílčí smlouvy.
8.6 Místem poskytování Služeb je sídlo Objednatele Česká správa sociálního zabezpečení (ČSSZ), Křížová 25, PSČ 225 08, Praha 5, a další pracoviště Objednatele, kde jsou umístěny IKT technologie Objednatele (nebo pro Objednatele) na území ČR, pokud Objednatel neurčí jinak.
9 Prohlášení Stran
9.1 Poskytovatel tímto prohlašuje, že ke dni uzavření této Rámcové smlouvy:
a) Poskytovatel je společností řádně založenou a platně existující podle právních předpisů České republiky;
b) Poskytovatel má nezbytná schválení jednotlivých orgánů Poskytovatele, popř. jiných subjektů a je právně způsobilý k uzavření této Rámcové smlouvy a k realizaci plnění zamýšleného touto Rámcovou smlouvou, a to za podmínek dle této Rámcové smlouvy, a že osoby podepisující tuto Rámcovou smlouvu jménem nebo za Poskytovatele jsou k tomuto řádně oprávněny;
c) Poskytovatel není v platební neschopnosti a podle nejlepšího vědomí Poskytovatele neprobíhají žádná řízení týkající se likvidace, konkurzu, insolvence, prodeje podniku nebo jeho části nebo jiného řízení týkajícího se Poskytovatele nebo smírčího řízení či narovnání nebo ujednání s věřiteli ve vztahu k likvidaci, konkurzu, insolvenci, prodeji podniku nebo jeho části nebo jinému řízení o úpadku ve vztahu k Poskytovateli. Podle nejlepšího vědomí
Poskytovatele nebyly podniknuty žádné kroky k vynucení jakéhokoliv zajištění majetku Poskytovatele a nedošlo k žádné události, která by zakládala právo takové zajištění vynucovat; výrazem „nejlepší vědomí Poskytovatele“ se v této Smlouvě rozumí informace, které management a odpovědní pracovníci Poskytovatele mají nebo by měli mít/znát při postupu s péčí řádného hospodáře;
d) tato Rámcová smlouva představuje platný a právně závazný závazek Poskytovatele, který je
vůči Poskytovateli vynutitelný v souladu s podmínkami této Rámcové smlouvy;
e) Poskytovatel má sjednané pojištění odpovědnosti za škodu způsobenou Poskytovatelem třetí osobě, s výší pojistného plnění na jednu škodní událost minimálně 50.000.000,- Kč. Spoluúčast Poskytovatele není vyšší než 10 %.
9.2 Poskytovatel se zavazuje vyvinout dostatečné úsilí pro to, aby prohlášení Poskytovatele dle této Rámcové smlouvy zůstala pravdivá a v platnosti po celou dobu účinnosti této Rámcové smlouvy.
9.3 V případě, že se jakékoli prohlášení Poskytovatele dle této Rámcové smlouvy ukáže jako nepravdivé, nahradí Poskytovatel Objednateli veškerou škodu nebo újmu, která Objednateli vznikne v důsledku takového stavu.
9.4 Strany současně výslovně prohlašují, že skutečnosti uvedené v této Rámcové smlouvě nepovažují za obchodní tajemství ve smyslu § 17 obchodního zákoníku a udělují svolení k jejich užití a zveřejnění bez stanovení jakýchkoli dalších podmínek.
10 Sankční ustanovení
10.1 V případě, že Poskytovatel poruší povinnost potvrdit výzvu dle čl. 2.3 této Rámcové smlouvy a toto porušení neodstraní ani v dodatečné písemně poskytnuté lhůtě (nikoli kratší než 3 pracovní dny), je Objednatel oprávněn požadovat zaplacení smluvní pokuty ve výši 25.000,-Kč za každý případ takového porušení.
10.2 V případě, že se Poskytovatel dostane prodlení s poskytováním Služeb delším než 5 pracovních dní a toto porušení neodstraní ani v dodatečné písemně poskytnuté lhůtě (nikoli kratší než 3 pracovní dny), je Objednatel oprávněn požadovat zaplacení smluvní pokuty ve výši 10.000,-Kč za každý případ takového porušení.
10.3 Poruší-li Poskytovatel závazek přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k citlivým datům a/nebo osobním údajům, k jejich změně zničení či ztrátě, anebo dojde-li k neoprávněným přenosům citlivých dat a/nebo osobních údajů nebo
k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití citlivých dat a/nebo osobních údajů, nebo poruší-li Poskytovatel svůj závazek nezneužít informace získané
v souvislosti s plněním svých závazků z této Rámcové smlouvy, je Objednatel oprávněn požadovat zaplacení smluvní pokuty ve výši 100.000,- Kč za každé jednotlivé porušení daného závazku.
10.4 Strany se zavazují nahradit druhé Straně škodu v případě porušení povinností vyplývající
z Rámcové smlouvy, Dílčích smluv nebo z právních předpisů, leda že příslušná Strana prokáže, že porušení povinností bylo způsobeno okolnostmi vylučujícími odpovědnost.
10.5 Ustanovení o smluvní pokutě nemají vliv na povinnost Poskytovatele uhradit Objednateli náhradu škody nad rámec sjednané smluvní pokuty. Škodou se rozumí skutečná škoda, ušlý zisk a náklady, které Objednatel musel vynaložit v důsledku porušení povinností Poskytovatelem.
10.6 Uplatněním nároku na zaplacení smluvní pokuty ani jejím skutečným uhrazením nezanikne povinnost Poskytovatele splnit povinnost, jejíž plnění bylo zajištěno smluvní pokutou.
11 Závěrečná ustanovení
11.1 Jakékoli oznámení, žádost či jiné sdělení, jež má být učiněno či dáno Straně dle této Rámcové smlouvy, bude učiněno či dáno písemně. Toto oznámení, žádost či jiné sdělení bude, pokud z této Rámcové smlouvy nevyplývá jinak, považováno za řádně dané či učiněné Straně, bude-li doručeno osobně, doporučenou poštou, kurýrní službou, e-mailem nebo faxem na dále uvedenou adresu příslušné Strany nebo na takovou jinou adresu, kterou tato příslušná Strana určí v písemném oznámení zaslaném v souladu s touto Rámcovou smlouvou:
Objednatel:
Česká správa sociálního zabezpečení
Křížová 25, Praha 5, PSČ 225 08 K rukám: Xxx. Xxxx Xxxxxxxx
E-mail: xxxx.xxxxxxxx@xxxx.xx Telefon: x000 000 000 000
Mobil: + 000 000 000 000
Poskytovatel:
KPMG Česká republika, s.r.o., v anglickém jazyce KPMG Czech Republic, Ltd., v německém jazyce KPMG Tschechische Republik GmbH
Pobřežní 648/1a, Praha 8, PSČ 186 00 K rukám: Ing. Xxxxxx Xxxxxx
E-mail: xxxxxxx@xxxx.xx Telefon: x000 000 000 000
Mobil: + 000 000 000
11.2 Jakékoliv oznámení podle této Rámcové smlouvy či jakékoliv Dílčí smlouvy bude považováno za doručené: a) dnem fyzického předání oznámení, je-li oznámení zasíláno prostřednictvím kurýra nebo doručováno osobně; nebo b) dnem doručení potvrzeným na doručence, je-li oznámení zasíláno doporučenou poštou; nebo c) dnem doručení s následným potvrzením doručení, v případech, kdy oznámení bylo doručováno faxem nebo e-mailem; nebo d) dnem, kdy bude, v případě, že doručení výše uvedeným způsobem nebude z jakéhokoli důvodu možné, oznámení zasláno doporučenou poštou na adresu určenou shora uvedeným způsobem anebo na adresu zapsaného sídla příslušné Strany (bude-li odlišná), avšak k jeho převzetí z jakéhokoli důvodu nedojde, a to ani ve lhůtě tří (3) pracovních dnů od jeho uložení na příslušném poštovním úřadu.
11.3 Výše uvedené adresy a telekomunikační spojení mohou být měněna jednostranným písemným oznámením doručeným příslušnou Stranou druhé Straně s tím, že takováto změna se stane účinnou dnem doručení takového oznámení.
11.4 Xxxx Xxxxxxx smlouva (včetně jejích příloh) může být doplňována nebo měněna pouze ve formě písemných dodatků podepsaných oběma Stranami.
11.5 Je-li nebo stane-li se některé ustanovení této Rámcové smlouvy neplatným, nevymahatelným nebo neúčinným, nedotýká se tato neplatnost, nevymahatelnost či neúčinnost ostatních
pojištěnců, z toho více než 2,5 milionu důchodců. Vyplácí přes 3 miliony důchodů a také nemocenské dávky.
Česká správa sociálního zabezpečení jako orgán státní správy vykonává působnost v oblasti sociálního zabezpečení (důchodového pojištění a nemocenského pojištění) a lékařské posudkové služby.
Kompetence ČSSZ jsou upraveny zákonem ČNR č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení, ve znění pozdějších předpisů. Podle ustanovení § 5 odst. 1 tohoto zákona plní ČSSZ tyto úkoly:
• rozhoduje o dávkách důchodového pojištění, pokud není v uvedeném zákoně stanoveno, že o nich rozhoduje jiný orgán sociálního zabezpečení, a zařizuje výplaty těchto dávek,
• rozhoduje o povinnosti občana vrátit dávku důchodového pojištění poskytnutou neprávem nebo v nesprávné výši, pokud je o této dávce oprávněna rozhodovat,
• rozhoduje o povinnosti organizace nahradit neprávem vyplácené částky na dávce
důchodového pojištění, pokud je o této dávce oprávněna rozhodovat,
• rozhoduje o odvoláních ve věcech, v nichž v prvním stupni rozhodla okresní správa sociálního zabezpečení,
• rozhoduje o odstranění tvrdostí, které by se vyskytly při provádění sociálního zabezpečení, pokud jí bylo v jednotlivých případech svěřeno,
• vybírá pojistné na sociální zabezpečení a příspěvek na státní politiku zaměstnanosti podle zvláštního zákona,
• jedná před soudem v řízení o přezkoumání rozhodnutí ve věcech sociálního zabezpečení,
• plní úkoly při výplatě dávek sociálního zabezpečení do ciziny,
• řídí a kontroluje činnost okresních správ sociálního zabezpečení,
• dává souhlas ke změně pobytu práce neschopného občana při jeho odjezdu do ciziny,
• zajišťuje vydávání tiskopisů předepsaných podle zákona.
Kromě úkolů uložených v § 5 odst. 1 cit. zákona ČSSZ kontroluje plnění povinností subjektů sociálního zabezpečení, posuzuje zdravotní stav a pracovní schopnost občanů pro účely sociálního zabezpečení, vede evidenci práce neschopných občanů a v určených případech provádí nemocenské pojištění.
Podle koordinačních nařízení EU je ČSSZ styčným orgánem vůči zahraničním institucím pro peněžité dávky v nemoci a mateřství, důchody a peněžité dávky v případě pracovních úrazů a nemocí z povolání.
Mimo zákonem stanovených úkolů vykonává ČSSZ další důležité činnosti, které zajišťují její efektivní provoz:
• odpovídá za účelné vynakládání rozpočtových prostředků na sociální zabezpečení,
• sestavuje návrhy plánu a rozpočtu pro zajištění provozu ČSSZ,
• odpovídá za vedení klasických a automatizovaných evidencí dat potřebných pro rozhodování ve věcech důchodového pojištění, nemocenského pojištění a lékařské posudkové služby,
• odpovídá za vytváření a rozvíjení automatizovaného informačního systému a provádí racionalizační opatření v oblasti sociálního zabezpečení,
• odpovídá za správu svěřeného majetku (budov, zařízení, výpočetní techniky atd.).
Vzhledem k realizované sociální a důchodové reformě musí být Objednatel schopen zajistit veškeré běžné činnosti a požadavky vyplývající ze změn legislativy. To za podmínek limitovaných provozních a investičních prostředků.
IKT tak představuje pro Objednatele nepostradatelný nástroj, jak tyto úkoly realizovat.
Pěedmětem poskytování služeb systémové integrace jsou odborné poradenské a konzultační služby zaměřené na optimalizaci a transformaci stávajícího IKT prostředí Objednatele a jeho dalšího rozvoje do podoby plně integrovaného a konsolidovaného IKT prostředí s cílem:
• navrhnout krátkodobou (1 rok), střednědobou (2-3 roky) a dlouhodobou (4-5 let) koncepci konsolidace a rozvoje IKT Objednatele obsahující zejména:
o architekturu IKT pro příslušné období,
o návrhy realizačních projektů (obsahujících technickou a funkční specifikaci)
o model dodávek a služeb, jimiž bude navržená a Objednatelem odsouhlasená architektura realizována,
o odborná technická podpora Objednatele při koordinaci realizačních projektů, vazeb, dohledu nad dodržováním koncepcí, standardů a dobré praxe v oboru IKT,
o návrh provozu a provozních parametrů integrovaného prostředí, které vytvoří adekvátní informační podporu pro provoz IKT Objednatele a spolupracujících organizací,
o při návrhu na integraci informační podpory, technologií a služeb s tím spojených dále optimalizovat náklady na prostředí IKT Objednatele a jeho životní cyklus.
• podpory Objednatele při přípravě, vyhlášení a realizaci veřejných zakázek v oblasti IKT, zejména:
o příprava návrhů technických, funkčních specifikací a parametrů pro veřejné zakázky na pořízení nových IKT částí prostředí Objednatele,
o odborná technická podpora Objednatele při procesech zveřejňování hodnocení
příslušných veřejných zakázek,
o dohled nad dodržováním technických, technologických a funkčních parametrů realizace veřejných zakázek (IKT projektů),
o další odborná podpora Objednatele.
• průběžně posuzovat a navrhovat opatření v oblasti IKT zejména formou:
o posuzování nákladovosti jednotlivých částí a celého prostředí IKT Objednatele (v rámci celého životního cyklu),
o návrhů možných úspor nákladů na rozvoj, provoz a podporu IKT prostředí Objednatele s
důrazem na ochranu již vynaložených investic,
o návrhů na konsolidaci IKT prostředí se stabilní schopností pružné reakce na vnější požadavky a změny za současného dodržení podmínky efektivního využití a optimalizace stávajících a existujících informačních systémů, aplikační a technologické architektury IKT Objednatele.
Současně je požadováno nastavení standardů a norem pro oblast IKT usměrňujících rozvoj stávajících i nově pořizovaných částí tj. informačních systémů, aplikační a technologické architektury IKT s důrazem na eliminaci nadbytečných (překrývajících se) dat, procesů a služeb, snižování nákladů a zvýšení efektivity a produktivity v oblasti IKT.
Výše uvedené požadavky na služby jsou vymezeny v následujících specifikacích dvou dílčích služeb, které bude Poskytovatel v rámci poskytování služeb systémové integrace pro Objednatele plnit.
• Koncepční a strategické služby systémové integrace.
• Realizační služby systémové integrace.
Detailní specifikace dílčích služeb je uvedena dále.
1.1 Koncepční a strategické služby systémové integrace
Zaměření koncepčních a strategických služeb systémové integrace je odborné poradenství a výkon role systémového integrátora v oblasti strategického řízení IKT prostředí Objednatele.
Objednatel požaduje vytvoření podmínek pro všechny důležité hlavní a podpůrné procesy zajišťující úspěšnou realizaci a průběh IKT projektů a to zejména v následujících procesních oblastech:
• strategické řízení celého IKT Objednatele,
• řízení vzájemných závislostí, kooperace a integrace,
• formulace záměrů a konceptů realizace,
• časové řízení,
• řízení nákladů,
• řízení zdrojů,
• řízení personálních otázek,
• řízení komunikace,
• řízení rizik,
• podpora řízení nákupů a subkontraktů.
Systémový integrátor bude poradnímorgánem v oblasti IKT projektů s odpovědností za posuzování a vyjadřování se k výše uvedeným oblastem v rámci řízení a koordinace IKT prostředí a projektů Objednatele a to jak pro aktuální IKT prostředí, tak pro další období do roku 2014.
Jsou požadovány následující výstupykoncepčních a strategických služeb systémové integrace:
a) Pro období roku 2013
Zpracování a aktualizace základních koncepčních a strategických materiálů týkajících se IKT Objednatele v následujícím rozsahu:
• Návrh krátkodobé koncepce rozvoje IKT Objednatele s návrhem rozvojových aktivit v horizontu 6-12 měsíců. Koncepce musí vycházet ze stanovených krátkodobých potřeb, požadavků, kapacitních a rozpočtových možností Objednatele v oblasti rozvoje prostředí IKT, návrh priorit pro podporu krátkodobých cílů a procesů Objednatele. Je požadováno zpracování první verze krátkodobé koncepce do 3 měsíců od zahájení poskytování služeb.
• Návrh opatření vedoucích ke konsolidaci IKT Objednatele na všech vrstvách IKT (tj. komunikační infrastruktura, HW infrastruktura, systémové prostředí, datová, aplikační a prezentační vrstva)
• Prvotní aktualizace IKT standardů v návaznosti na základě předložené krátkodobé koncepce.
• Návrh na zefektivnění modelu zajištění externích dodávek a služeb včetně podpory a provozu s důrazem na krátkodobé úspory, konsolidaci IKT prostředí, snížení mandatorních výdajů pro další roky a maximalizace ochrany již vynaložených investic do hmotného i nehmotného majetku.
• Zpracování technické, funkční specifikace a parametrů pro veřejné zakázky vyplývajících z krátkodobé koncepce po odsouhlasení Objednatelem.
b) Pro roky 2014až 2015
Zpracování a aktualizace základních koncepčních a strategických materiálů Objednatele v minimálním rozsahu:
• Návrh střednědobé koncepce rozvoje IKT Objednatele s návrhem rozvojových aktivit v horizontu 12-24 měsíců. Koncepce musí vycházet ze strategie Objednatele, jeho povinností vyplývajících z legislativy (zejména z realizace sociální a důchodové reformy), potřeb, požadavků, kapacitních a rozpočtových možností. Návrh bude obsahovat priority, kvalifikovaný odhad investičních a provozních nákladů na IKT Objednatele. Je požadováno zpracování první verze střednědobé koncepce do 9 měsíců od zahájení poskytování služeb.
• Zpracování technické, funkční specifikace a parametrů pro veřejné zakázky vyplývajících ze střednědobé koncepce po odsouhlasení Objednatelem.
• Návrh dlouhodobé koncepce rozvoje IKT Objednatele s návrhem rozvojových aktivit v horizontu 24 - 48 měsíců. Koncepce musí vycházet z celkové strategie Objednatele, předpokladů vývoje legislativy (zejména reforem), rozpočtových možností a schválené střednědobé koncepce.
Návrh bude obsahovat:
o návrh Strategie IKT Objednatele na roky 2013 – 2016,
o návrh aktualizace Informační koncepce (dle zákona č. 365/2000 Sb., o informačních systémech veřejné správy v platném znění a souvisejícími předpisy),
o návrh cílové architektury IKT Objednatele jako základního závazného interního standardu pro vývoj, implementaci, provoz, servis, podporu, údržbu informační bezpečnost IKT,
o návrh aktualizovaných standardů IKT Objednatele,
o návrhy realizačních projektů v oblasti IKT včetně priorit a kvalifikovaných odhadů na
časovou a finanční náročnost v celém životním cyklu.
• Návrh modelu zajištění externích dodávek a služeb včetně podpory a provozu s důrazem na celkovou stabilitu a udržitelnost IKT Objednatele,
Zpracování technické, funkční specifikace a parametrů pro veřejné zakázky vyplývajících z dlouhodobé koncepce po odsouhlasení Objednatelem.
1.2 Realizační služby systémové integrace
Zaměřením realizačních služeb systémové integrace je odborné poradenství a výkon role systémového integrátora na trvalé, denní bázi s cílem dostatečného, včasného a bezproblémového zajištění koncepčních a strategických cílů, zásad a standardů na realizační úroveň rozvoje a provozu IKT Objednatele včetně souvisejících činností.
V rámci plnění těchto služeb požaduje Objednatel zejména:
• Aplikování metodiky, principů a nástrojů projektového řízení jako základu pro koordinaci a
řízení jednotlivých oblastí systémové integrace.
• ěízení a koordinaci při přípravě, pořizování, implementaci a přebírání nových informačních systémů a technologií s cílem garantovat naplnění koncepčních a strategických cílů, dodržování zásad a standardů v průběhu realizace IKT projektů. V rámci realizačních služeb systémové integrace požaduje Objednatel zajištění následujících služeb a činností:
o účast systémového integrátora v projektových týmech jednotlivých IKT projektů,
o zpracovávání stanovisek a oponentur k projektovým záměrům úseku IKT Objednatele,
o zpracování stanovisek a oponentních posudků a schvalování návrhů a implementačních plánů cílové architektury IKT Objednatele,
o formulace problémů, identifikace rizik a neřešených funkcionalit IKT prostředí a aplikací
včetně návrhů možných variant řešení k rozhodnutí Objednatele,
o poskytování průběžných konzultačních služeb specialistů na integraci systémů a aplikací při řešení integračních úloh mezi jednotlivými systémy navzájem a jednotlivými systémy a technologiemi Objednatele,
o posuzování a vydávání stanovisek systémového integrátora k jednotlivým požadavkům na změnu vznesených v rámci běžících IKT projektů Objednatele,
o zajištění kontroly systémového integrátora nad realizací schválených požadavků na změnu IKT prostředí Objednatele,
o podpora Objednatele při integraci a propojování IKT Objednatele s informačními systémy jiných organizací, zejména MPSV.
1. Služby projektové kanceláěe
Objednatel požaduje služby spojené s provozem projektové kanceláře Objednatele v následujících dílčích službách:
• Podpora a prosazení projektového řízení realizace požadavků, zahrnující průběžnou kontrolu souladu realizace s finančním a časovým plánem, koordinace realizace IKT projektů včetně příslušných reportů pro Objednatele.
• Podpora Objednatele při přípravě a realizaci požadavků (projektových a investičních záměrů, požadavků na změnu, atd.).
• Podpora výběrových řízení - návrh, příprava a realizaci požadavků v oblasti IKT, zahrnující metodickou, odbornou a administrativní podporu Objednatele.
• Zajištění správy projektové a provozní dokumentace a vedení projektové knihovny.
• Podpora Objednatele při operativních činnostech souvisejících s plánováním, sledováním vyhodnocováním a schvalováním finančních plánů (rozpočtů) za IKT jako celek a za jednotlivé rozpočtové položky (investiční a provozní náklady za jednotlivé realizační projekty a poskytované služby).
Detailní specifikace dílčích služeb je uvedena v následujících článcích Zadávací dokumentace.
2.1 Podpora a prosazení projektového ǔízení realizace požadavkĤ
Podporou se rozumí konzultační a poradenské služby vedoucí k definici, implementaci a prosazení procesů a postupů projektového řízení při realizaci požadavků na IKT Objednatele.
Poskytovatel vyjde z obvyklých dostupných a existujících metodik řízení IKT projektů a zpracuje metodiku projektového řízení a následně ve spolupráci s projektovou kanceláří Objednatele zajistí prosazování a naplňování této metodiky v oblastech:
• administrace požadavků, projektové a provozní dokumentace,
• organizace a komunikace projektu,
• řízení rizik projektu,
• řízení změn projektu,
• kontroly postupu projektu,
• řízení změn a problémů projektu a
• akceptačních postupů.
Objednatel požaduje dodat následující výstupy poskytovaných poradenských a konzultačních služeb:
• Metodiku řízení projektů (detailně rozpracovanou metodiku, jejíž návrh byl předmětem nabídky) zahrnující:
o Definici organizačního schématu projektů včetně stanovení závazných projektových rolí, jejich pravomocí, odpovědností a požadavků na výkon činnosti těchto rolí.
o Definici závazného způsobu komunikace v rámci projektů a způsobu rozhodování a vazeb projektového organizačního schématu na liniové řízení v prostředí Objednatele.
o Definici procesů a postupů řízení projektu zaměřených na řízení rizik, sledování postupu projektu, řízení změn, řízení problémů, řízení kvality, akceptační postupy a řízení dokumentace projektu;
o Vzory základní projektové dokumentace.
Metodika řízení projektů musí vycházet z ustanovení a požadavků kladených na projektové řízení zněním mezinárodních norem řady ISO 10006 a dalších standardů (např. PRINCE2, PMBOK).
• Katalog a plán požadavků na IKT:
o zahrnující připravované požadavky (projekty), probíhající výběrová řízení a realizované požadavky (běžící projekty) Objednatele včetně základní informace o stavu projektu, Poskytovateli a odpovědné organizační složky či osoby Objednatele,
o součástí je plán (časová osa) realizace požadavků na IKT Objednatele včetně časových vazeb a závislostí.
Poskytovatel zajistí nepřetržitou údržbu tohoto katalogu a plánu tak, aby vždy byla k dispozici aktuální verze sloužící pro podporu plánovacích a rozhodovacích procesů Objednatele.
• Zprávy o stavu projektů:
o zachycující plnění plánu daného projektu a jeho jednotlivých částí,
o návrhy na změny postupů,
o informace o neplněných a opožděných úkolech, včetně zdůvodnění a dopadů,
o přehled klíčových aktuálních rizik a problémů každého požadavku (projektu).
Tyto zprávy bude Poskytovatel zpracovávat pro každý projekt, kterého se bude zástupce projektové kanceláře účastnit. Objednatel požaduje vytváření těchto zpráv na měsíční bázi.
• Katalog projektových rizik obsahující:
o informace o rizicích působících na aktuální požadavky (IKT projekty) včetně jejich závažnosti,
o popis dopadů rizik včetně vyjádření vedoucího daného projektu,
o návrh způsobu eliminace daného rizika.
Poskytovatel zajistí pravidelnou a průběžnou údržbu tohoto katalogu. Objednatel požaduje výstup na bázi 14 kalendářních dní.
• Zápisy z jednání projektových týmů jednotlivých IKT projektů:
o poskytovatel zajistí v rámci výkonu služby podpory projektového řízení zpracování a provádění zápisů zejména z klíčových jednání projektových týmů běžících IKT projektů a to včetně agendy a obsahu jednání, projednávaných úkolů a přehledu účastníků jednání,
o u zápisu musí být zajištěn schvalovací proces jejich znění a distribuce na relevantní
účastníky jednání,
o Poskytovatel zajistí uložení originálů zápisů v písemné a elektronické podobě do projektové knihovny.
• Katalog požadavků na změnu:
o vedení centrálního souhrnného a celkového přehledu všech změnových požadavků,
o popis změny - vlastní specifikace změny, zejména formulace věcných, časových a finančních dopadů.
o Poskytovatel zajistí nepřetržitou údržbu tohoto katalogu tak, aby vždy byl k dispozici aktuální katalog požadavků na změnu pro podporu rozhodovacích procesů Objednatele.
• Katalog projektových problémů:
o přehled a základní informace o problému, závažnost.
o Poskytovatel zajistí pravidelnou a průběžnou údržbu tohoto katalogu. Objednatel požaduje výstup na měsíční bázi jako součást zpracovávané zprávy o stavu projektu.
• Metodiku akceptace a přejímání výstupů projektů v oblasti IKT s důrazem na:
o typy akceptací, návrh akceptačních kritérií, kategorizace vad a
o stanovení postupu akceptačního řízení a postupu pro odstraňování vad.
Objednatele požaduje poskytnutí služeb v souvislosti s podporou projektové kanceláře Objednatele taj, aby jím navrhovaná metodika a principy byly implementovány i u projektové kanceláře Objednatele.
2.2 Podpora Objednatele pǔi pǔípravě a realizaci požadavkĤ (projektových a investičních záměrĤ, požadavkĤ na změnu)
Podporou Objednatele při realizaci požadavků se rozumí konzultační a poradenské služby při přípravě arealizaci požadavků (projektových a investičních záměrů, požadavků na změnu) v oblasti IKT obsahující odbornou a administrativní podporu projektové kanceláře Objednatele a dalších organizačních složek Objednatele při realizaci IKT projektů. Poradenské a konzultační služby budou zejména:
• podpora při definování věcné náplně požadavků v souladu se strategickými dokumenty IKT a potřebami Objednatele,
• podpora při definování a specifikaci rozsahu a struktury činností a služeb vyplývajících z definovaného předmětu a ověření souladu se strategickými dokumenty IKT a potřebami Objednatele,
• podpora při vyhodnocování parametrů měření, monitoringu plnění předmětu smluvních ujednání,
• podpora při kontrole harmonogramu realizace požadavků,
• podpora při kontrole způsobu plnění předmětu smluvního ujednání a dodržování pravidel změnových řízení, včetně administrace požadavků na změny,
• podpora při vyhodnocování ustanovení vztahujících se k bezpečnosti informačních a komunikačních technologií Objednatele, ochrany dat a informací, ustanovení o obchodním tajemství a rozsahu a způsobu zveřejňování informací,
• podpora při vyhodnocování SLA parametrů jak pro vývoj, testování, provoz, servis, podporu a údržbu předmětu smluvního ujednání.
2.3 Administrativní podpora výběrových ǔízení
Administrativní podporou Objednatele výběrových řízení se rozumí konzultační a poradenské služby při přípravě, realizaci a vyhodnocování veřejných zakázek v oblasti IKT obsahující odbornou a administrativní podporu projektové kanceláře Objednatele, dalších organizačních složek Objednatele, případně externích spolupracujících subjektů (např. subjektů poskytující služby právního poradenství).
Poradenské a konzultační služby budou zejména v oblasti přípravy a správy dokumentace veřejné zakázky případně na vyžádání i hodnotící komise Objednatele.
2.4 Zajištění správy projektové a provozní dokumentace
V rámci poskytování služeb podpory Objednatele při operativních činnostech požaduje Objednatel konzultační a poradenské služby zahrnující odbornou a administrativní podporu projektové kanceláře Objednatele a dalších organizačních složek Objednatele. Jako součást poskytovaných služeb bude v rámci projektové kanceláře zřízena, vedena a pravidelně aktualizována projektová knihovna. Jsou požadovány služby při:
• přípravě a správě dokumentace IKT:
• projektové (za jednotlivé projekty),
• požadavků (pro všechny změnové požadavky),
• provozní (zejména vyhodnocování SLA parametrů služeb poskytovaných externími poskytovali).
s využitím úložiště elektronických dokumentů poskytnuté pro tyto účely Objednatelem.
2.5 Podpora Objednatele pǔi operativních činnostech
V rámci poskytování služeb podpory Objednatele při operativních činnostech, požaduje Objednatel konzultační a poradenské služby, kdy výsledky budou:
• podpora Objednatele při přípravě plánování finančních rozpočtů pro oblast IKT (provozních a investičních nákladů) ve struktuře jednotlivých rozpočtových položek (projekt, změnový požadavek, a další),
• průběžné sledování čerpání rozpočtu IKT ve struktuře jednotlivých rozpočtových položek a vyhodnocování plnění,
• příprava, sledování a vyhodnocování čerpání finančních prostředků Objednatele do oblasti IKT a to:
• investičních (projekty, požadavky na změnu) i
• provozních (provozní náklady související s provozem IKT Objednatele)
• podpora Objednatele v činnostech souvisejících se schvalováním rozpočtu IKT resp. jeho jednotlivých položek (např. příprava a schvalování investičních záměrů v rámci rozpočtové kapitoly MPSV)
• návrhy na optimalizaci nákladů na externí dodávky a poskytované služby doporučením nejvhodnějších opatření u Poskytovatelů / poskytovatelů,
2. Služby bezpečnosti informací
V rámci podpory při řízení a implementaci bezpečnosti informací požaduje Objednatel poskytnutí poradenských a konzultačních služeb v následujících dílčích službách:
• Podpora systému řízení bezpečnosti informací (ISMS) – návrh, aktualizace, rozšíření, a komplexní podpora zavedení systému řízení informační bezpečnosti a přípravy k certifikaci vytvořeného systému řízení bezpečnosti informací.
• Podpora systému řízení kontinuity – návrh a rozšíření oblasti kontinuity činností napříč celou organizací Objednatele a přípravě k certifikaci tohoto systému.
Detailní specifikace dílčích služeb je uvedena dále.
3.1 Podpora systému ǔízení bezpečnosti informací
Objednatel má od roku 2006 vytvořen dokument „Bezpečnostní politika informací ČSSZ“ (viz xxxx://xxx.xxxx.xx/XX/xxxxxxxxx/00000000-00XX-0000-0000- 3C970460D312/0/bezpecnostni_politika.pdf).
V návaznosti na tento dokument požaduje Objednatel zavedení celého systému řízení bezpečnosti informací (ISMS) v souladu s normou ČSN ISO/IEC 27001. Objednatel požaduje poskytnutí poradenských a konzultačních služeb za účelem vytvoření, zavedení, provozování a optimalizace ISMS, jeho procesů, postupů včetně vytvoření kompletní dokumentační základny, která se k tomuto systému řízení vztahuje s důrazem na IKT.
Způsob poskytování služeb a výstupy musí být v souladu s normou ČSN ISO/IEC 27001 a dále s dalšími zákony, normami a standardy, zejména:
• zákonem č. 101/2000 Sb., o ochraně osobních údajů v platném znění,
• zákonem č. 227/2000 Sb., o elektronickém podpisu v platném znění,
• zákonem č. 365/2000 Sb., o informačních systémech veřejné správy v platném znění,
• zákonem č. č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti v platném znění,
• zákonem č. 151/2000 Sb., o telekomunikacích a o změně dalších zákonů v platném znění,
• zákonem č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon) v platném znění,
• zákonem č. 300/2008 Sb. o elektronických úkonech a autorizované konverzi dokumentů v platném znění.
Objednatel požaduje plnění služeb tak, aby ke dni ukončení činnosti poskytování služeb Poskytovatelem (ukončení projektu) byla organizace Objednatele připravena na certifikaci systému řízení bezpečnosti informací dle ČSN ISO/IEC 27001 formou provedení předcertifikačního auditu.
Součástí poskytovaných služeb budou zejména následující činnosti a výstupy:
3.1.1 Vytvoǔení systému ǔízení informační bezpečnosti
Objednatel požaduje vytvoření nebo aktualizaci základního rámce systému ISMS v prostředí své organizace s důrazem na IKT. V rámci této aktivity požaduje následující činnosti a výstupy:
• Rozsah řešení ISMS z hlediska zapojených organizačních složek, vybraných prostor, definovaných aktiv a technologií.
• Cíle ISMS obsahující výčet cílů, kterých má být dosaženo v rámci řešení bezpečnosti informací v určeném rozsahu. Cíle budou konkrétně stanoveny na stanovené období poskytování služeb tj. do konce roku 2015.
• Bezpečnostní politika informací ve formě závazného koncepčního a strategického dokumentu Objednatele obsahující strategii, pravidla a zásady bezpečnosti informací s důrazem na:
o definování odpovědností za oblast bezpečnosti,
o definování a popis procesů ISMS a
o popis zaváděných bezpečnostních zásad v rámci jednotlivých oblastí bezpečnosti.
2.1.2 Hodnocení a ǔízení rizik
Objednatel požaduje provedení hodnocení a zavedení řízení rizik v souladu s příslušnou normou systému ISMS a v rámci poskytovaných služeb bude vykonávat zejména následující činnosti:
• zavedení systematického přístupu k hodnocení rizik a aktualizace metodologie pro provádění analýzy rizik,
• identifikace rizik (aktiva, hrozby, zranitelnosti, dopady),
• hodnocení rizik (škody, pravděpodobnost, úroveň, akceptovatelnost),
• zpracování zprávy o hodnocení rizik,
• výběr cílů opatření a jednotlivých opatření, která budou vybírána z:
o přílohy A normy ISO/IEC 27001 (rozpracování v ISO/IEC 27002) a
o vybraných bezpečnostních profilů dle normy ISO/IEC 15408,
• identifikování a hodnocení variant pro řízení rizik,
• projednání a odsouhlasení návrhu zbytkových rizik,
• návrh prohlášení o aplikovatelnosti,
• návrh plánu zvládání rizik.
Výstupem výše uvedených činností budou tyto dokumenty (buď formou aktualizace existujících, nebo vytvořením nových dokumentů):
• Zpráva o hodnocení rizik,
• Prohlášení o aplikovatelnosti bezpečnostních opatření,
• Plán zvládání rizik.
3.1.3 Implementace bezpečnostních opatǔení
Po realizaci výše uvedených činností a po akceptaci výstupů Objednatelem, je požadováno vytvoření směrnic ISMS a poskytnutí součinnosti určeným pracovníkům Objednatele při jejich projednání, schvalování a následnému vydání ve formě závazných interních předpisů (směrnice a metodické pokyny) Objednatele a jejich prosazení.
Objednatel požaduje vytvoření bezpečnostních směrnic a metodických pokynů v minimálním rozsahu:
• Bezpečnostní politika informací IKT,
• Působnost a odpovědnost ěídícího výboru bezpečnosti informací;
• Směrnice upravující jednotlivé oblasti bezpečnosti informací s důrazem na popis:
o ěízení aktiv,
o Zajištění bezpečnosti lidských zdrojů,
o Zajištění fyzické bezpečnosti a bezpečnosti IKT,
o Zajištění řízení komunikací a řízení provozu IKT,
o Zajištění řízení přístupu k IKT,
o Akvizice, vývoj a údržba IKT,
o Zvládání bezpečnostních incidentů,
o Zajištění soulady s požadavky legislativy, norem a vnitřní dokumentací,
• Směrnice upravující postupy ochrany osobních údajů v IKT,
• Uživatelská příručka (Příručka uživatele IKT),
• Působnost a odpovědnost role Bezpečnostní manažer,
• Působnost a odpovědnost role Administrátora bezpečnosti ICT,
• Působnost a odpovědnost role externího subjektu se smluvním vztahem k Objednateli (tj. Poskytovatelé a poskytovatelé).
3.1.4 Školení v oblasti bezpečnosti informací
Objednatel požaduje poskytnutí služeb a činností vedoucích k vytvoření, prosazení a provedení vzdělávacích aktivit v oblasti bezpečnosti informací a to ve formě:
• Zpracování kompletního a aktualizovaného plánu školení a zvyšování bezpečnostního povědomí a vytvoření příslušných školících materiálů k navrhovaným typům školení.
• Školení bezpečnosti informací pro vedoucí zaměstnance, pro bezpečnostní koordinátory a bezpečnostní správce (Objednatele předpokládá tento typ školení po schválení nové Bezpečnostní politiky informací a směrnic ISMS). Školení bude zaměřeno na postupy a zásady, které byly do směrnic a politiky zapracovány, aby se přispělo k jejich zavedení do praxe.
3.1.5 Nastavení auditních procesĤ ISMS a provedení pǔedcertifikačního auditu
Objednatel požaduje poskytnutí služeb a činností vedoucích k vytvoření, prosazení a provedení systému interních auditů ISMS a to ve formě:
• Zpracování dokumentu definujícím procesy a postupy interních auditů ISMS,
• Zpracování Plánu a programu interních auditů ISMS,
• Vyškolení pracovníků Objednatele k provádění interních auditů ISMS,
• Provedení vzorového interního auditu ISMS, který bude současně předcertifikačním auditem,
3.1.6 Další služby v rámci ISMS
Objednatel požaduje jako součást poskytovaných konzultačních a poradenských služeb následující specifické služby:
• podpora při definici projektových, provozních a smluvních ustanovení vztahujících se k bezpečnosti IKT Objednatele, s důrazem na:
o ochranu dat a informací,
o ustanovení o obchodním tajemství a
o rozsahu a způsobu zveřejňování informací.
• ověření bezpečnostních parametrů IKT prostředí Objednatele takto:
o sada bezpečnostních testů z vnějšího prostředí,
o sada bezpečnostních testů z vnitřního prostředí,
o konfiguračních testů.
Poskytovatel navrhne rámcový harmonogram testů na dobu poskytování služeb a metodiku provádění jednotlivých typů testů.
3.1.6 Podpora systému ǔízení kontinuity
Zároveň s implementací systému řízení bezpečnosti informací požaduje Objednatel poskytnout konzultační a poradenské služby, jejich výsledkem je implementace systému řízení kontinuity, tj. navrhnout a prosadit systém řízení kontinuity organizace Objednatele a poskytnout podporu při koordinaci plánování kontinuity činností napříč celou organizací Objednatele.
Způsob poskytování služeb a výstupy musí být v souladu s normami a standardy, vyplývajícími zejména z následujících požadavků:
• požadavků norem BS 25999-1 a BS 25999-2 Business Continuity Management,
• požadavků a vybraných opatření řízení kontinuity dle normy ČSN ISO/IEC 27001: Systém
řízení bezpečnosti informací a přístupem dle normy BS 25999,
• systém řízení kontinuity musí pokrýt řešení kontinuity činností napříč celou organizací Objednatele,
• Objednatel požaduje poskytnut služeb tak, aby ke dni ukončení činnosti Poskytovatele byl systém řízení kontinuity připraven na certifikaci systému řízení kontinuity dle BS 25999 formou předcertifikačního auditu.
Minimální rozsah činností požadovaný Objednatelem v rámci této služby a výstupy:
• vytvoření strategie řízení kontinuity činností Objednatele,
• provedení analýzy dopadů a hodnocení zachování důvěrnosti, integrity a dostupnosti,
• vytvoření návrhu organizační struktury k řízení kontinuity činností,
• vytvoření plánu řízení kontinuity činností,
• vytvoření plánů řízení kontinuity pro jednotlivé oblasti činnosti, zejména:
o organizační útvary ústředí Objednatele,
o regionální pracoviště a organizační složky Objednatele,
• vytvoření a implementace havarijních plánů IKT,
• vytvoření a implementace deníku stavu ohrožení,
• provedení testování plánů řízení kontinuity Objednatele a havarijních plánů IKT,
• naplánování, příprava a provedení předcertifikačního auditu.
4. Služby implementace systému ěízení IKT služeb
Předmětem poskytování služeb implementace systému řízení IKT služeb v oblasti provozu a správy IKT je poskytnutí poradenských a konzultačních služeb s cílem navrhnout cílový procesní model provozování a správy IKT prostředí Objednatele a navrhnout vazby na provozní postupy a provozní dokumentaci jednotlivých IKT systémů a komponent. Výstupy a postupy v rámci poskytování těchto služeb musí být v souladu s procesy, postupy a zásadami systému řízení ICT služeb dle normy ISO/IEC 20000. Zaměření poskytovaných služeb je požadováno zejména na procesy životního cyklu jednotlivých služeb poskytovaných koncovým uživatelům IKT a na procesy dohledu, monitorování, podpory uživatelů IKT a řešení incidentů.
Objednatel požaduje služby implementace systému řízení IKT služeb v oblasti provozu a správy IKT v následujících dílčích službách:
• podpora systému řízení IKT služeb v oblasti provozu a správy IKT, zahrnující implementaci a
přípravu k certifikaci systému řízení IKT služeb v souladu s normou ISO/IEC 20000,
• řízení vztahu Objednatele s provozovateli jednotlivých IKT systémů (poskytovateli externích služeb) a IKT, zejména vyhodnocování plnění SLA na základě reportů, monitoringu, provozních statistik a analýz provozu IKT,
• implementace procesů centrální podpory uživatelů zahrnující aktualizaci a optimalizaci stávajících služeb poskytovaných HelpDesk prostředím Objednatele.
4.1 Implementace systému ǔízení IKT služeb
Implementace systému řízení ICT služeb (dále také „ITSM“) pro IKT prostředí předpokládá Objednatel realizovat ve 4 etapách vycházejících z doporučení normy ČSN ISO/IEC 20000:2006:
etapa 1: Plánování managementu služeb IKT, etapa 2: Implementace managementu služeb IKT,
etapa 3: Sledování a měření managementu služeb IKT, etapa 4: Management zlepšování služeb IKT.
Minimální rozsah činností požadovaný Objednatelem v rámci této služby a výstupy:
• vytvoření rozsahu a cílů, provedení analýzy rizik služeb (v koordinaci s analýzou rizik řešení bezpečnosti informací),
• vytvoření příslušné dokumentace:
o politiky řízení IKT služeb,
o katalogu služeb,
o plánu řízení služeb,
o provozních politik:
• řízení konfigurace a změn (Configuration & Change Management) včetně záznamů konfigurační databáze (CMDB) a seznamu plánovaných změn (FSC),
• řízení uvolnění HW a SW verzí (Release Management) včetně řízení DSL,
• finančnímu řízení služeb (Financial Management),
• řízení kvality a zlepšování služeb (Service Level Management),
• řízení bezpečnosti informací (politika, která bude vytvořena v rámci oblasti informační bezpečnosti),
o plán kontinuity služeb,
o plán dostupnosti služeb,
o kapacitní plán služeb,
o finanční plán služeb,
o plánu a politiky zlepšování služeb,
o plánu školení a vzdělávání,
o zpracování návrhů SLA pro jednotlivé služby spolu s:
• návrhem interních provozních smluv takzvaných OLA,
• návrhem Poskytovatelských provozních smluv takzvaných UC.
• Objednatel požaduje plnění služeb tak, aby ke dni ukončení činnosti Poskytovatele byl systém řízení IKT služeb připraven na certifikaci systému řízení IKT služeb dle ISO/IEC 20000 formou předcertifikačního auditu.
Objednatel požaduje v rámci zpracovávaných dokumentů i jejich prosazení a zavedení do aktuálního životního cyklu IKT prostředí.
4.2 Ǎízení vztahu Objednatele s provozovateli jednotlivých IKT systémĤ
Objednatel požaduje v rámci řízení vztahu Objednatele s provozovateli jednotlivých IKT systémů poskytnutí podpory procesu řízení vztahu s Poskytovateli včetně konzultačních a poradenských služeb.
V rámci poskytování služeb Objednatel požaduje podporu zejména v oblastech:
• Sledování a přezkoumání plnění SLA na základě analýz reportů, výstupů monitoringu, provozních statistik a provozu IKT.
• Vytváření zpráv o dosaženém stavu IKT služeb (např. zpráva o výpadcích, zpráva o objemu incidentů, problémů, změn a úkolů, počtu žádostí o podporu apod., hlášení o dosaženém stavu po významných událostech).
• Proces přezkoumání provozních smluv včetně určení služeb, rozsahu, autorizačních úrovní, parametrů reportingu a záznamech o dosaženém stavu.
• Proces řešení smluvních sporů včetně záznamu, vyšetřování, reakce a formálního uzavření.
• Proces očekávaného ukončení služby, předčasného ukončení služby nebo pro převod služby na jiný subjekt.
4.3 Implementace procesĤ centrální podpory uživatelĤ
Objednatel požaduje v rámci implementace procesů centrální podpory uživatelů poskytnutí konzultačních a poradenských služeb podpory jednotného kontaktního místa pro uživatele IKT prostředí Objednatele (HelpDesku). V rámci poskytování služeb Objednatel požaduje podporu implementace procesů centrální podpory uživatelů s cílem aktualizovat a zkoordinovat existující prostředí Objednatele, zejména:
• přijetí, záznam a sledování informace o závadě podporované IKT služby,
• přijetí, záznam a sledování reklamací všech definovaných a podporovaných IKT služeb,
• přijetí, záznam a sledování požadavků na zřízení, změny anebo zrušení standardních podporovaných IKT služeb.
Podpora bude zaměřena na zajištění a zlepšování reakce operátorů na požadavky uživatelů, popsání eskalačních procedur v rámci IKT služeb včetně a analýzy trendů (počet požadavků k jednotlivým službám, reakce operátorů, množství a rychlost vyřešených / nevyřešených požadavků a další).
4.4.1 Minimální rozsah činností požadovaný Objednatelem v rámci této služby a výstupy:
Nastavení provozních procesů v rámci fungování procesů správy a provozu IKT Objednatele. Konkrétně se jedná o provázání s následujícími rozlišovacími (resolution) procesy:
• řízení odstraňování závad (Incident Management) bude zajišťovat pro oprávněné uživatele:
o záznam informace o závadě,
o řešení jednodušších požadavků vlastními kapacitami personálu HelpDesku,
o předání složitějších požadavků dalším úrovním podpory,
o příjem vyřešených požadavků od dalších úrovní podpory,
o informování oprávněných uživatelů o odstranění závady resp. vyřešení reklamace,
o eskalace požadavků na řešení závad a reklamací, jejichž řešení přesáhlo stanovený časový limit,
o záznam ukončení závady (obnovy služby),
o informování oprávněných uživatelů o průběhu řešení závady resp. reklamace a o jejím vyřešení (obnově služby),
• řízení řešení problémů (Problem Management) bude zajišťovat pro oprávněné uživatele:
o analýzu příčin závad a reklamací,
o návrh řešení,
o záznam řešení do znalostní databáze,
o uplatňování a vymáhání řešení požadavků na řešení u výkonných složek IKT (resp. externích Poskytovatelů a poskytovatelů),
o proaktivní prevenci závad a reklamací,
o vytvoření znalostního katalogu (Knowledge base),
o vytváření statistik výskytu závažných a opakovaných závad a jejich příčin a dalších reportů, statistik a analýz.
Pěíloha č. 2 Rámcové smlouvy Způsob poskytování služeb
Popis způsobu poskytování služeb
Podle požadavků zadavatele uvedených v zadávací dokumentaci nabízíme v rámci plnění veřejné zakázky provést následující soubor služeb:
1. Služby systémové integrace
1.1.Koncepční a strategické služby systémové integrace
1.2.Realizační služby systémové integrace
2. Služby koordinační
2.1.Podpora a prosazení koordinačních služeb
2.2.Podpora zadavatele při přípravě a realizaci požadavků (projektových a investičních záměrů, požadavků na změnu)
2.3.Administrativní podpora výběrových řízení
2.4.Zajištění správy projektové a provozní dokumentace
2.5.Podpora zadavatele při operativních činnostech
2.6.Služby projektové kanceláře
3. Služby bezpečnosti informací
3.1.Podpora systému řízení bezpečnosti informací 3.1.1.Vytvoření systému řízení informační bezpečnosti 3.1.2.Hodnocení a řízení rizik
3.1.3.Implementace bezpečnostních opatření 3.1.4.Školení v oblasti bezpečnosti informací
3.1.5.Nastavení auditních procesů ISMS a provedení předcertifikačního auditu 3.1.6.Další služby v rámci ISMS
3.2.Podpora systému řízení kontinuity
4. Služby implementace systému ěízení IKT služeb
4.1.Implementace systému řízení IKT služeb
4.2.ěízení vztahu zadavatele a provozovatelů jednotlivých IKT systémů
4.3.Implementace procesů centrální podpory uživatelů
Pro každou z výše uvedených služeb je v dalších částech naší nabídky zpracován popis obsahující následující informace:
1. Název služby
2. Za jakým účelem je služba poskytována
3. Způsob/postup poskytnutí služby
4. Výstupy služby
5. Rozsah poskytnuté služby
6. Metodiky a standardy využité při poskytování služby
7. Podmínky a potřebné součinnosti pro poskytnutí služby
8. Návaznosti služby na ostatní poskytované služby
9. Odhadovaná pracnost nutná pro poskytnutí služby
- Služby systémové integrace
Koncepční a strategické služby systémové integrace
Název služby
Koncepční a strategické služby systémové integrace
Za jakým účelem je služba poskytována
Zadavatel požaduje vytvoření podmínek pro všechny důležité a podpůrné procesy zajišťující úspěšnou realizaci a průběh IKT projektů, a to zejména v následujících oblastech:
• Strategické řízení celého IKT zadavatele
• ěízení vzájemných závislostí, kooperace a integrace
• Formulace záměrů a konceptů realizace
• Časové řízení
• ěízení nákladů
• ěízení zdrojů
• ěízení personálních otázek
• ěízení komunikace
• ěízení rizik
• Podpora a řízení nákupu a subkontraktů
Zadavatel požaduje poskytnout odborné poradenské a konzultační služby zaměřené na optimalizaci a transformaci stávajícího IKT prostředí ČSSZ a jeho dalšího rozvoje do podoby plně integrovaného a konsolidovaného IKT prostředí s cílem využít konzultační služby:
• pěi návrhu stěednědobé (2-3 roky) a dlouhodobé (4-5 let) koncepce konsolidace a rozvoje IKT zadavatele obsahující zejména:
o architekturu IKT pro příslušné období,
o návrhy realizačních projektů (obsahujících technickou a funkční specifikaci)
o model dodávek a služeb, jimiž bude navržená a zadavatelem odsouhlasená architektura realizována,
o odborná technická podpora zadavatele při koordinaci realizačních projektů, vazeb, dohledu nad dodržováním koncepcí, standardů a dobré praxe v oboru IKT,
o návrh provozu a provozních parametrů integrovaného prostředí, které vytvoří adekvátní informační podporu pro provoz IKT zadavatele a spolupracujících organizací,
o při návrhu na integraci informační podpory, technologií a služeb s tím spojených dále optimalizovat náklady na prostředí IKT zadavatele a jeho životní cyklus.
• pěi pěípravě, vyhlášení a realizaci veěejných zakázek v oblasti IKT, zejména:
o příprava návrhů technických, funkčních specifikací a parametrů pro veřejné zakázky na pořízení nových IKT částí prostředí zadavatele,
o odborná technická podpora zadavatele při procesech zveřejňování hodnocení
příslušných veřejných zakázek,
o dohled nad dodržováním technických, technologických a funkčních parametrů
realizace veřejných zakázek (IKT projektů),
o další odborná podpora zadavatele.
• pěi průběžném posuzování a navrhování opatěení v oblasti IKT zejména formou:
o posuzování nákladovosti jednotlivých částí a celého prostředí IKT zadavatele (v rámci celého životního cyklu),
o návrhů možných úspor nákladů na rozvoj, provoz a podporu IKT prostředí zadavatele s důrazem na ochranu již vynaložených investic,
o návrhů na konsolidaci IKT prostředí se stabilní schopností pružné reakce na vnější požadavky a změny za současného dodržení podmínky efektivního využití a optimalizace stávajících a existujících informačních systémů, aplikační a technologické architektury IKT zadavatele.
Současně je požadováno nastavení standardů a norem pro oblast IKT usměrňujících rozvoj stávajících i nově pořizovaných částí tj. informačních systémů, aplikační a technologické architektury IKT s důrazem na eliminaci nadbytečných (překrývajících se) dat, procesů a služeb, snižování nákladů a zvýšení efektivity a produktivity v oblasti IKT.
Způsob/postup poskytnutí služby
Provedení služby navrhujeme rozdělit na části podle věcného obsahu činností, které budou v rámci poskytování služby prováděny. Navrhujeme následující členění a způsob provedení:
1. Provedení analýzy výchozího stavu IKT ČSSZ – kde budou shromážděny a vyhodnoceny informace o stávajícím stavu IKT ČSSZ, které zužitkujeme při provedení následujících částí služby.
V rámci této analýzy se zaměěíme na poznání:
a. Stávající architektury IKT ČSSZ
b. Stávajících procesů řízení IKT ČSSZ
c. Platných směrnic a standardů
d. Stávající koncepce rozvoje IKT
e. Současné celkové koncepce/strategie ČSSZ
f. Stávajících problémů a požadavků na změny
g. Stávajících smluv s dodavateli IKT a služeb spojených s IKT
h. Stávajícího modelu zajištění externích dodávek a služeb včetně podpory a provozu
Poznatky z analýzy zpracujeme do dokumentu, jehož hlavní součást bude popis všech zjištění a jejich hodnocení.
2. Zpracování Návrhu opatěení vedoucích ke konsolidaci IKT zadavatele ve všech vrstvách IKT – při tom budeme vycházet ze základních principů budování architektury IKT ČSSZ, mezi které patří:
a. Centralizace dat a aplikací s následnou konsolidací technické základny
b. Orientace na služby (orientace na klienta)
Do návrhu opatření vedoucích ke konsolidaci IKT budou zahrnuty všechny součásti IIS
ČSSZ tj.:
Infrastrukturní oblasti, kam patří:
• Centrální datová vrstva (datová úložiště)
• Centrální aplikační vrstva (aplikační servery a systémy)
• Decentralizované (lokální) uzlu IIS ČSSZ
• Prezentační (uživatelská) vrstva
• Síťová vrstva (komunikační infrastruktura)
Aplikační oblasti, do které spadají:
• Rozhraní pro komunikaci IN/OUT – příjem podání a poskytování informací atd.
• Výběr pojistného
• Správa dávek důchodového a nemocenského pojištění
• Výplaty dávek
• Správa údajové základny
• Ekonomické subsystémy
• Průřezové subsystémy
• Subsystémy oblasti bezpečnosti
• Podpůrné subsystémy
Navrhujeme aby, navržená opatření byla členěna následovně:
• Základní principy budování konsolidované architektury IKT
• Opatření v oblasti infrastruktury
• Opatření v aplikační oblasti
• Opatření v oblasti jednotné datové základny
Navržená opatření budou projednána se zadavatelem a upravena na základě jeho
připomínek.
3. Provedení aktualizace IKT standardů v návaznosti a na základě krátkodobé koncepce rozvoje IKT ČSSZ – v rámci této části plnění budeme vycházet z existujících koncepcí:
a. tvorby integrovaného informačního systému (IIS ČSSZ),
b. rozvoje aplikační podpory jednotlivých oblasti IIS ČSSZ,
c. technologické infrastruktury IIS ČSSZ, a ze strategií:
a. zajištění provozu IIS ČSSZ
b. zabezpečení vývoje udržování IIS ČSSZ
c. bezpečnosti IIS ČSSZ
uvedených v aktuálně platném a schváleném dokumentu Strategie rozvoje IKT ČSSZ do roku 2014. Přitom předpokládáme, že tyto koncepce byly zadavatelem průběžně revidovány a že existuje jejich aktualizovaná podoba platná pro nejbližší období.
Pokud to tak není, provedeme ve spolupráci se zadavatelem jejich revizi, které by měla pokrýt období následujících 12 měsíců. K uvedeným oblastem zpracovaným
v jednotlivých dílčích koncepcích přiřadíme existující standardy a posoudíme jejich použitelnost pro účely prosazování krátkodobých koncepcí. Standardy, které budou vhodné pro plnění tohoto účelu, zachováme. Standardy, které nebudou vhodné pro uvedený účel, přepracujeme. Pro oblasti krátkodobé koncepce, které nejsou pokryty nějakým vhodným standardem, vytvoříme standardy nové. Zpracované standardy budou projednány se zadavatelem a upraveny podle jeho připomínek.
4. Zpracování Návrhu na zefektivnění modelu zajištění externích dodávek a služeb včetně podpory a provozu – v rámci tohoto plnění vyjdeme z výsledků analýzy stávajícího modelu zajištění externích dodávek a služeb včetně podpory a provozu. Zjištěné nedostatky vyhodnotíme a nalezneme pěíčiny neefektivního provozování procesů zajišťování externích dodávek a služeb. K tomu jako východisko pro
zpracování návrhu na zefektivnění přidáme soubor dalších požadavků zadavatele vyplývající z jeho aktuálních potřeb a požadavků odvozených z předpokládaných typů dodávek a služeb plánovaných k realizaci v nejbližším období 12 měsíců. Výsledný návrh bude obsahovat
a. Soubor zásad/principů, které musí být dodržovány při zajištění externích dodávek a služeb včetně podpory a provozu
b. procesní model (včetně popisu rolí) pro zajištění externích dodávek a služeb
včetně podpory a provozu,
c. pravidla a parametry použitá pro rozhodování v jednotlivých uzlových bodech, kde dochází k větvení procesů
d. informační obsah formulářů, které odpovídají příslušným procesním krokům Zpracovaný návrh bude projednán se zadavatelem a upraven podle jeho připomínek.
5. Zpracování Technické, funkční specifikace a parametry pro veěejné zakázky vyplývající z krátkodobé koncepce rozvoje IKT – při dodávce tohoto plnění vyjdeme z krátkodobé koncepce rozvoje IKT, ze které společně se zadavatelem odvodíme soubor dodávek a služeb plánovaných k pořízení v nejbližším období 12 měsíců formou zadávacího řízení dle zákona 137/2006 Sb. Ke všem plánovaným zadávacím řízením zpracujeme následující součásti zadávací dokumentace:
a. Technické podmínky ve smyslu §45 zákona 137/2006 Sb., které obsahují technické, funkční specifikace a parametry dodávek a služeb
b. Návrhy hodnotících kritérii související s hodnocením splnění technických podmínek
c. Návrhy způsobu hodnocení splnění hodnotících kritérii souvisejících s hodnocením splnění technických podmínek
d. Návrhy technických kvalifikačních předpokladů ve smyslu §56 zákona 137/2006 Sb.
Při tom zohledníme již zpracovaný respektive rozpracovaný
a. Návrh na zefektivnění modelu zajištění externích dodávek a služeb včetně podpory a provozu.
b. Aktualizované IKT standardy
Podklady pro zadávací řízení budou projednány se zadavatelem a upraveny podle jeho
připomínek. Pokud dojde v průběhu příslušných zadávacích řízení k situaci, že
v důsledku dotazů uchazečů bude potřeba změnit technické podmínky veřejné zakázky, provedeme tyto změny.
6. Vypracování Návrhu stěednědobé koncepce rozvoje IKT ČSSZ s návrhem rozvojových aktivit v horizontu 12-36 měsíců – v rámci tohoto plnění bude zpracován návrh střednědobé koncepce v následujících oblastech:
a. tvorba integrovaného informačního systému (IIS ČSSZ)
i. Strategické principy vytváření IIS ČSSZ
ii. Logická struktura IIS ČSSZ
iii. Architektura aplikační podpory IIS ČSSZ
iv. Zabezpečování centralizace dat a aplikací a klientského přístupu
v. Vazby IIS ČSSZ na jiné ISVS
vi. Komunikace IIS ČSSZ a okolím a klienty
b. rozvoj aplikační podpory jednotlivých oblasti IIS ČSSZ
i. Oblast - Rozhraní pro komunikaci IN/OUT – příjem podání a poskytování informací
ii. Oblast - Výběr pojistného
iii. Oblast - Správa dávek důchodového a nemocenského pojištění
iv. Oblast – Výplaty dávek
v. Oblast – Správa údajové základny
vi. Oblast – Ekonomické subsystémy
vii. Oblast – Průřezové subsystémy
viii. Oblast – Subsystémy oblasti bezpečnosti
ix. Oblast – Podpůrné subsystémy
c. technologická infrastruktura IIS ČSSZ
i. celkové uspořádání technické základny IIS ČSSZ
ii. centralizované datové úložiště IIS ČSSZ
iii. centralizovaná aplikační vrstva
iv. decentralizované (lokální) uzly IIS ČSSZ
v. prezentační (uživatelská) vrstva
vi. síťová architektura
Součástí každé z dílčích koncepcí je návrh rozvojových aktivit, které v období následujících 12-36 měsíců zajistí plnění příslušné koncepce. Koncepce bude vycházet ze strategie ČSSZ, zohlední jeho povinnosti vyplývající z legislativy (zejména povinnosti plynoucí z realizace sociální a důchodové reformy), bude vycházet z potřeb a požadavků, kapacitních a rozpočtových možností ČSSZ. Zpracovaný návrh bude projednán se zadavatelem a upraven podle jeho připomínek.
7. Zpracování Technické, funkční specifikace a parametry pro veěejné zakázky vyplývající ze stěednědobé koncepce rozvoje IKT - při dodávce tohoto plnění vyjdeme ze zpracované střednědobé koncepce rozvoje IKT, ze které společně se zadavatelem odvodíme soubor dodávek a služeb plánovaných k pořízení v následujícím období 12-36 měsíců formou zadávacího řízení dle v té době platného zákona o veřejných zakázkách. Ke všem plánovaným zadávacím řízením zpracujeme následující součásti zadávací dokumentace:
a. technické podmínky podle v té době platného zákona o veřejných zakázkách., které obsahují technické, funkční specifikace a parametry dodávek a služeb
b. návrhy hodnotících kritérii související s hodnocením splnění technických podmínek
c. návrhy způsobu hodnocení splnění hodnotících kritérii souvisejících s hodnocením splnění technických podmínek
d. návrhy technických kvalifikačních předpokladů podle v té době platného zákona o veřejných zakázkách.
Při tom zohledníme již zpracovaný respektive rozpracovaný
c. návrh na zefektivnění modelu zajištění externích dodávek a služeb včetně podpory a provozu.
d. aktualizované IKT standardy
Podklady pro zadávací řízení budou projednány se zadavatelem a upraveny podle jeho
připomínek. Pokud dojde v průběhu příslušných zadávacích řízení k situaci, že
v důsledku dotazů uchazečů bude potřeba změnit technické podmínky veřejné zakázky, provedeme tyto změny.
8. Vytvoěení Návrhu dlouhodobé koncepce rozvoje IKT ČSSZ s návrhem rozvojových aktivit v horizontu 24-48 měsíců - v rámci tohoto plnění bude zpracován návrh dlouhodobé koncepce, která bude vycházet z celkové strategie, předpokládaného
vývoje legislativy (zejména reforem), rozpočtových možností a schválené střednědobé koncepce. Návrh bude obsahovat:
a. Návrh Strategie IKT ČSSZ na roky 2013-2016
b. Návrh aktualizace Informační koncepce (dle zák. 365/2006 sb. a vyhlášky 529/2006 Sb.)
c. Návrh cílové architektury IKT ČSSZ
d. Návrh aktualizovaných standardů IKT ČSSZ
e. Návrhy realizačních projektů v oblasti IKT včetně priorit a kvalifikovaných odhadů na časovou a finanční náročnost v celkovém životním cyklu
V rámci strategie IKT ČSSZ na období 2013-2016 budou stanoveny dílčí koncepce v následujících oblastech:
a. tvorba integrovaného informačního systému (IIS ČSSZ)
i. Strategické principy vytváření IIS ČSSZ
ii. Logická struktura IIS ČSSZ
iii. Architektura aplikační podpory IIS ČSSZ
iv. Zabezpečování centralizace dat a aplikací a klientského přístupu
v. Vazby IIS ČSSZ na jiné ISVS
vi. Komunikace IIS ČSSZ a okolím a klienty
b. rozvoj aplikační podpory jednotlivých oblasti IIS ČSSZ
i. Oblast - Rozhraní pro komunikaci IN/OUT – příjem podání a poskytování informací
ii. Oblast - Výběr pojistného
iii. Oblast - Správa dávek důchodového a nemocenského pojištění
iv. Oblast – Výplaty dávek
v. Oblast – Správa údajové základny
vi. Oblast – Ekonomické subsystémy
vii. Oblast – Průřezové subsystémy
viii. Oblast – Subsystémy oblasti bezpečnosti
ix. Oblast – Podpůrné subsystémy
c. technologická infrastruktura IIS ČSSZ
i. celkové uspořádání technické základny IIS ČSSZ
ii. centralizované datové úložiště IIS ČSSZ
iii. centralizovaná aplikační vrstva
iv. decentralizované (lokální) uzly IIS ČSSZ
v. prezentační (uživatelská) vrstva
vi. síťová architektura
Součástí každé z dílčích koncepcí je návrh rozvojových aktivit, které v období následujících 24-48 měsíců zajistí plnění příslušné koncepce. Zpracovaný návrh bude projednán se zadavatelem a upraven podle jeho připomínek.
9. Vypracování Návrhu modelu zajištění externích dodávek a služeb včetně podpory a provozu - v rámci tohoto plnění vyjdeme ze zkušenosti, které se nasbírají při používání modelu, který je výsledkem Návrhu na zefektivnění modelu zajištění externích dodávek a služeb včetně podpory a provozu, předpokládáme, že bude používán v prvních 12 měsících. K tomu jako východisko pro zpracování návrhu modelu přidáme soubor dalších požadavků zadavatele vyplývající z jeho aktuálních
potřeb a požadavků odvozených z předpokládaných typu dodávek a služeb plánovaných k realizaci v dalším období 12-46 měsíců. Výsledný návrh bude revizí/inovací předchozího modelu a bude obsahovat:
a. Soubor zásad/principů, které musí být dodržovány při zajištění externích dodávek a služeb včetně podpory a provozu
b. procesní model (včetně popisu rolí) pro zajištění externích dodávek a služeb
včetně podpory a provozu,
c. pravidla a parametry použitá pro rozhodování v jednotlivých uzlových bodech, kde dochází k větvení procesů
d. informační obsah formulářů, které odpovídají příslušným procesním krokům Zpracovaný návrh bude projednán se zadavatelem a upraven podle jeho připomínek.
10. Zpracování Technické, funkční specifikace a parametry pro veěejné zakázky vyplývající z dlouhodobé koncepce rozvoje IKT - při dodávce tohoto plnění vyjdeme z dlouhodobé koncepce rozvoje IKT, ze které společně se zadavatelem odvodíme soubor dodávek a služeb plánovaných k pořízení v následujícím období 24-48 měsíců formou zadávacího řízení podle v té době platného zákona o veřejných zakázkách. Ke všem plánovaným zadávacím řízením zpracujeme následující součásti zadávací dokumentace:
a. Technické podmínky podle v té době platného zákona o veřejných zakázkách, které obsahují technické, funkční specifikace a parametry dodávek a služeb
b. Návrhy hodnotících kritérii související s hodnocením splnění technických podmínek
c. Návrhy způsobu hodnocení splnění hodnotících kritérii souvisejících s hodnocením splnění technických podmínek
d. Návrhy technických kvalifikačních předpokladů podle v té době platného zákona o veřejných zakázkách.
Pěi tom zohledníme již zpracovaný respektive rozpracovaný
e. Návrh na zefektivnění modelu zajištění externích dodávek a služeb včetně podpory a provozu.
f. Aktualizované IKT standardy
Podklady pro zadávací řízení budou projednány se zadavatelem a upraveny podle jeho
připomínek. Pokud dojde v průběhu příslušných zadávacích řízení k situaci, že
v důsledku dotazů uchazečů bude potřeba změnit technické podmínky veřejné zakázky, provedeme tyto změny.
Provedení jednotlivých částí navrhujeme realizovat podle následujícího časového harmonogramu:
Etapa | Zahájení | Délka trvání (týdnů) | |
1. | Provedení analýzy výchozího stavu IKT ČSSZ | Následující den po podpisu smlouvy | 5 |
2. | Zpracování Návrhu opatření vedoucích ke konsolidaci IKT zadavatele ve všech vrstvách IKT | 6 týden od podpisu smlouvy | 4 |
3. | Provedení aktualizace IKT standardů v návaznosti a na základě krátkodobé koncepce rozvoje IKT ČSSZ | 10 týden od podpisu smlouvy | 4 |
4. | Zpracování Návrhu na zefektivnění modelu zajištění externích dodávek a služeb včetně podpory a provozu | 13 týden od podpisu smlouvy | 4 |
5. | Zpracování Technické, funkční specifikace a parametry pro veřejné zakázky vyplývající z krátkodobé koncepce rozvoje IKT | 3 týden od podpisu smlouvy | 48 |
6. | Vypracování Návrhu střednědobé koncepce rozvoje IKT ČSSZ s návrhem rozvojových aktivit v horizontu 12-36 měsíců | 13 týden od podpisu smlouvy | 14 |
7. | Zpracování Technické, funkční specifikace a parametry pro veřejné zakázky vyplývající ze střednědobé koncepce rozvoje IKT | 38 týden od podpisu smlouvy | 96 |
8. | Vytvoření Návrhu dlouhodobé koncepce rozvoje IKT ČSSZ s návrhem rozvojových aktivit v horizontu 24-48 měsíců | 68 týden od podpisu smlouvy | 16 |
9. | Vypracování Návrhu modelu zajištění externích dodávek a služeb včetně podpory a provozu | 48 týden od podpisu smlouvy | 4 |
10. | Zpracování Technické, funkční specifikace a parametry pro veřejné zakázky vyplývající z dlouhodobé koncepce rozvoje IKT | 90 týdnů od podpisu smlouvy | 96 |
Výstupy služby
1. Návrh opatření vedoucích ke konsolidaci IKT zadavatele ve všech vrstvách IKT (tj. komunikační infrastruktura, HW infrastruktura, systémové prostředí, datová, aplikační a prezentační vrstva)
2. Prvotní aktualizace IKT standardů v návaznosti a na základě krátkodobé koncepce rozvoje IKT ČSSZ
3. Návrh na zefektivnění modelu zajištění externích dodávek a služeb včetně podpory a provozu
4. Technické, funkční specifikace a parametry pro veřejné zakázky vyplývající z krátkodobé koncepce rozvoje IKT
5. Návrh střednědobé koncepce rozvoje IKT ČSSZ s návrhem rozvojových aktivit v horizontu 12-36 měsíců
6. Technické, funkční specifikace a parametry pro veřejné zakázky vyplývající ze střednědobé koncepce rozvoje IKT
7. Návrh dlouhodobé koncepce rozvoje IKT ČSSZ s návrhem rozvojových aktivit v horizontu 24-48 měsíců
8. Návrh modelu zajištění externích dodávek a služeb včetně podpory a provozu
9. Technické, funkční specifikace a parametry pro veřejné zakázky vyplývající z dlouhodobé koncepce rozvoje IKT
Rozsah poskytnuté služby
Požadované koncepční a strategické služby systémové integrace budou zahrnovat celý IIS ČSSZ a zohlední potřeby všech organizačních jednotek tvořících ČSSZ. Výstupy poskytnuté služby budou platné pro celý IIS ČSSZ a všechny organizační jednotky tvořící ČSSZ.
Metodiky a standardy využité pěi poskytování služby
Při poskytování služby se budeme řídit doporučeními, která jsou uvedena v následujících
metodikách, standardech a zákonných normách:
• COBIT5
• ISO/IEC 38500:2008
• Thinking process
• TOGAF v9
• ArchiMate v2.0
• ISO/IEC 15288:2008
• Vyhláška č.529/2006 Sb. o požadavcích na strukturu a obsah informační koncepce a provozní dokumentace a o požadavcích na řízení bezpečnosti a kvality informačních systémů veřejné správy (vyhláška o dlouhodobém řízení informačních systémů veřejné správy)
• Zákon 137/2006 Sb. o Veřejných zakázkách (v platném znění) respektive aktuálně platný zákon o veřejných zakázkách
Podmínky a potěebné součinnosti pro poskytnutí služby
Poskytnutí následující dokumentace pokud existuje:
• Stávající koncepce rozvoje IKT ČSSZ
• Stávající platné standardy IKT ČSSZ
• Popis stávající architektury IKT ČSSZ
• Xxxxxxx s dodavateli IKT a služeb souvisejících s IKT
• Stávající směrnice pro provádění zadávacích řízení na IKT a služby související s IKT
• Stávající směrnice stanovující náležitosti procesů správy a řízení IKT Projednání všech výstupů a poskytnutí připomínek ke všem výstupům. Aktivní účast při vypořádání připomínek ke všem výstupům.
Návaznosti služby na ostatní poskytované služby
Jednotlivé koncepce rozvoje (střednědobá i krátkodobá), které jsou výstupem této služby tvoří koncepční rámec pro následující další poskytované služby:
1. Realizační služby systémové integrace
2. Služby koordinační
3. Služby bezpečnosti informací
4. Služby implementace systému řízení IKT služeb
Odhadovaná pracnost nutná pro poskytnutí služby
520 člověko dnů.
Realizační služby systémové integrace
Název služby
Realizační služby systémové integrace
Za jakým účelem je služba poskytována
Zaměřením realizačních služeb systémové integrace je odborné poradenství na trvalé, denní bázi s cílem dostatečného, včasného a bezproblémového zajištění koncepčních a strategických cílů, zásad a standardů na realizační úroveň rozvoje a provozu IKT zadavatele včetně souvisejících činností.
V rámci plnění těchto služeb požaduje zadavatel zejména:
• Aplikování metodiky, principů a nástrojů projektového řízení jako základu pro koordinaci a řízení jednotlivých oblastí systémové integrace.
• ěízení a koordinaci při přípravě, pořizování, implementaci a přebírání nových informačních systémů a technologií s cílem garantovat naplnění koncepčních a strategických cílů, dodržování zásad a standardů v průběhu realizace IKT projektů. V rámci realizačních služeb systémové integrace požaduje zadavatel zajištění následujících služeb a činností:
o účast systémového integrátora v projektových týmech jednotlivých IKT projektů,
o zpracovávání stanovisek a oponentur k projektovým záměrům úseku IKT zadavatele,
o zpracování stanovisek a oponentních posudků a schvalování návrhů a implementačních plánů cílové architektury IKT zadavatele,
o formulace problémů, identifikace rizik a neřešených funkcionalit IKT prostředí a aplikací včetně návrhů možných variant řešení k rozhodnutí zadavatele,
o poskytování průběžných konzultačních služeb specialistů na integraci systémů a aplikací při řešení integračních úloh mezi jednotlivými systémy navzájem a jednotlivými systémy a technologiemi zadavatele,
o posuzování a vydávání stanovisek systémového integrátora k jednotlivým požadavkům na změnu vznesených v rámci běžících IKT projektů zadavatele,
o zajištění kontroly systémového integrátora nad realizací schválených požadavků na změnu IKT prostředí zadavatele,
o podpora zadavatele při integraci a propojování IKT zadavatele s informačními systémy jiných organizací, zejména MPSV.
Způsob/postup poskytnutí služby
Realizační služby systémové integrace budou poskytovány formou průběžně prováděného odborného poradenství na trvalé, denní bázi. Cílem poskytovaného odborného poradenství je, aby podle aktuálního vývoje bylo správně, včas a pěiměěeně reagováno na situace, které rozhodují o úspěšném prosazení schválených koncepcí a stanovených cílů, aby bylo zajišťováno dodržení pěijatých zásad a standardů. Odborné poradenství bude poskytováno v následujících oblastech:
1. Koordinace řízení jednotlivých oblastí systémové integrace v jednotlivých IKT projektech
2. ěízení a koordinace při přípravě, pořizování, implementaci a přebírání nových IS a technologií a jejich uvádění do produktivního provozu.
Základními zdroji podnětů pro provádění odborného poradenství budou:
1. Jednání projektových týmů, na kterých bude účasten systémový integrátor a kde budou projednány jednotlivé požadavky zadavatele na provedení odborného poradenství, respektive pracovníci integrátora sami upozorní na skutečnosti, které je třeba v rámci této služby řešit formou odborného poradenství.
2. Explicitní požadavky odpovědných osob zadavatele na zpracování odborných stanovisek, posudků a na provedení příslušných kontrol nebo prověrek.
Výstupy služby
1. Stanoviska a oponentury k projektovým záměrům úseku IKT ČSSZ
2. Xxxxxxxxxx a oponentní posudky a schvalování návrhů a implementačních plánů cílové architektury IKT ČSSZ
3. Formulace problémů, identifikace rizik a neřešených funkcionalit IKT prostředí a aplikací
včetně návrhů možných variant řešení k rozhodnutí zadavatele
4. Příspěvky do katalogu rizik
5. Příspěvky do zpráv o výsledcích kontrol kvality
6. Stanoviska k integraci systémů a aplikací při řešení integračních úloh mezi jednotlivými systémy navzájem a jednotlivými systémy a technologiemi ČSSZ
7. Posouzení a stanoviska systémového integrátora k jednotlivým požadavkům na změnu vznesených v rámci běžících IKT projektů ČSSZ
8. Výsledky kontrol systémového integrátora nad realizací schválených požadavků na změnu IKT prostředí ČSSZ
Rozsah poskytnuté služby
Požadované realizační služby systémové integrace budou poskytnuty pro všechny IKT projekty, kde bude zapojen systémový integrátor a celému IIS ČSSZ.
Metodiky a standardy využité pěi poskytování služby
Při poskytování služby se budeme řídit doporučeními, která jsou uvedena v následujících metodikách a standardech:
• COBIT5
• PRINCE2
• Project Management Body of Knowledge (PMBOK)
• TOGAF v9
• ArchiMate v2.0
• ISO/IEC 15288:2008
Podmínky a potěebné součinnosti pro poskytnutí služby
Přímý denní kontakt a spolupráce s odpovědnými pracovníky odboru IKT ČSSZ.
Poskytnutí kompletní projektové dokumentace k IKT projektům, ve kterých se bude systémový integrátor účastnit na řízení a koordinaci.
Kooperace s vedoucími IKT projektů při řízení dodávek, jejich kvality a rizik projektu. Poskytnutí podkladů obsahující požadavky informačních systémů jiných organizací na integraci.
Návaznosti služby na ostatní poskytované služby
Při poskytování realizačních služeb systémové integrace budou využity výstupy koncepčních a strategických služeb systémové integrace.
Odhadovaná pracnost nutná pro poskytnutí služby
1040 člověko dnů
- Služby koordinační
Podpora a prosazení koordinačních služeb
Název služby
Podpora a prosazení koordinačních služeb
Za jakým účelem je služba poskytována
Podporou se rozumí konzultační a poradenské služby vedoucí k definici, implementaci a prosazení procesů a postupů řízení při realizaci požadavků na IKT Zadavatele.
Při realizaci této služby vyjdeme z obvyklých dostupných a existujících metodik řízení IKT projektů a procesů, kde ve spolupráci se Zadavatelem zajistíme prosazování a naplňování těchto metodik v oblastech:
• administrace požadavků, projektové a provozní dokumentace,
• organizace a komunikace projektu,
• řízení rizik projektu,
• kontroly postupu projektu,
• řízení změn a problémů projektu a
• akceptačních postupů.
Zadavatel požaduje dodat následující výstupy poskytovaných poradenských a konzultačních služeb:
• Metodiku řízení projektů,
• Katalog a plán požadavků na IKT,
• Zprávy o stavu projektů IKT,
• Katalog projektových rizik,
• Zápisy z jednání projektových týmů jednotlivých IKT projektů,
• Katalog požadavků na změnu,
• Katalog projektových problémů,
• Metodiku akceptace a přejímání výstupů projektů v oblasti IKT.
Účelem poskytnutí této služby je podpora a prosazení projektového řízení realizace požadavků, zahrnující průběžnou kontrolu souladu realizace s finančním a časovým plánem, koordinace realizace IKT projektů včetně příslušných reportů pro Zadavatele.
Způsob/postup poskytnutí služby
Provedení služby navrhujeme rozdělit na části podle věcného obsahu činností, které budou v rámci poskytování služby prováděny. Navrhujeme následující členění a způsob provedení:
1) Zpracování Metodiky ěízení projektů
Metodika řízení projektů (dále jen „Metodika“) bude vycházet z ustanovení a požadavků kladených na projektové řízení zněním mezinárodních norem řady ISO 10006 a dalších standardů (PRINCE2, PMBOK). Metodiku zpracujeme takovým způsobem, aby zahrnovala:
• definici organizačního schématu projektů včetně stanovení závazných projektových rolí, jejich pravomocí, odpovědností a požadavků na výkon činnosti těchto rolí;
• definici závazného způsobu komunikace v rámci projektů a způsobu rozhodování a vazeb projektového organizačního schématu na liniové řízení v prostředí Zadavatele;
• definici procesů a postupů ěízení projektu zaměřených na řízení rizik, sledování postupu projektu,
řízení změn, řízení problémů, řízení kvality, akceptační postupy a řízení dokumentace projektu;
• vzory základní projektové dokumentace.
Pro zajištění vysoké odborné kvality a komplexnosti budeme při zpracování Metodiky klást důraz na následující kritéria:
• úplnost, to znamená zajistit, aby Xxxxxxxx pokrývala všechny procesy řízení projektu a definovala všechny výstupy, doporučené techniky a postupy, které podle odborného názoru certifikovaných konzultantů na projektové řízení a dle referenčních metodik projekt vyžaduje;
• srozumitelnost, to znamená zajistit, aby pracovníci zařazení do projektových organizačních struktur (zejména ti co jsou odpovědní za řízení projektu) metodice rozuměli a dokázali v dané konkrétní projektové situaci z metodiky vybrat relevantní postup, aby Metodika byla dostatečně návodná a jednoznačná (neumožňovala různý výklad v konkrétních projektových situacích);
• pěizpůsobení Metodiky na prostředí Zadavatele a prostředí všech organizací zapojených do projektu, to znamená, že bude prověřováno, zda procesy popsané v metodice jsou propojitelné s procesy organizace (zejména se jedná o procesy řízení zdrojů, procesy rozhodování, procesy akvizice apod.), zda je možné obsadit všechny role vyžadované metodikou a nebude docházet ke sdílení odpovědností, které jsou z prohledu řízení rizik projektu neslučitelné.
V rámci poskytování služeb v souvislosti se zpracováním Xxxxxxxx budeme vykonávat zejména následující
činnosti:
• provedeme analýzu interních řídících předpisů Zadavatele upravujících procesy spojené s problematikou řízení projektů v organizaci;
• provedeme strukturované rozhovory s vybranými zástupci Zadavatele zapojenými do projektových organizačních struktur;
• zpracujeme komplexní návrh nové, případně revizi stávající, Metodiky na základě standardů projektového řízení PRINCE2 a PMBOK;
• zkonzultujeme návrh Xxxxxxxx s odpovědnými zástupci Zadavatele, vypořádáme případné připomínky a zajistíme proškolení vybraných pracovníků v oblasti projektového řízení na základě zpracované Xxxxxxxx.
2) Zpracování Katalogu a plánu požadavků na IKT
Katalog a plán požadavků na IKT zpracujeme v takovém rozsahu a struktuře, aby obsahoval:
• připravované požadavky (projekty);
• probíhající výběrová řízení a realizované požadavky (běžící projekty) Zadavatele včetně základní informace o stavu projektu, dodavateli a odpovědné organizační složky či osoby Zadavatele;
• plán (časovou osu) realizace požadavků na IKT Zadavatele včetně časových vazeb a závislostí.
V rámci poskytování služeb v souvislosti se zpracováním Katalogu a plánu požadavků na IKT budeme vykonávat zejména následující činnosti:
• provedeme sběr dat týkajících se připravovaných požadavků (projektů), probíhajících výběrových řízení a realizovaných požadavků (běžících projektů);
• zpracujeme návrh Katalogu a plánu požadavků na IKT;
• zkonzultujeme návrh Katalogu a plánu požadavků na IKT s odpovědnými zástupci Zadavatele, vypořádáme případné připomínky;
• zajistíme nepřetržitou údržbu Katalogu a plánu požadavků na IKT ve spolupráci se Zadavatelem tak, aby vždy byla k dispozici aktuální verze sloužící pro podporu plánovacích a rozhodovacích procesů Zadavatele.
3) Vypracování zpráv o stavu projektů IKT
Zprávy budeme zpracovávat na měsíční bázi pro každý projekt, kterého se bude zástupce projektové kanceláře
účastnit. Obsahem těchto zpráv bude:
• popis plnění plánu daného projektu a jeho jednotlivých částí;
• návrhy na změny postupů;
• informace o neplněných a opožděných úkolech, včetně zdůvodnění a dopadů;
• přehled klíčových aktuálních rizik a problémů každého požadavku (projektu).
4) Vypracování Katalogu projektových rizik
Katalog projektových rizik budeme zpracovávat v takovém rozsahu a struktuře, aby obsahoval:
• informace o rizicích působících na aktuální požadavky (IKT projekty) včetně jejich závažnosti;
• popis dopadů rizik včetně vyjádření vedoucího daného projektu;
• návrh způsobu eliminace daného rizika.
V rámci poskytování služeb v souvislosti se zpracováním Katalogu projektových rizik budeme vykonávat zejména následující činnosti:
• pomocí postupů, taxonomií, katalogů a dalších vodítek uvedených v metodologii PRINCE2 a ve specializovaných metodikách Taxonomy-Based Risk Identification a Software Risk Evaluation (SRE) Method sestavíme Katalog projektových rizik;
• provedeme analýzu a vyhodnocení identifikovaných rizik z hlediska jejich příčin, pravděpodobnosti výskytu a míry dopadu a navrhneme opatření pro jejich eliminaci;
• zajistíme projednání a následné schválení Katalogu projektových rizik s příslušnými odpovědnými zástupci Zadavatele;
• Katalog projektových rizik budeme zpracovávat na bázi 14 kalendářních dní a zajistíme jeho pravidelnou a průběžnou údržbu ve spolupráci se Zadavatelem. Katalog projektových rizik chápeme jako „živý“ dokument, jehož průběžná aktualizace zajistí jeho využití při zvládání rizik projektu a sledování rizik projektu v průběhu celého projektu.
5) Zpracování zápisů z jednání projektových týmů
Z jednání projektových týmů jednotlivých IKT projektů, zejména pak z klíčových jednání projektových týmů běžících IKT projektů, budeme zpracovávat zápisy, jejichž obsahem bude:
• agenda a obsah jednání;
• popis projednávaných úkolů;
• seznam účastníků jednání.
V rámci poskytování služeb v souvislosti se zpracováním zápisů z jednání projektových týmů budeme vykonávat zejména následující činnosti:
• zpracujeme návrh znění zápisu;
• zajistíme schvalovací proces znění zápisu a distribuci na relevantní účastníky jednání;
• uložíme originál zápisu v písemné a elektronické podobě do projektové knihovny.
6) Sestavení Katalogu požadavků na změnu
Katalog požadavků na změnu budeme sestavovat v takovém rozsahu a struktuře, aby obsahoval:
• centrální souhrnný a celkový přehled všech změnových požadavků;
• popis změny, který bude obsahovat vlastní specifikaci změny, zejména formulaci věcných, časových a finančních dopadů.
V rámci poskytování služeb v souvislosti se sestavením Katalogu požadavků na změnu budeme vykonávat zejména následující činnosti:
• Katalog požadavků na změnu budeme nepřetržitě udržovat tak, aby vždy byl k dispozici aktuální Katalog požadavků na změnu pro podporu rozhodovacích procesů Zadavatele;
• v případě potřeby zpracujeme podklady k zahájení a projednávání změnových řízení projektu;
• zajistíme předložení připravených podkladů k projednání a schválení věcně příslušnými orgány Zadavatele a k využití ve změnovém řízení.
7) Sestavení Katalogu projektových problémů
Katalog požadavků na změnu budeme sestavovat v takovém rozsahu a struktuře, aby obsahoval přehled a základní informace o problému, včetně vyhodnocení jeho závažnosti. Katalog budeme pravidelně a průběžně ve spolupráci se zástupci Zadavatele udržovat. Katalog projektových problémů budeme zpracovávat na měsíční bázi jako součást zprávy o stavu projektu.
8) Zpracování Metodiky akceptace a pěejímání výstupů projektů v oblasti IKT
Metodiku akceptace a přejímání výstupů projektů v oblasti IKT zpracujeme takovým způsobem, aby zahrnovala:
• typy akceptací;
• návrh akceptačních kritérií;
• kategorizaci vad a stanovení postupu akceptačního řízení (postupy verifikace, validace a akceptace) a postup pro odstraňování vad.
V rámci poskytování služeb v souvislosti se zpracováním Metodiky akceptace a přejímání výstupů projektů v oblasti IKT budeme vykonávat zejména následující činnosti:
• provedeme analýzu interních řídících předpisů Zadavatele upravujících procesy spojené s problematikou akceptace a přejímání výstupů projektů v organizaci;
• provedeme strukturované rozhovory s vybranými zástupci Zadavatele zapojenými do procesu akceptace a přejímání výstupů projektů v oblasti IKT;
• zpracujeme komplexní návrh Metodiky akceptace a přejímání výstupů projektů v oblasti IKT;
• zkonzultujeme návrh Xxxxxxxx akceptace a přejímání výstupů projektů v oblasti IKT s odpovědnými zástupci Zadavatele, vypořádáme případné připomínky.
Provedení jednotlivých částí navrhujeme realizovat podle následujícího časového harmonogramu:
Etapa | Délka trvání (týdnů) | Odhadovaná pracnost (v ČLD) | |||||
11. | Zpracování Metodiky řízení projektů | 4 -6 týdnů | 50 | ||||
12. | Zpracování Katalogu a plánu požadavků na IKT | Vytvoření: 3 – 4 týdny Aktualizace: ad hoc | 80 | ||||
13. | Vypracování zpráv o stavu projektů IKT | 0,6 týdne / 1 zpráva | 100 | ||||
14. | Vypracování Katalogu projektových rizik | Průběžná aktualizace: ad hoc | 80 | ||||
15. | Zpracování týmů | zápisů | z | jednání | projektových | 0,2 týdne / 1 zápis | 80 |
16. | Sestavení Katalogu požadavků na změnu | Průběžná aktualizace: ad hoc | 70 | ||||
17. | Sestavení Katalogu projektových problémů | Průběžná aktualizace: ad hoc | 70 | ||||
18. | Zpracování Metodiky akceptace a přejímání výstupů projektů v oblasti IKT | 4 -6 týdnů | 50 |
Výstupy služby
1. Metodika řízení projektů IKT
2. Katalog a plán požadavků na IKT,
3. Zprávy o stavu projektů IKT,
4. Katalog projektových rizik v oblasti IKT,
5. Zápisy z jednání projektových týmů jednotlivých IKT projektů,
6. Katalog požadavků na změnu v projektech IKT,
7. Katalog projektových problémů v projektech IKT,
8. Metodika akceptace a přejímání výstupů projektů v oblasti IKT.
Rozsah poskytnuté služby
Celkový předpokládaný objem dílčích služeb – Podpora a prosazení koordinačních služeb – za dobu trvání projektu bude činit 580 ČLD.
Výše uvedené činnosti budou realizovány v oblasti IKT Zadavatele na vybraných klíčových projektech zaměřených na rozvoj IKT v rámci organizace Zadavatele. Další upřesnění rozsahu této služby bude provedeno v rámci úvodní konzultace se Zadavatelem při zahájení realizace této služby.
Metodiky a standardy využité pěi poskytování služby
Při poskytování služby se budeme řídit doporučeními, která jsou uvedena v následujících metodikách a standardech:
• existující metodiky řízení IKT projektů a procesů v organizaci Zadavatele,
• stávající směrnice provozu IKT,
• Projektové řízení (Project and Program Management),
• ISO 10006,
• PRINCE2,
• PMBOK,
• Behavioral Change Management (BCM) - (ěízení změn),
• Taxonomy-Based Risk Identification,
• Software Risk Evaluation (SRE) Method.
Metodika PRINCE2
Metodika PRINCE2 byla vytvořena britským vládním úřadem OGC (Office of Government Commerce), rychle pronikla i do komerční sféry a postupně se stala vedoucím mezinárodním standardem projektového řízení. Je určena pro všechny účastníky projektu od vrcholových přes liniové i projektové manažery, členy projektových týmů až po členy podpůrných týmů. Metodika PRINCE2 je univerzálně použitelná - poskytuje principy, procesy a techniky umožňující jednotlivcům i organizacím úspěšně realizovat projekty.
Behavioral Change Management (BCM) - (ěízení změn)
Projekty zavádění novinek či změn jsou velmi často zaměřeny pouze na technické či organizační změny a neřeší dostatečně v úvahu lidskou stránku změny. Proti změnám pak vzniká zjevná či skrytá rezistence u různých skupin pracovníků. Je zřejmé, že podmínky pro uskutečnění změny jsou pro každou organizaci individuální. Metodika BCM je zaměřena na dosažení výsledků nejen v oblasti technické a materiální či finanční, ale také na výsledky v chování a jednání pracovníků a jejich výkonnosti.
Úkolem metodiky BCM je řízení změn a aktivně vytváří podporu mezi zaměstnanci pro úspěch implementovaných změn.
ěízení změny vyžaduje vyřešení klíčových komponent, tvořících náplň změnových projektů:
• Analýza změny;
• Zapojení aktérů do změny;
• Realizace změny a zajištění následných výsledků.
Metodika BCM bude použita pro návrh životního cyklu projektů charakteru změn.
Podmínky a potěebné součinnosti pro poskytnutí služby
Poskytnutí následující dokumentace v aktuálních verzích (pokud existuje):
• metodiky řízení IKT projektů a procesů v rámci ČSSZ,
• směrnice provozu IKT,
• přehled aktuální dokumentace relevantní k ISO 20 000 (politiky, směrnice, záznamy) pro vybrané IT procesy,
• Strategie rozvoje IKT ČSSZ,
• aktuálně realizované a připravované požadavky na IKT v rámci ČSSZ,
• katalog rizik projektů v oblasti IKT v rámci ČSSZ,
• používané postupy pro akceptaci a přejímání výstupů projektů v oblasti IKT v rámci ČSSZ. Zajištění schůzek s následujícími rolemi (osobami):
• zástupci Zadavatele odpovědní za projektové řízení v oblasti IKT,
• zástupci Zadavatele odpovědní za řízení rizik a změn projektů v oblasti IKT,
• specialisté Zadavatele z útvarů řešících problematiku IKT.
Připomínkování předložených výstupů věcně příslušnými zástupci Zadavatele a akceptace finálních verzí těchto výstupů.
Službu budeme realizovat v sídle Zadavatele i v sídle Dodavatele dle aktuální potřeby. Softwarové i hardwarové vybavení pro provoz projektové kanceláře bude zajištěno Zadavatelem. V případě zpracování dat mimo projektovou kancelář, tj. v sídle Dodavatele, bude zajištěna ochrana zpracovávaných dat v souladu s bezpečnostními standardy Dodavatele.
Návaznosti služby na ostatní poskytované služby
Aktivity v rámci této služby jsou součástí služeb projektové kanceláře a předpokládají úzkou vazbu s těmito službami:
• Podpora Zadavatele při přípravě a realizaci požadavků;
• Administrativní podpora výběrových řízení;
• Zajištění správy projektové a provozní dokumentace;
• Podpora Zadavatele při operativních činnostech.
Aktivity v rámci této služby budou mít rovněž vazbu na následující služby:
• Podpora systému řízení bezpečnosti informací (ISMS);
• Podpora systému řízení kontinuity;
• Implementace systému řízení IKT služeb;
• ěízení vztahu zadavatele s provozovateli jednotlivých IKT systémů;
• Implementace procesů centrální podpory uživatelů;
• Koncepční a strategické služby systémové integrace;
• Realizační služby systémové integrace.
Odhadovaná pracnost nutná pro poskytnutí služby
Služba | Odhadovaná pracnost (v ČLD) |
Zpracování Metodiky řízení projektů | 50 |
Zpracování Katalogu a plánu požadavků na IKT | 80 |
Vypracování zpráv o stavu projektů IKT | 100 |
Vypracování Katalogu projektových rizik | 80 |
Zpracování zápisů z jednání projektových týmů | 80 |
Sestavení Katalogu požadavků na změnu | 70 |
Sestavení Katalogu projektových problémů | 70 |
Zpracování Metodiky akceptace a přejímání výstupů projektů v oblasti IKT | 50 |
Celkem | 580 |
Celkový předpokládaný objem dílčích služeb – Podpora a prosazení koordinačních služeb – za dobu trvání projektu bude činit 580 ČLD.
Podpora Zadavatele pěi pěípravě a realizaci požadavků (projektových a investičních záměrů, požadavků na změnu)
Název služby
Podpora Zadavatele při přípravě a realizaci požadavků (projektových a investičních záměrů, požadavků na změnu)
Za jakým účelem je služba poskytována
Podporou Zadavatele při realizaci požadavků se rozumí konzultační a poradenské služby při přípravě a realizaci požadavků (projektových a investičních záměrů, požadavků na změnu) v oblasti IKT obsahující odbornou a administrativní podporu projektové kanceláře Zadavatele a dalších organizačních složek Zadavatele při realizaci IKT projektů. Zadavatel požaduje dodat následující poradenské a konzultační služby:
• podpora při definování věcné náplně požadavků v souladu se strategickými dokumenty IKT a potřebami Zadavatele,
• podpora při definování a specifikaci rozsahu a struktury činností a služeb vyplývajících z definovaného
předmětu a ověření souladu se strategickými dokumenty IKT a potřebami Zadavatele,
• podpora při vyhodnocování parametrů měření, monitoringu plnění předmětu smluvních ujednání,
• podpora při kontrole harmonogramu realizace požadavků,
• podpora při kontrole způsobu plnění předmětu smluvního ujednání a dodržování pravidel změnových
řízení, včetně administrace požadavků na změny,
• podpora při vyhodnocování ustanovení vztahujících se k bezpečnosti informačních a komunikačních technologií Zadavatele, ochrany dat a informací, ustanovení o obchodním tajemství a rozsahu a způsobu zveřejňování informací,
• podpora při vyhodnocování SLA parametrů jak pro vývoj, testování, provoz, servis, podporu a údržbu
předmětu smluvního ujednání.
Způsob/postup poskytnutí služby
Provedení služby navrhujeme rozdělit na části podle věcného obsahu činností, které budou v rámci poskytování služby prováděny. Navrhujeme následující členění a způsob provedení:
1) Definování věcné náplně požadavků
• provedeme analýzu strategických dokumentů Zadavatele v oblasti IKT;
• zrealizujeme strukturované rozhovory s věcně příslušnými zástupci Zadavatele za účelem vymezení potřeb Zadavatele v oblasti IKT;
• poskytneme podporu Xxxxxxxxxx při definování věcné náplně požadavků v souladu se strategickými dokumenty IKT a potřebami Zadavatele;
• zaneseme definované požadavky do Katalogu a plánu požadavků na IKT.
2) Definování a specifikace rozsahu a struktury činností a služeb
• poskytneme podporu Xxxxxxxxxx při definování a specifikaci rozsahu a struktury činností a služeb vyplývajících z definovaného předmětu;
• budeme spolupracovat na ověření souladu se strategickými dokumenty IKT a identifikovanými potřebami Zadavatele.
3) Vyhodnocování parametrů měěení, monitoringu plnění pěedmětu smluvních ujednání
• poskytneme podporu Zadavateli při vyhodnocování parametrů měření a monitoringu plnění předmětu smluvních ujednání pro realizaci projektů IKT s cílem dosažení požadované kvality výstupů projektů.
4) Kontrola harmonogramu realizace požadavků
• poskytneme podporu Xxxxxxxxxx při provádění kontroly plnění harmonogramu realizace požadavků nastaveného v rámci Katalogu a plánu požadavků na IKT, aby byly eliminovány odchylky od nastaveného časového plánu.
5) Kontrola způsobu plnění pěedmětu smluvního ujednání a dodržování pravidel změnových ěízení
• poskytneme podporu Zadavateli při kontrole způsobu plnění předmětu smluvního ujednání a dodržování pravidel změnových řízení;
• budeme spolupracovat na zajištění administrace požadavků na změny, které budou obsaženy v Katalogu požadavků na změnu na základě výsledků obsažených ve zprávách z kontrol projektu (dodržování časového plánu, plnění kvality, dodržování nákladů, řízení rizik). Poskytneme podporu při přípravě podkladů k zahájení a projednávání změnových řízení projektu.
6) Vyhodnocování ustanovení vztahujících se k bezpečnosti IKT
• poskytneme podporu Xxxxxxxxxx při vyhodnocování ustanovení vztahujících se k bezpečnosti informačních a komunikačních technologií Zadavatele, ochrany dat a informací, ustanovení o obchodním tajemství a rozsahu a způsobu zveřejňování informací.
7) Vyhodnocování SLA parametrů
• poskytneme podporu Zadavateli při vyhodnocování SLA parametrů pro vývoj, testování, provoz, servis, podporu a údržbu předmětu smluvního ujednání, nastavíme postupy pro vyhodnocování těchto parametrů a budeme spolupracovat na vlastním vyhodnocení.
Provedení jednotlivých částí navrhujeme realizovat podle následujícího časového harmonogramu:
Etapa | Délka trvání (týdnů) | Odhadovaná pracnost (v ČLD) | |
1. | Výše definované činnosti budou realizovány průběžně dle potřeby a požadavků Zadavatele. | Ad hoc dle náročnosti konkrétního případu | 650 |
Výstupy služby
1. Definované požadavky včetně specifikace rozsahu a struktury činností a služeb;
2. Výsledky kontrol realizace projektů včetně realizace změn;
3. Výsledky vyhodnocení bezpečnosti IKT a ochrany dat a informací;
4. Výsledky vyhodnocení SLA parametrů.
Rozsah poskytnuté služby
Celkový pěedpokládaný objem dílčích služeb – Podpora Zadavatele pěi pěípravě a realizaci požadavků – za dobu trvání projektu bude činit 650 ČLD.
Výše uvedené činnosti budou realizovány v oblasti IKT Zadavatele na vybraných klíčových projektech zaměřených na rozvoj IKT v rámci organizace Zadavatele. Další upřesnění rozsahu této služby bude provedeno v rámci úvodní konzultace se Zadavatelem při zahájení realizace této služby.
Metodiky a standardy využité pěi poskytování služby
Při poskytování služby se budeme řídit doporučeními, která jsou uvedena v následujících metodikách a standardech:
• existující metodiky řízení IKT projektů a procesů v organizaci Zadavatele,
• ISO/IEC 20000:1 – Management služeb, část 1: Specifikace (v aktuální verzi z roku 2011)
• ISO/IEC 20000:2 – Management služeb, část 2: Soubor postupů (v aktuální verzi z roku 2012)
• interní KPMG metodiky pro řízení nákupu a dodávek IT služeb a technických řešení např. KPMG
Supplier management methodology (metodiky pro řízení dodavatelů), KPMG Vendor and system selection methodology (metodika pro výběr systému a dodavatele), KPMG Sourcing Methodology (metodika pro řízení zdrojů)
• ISO 10006,
• PRINCE2,
• PMBOK
Podmínky a potěebné součinnosti pro poskytnutí služby
Poskytnutí následující dokumentace v aktuálních verzích (pokud existuje):
• metodiky řízení IKT projektů a procesů v rámci ČSSZ,
• aktuálně realizované a připravované požadavky na IKT v rámci ČSSZ,
• strategické dokumenty ČSSZ v oblasti IKT a potřeby Zadavatele. Zajištění schůzek s následujícími rolemi (osobami):
• zástupci Zadavatele odpovědní za realizaci projektů IKT,
• specialisté Zadavatele z útvarů řešících problematiku IKT.
Připomínkování předložených výstupů věcně příslušnými zástupci Zadavatele a akceptace finálních verzí těchto výstupů.
Službu budeme realizovat v sídle Zadavatele i v sídle Dodavatele dle aktuální potřeby. Softwarové i hardwarové vybavení pro provoz projektové kanceláře bude zajištěno Zadavatelem. V případě zpracování dat mimo projektovou kancelář, tj. v sídle Dodavatele, bude zajištěna ochrana zpracovávaných dat v souladu s bezpečnostními standardy Dodavatele.
Návaznosti služby na ostatní poskytované služby
Aktivity v rámci této služby jsou součástí služeb projektové kanceláře a předpokládají úzkou vazbu s těmito službami:
• Podpora a prosazení koordinačních služeb;
• Administrativní podpora výběrových řízení;
• Zajištění správy projektové a provozní dokumentace;
• Podpora Zadavatele při operativních činnostech.
Aktivity v rámci této služby budou mít rovněž vazbu na následující služby:
• Podpora systému řízení bezpečnosti informací (ISMS);
• Podpora systému řízení kontinuity;
• Implementace systému řízení IKT služeb;
• ěízení vztahu zadavatele s provozovateli jednotlivých IKT systémů;
• Implementace procesů centrální podpory uživatelů;
• Koncepční a strategické služby systémové integrace;
• Realizační služby systémové integrace.
Odhadovaná pracnost nutná pro poskytnutí služby
Služba | Odhadovaná pracnost (v ČLD) |
Výše definované činnosti budou realizovány průběžně dle potřeby a požadavků Zadavatele. | 650 |
Celkem | 650 |
Celkový předpokládaný objem dílčích služeb – Podpora Zadavatele při přípravě a realizaci požadavků – za dobu trvání projektu bude činit 650 ČLD.
Administrativní podpora výběrových ěízení
Název služby
Administrativní podpora výběrových řízení
Za jakým účelem je služba poskytována
Administrativní podporou Zadavatele výběrových řízení se rozumí konzultační a poradenské služby při přípravě, realizaci a vyhodnocování veřejných zakázek v oblasti IKT obsahující odbornou a administrativní podporu projektové kanceláře Zadavatele, dalších organizačních složek Zadavatele, případně externích spolupracujících subjektů (např. subjektů poskytující služby právního poradenství). Zadavatel požaduje dodat poradenské a konzultační služby zejména v oblasti přípravy a správy dokumentace veřejné zakázky případně na vyžádání i hodnotící komise Zadavatele.
Způsob/postup poskytnutí služby
Provedení služby navrhujeme rozdělit na části podle věcného obsahu činností, které budou v rámci poskytování služby prováděny. Navrhujeme následující členění a způsob provedení:
1) Podpora pěi pěípravě a správě dokumentace veěejné zakázky
Poskytneme podporu Xxxxxxxxxx při přípravě a správě dokumentace veřejné zakázky zejména v následujících oblastech:
• příprava zadávací dokumentace na základě požadavků věcně příslušného útvaru Zadavatele (technická specifikace, obchodní podmínky, hodnotící kritéria);
• příprava výzvy k podání nabídek;
• zpracování protokolu o otevírání obálek;
• příprava prohlášení o nepodjatosti členů hodnotící komise;
• zpracování oznámení o vyloučení uchazeče;
• příprava zprávy o posouzení a hodnocení nabídek;
• příprava podkladů pro rozhodnutí vedení Zadavatele o výběru vítězného uchazeče;
• zpracování oznámení o výběru nejvhodnější nabídky;
• příprava rozhodnutí o námitce vznesené uchazečem;
• příprava smlouvy pro vítězného uchazeče;
• příprava rozhodnutí, usnesení a oznámení o zrušení veřejné zakázky;
• správa a archivace kompletní dokumentace k veřejné zakázce.
2) Podpora hodnotící komise Zadavatele
Na základě požadavku Zadavatele poskytneme podporu hodnotící komisi Zadavatele zejména v následujících oblastech:
• posouzení splnění kvalifikačních předpokladů;
• vyhodnocení předložených nabídek dle stanovených hodnotících kritérií;
• zpracování stanoviska k případné námitce vznesené uchazečem.
Provedení jednotlivých částí navrhujeme realizovat podle následujícího časového harmonogramu:
Etapa | Délka trvání (týdnů) | Odhadovaná |
pracnost (v ČLD) | |||
1. | Podpora při přípravě a správě dokumentace veřejné zakázky | 2 – 4 týdny / 1 veřejná zakázka (dle náročnosti) | 160 |
2. | Podpora hodnotící komise Zadavatele – na základě požadavku Zadavatele | Ad hoc dle náročnosti konkrétního případu | 40 |
Výstupy služby
1. Dokumentace veřejné zakázky;
2. Služby poskytnuté hodnotící komisi.
Rozsah poskytnuté služby
Celkový předpokládaný objem dílčích služeb – Administrativní podpora výběrových řízení – za dobu trvání projektu bude činit 200 ČLD.
Výše uvedené činnosti budou realizovány v oblasti IKT Zadavatele na vybraných klíčových projektech zaměřených na rozvoj IKT v rámci organizace Zadavatele. Další upřesnění rozsahu této služby bude provedeno v rámci úvodní konzultace se Zadavatelem při zahájení realizace této služby.
Metodiky a standardy využité pěi poskytování služby
Při poskytování služby se budeme řídit doporučeními, která jsou uvedena v následujících metodikách a standardech:
• vnitřní řídící předpis ČSSZ v oblasti zadávání veřejných zakázek;
• interní KPMG metodiky pro řízení nákupu a dodávek IT služeb a technických řešení např. KPMG Supplier management methodology (metodiky pro řízení dodavatelů) , KPMG Vendor and system selection methodology (metodika pro výběr systému a dodavatele), KPMG Sourcing Methodology (metodika pro řízení zdrojů);
• relevantní zákonné a podzákonné právní normy upravující oblast zadávání veřejných zakázek.
Podmínky a potěebné součinnosti pro poskytnutí služby
Poskytnutí následující dokumentace v aktuálních verzích (pokud existuje):
• vnitřní řídící předpis ČSSZ v oblasti zadávání veřejných zakázek;
• seznam připravovaných veřejných zakázek v rámci ČSSZ.
Zajištění schůzek s následujícími rolemi (osobami):
• zástupci Zadavatele odpovědní za proces zadávání veřejných zakázek,
• specialisté Zadavatele z útvarů řešících problematiku IKT.
Připomínkování předložených výstupů věcně příslušnými zástupci Zadavatele a akceptace finálních verzí těchto výstupů.
Službu budeme realizovat v sídle Zadavatele i v sídle Dodavatele dle aktuální potřeby. Softwarové i hardwarové vybavení pro provoz projektové kanceláře bude zajištěno Zadavatelem. V případě zpracování dat mimo projektovou kancelář, tj. v sídle Dodavatele, bude zajištěna ochrana zpracovávaných dat v souladu s bezpečnostními standardy Dodavatele.
Návaznosti služby na ostatní poskytované služby
Aktivity v rámci této služby jsou součástí služeb projektové kanceláře a předpokládají úzkou vazbu s těmito službami:
• Podpora a prosazení koordinačních služeb
• Podpora Zadavatele při přípravě a realizaci požadavků;
• Zajištění správy projektové a provozní dokumentace;
• Podpora Zadavatele při operativních činnostech.
Aktivity v rámci této služby budou mít rovněž vazbu na následující služby:
• Podpora systému řízení bezpečnosti informací (ISMS);
• Podpora systému řízení kontinuity;
• Implementace systému řízení IKT služeb;
• ěízení vztahu zadavatele s provozovateli jednotlivých IKT systémů;
• Implementace procesů centrální podpory uživatelů;
• Koncepční a strategické služby systémové integrace;
• Realizační služby systémové integrace.
Odhadovaná pracnost nutná pro poskytnutí služby
Služba | Odhadovaná pracnost (v ČLD) |
Podpora při přípravě a správě dokumentace veřejné zakázky | 160 |
Podpora hodnotící komise Zadavatele – na základě požadavku Zadavatele | 40 |
Celkem | 200 |
Celkový předpokládaný objem dílčích služeb – Administrativní podpora výběrových řízení – za dobu trvání projektu bude činit 200 ČLD.
Zajištění správy projektové a provozní dokumentace IKT
Název služby
Zajištění správy projektové a provozní dokumentace IKT
Za jakým účelem je služba poskytována
V rámci poskytování služeb podpory Zadavatele při operativních činnostech požaduje Zadavatel konzultační a poradenské služby zahrnující odbornou a administrativní podporu organizačních složek Zadavatele při přípravě a správě dokumentace IKT:
• projektové (za jednotlivé projekty),
• požadavků (pro všechny změnové požadavky),
• provozní (zejména vyhodnocování SLA parametrů služeb poskytovaných externími poskytovateli).
Způsob/postup poskytnutí služby
Provedení služby navrhujeme rozdělit na části podle věcného obsahu činností, které budou v rámci poskytování služby prováděny. Navrhujeme následující členění a způsob provedení:
1) Pěíprava a správa projektové dokumentace za jednotlivé projekty
• poskytneme Zadavateli odbornou a administrativní podporu při přípravě a správědokumentace za jednotlivé projekty IKT (projektový záměr, dokumentace veřejné zakázky projektu, specifikace předmětu řešení, harmonogram projektu, rozpočet projektu, základní dokument projektu, ostatní dokumentace – e-mailové zprávy, prezentace, dokumenty spolupracujících subjektů.
2) Pěíprava a správa dokumentace požadavků pro všechny změnové požadavky
• poskytneme Zadavateli odbornou a administrativní podporu při přípravě a správě dokumentace požadavků pro všechny změnové požadavky (výsledky zpráv z kontrol projektů (dodržování časového plánu, plnění kvality, dodržování nákladů, řízení rizik), další dokumenty obsahující požadavky na změnu projektů, podklady k zahájení a projednávání změnových řízení projektu).
3) Pěíprava a správa provozní dokumentace
• poskytneme Zadavateli odbornou a administrativní podporu při přípravě a správě provozní dokumentace, zejména pak při vyhodnocování SLA parametrů služeb poskytovaných externími poskytovateli.
Všechna výše uvedená projektová a provozní dokumentace bude ukládána do složky projektu založené v úložišti elektronických dokumentů poskytnutém pro tyto účely Zadavatelem.
Provedení jednotlivých částí navrhujeme realizovat podle následujícího časového harmonogramu:
Etapa | Délka trvání (týdnů) | Odhadovaná pracnost (v ČLD) | |
1. | Výše definované činnosti budou realizovány průběžně dle potřeby a požadavků Zadavatele. | Činnosti budou vykonávány dle potřeby průběžně | 390 |
Výstupy služby
1. Projektová dokumentace k jednotlivým projektům;
2. Dokumentace k jednotlivým změnovým požadavkům;
3. Provozní dokumentace.
Rozsah poskytnuté služby
Celkový předpokládaný objem dílčích služeb – Zajištění správy projektové a provozní dokumentace – za dobu trvání projektu bude činit 390 ČLD.
Výše uvedené činnosti budou realizovány v oblasti IKT Zadavatele na vybraných klíčových projektech zaměřených na rozvoj IKT v rámci organizace Zadavatele. Další upřesnění rozsahu této služby bude provedeno v rámci úvodní konzultace se Zadavatelem při zahájení realizace této služby.
Metodiky a standardy využité pěi poskytování služby
Při poskytování služby se budeme řídit doporučeními, která jsou uvedena v následujících metodikách a standardech:
• existující metodiky řízení IKT projektů a procesů v organizaci Zadavatele,
• existující vnitřní předpisy Zadavatele v oblasti přípravy a správy projektové a provozní dokumentace IKT,
• ISO 10006,
• PRINCE2,
• PMBOK.
Podmínky a potěebné součinnosti pro poskytnutí služby
Poskytnutí následující dokumentace v aktuálních verzích (pokud existuje):
• stávající metodiky řízení IKT projektů a procesů v rámci ČSSZ,
• vnitřní předpisy ČSSZ v oblasti přípravy a správy projektové a provozní dokumentace IKT. Zajištění schůzek s následujícími rolemi (osobami):
• zástupci Zadavatele odpovědní za projektové řízení,
• zástupci Zadavatele odpovědní za řízení rizik a změn,
• specialisté Zadavatele z útvarů řešících problematiku IKT.
Připomínkování předložených výstupů věcně příslušnými zástupci Zadavatele a akceptace finálních verzí těchto výstupů.
Službu budeme realizovat v sídle Zadavatele i v sídle Dodavatele dle aktuální potřeby. Softwarové i hardwarové vybavení pro provoz projektové kanceláře bude zajištěno Zadavatelem. V případě zpracování dat mimo projektovou kancelář, tj. v sídle Dodavatele, bude zajištěna ochrana zpracovávaných dat v souladu s bezpečnostními standardy Dodavatele.
Návaznosti služby na ostatní poskytované služby
Aktivity v rámci této služby jsou součástí služeb projektové kanceláře a předpokládají úzkou vazbu s těmito službami:
• Podpora a prosazení koordinačních služeb
• Podpora Zadavatele při přípravě a realizaci požadavků;
• Administrativní podpora výběrových řízení;
• Podpora Zadavatele při operativních činnostech.
Aktivity v rámci této služby budou mít rovněž vazbu na následující služby:
• Podpora systému řízení bezpečnosti informací (ISMS);
• Podpora systému řízení kontinuity;
• Implementace systému řízení IKT služeb;
• ěízení vztahu zadavatele s provozovateli jednotlivých IKT systémů;
• Implementace procesů centrální podpory uživatelů;
• Koncepční a strategické služby systémové integrace;
• Realizační služby systémové integrace.
Odhadovaná pracnost nutná pro poskytnutí služby
Služba | Odhadovaná pracnost (v ČLD) |
Výše definované činnosti budou realizovány průběžně dle potřeby a požadavků Zadavatele. | 390 |
Celkem | 390 |
Celkový předpokládaný objem dílčích služeb – Zajištění správy projektové a provozní dokumentace – za dobu trvání projektu bude činit 390 ČLD.
Podpora Zadavatele pěi operativních činnostech
Název služby
Podpora Zadavatele při operativních činnostech
Za jakým účelem je služba poskytována
V rámci poskytování služeb podpory Zadavatele při operativních činnostech, požaduje Zadavatel konzultační a poradenské služby, kdy výsledky budou:
• podpora Zadavatele při přípravě plánování finančních rozpočtů pro oblast IKT,
• průběžné sledování čerpání rozpočtu IKT a vyhodnocování plnění,
• příprava, sledování a vyhodnocování čerpání finančních prostředků Zadavatele do oblasti IKT,
• podpora Zadavatele v činnostech souvisejících se schvalováním rozpočtu IKT,
• návrhy na optimalizaci nákladů na externí dodávky a poskytované služby.
Způsob/postup poskytnutí služby
Provedení služby navrhujeme rozdělit na části podle věcného obsahu činností, které budou v rámci poskytování služby prováděny. Navrhujeme následující členění a způsob provedení:
1) Plánování finančních rozpočtů pro oblast IKT
• poskytneme Zadavateli podporu při přípravě plánování finančních rozpočtů pro oblast IKT (provozních a investičních nákladů) ve struktuře jednotlivých rozpočtových položek (projekt, změnový požadavek, a další);
• na základě principů nejlepší praxe posoudíme strukturu rozpočtu projektu a výši prostředků alokovaných na jednotlivé položky rozpočtu.
2) Sledování čerpání rozpočtu IKT
• budeme průběžně sledovat čerpání rozpočtu IKT ve struktuře jednotlivých rozpočtových položek;
• plnění jednotlivých položek rozpočtu IKT budeme průběžně vyhodnocovat a v případě potřeby navrhovat účinná opatření pro optimalizaci čerpání položek rozpočtu IKT.
3) Sledování a vyhodnocování čerpání finančních prostěedků
• připravíme systém pro sledování a vyhodnocování čerpání finančních prostředků;
• budeme průběžně sledovat a vyhodnocovat čerpání finančních prostředků Zadavatele do oblasti IKT, a to v oblasti:
o investiční (projekty, požadavky na změnu) i
o provozní (provozní náklady související s provozem IKT Zadavatele).
4) Schvalování rozpočtu IKT
• poskytneme Zadavateli podporu v činnostech souvisejících se schvalováním rozpočtu IKT resp. jeho jednotlivých položek (např. při přípravě a schvalování investičních záměrů v rámci rozpočtové kapitoly MPSV),
5) Optimalizace nákladů na externí dodávky a poskytované služby
• připravíme návrh systému pro optimalizaci nákladů na externí dodávky a poskytované služby a zpracujeme konkrétní návrhy na optimalizaci těchto nákladů;
• provedeme analýzu aktuálního stavu a zpracujeme doporučení nejvhodnějších opatření u dodavatelů / poskytovatelů externích dodávek a služeb.
Provedení jednotlivých částí navrhujeme realizovat podle následujícího časového harmonogramu:
Etapa | Délka trvání (týdnů) | Odhadovaná |
pracnost (v ČLD) | |||
1. | Výše definované činnosti budou realizovány průběžně dle potřeby a požadavků Zadavatele. | Činnosti budou vykonávány dle potřeby průběžně, proporcionálně vzhledem k délce trvání zakázky, na základě požadavků Zadavatele | 260 |
Výstupy služby
1. Připomínky k finančním rozpočtům pro oblast IKT;
2. Návrhy opatření na optimalizaci nákladů v oblasti IKT;
3. Návrhy doporučení pro úspory nákladů v oblasti IKT.
Rozsah poskytnuté služby
Celkový předpokládaný objem dílčích služeb – Podpora Zadavatele při operativních činnostech – za dobu trvání projektu bude činit 260 ČLD.
Výše uvedené činnosti budou realizovány v oblasti IKT Zadavatele na vybraných klíčových projektech zaměřených na rozvoj IKT v rámci organizace Zadavatele. Další upřesnění rozsahu této služby bude provedeno v rámci úvodní konzultace se Zadavatelem při zahájení realizace této služby.
Metodiky a standardy využité pěi poskytování služby
Při poskytování služby se budeme řídit doporučeními, která jsou uvedena v následujících metodikách a standardech:
• existující metodiky řízení IKT projektů a procesů v organizaci Zadavatele,
• existující vnitřní předpisy ČSSZ pro přípravu, schvalování a vyhodnocování čerpání finančních rozpočtů;
• ITIL – IT Financial Management;
• Relevantní části metodik ISO 10006, PRINCE2, PMBOK.
Podmínky a potěebné součinnosti pro poskytnutí služby
Poskytnutí následující dokumentace v aktuálních verzích (pokud existuje):
• metodiky řízení IKT projektů a procesů v rámci ČSSZ,
• vnitřní předpisy ČSSZ pro přípravu, schvalování a vyhodnocování čerpání finančních rozpočtů,
• finanční rozpočet IKT a informace o stavu jeho čerpání,
• Strategie rozvoje IKT,
• investiční záměry a plánované projekty IKT. Zajištění schůzek s následujícími rolemi (osobami):
• zástupci Zadavatele odpovědní za projektové řízení,
• zástupci Zadavatele odpovědní za přípravu rozpočtů projektů,
• specialisté Zadavatele z útvarů řešících problematiku IKT.
Připomínkování předložených výstupů věcně příslušnými zástupci Zadavatele a akceptace finálních verzí těchto výstupů.
Službu budeme realizovat v sídle Zadavatele i v sídle Dodavatele dle aktuální potřeby. Softwarové i hardwarové vybavení pro provoz projektové kanceláře bude zajištěno Zadavatelem. V případě zpracování dat mimo projektovou kancelář, tj. v sídle Dodavatele, bude zajištěna ochrana zpracovávaných dat v souladu s bezpečnostními standardy Dodavatele.
Návaznosti služby na ostatní poskytované služby
Aktivity v rámci této služby jsou součástí služeb projektové kanceláře a předpokládají úzkou vazbu s těmito službami:
• Podpora a prosazení koordinačních služeb;
• Podpora Zadavatele při přípravě a realizaci požadavků;
• Administrativní podpora výběrových řízení;
• Zajištění správy projektové a provozní dokumentace.
Aktivity v rámci této služby budou mít rovněž vazbu na následující služby:
• Podpora systému řízení bezpečnosti informací (ISMS);
• Podpora systému řízení kontinuity;
• Implementace systému řízení IKT služeb;
• ěízení vztahu zadavatele s provozovateli jednotlivých IKT systémů;
• Implementace procesů centrální podpory uživatelů;
• Koncepční a strategické služby systémové integrace;
• Realizační služby systémové integrace.
Odhadovaná pracnost nutná pro poskytnutí služby
Služba | Odhadovaná pracnost (v ČLD) |
Výše definované činnosti budou realizovány průběžně dle potřeby a požadavků Zadavatele. | 260 |
Celkem | 260 |
Celkový předpokládaný objem dílčích služeb – Podpora Zadavatele při operativních činnostech – za dobu trvání projektu bude činit 260 ČLD.
- Služby bezpečnosti informací
Podpora systému ěízení bezpečnosti informací (ISMS)
Název služby
Podpora systému řízení bezpečnosti informací (ISMS)
Za jakým účelem je služba poskytována
Zadavatel má od roku 2006 vytvořen dokument „Bezpečnostní politika informací ČSSZ“ a návaznosti na něj poskytneme služby v oblasti systému řízení bezpečnosti informací (ISMS) v souladu s normou ČSN ISO/IEC 27001; Poskytnutí poradenských a konzultačních služeb bude provedeno za účelem vytvoření, zavedení, provozování a optimalizace ISMS, jeho procesů, postupů včetně vytvoření kompletní dokumentační základny, která se k tomuto systému řízení vztahuje s důrazem na IKT.
Plnění služeb bude realizováno tak, aby ke dni ukončení činnosti poskytování služeb
Dodavatelem (ukončení projektu) byla organizace Zadavatele pěipravena na certifikaci systému ěízení bezpečnosti informací dle ČSN ISO/IEC 27001 formou provedení předcertifikačního auditu.
Způsob/postup poskytnutí služby
V rámci podpory při systému řízení bezpečnosti informací bude na základě požadavku Xxxxxxxxxx realizace poradenských a konzultačních služeb bude provedena v následujících dílčích službách/oblastech:
• Podpora systému řízení bezpečnosti informací (dále „ISMS“) – návrh, aktualizace, rozšíření, a komplexní podpora zavedení systému řízení informační bezpečnosti a přípravy k certifikaci vytvořeného systému řízení bezpečnosti informací (detailní zpmsob/postup poskytnutí popsán v následující části dokumentu).
• Podpora systému řízení kontinuity – návrh a rozšíření oblasti kontinuity činností napříč celou organizací zadavatele a přípravě k certifikaci tohoto systému (detailní zpmsob/postup poskytnutí popsán v následující kapitole).
Provedení služby Podpora systému řízení bezpečnosti informací navrhujeme rozdělit na části podle věcného obsahu činností, které budou v rámci poskytování služby prováděny.
Vytvoǔení systému ǔízení informační bezpečnosti
Vytvoříme nebo aktualizujeme základní rámec systému ISMS v prostředí organizace s důrazem na IKT. V rámci této aktivity provedeme následující činnosti včetně vytvoření těchto výstupů:
• Definování rozsahu řešení ISMS z hlediska zapojených organizačních složek, vybraných prostor, definovaných aktiv a technologií.
• Nastavení cílů ISMS, kterých má být dosaženo v rámci řešení bezpečnosti informací v určeném rozsahu; cíle budou konkrétně stanoveny na stanovené období poskytování služeb tj. do konce roku 2015.
• Zpracování bezpečnostní politiky informací ve formě závazného koncepčního a strategického dokumentu zadavatele obsahující strategii, pravidla a zásady bezpečnosti informací s důrazem na následující oblasti:
o definování odpovědností za oblast bezpečnosti,
o definování a popis procesů ISMS a
o popis zaváděných bezpečnostních zásad v rámci jednotlivých oblastí bezpečnosti.
Hodnocení a ǔízení rizik
Provedeme hodnocení a zavedeme řízení rizik v souladu s příslušnou normou systému ISMS a v rámci poskytovaných služeb budeme vykonávat zejména následující činnosti:
• zavedení systematického přístupu k hodnocení rizik a aktualizace metodologie pro provádění analýzy rizik,
• identifikování rizik (skrze identifikování aktiv, potenciálních hrozeb, zranitelností, a dopadů),
• hodnocení rizik (včetně hodnocení míry pravděpodobnosti, výše možné škody) a nastavení úrovně akceptovatelnosti,
• zpracování zprávy o hodnocení rizik,
• výběr cílů opatření a jednotlivých opatření, která budou vybírána z:
o přílohy A normy ISO/IEC 27001 (rozpracování v ISO/IEC 27002) a
o vybraných bezpečnostních profilů dle normy ISO/IEC 15408,
• identifikování a hodnocení variant pro řízení rizik,
• projednání a odsouhlasení návrhu zbytkových rizik,
• návrh prohlášení o aplikovatelnosti,
• návrh plánu zvládání rizik.
Výstupem výše uvedených činností budou následující dokumenty (buď formou aktualizace existujících, nebo vytvořením nových dokumentů):
• Zpráva o hodnocení rizik,
• Prohlášení o aplikovatelnosti bezpečnostních opatření,
• Plán zvládání rizik.
Implementace bezpečnostních opatǔení
Po realizaci činností uvedených výše a po akceptaci výstupů Zadavatelem, vytvoříme směrnice ISMS a poskytneme součinnost určeným pracovníkům Zadavatele při jejich projednání, schvalování a následnému vydání ve formě závazných interních předpisů (směrnice a metodické pokyny) Zadavatele a jejich prosazení.
Dle požadavků zadavatele aktualizujeme a/nebo vytvoříme bezpečnostní směrnice a metodické pokyny v následujícím rozsahu:
• Bezpečnostní politika informací IKT,
• Působnost a odpovědnost ěídícího výboru bezpečnosti informací;
• Směrnice upravující jednotlivé oblasti bezpečnosti informací s důrazem na popis:
o ěízení aktiv,
o Zajištění bezpečnosti lidských zdrojů,
o Zajištění fyzické bezpečnosti a bezpečnosti IKT,
o Zajištění řízení komunikací a řízení provozu IKT,
o Zajištění řízení přístupu k IKT,
o Akvizice, vývoj a údržba IKT,
o Zvládání bezpečnostních incidentů,
o Zajištění soulady s požadavky legislativy, norem a vnitřní dokumentací,
• Směrnice upravující postupy ochrany osobních údajů v IKT,
• Uživatelská příručka (Příručka uživatele IKT),
• Působnost a odpovědnost role Bezpečnostní manažer,
• Působnost a odpovědnost role Administrátora bezpečnosti ICT,
• Působnost a odpovědnost role externího subjektu se smluvním vztahem k zadavateli (tj. dodavatelé a poskytovatelé).
Školení v oblasti bezpečnosti informací
Dle požadavků Zadavatele poskytneme služby a činnosti vedoucí k vytvoření, prosazení a provedení vzdělávacích aktivit v oblasti bezpečnosti informací, a to v následující formě:
• Zpracování kompletního a aktualizovaného plánu školení a zvyšování bezpečnostního povědomí a vytvoření příslušných školících materiálů k navrhovaným typům školení.
• Školení bezpečnosti informací pro vedoucí zaměstnance, pro bezpečnostní koordinátory a bezpečnostní správce (předpokladem školení je schválení nové Bezpečnostní politiky informací a směrnic ISMS). Školení bude zaměřeno na postupy a zásady, které byly do směrnic a politiky zapracovány, aby se přispělo k jejich zavedení do praxe.
Nastavení auditních procesĤ ISMS a provedení pǔedcertifikačního auditu
Poskytneme služby a činnosti vedoucí k vytvoření, prosazení a provedení systému interních auditů ISMS a to ve formě:
• Zpracování dokumentu definujícího procesy a postupy interních auditů ISMS,
• Zpracování Plánu a programu interních auditů ISMS,
• Vyškolení pracovníků zadavatele k provádění interních auditů ISMS,
• Provedení vzorového interního auditu ISMS, který bude současně předcertifikačním auditem.
Další služby v rámci ISMS
Dle požadavků Zadavatele jako součást konzultačních a poradenských služeb poskytneme následující specifické služby:
• podpora při definici projektových, provozních a smluvních ustanovení vztahujících se k bezpečnosti IKT zadavatele, s důrazem na:
o ochranu dat a informací,
o ustanovení o obchodním tajemství a
o rozsahu a způsobu zveřejňování informací.
• ověření bezpečnostních parametrů IKT prostředí zadavatele prostřednictvím penetračních testů, zejména budou realizovány:
o bezpečnostní testy z vnějšího prostředí,
o bezpečnostní testy z vnitřního prostředí,
o konfigurační testy.
Pro ověření bezpečnostní parametrů na dobu poskytování služeb navrhneme rámcový harmonogram testů a metodiku provádění jednotlivých typů testů.
Provedení jednotlivých částí navrhujeme realizovat podle následujícího časového harmonogramu:
Služba | Délka trvání (týdnů) | |
1. | Vytvoření systému řízení informační bezpečnosti | 8-12 |
2. | Hodnocení a řízení rizik | 8-12 |
3. | Implementace bezpečnostních opatření | 12-40 |
4. | Školení v oblasti bezpečnosti informací | 8-10 |
5. | Nastavení auditních procesů ISMS a předcertifikační audit | 6-8 |
6. | Podpora při definici projektových, provozních a smluvních ustanovení vztahujících se k bezpečnosti IKT Zadavatele | Ad-hoc/dle potřeby |
7. | Ověření bezpečnostních parametrů IKT prostředí | 2-4 týdny na bezpečnostní test 1 vybrané oblasti |
Výstupy služby
1. Strategie ěízení bezpečnosti
• Strategické (dlouhodobé) cíle řízení bezpečnosti, vazba cílů na celkovou strategii organizace a rámcový postup naplnění těchto cílů
2. Bezpečnostní politika
• Výchozí pravidla a zásady bezpečnosti informací (jak na obecné úrovni, tak specifické pro konkrétní oblasti bezpečnosti bude-li to žádoucí)
• Východiska a principy pro stanovení rolí a odpovědností (souvisejících s bezpečností),
• Rámec pro definování a popis procesů ISMS
3. Návrh prohlášení o aplikovatelnosti
• Návrh prohlášení o aplikovatelnosti pro potřeby budoucí certifikace ISMS
4. Směrnice ISMS
• Aktualizované šablona směrnic ISMS
• Aktualizované směrnice (interní předpisy) pro každý stanovený proces a oblast v rozsahu budoucího ISMS (dle návrhu Prohlášení o aplikovatelnosti)
• Směrnice budou obsahovat minimálně rozsah uvedený v ZD; tj. součástí bude Bezpečnostní politika informací IKT, Pmsobnost a odpovědnost Řídícího výboru bezpečnosti informací; Směrnice upravující jednotlivé oblasti bezpečnosti informací (s důrazem na popis: ěízení aktiv, Zajištění bezpečnosti lidských zdrojů, Zajištění fyzické bezpečnosti a bezpečnosti IKT, Zajištění řízení komunikací a řízení provozu IKT, Zajištění řízení přístupu k IKT, Akvizice, vývoj a údržba IKT, Zvládání bezpečnostních incidentů, Zajištění souladu s požadavky legislativy, norem a vnitřní dokumentací), Směrnice upravující postupy ochrany osobních údajm v IKT, Uživatelská příručka (Příručka uživatele IKT), Působnost a odpovědnost role Bezpečnostní manažer, Působnost a odpovědnost role Administrátora bezpečnosti ICT, Působnost a odpovědnost role externího subjektu se smluvním vztahem
k zadavateli (tj. dodavatelé a poskytovatelé).
5. Analýza rizik (Zpráva o hodnocení rizik)
• Identifikované aktiva, hrozby, zranitelnosti, dopady
• Stanovená akceptovatelná míra rizika
• Ohodnocená rizika, kterým jsou stávající aktiva vystavena; rozdělení rizik do tříd nízká, střední, vysoká, popř. kritická
• Stanovení opatření pro rizika v oblasti neakceptovatelných rizik
6. Plán zvládání rizik
• Návrh harmonogramu pro realizaci opatření vycházející z priorit organizace
7. Směrnice ěízení rizik
• Metodický přístup pro provádění analýzy rizik
• Nastavení systematického procesu: obsah, odpovědnosti, frekvence, výstupy,…
8. Školení bezpečnosti informací
• Plán školení a zvyšování bezpečnostního povědomí
• Školící materiály
• Realizovaná školení bezpečnosti informací pro vedoucí zaměstnance, pro bezpečnostní koordinátory a bezpečnostní správce
9. Směrnice interního auditu ISMS
• Proces, aktivity a odpovědnosti související s prováděním interních auditů ISMS
• Plán interního auditu, program interního auditu
10. Pěedcertifikační audit
• Provedený vzorový interní audit ISMS (v rozsahu předcertifikačního auditu)
11. Podpora pěi definici projektových, provozních a smluvních ustanovení vztahujících se k bezpečnosti IKT Zadavatele
• Komentáře/doporučení k smluvním požadavkům v oblasti bezpečnosti
12. Ověěení bezpečnostních parametrů IKT prostěedí
• Rámcový harmonogram testů na dobu poskytování služeb
• Metodika provádění jednotlivých typů testů bezpečnosti
• Výsledky testů bezpečnosti
Rozsah poskytnuté služby
Celkový pěedpokládaný objem dílčích služeb - podpora systému ěízení bezpečnosti informací – za dobu trvání projektu bude činit 1040 ČLD.
Skupina služeb „Podpora systému ěízení bezpečnosti informací (ISMS)“ (výstupy 1-10)
zahrnuje následující prvky:
- ústředí ČSSZ a další organizační složky ČSSZ,
- aplikační vybavení jednotlivých oblastí ČSSZ tak, jak je definováno ve strategii rozvoje IKT související technická infrastruktura ČSSZ
- informace využívané ČSSZ a dalšími organizačními složkami ČSSZ
Přesné vydefinování rozsahu ISMS z hlediska zapojených organizačních složek, vybraných prostor, definovaných aktiv a technologií bude provedeno v úvodních etapách aktivity zavedení ISMS.
Pro skupinu služeb „Podpora systému ěízení bezpečnosti informací (ISMS)“ odhadujeme celkový objem v rozsahu 700 člověkodní.
Rozsah skupiny služeb„Podpora pěi definici projektových, provozních a smluvních ustanovení vztahujících se k bezpečnosti IKT Zadavatele“ bude záviset na počtu projektů/uzavíraných smluv. ěádově odhadujeme 20 ad-hoc konzultací/rok v celkové časové dotaci 100 člověkodní.
Rozsah skupiny služeb „Ověěení bezpečnostních parametrů IKT prostěedí“ vyplyne z výsledků analýzy rizik. Při ověřování/testování bezpečnostních parametrů IKT prostředí se zaměříme na klíčové/kritické oblasti/prvky aplikační/technické infrastruktury – řádově se bude jednat o 10 oblastí/systémů v celkové časové dotaci 240 člověkodní.
Metodiky a standardy využité pěi poskytování služby
Při poskytování služeb budeme vycházet zejména z těchto norem, standardů, legislativy a regulace:
• doporučeními, která jsou uvedena v metodikách a standardech:
o ČSN ISO/IEC 27001
o ISO/IEC 27002
o ISO/IEC 27005
o ISO/IEC 15408
o „Harmonized Threat and Risk Assesment (TRA) Metodology“
o COBIT5
• interní KPMG metodiky a postupy penetrační testování
• povinnostmi, které vyplývají z platné legislativy ČR, zejména pak ze zákonu:
o č. 101/2000 Sb., o ochraně osobních údajů v platném znění,
o č. 227/2000 Sb., o elektronickém podpisu v platném znění,
o č. 365/2000 Sb., o informačních systémech veřejné správy v platném znění,
o č. č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti v platném znění,
o č. 151/2000 Sb., o telekomunikacích a o změně dalších zákonů v platném znění,
o č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon) v platném znění,
o č. 300/2008 Sb. o elektronických úkonech a autorizované konverzi dokumentů v platném znění., která jsou uvedena v metodikách a standardech:
Popis metodiky zavádění a vytvoěení, zavedení, provozování a optimalizace ISMS
Úvod
Pro zavedení a implementaci ISMS navrhujeme využít především normu ČSN ISO/IEC 27001. Její použití bude přizpůsobeno prostředí Zadavatele. Náš základní metodický postup je uveden v následujícím schématu.
Analýza stávajícího stavu a návrh opatření
Vytvoření ISMS
Proces vlastní certifikace
0. Příprava a plánování spolupráce
I. Příprava a provedení analýzy
rizik
IV. Provedení kontroly ISMS
I.1 Analýza současného stavu a rozdílů (vs. ISO
27001)
II.1 Identifikace informačních II.1 Určení směru a rozsahu
aktiv
ISMS
IV.1 Koordinování probíhajících aktivit dle doporučení a nastavených
priorit
V.1 Příprava na certifikační V.2 Podpora při certifikačním audit, příprava dokumentace, auditu (vystupování jménem
předaudit, nastavení procesů interního auditu
Unipetrol.)
I.2 Mapování stávajících a plánovaných procesů na požadavky ISO/IEC 27001
II.2 Hodnocení stávajících bezpečnostních opatření
III.1 Posouzení stávající IV.2 Pravidelný monitoring a dokumentace k zaváděnému reporting o stavu a vývoji
ISMS implementace ISMS
II.3 Analýza hrozeb a zranitelností
I.3 Doporučení na stávající a budoucí úlohy ISMS
II.4 Zpracování výsledků analýzy
I.4 Prioritizace schválených
aktivit a jejich plánování II.5 Detailní analýza rizik
III.2 Průběžná revize a přip omínkování vznikající dokumentace pro ISMS
I.5 Posuzování ZD k
případným novým úlohám v rámci ISMS
II.6 Formulace rizik
II.7 Oponentura výsledků analýzy
VI.1 Kvalita projektu
VI. Řízení a zajištění kvality zakázky (řízení kvality dodávaných výstup ů)
VI.2 Kvalita systému řízení bezpečnosti
III. Implementace ISMS
II. Příprava rámce ISMS
• Bezpečnostní politika
• Bezpečnostní směrnice
V. Podpora při certifikaci ISMS
Pro každou fázi/aktivitu zavedení ISMS je v rámci metodiky zavedení ISMS definován popis vstupů, výstupy, požadované součinnosti včetně šablon. Užití metodiky bude přizpůsobeno konkrétním podmínkám a potřebám ČSSZ.
Projektové ǔízení zavedení ISMS
V rámci řízení služeb zavádění ISMS jsme připraveni zohlednit a využít projektové postupy realizované v rámci přípravy na certifikaci dle ISO/IEC 27001 ve smyslu doporučení udávaných touto normou a normou ISO/IEC 27003:2010. Takovýto přístup zaručí, že nebude zapomenuto
na žádný podstatný detail a pro vlastní auditování systému bude již předem zajištěna standardem uznávaná terminologie, postupy, apod. Další výhodou uvedeného přístupu je ušetření kapacit pro budoucí shromažďování dokumentace a mapování stávajícího stavu na požadavky standardu.
Standard se pro zakládající činnosti systému řízení bezpečnosti informací věnuje tzv. procesům ustanovení, zavádění a provozování. V tomto smyslu budou námi řízeny všechny dílčí projektové úkoly. Postup zavádění ISMS1 dle ISO/IEC zachycuje následující schéma.
Metodika provedení analýzy rizik
Námi běžně aplikovaný postup k provedení analýzy rizik, vycházející z norem ISO/IEC 27005:2008 a ČSN ISO/IEC TR 13335, je znázorněn na následujícím schématu:
1 Information Security Management System (Systému řízení bezpečnosti informací)
Cíle, strategie a politika bezpečnosti | |
Strategie a cíle bezpečnosti | |
Politika bezpečnosti celé společnosti | |
Implementace bezpečnostního plánu | ||
Ochranná opatření | Povědomí o bezpečnosti | Školení |
Akreditace | ||
Bezpečnostní plán
Kontrola bezpečnostní shody
Řízení změn
Monitorování
Řešení incidentů
Údržba
Sledování
Politika bezpečnosti systému
Přijetí rizik
Výběr ochranných opatření
Základní
přístup
Podrobná analýza rizik
Hrubá analýza rizik
Analýza rizik: Kombinovaný přístup
Kombinovaný
přístup
Podrobná analýza rizik
Neformální
přístup
Základní
přístup
Volby strategie analýzy rizik celé společnosti
V rámci uvedeného postupu navrhujeme uplatnit variantu kombinovaného přístupu, kdy provedeme hrubou analýzu pro identifikovaná aktiva sdružená do skupin a tříd. Pro takové skupiny a třídy aktiv, kde budou identifikována nejvýznamnější rizika, pak provedeme detailní analýzu s cílem lépe identifikovat instanci těchto rizik. Takto získáme dobrou rovnováhu minimalizující čas a úsilí strávené při identifikaci rizik a návrhu ochranných opatření, přičemž zůstane zajištěno, že všechny systémy budou chráněny dostatečným způsobem.
Vlastní provedení analýzy rizik pak dále zohledňuje principy definované standardy ISO/IEC 27001 a ISO/IEC 27005 a požadavky na porovnatelnost a reprodukovatelnost výsledků hodnocení rizik.
Provedení analýzy rizik lze rozdělit na tyto dílčí aktivity:
• A.1 Identifikace informačních aktiv,
• A.2 Hodnocení stávajících bezpečnostních opatření,
• A.3 Analýza hrozeb a zranitelností
• A.4 Zpracování výsledků analýzy
• A.5 Detailní analýza rizik
Hodnocení rizik bude prováděno na základě následujících kritérií (v souladu s aktualizovanou Bezpečnostní politikou informací ČSSZ):
• stanovení hodnot informačních aktiv ČSSZ z hlediska požadavkm na jejich dostupnost,
dmvěrnost a integritu,
• určení požadavkm relevantní legislativy a požadavkm vyplývajících z uzavřených smluvních vztahm,
• určení možných dopadm identifikovaných hrozeb, reálné pravděpodobnosti jejich uskutečnění a určení úrovně rizik pro aktiva,
• určení akceptovatelné úrovně rizika pro informační aktiva ČSSZ.
Ověǔení bezpečnostních parametrĤ IKT prostǔedí
SANS checklist
Hodnocení dílčích oblastí bezpečnosti
Závěrečná zpráva bezpečnostního auditu
Bezpečnost SW
Interní předpisy
Bezpečnostní opatření
Systémové bezp. politiky
Bezpečnostní profil
Bezpečnostní politika
Specifikace bezpečnosti
Zákonné požadavky
IT strategie
ČSSZ
Výsledky prověrky
Efektivnost opatření
Návrh a implementace opatření
Bezpečnostní opatření
Cíle opatření
Procesy ISMS
ISMS
Referenční model zajištění informační bezpečnosti a další požadavky
KPMG
Technické prověrky konfigurací
ISO/IEC 27005
KPMG auditní metodika
HTRA
Rámec CobiT
ITRMB
ISO/IEC 27001 –
auditní checklist
Metodika projektového řízení
Metodika hodnocení rizik
Metodika testování technických zranitelností IS
Přístup k auditu ISMS
Požadavky dané zákonem a platnýmivyhláškami
Bezpečnost infrastruktury
Návrh nápravných opatření
Identifikovaná zjištění Hodnocení rizik
PCI DSS
ISO/IEC 27001
ISO/IEC 27002
Zákon č.101/2000 Sb. (Ochrana osobních údajů)
Při ověřování bezpečnostních parametrů IKT prostředí vycházíme z níže uvedeného postupu.
Kvalita dat |
Bezpečnost dat |
•Důvěrnost •Integrita •Dostupnost •Nepopiratelnost |
Interface |
•Úplnost •Přesnost •Včasnost |
Posuzování bezpečnostních parametrů IKT prostředí zahrnuje zejména:
• Komunikační infrastruktura: firewally a další aktivní prvky vnitřní sítě,
• IT infrastruktura: servery a stanice: operační systémy, databázové systémy, obslužný software a další a
• Aplikace
Vzhledem k tomu, že ČSSZ využívá různorodé informační systémy a technologie (zahrnující aplikační oblasti - výběr pojistného, výkon agend, výplaty dávek, správa údajové základny, apod. a infrastrukturní oblasti - aplikační servery, datové servery, komunikační prvky, prezentační vrstva – uživatelská platforma), bude bezpečnostní audit zaměřen na klíčové/kritické prvky aplikační, technické a komunikační infrastruktury. Výběr konkrétního rozsahu posuzování bezpečnostních parametrů IKT prostředí bude vycházet z výsledků analýzy rizik.
Pro konkrétní oblasti posuzování bezpečnostních parametrm IKT používáme specifické metodiky a postupy, zejména se jedná o následující:
• Metodika penetračního testování (stručný popis viz dále)
• Metodika bezpečnostního auditu konfigurace operačního systému
• Metodika penetračních testů webových aplikací
• Metodika bezpečnostního auditu konfigurace prvků komunikační infrastruktury Součástí každé metodiky je postup aktivit, vstupy, výstupy a nástroje.
Výstupem technických testů bezpečnosti bude zpráva obsahující tyto základní informace:
1. Manažerské shrnutí – obsahuje shrnutí testu a přehled nejvýznamnějších slabin a rizik.
2. Použitá metodika testu – v případě specifických testů definuje další metodiky a způsoby hodnocení jednotlivých nálezů v kontextu testu.
3. Přehled výsledků testu – mapuje jednotlivá zjištění na systém hodnocení rizika.
4. Zjištění – detailní popis jednotlivých zjištění. Zjištění je popsáno provedenou aktivitou a doporučením k jeho odstranění.
Metodika penetračního testování
Metodiku penetračního testování uvádíme jako jeden z příkladů metodik posuzování/testování bezpečnostních parametrů prvků IKT.
Pro zajištění komplexního posouzení cílové oblasti testu postupujeme při penetračních testech podle KPMG metodologie Penetration Test Methodology (PTM). Základní postup provedení penetračních testů zahrnuje následující kroky:
Síť
Servery a služby
Pasivní testy
Mapování cílové oblasti
Prověření serverů a
běžících služeb
Scénáře útoků
Vypracování scénářů pro útok
Ruční test specifických zranitelností
Detailní mapování sítě
Skenování serverů na známé zranitelnosti
Identifikace a analýza aktivních prvků
Mapování serverů a
běžících služeb
Mapování sítě
Potvrzení cílů testování
Zkoumání vnějších zdrojů informací
Ověření proveditelnosti scénářů
Použité techniky a nástroje
Při penetračních testech používáme kombinaci volných, licencovaných a KPMG proprietárních softwarových nástrojů. Testy budou prováděny se zaměřením na dobře známé i méně známé zranitelnosti (bugs). Při penetračních testech prověřujeme různé možnosti útoků, mezi které patří například:
- buffer overflows – přetečení bufferu vede k neočekávanému chování systému, může umožnit vzdálené provedení příkazu,
- sniffing – aktivní sledování sítě může útočníkovi dovolit identifikovat operační systém a služby běžící na cílovém stroji,
- spoofing – vydávání se za někoho jiného na bázi uživatele, hosta, IP adresy nebo domény,
- TCP/IP útoky – využití slabin Transmission Control Protocol,
- session hijacking – speciální typ TCP/IP desynchronizačního útoku,
- denial of service – aktivita, která brání normálnímu užití systému pomocí zahlcení jeho zdrojů (pouze po předchozí dohodě),
- trojští koně – programy nebo skripty, které jsou bez vědomí uživatele připojeny k běžným programům, aktivují se při spuštění,
- backdoors – skrytá funkcionalita software, která dovoluje neoprávněný přístup do systému, podobný principu trojského koně,
- password cracking – pokus o uhádnutí hesla, zpravidla za využití specializovaných nástrojů,
- trusted hosts – změna nastavení důvěry mezi systémy dovoluje rozšířit napadení na další sítě,
- další slabiny – v mnoha různých sítích a systémech existují další specifické typy útoků.
Podmínky a potěebné součinnosti pro poskytnutí služby
Poskytnutí následující dokumentace v aktuálních verzích (pokud existuje):
• Bezpečnostní politika informací ČSSZ
• Aktuální směrnice ISMS
• Stávající směrnice hodnocení rizik
• Stávající směrnice o provádění interního auditu
• Stávající provozní směrnice týkající se plánovaného rozsahu ISMS
• Výsledky posledních realizovaných penetračních testů pro dílčí časti technické architektury
Zajištění schůzek s následujícími rolemi (osobami):
• ěeditel odboru bezpečnostní politiky
• Vedoucí oddělení bezpečnosti informačních a komunikačních technologií.
• Vybraní pracovníci oddělení bezpečnosti informačních a komunikačních technologií,
• Vybraní pracovníci odboru bezpečnostní politiky
• Osobami odpovědnými za (implementaci a dodržování) opatření informační bezpečnosti, zejména se jedná o následující odbory (a příslušná oddělení)
o Odbor koncepcí a systémové integrace
o Odbor systémové, komunikační a technické podpory
o Odbor provozu centrálních informačních technologií
• Bezpečnostní administrátor
• Vlastníky informačních aktiv, které budou zahrnuty do rozsahu ISMS
Připomínkování předložených výstupů relevantními osoby a akceptace finální verzí těchto výstupů.
Návaznosti služby na ostatní poskytované služby
Aktivity v rámci této služby předpokládají úzkou vazbu s těmito službami:
• Podpora systému řízení kontinuity (zj. v oblasti nastavení principů řízení kontinuity a rozhodnutí o implementace odpovídajících opatření)
• Implementace systému řízení IKT služeb (zj. v oblasti provedení hodnocení a řízení rizik, nastavení principů řízení bezpečnosti a rozhodnutí o implementace odpovídajících opatření)
• Systémové integrace
Odhadovaná pracnost nutná pro poskytnutí služby
Služba | Odhadovaná pracnost (v ČLD) | |
1. | Vytvoření systému řízení informační bezpečnosti | 60 |
2. | Hodnocení a řízení rizik | 100 |
3. | Implementace bezpečnostních opatření | 450 |
4. | Školení v oblasti bezpečnosti informací | 30 |
5. | Nastavení auditních procesů ISMS a předcertifikační audit | 60 |
6. | Podpora při definici projektových, provozních a smluvních ustanovení vztahujících se k bezpečnosti IKT Zadavatele | 100 |
7. | Ověření bezpečnostních parametrů IKT prostředí | 240 |
Celkem | 1040 |
Podpora systému ěízení kontinuity
Název služby
Podpora systému řízení kontinuity
Za jakým účelem je služba poskytována
V návaznosti na implementaci systému řízení bezpečnosti informací dle požadavku Zadavatele poskytneme konzultační a poradenské služby v oblasti řízení kontinuity, jejichž výsledkem bude implementace systému řízení kontinuity, tj. bude navrhnut a zaveden systém řízení kontinuity organizace Zadavatele a bude poskytnuta podpora při koordinaci plánování kontinuity činností napříč celou organizací zadavatele.
Plnění služeb bude realizováno tak, aby ke dni ukončení činnosti poskytování služeb Dodavatelem služeb (ukončení projektu) byl systém řízení kontinuity připraven na certifikaci systému řízení kontinuity dle BS 25999 formou předcertifikačního auditu.
Způsob/postup poskytnutí služby
Provedení služby navrhujeme provést dle životního cyklu pro zavádění systému řízení kontinuity dle BS 25999 („PDCA“), tj. rozdělit kroky na plánování, navržení, zavedení a provozování, s tím, že budou také definovány kroky pro monitorování, údržbu a zlepšování.
Systém řízení kontinuity bude zpracován tak, aby svých rozsahem pokrýval řešení kontinuity
činností napříč celou organizací Zadavatele.
V rámci této služby provedeme následující činnosti a výstupy:
• Vytvoření strategie řízení kontinuity činností Zadavatele,
• Provedení analýzy dopadů a hodnocení zachování důvěrnosti, integrity a dostupnosti,
• Vytvoření návrhu organizační struktury k řízení kontinuity činností,
• Vytvoření plánu řízení kontinuity činností,
• Vytvoření plánů řízení kontinuity pro jednotlivé oblasti činnosti, zejména:
o organizační útvary ústředí zadavatele,
o regionální pracoviště a organizační složky zadavatele,
• Vytvoření a implementace havarijních plánů IKT,
• Vytvoření a implementace deníku stavu ohrožení,
• Provedení testování plánů řízení kontinuity zadavatele a havarijních plánů IKT,
• Naplánování, příprava a provedení předcertifikačního auditu.
Etapa / aktivity | Délka trvání (týdnů) | |
1. | Zmapování současné situace a provedení/aktualizování analýzy dopadů • Vč. hodnocení zachování důvěrnosti, integrity a dostupnosti | 6-10 |
2. | Vytvoření strategií BCM • Vytvoření strategie řízení kontinuity činností Zadavatele • Vytvoření návrhu organizační struktury k řízení kontinuity činností | 8-12 |
3. | Vývoj a implementace plánů BCM • Vytvoření plánu řízení kontinuity činností, • Vytvoření plánů řízení kontinuity pro jednotlivé oblasti činnosti, zejména: - organizační útvary ústředí zadavatele, - regionální pracoviště a organizační složky zadavatele, • Vytvoření a implementace havarijních plánů IKT, • Vytvoření a implementace deníku stavu ohrožení | 24-40 |
4. | Testování, udržování a přezkoumání BCM • Provedení testování plánů řízení kontinuity zadavatele a havarijních plánů IKT | 5-8 (pro každé kolo testování) |
5. | Předcertifikační audit • Naplánování, příprava a provedení předcertifikačního auditu | 2-4 |
Výstupy služby
1. Systém ěízení kontinuity
• strategie řízení kontinuity
• analýza dopadů a hodnocení zachování důvěrnosti, integrity a dostupnosti
• návrh organizační struktury k řízení kontinuity
• plánu řízení kontinuity
2. Plány ěízení kontinuity činností
• plány řízení kontinuity pro klíčové oblasti činnosti, zejména: organizační útvary ústředí zadavatele, regionální pracoviště a organizační složky zadavatele
• otestované plány řízení kontinuity
3. Havarijní plány IKT
• vytvoření a implementace havarijních plánů IKT,
• vytvoření a implementace deníku stavu ohrožení,
• otestované plány řízení kontinuity a havarijních plánů IKT
4. Pěedcertifikační audit
• Provedený vzorový interní audit BCMS (v rozsahu předcertifikačního auditu)
Rozsah poskytnuté služby
Rozsah navrženého systému řízení kontinuity vychází ze základního požadavku pro oblast
řízení kontinuity (Bezpečnostní politika informací v ČSSZ):
• Záměrem vedení ČSSZ je zajistit připravenost územních organizačních jednotek ČSSZ k řešení krizových situací a zachování základních funkcí v rozsahu fungování kritické infrastruktury celostátního významu.
V rámci vytváření plánů pro řízení kontinuity a pro obnovu IKT po havárii budou vždy vytvořeny typové/vzorové plány. Konkrétní plány kontinuity budou zpracovány pro kritické business procesy (dle výsledků analýzy dopadů a rizik) realizované na ústředí a jedné hlavní územní organizační jednotce. Havarijní plány budou realizovány pro kritickou infrastrukturu (dle výsledků analýzy dopadů a rizik) a za kooperace stávajících dodavatelů takové infrastruktury. Aktivity související s implementací konkrétních technických řešení pro zajištění obnovy a kontinuity budou zaměřeny zejména na řízení projektu dodávky a zajištění kvality.
Metodiky a standardy využité pěi poskytování služby
Přístup KPMG k oblasti plánování a řízení kontinuity podnikatelských činností vychází z akceptovaných mezinárodních postupů existujících v této oblasti. Mezi hlavní relevantní standardy, se kterými je náš přístup v souladu, patří především následující:
• BS 25999-1: Business Continuity Management – Part 1: Code of practice
• BS 25999-2: Business Continuity Management – Part 2: Specification
• ISO/PAS 22399: Societal security — Guideline for incident preparedness and operational continuity management
• British Standards Institute PAS 77: IT Service Continuity Management,
• Business Continuity Institute: BCM Good Practice Guideline,
• KPMG metodologie pro řízení kontinuity podnikání (KPMG BCM Methodology)
• KPMG metodologie pro řízení projektů (KPMG Project Management Methodology)
KPMG metodologie pro ǔízení kontinuity podnikání
• Metodologie představuje pracovní rámec pro realizaci projektů zavádění BCM.
• Uvedená metodologie vychází z normy BS 25999-1.
• Při realizaci projektu použijeme pouze ty části metodologie, které budou vhodné pro konkrétní potřeby ČSSZ.
• Metodologie obsahuje velice detailní postupy pro jednotlivé fáze řešení BCP a zároveň je doplněna i vývojovými diagramy, nástroji, šablonami, dotazníky a příklady výstupů, apod.
• Projekt BCM je rozdělen do několika výkonných fází, které odpovídají jednotlivým fázím procesu plánování kontinuity podnikání.
• Po dokončení každé z fází procesu plánování kontinuity podnikání jsou na pravidelných schůzkách prezentovány výsledky, kde je odsouhlasen stav projektu
(zhodnocení jednotlivých fází projektu nejen udrží povědomí vedení společnosti o vývoji projektu, ale poskytne i informace potřebné pro uskutečnění zásadních rozhodnutí týkajících se projektu BCM).
Jednotlivé fáze životního cyklu zavedení systému ǔízení kontinuity jsou následující
1) Porozumění činnosti organizace
• Ustanovení rozsahu a cílů systému řízení kontinuity zahrnuje:
definování hranic systému pro řízení zachování kontinuity (BCMS) a stanovení cílm, které mají být naplněny směrem k cílmm a povinnostem celé organizace, požadavkmm na zachování kontinuity. V této fázi jsou určeny klíčové procesy / služby, které by měly být systémem BCM pokryty, je navržena celková politika řízení kontinuity a určeny role a odpovědnosti, které jsou nezbytné k nastavení a udržování celého systému BCM.
• Analýza dopadů a hodnocení rizik obsahuje
identifikaci a analýzu potenciálních hrozeb, zranitelností a z nich plynoucích rizik (interní a externí rizika a zranitelnosti). Účelem je definovat kritické procesy, jejichž přerušení nebo nedostupnost mohou mít negativní dopady na provoz organizace.“
Analýza dopadů bude realizována v návaznosti na analýzu rizik v rámci služby ISMS a principiálně bude vycházet za stejných postupů hodnocení rizik. Cílem bude rozdělení procesů ČSSZ do dílčích kategorií procesů z hlediska kritičnosti pro fungování ČSSZ; např. kritické procesy, hlavní procesy, podpůrné procesy, ostatní procesy, atd.:
• Kritické procesy s nejvyšší požadovanou dostupností.
• Hlavní procesy, pro které není nutná nepřetržitá dostupnost.
• Ostatní procesy, zejména interní procesy, které nejsou bezprostředně třeba pro činnosti ČSSZ.
2) Vytvoěení strategií BCM
• Budou určeny možnosti obnovy, které jsou pro organizaci realistické (s ohledem na výsledky předchozí fáze implementace BCM) a které organizaci umožní obnovit své (kritické) procesy / služby v rámci požadovaných časm na obnovu.
• Součástí vytváření strategií obnovy je rovněž určení zdrojm (lidské, technické) nutných pro zajištění obnovy.
3) Vývoj a implementace plánů BCM
• Tato část životního cyklu BCM zahrnuje vytvoření a implementací plánm (postupm), jejichž cílem je umožnit organizaci, aby v případě narušení kritických činností udržela nebo v co nejkratším čase obnovila své procesy na požadovanou provozní úroveň.
• V návaznosti na plány BCM jsou rovněž vytvořeny/aktualizovány havarijní plány IKT.
4) Testování udržování a pěezkoumání BCM
Při prvotní tvorbě BCP je třeba ověřit správnost předpokladm a prověřit, zda je možno se na procedury obnovy spolehnout v případě, že nastanou kritické události. Dále je třeba rámci uceleného systému řízení obnovy nastavit a zavést pravidla pro pravidelné prověřování a testování BCP. Cílem tohoto opatření je zajistit, že BCP bude odrážet současný stav organizace a bude poskytovat informace pro včasnou obnovu kritických funkcí organizace.
Podmínky a potěebné součinnosti pro poskytnutí služby
Poskytnutí následující dokumentace v aktuálních verzích (pokud existuje):
• Organizační struktura ČSSZ
• Popis stávajících business procesů nebo kritických business funkcí
• Stávající směrnice řízení kontinuity
• Stávající plány zachování kontinuity
• Stávající havarijní plány IKT
• Analýza dopadů (BIA)
• Přehled aplikační a technické infrastruktury
• Výsledky posledního testování plánů obnovy podnikání a havarijních plánů IKT
• Výsledky posledních testů interního auditu v oblasti obnovy podnikání a havarijních plánů IKT
• Bezpečností politiky a standardy pro oblast havarijního plánování Umožnění schůzek s:
• Manažerem pro oblast řízení kontinuity nebo osobou v roli odpovídající za tuto oblast
• Vlastníky business procesů / plánů zachování kontinuity
• Vlastníky havarijních plánů
• Příslušné orgány krizového řízení územních organizačních jednotek ČSSZ
• Zástupci útvarů IT provozu ČSSZ
• Dodavateli stávajících technologických řešení pro zpracování adekvátních plánů obnovy po havárii
Připomínkování předložených výstupů relevantními osobami a akceptace finálních verzí těchto výstupů.
Návaznosti služby na ostatní poskytované služby
Aktivity v rámci této služby předpokládají úzkou spolupráci se službou:
• Podpora systému řízení bezpečnosti informací (zj. v oblasti nastavení principů řízení kontinuity a rozhodnutí o implementace odpovídajících opatření)
• Implementace systému řízení IKT služeb (zj. v oblasti nastavení principů řízení kontinuity a rozhodnutí o implementace odpovídajících opatření)
• Systémová integrace
Etapa / aktivity | Odhadovaná pracnost (v ČLD) | |
1. | Zmapování současné situace a provedení/aktualizování analýzy dopadů • Vč. hodnocení zachování důvěrnosti, integrity a dostupnosti | 100 |
2. | Vytvoření strategií BCM • Vytvoření strategie řízení kontinuity činností Zadavatele • Vytvoření návrhu organizační struktury k řízení kontinuity činností | 80 |
3. | Vývoj a implementace plánů BCM • Vytvoření plánu řízení kontinuity činností, • Vytvoření plánů řízení kontinuity pro jednotlivé oblasti činnosti, zejména: - organizační útvary ústředí zadavatele, - regionální pracoviště a organizační složky zadavatele, • Vytvoření a implementace havarijních plánů IKT, • Vytvoření a implementace deníku stavu ohrožení | 250 |
4. | Testování, udržování a přezkoumání BCM • Provedení testování plánů řízení kontinuity zadavatele a havarijních plánů IKT | 70 |
5. | Předcertifikační audit • Naplánování, příprava a provedení předcertifikačního auditu | 20 |
Celkem | 520 |
Odhadovaná pracnost nutná pro poskytnutí služby
- Služby implementace systému ěízení IKT služeb
Implementace systému ěízení IKT služeb
Název služby
Implementace systému řízení IKT služeb
Za jakým účelem je služba poskytována
Cílem poskytování služeb implementace systému řízení IKT služeb (dále „ITSM“2) je navrhnout cílový procesní model provozování a správy IKT prostředí Zadavatele a navrhnout vazby na provozní postupy a vazby na provozní dokumentaci jednotlivých IKT systémů a komponent.
2 ITSM = IT Service management (Systém řízení IT služeb)
Dle požadavků zadavatele budou plněny služby tak, aby ke dni ukončení činnosti Dodavatele služeb byl systém ěízení IKT služeb pěipraven na certifikaci systému ěízení IKT služeb dle ISO/IEC 20000 formou předcertifikačního auditu.
Způsob/postup poskytnutí služby
Implementaci systému řízení ICT služeb (dále také „ITSM“) pro IKT prostředí budeme realizovat dle PDCA cyklu pro zavádění systému řízení IKT služeb dle doporučení aktualizované verze normy ISO/IEC 20000, tj. budou realizovány následující etapy:
• Plánování managementu služeb IKT,
• Implementace managementu služeb IKT,
• Sledování a měření managementu služeb IKT,
• Management zlepšování služeb IKT.
V rámci služby provedeme následující činnosti a vytvoříme tyto výstupy:
• Vytvoření rozsahu a cílů řízení služeb IKT, provedení analýzy rizik služeb (v koordinaci s analýzou rizik bezpečnosti informací)
• Vytvoření/aktualizace dokumentace:
o politiky řízení IKT služeb,
o katalogu služeb,
o plánu řízení služeb,
o provozních politik:
▪ řízení konfigurace a změn (Configuration & Change Management) včetně záznamů konfigurační databáze (CMDB) a seznamu plánovaných změn (FSC),
▪ řízení uvolnění HW a SW verzí (Release Management) včetně řízení DSL,
▪ finančnímu řízení služeb (Financial Management),
▪ řízení kvality a zlepšování služeb (Service Level Management),
▪ řízení bezpečnosti informací (politika, která bude vytvořena v rámci oblasti informační bezpečnosti),
o plán kontinuity služeb,
o plán dostupnosti služeb,
o kapacitní plán služeb,
o finanční plán služeb,
o plánu a politiky zlepšování služeb,
o plánu školení a vzdělávání,
o zpracování návrhů SLA pro jednotlivé služby spolu s:
▪ návrhem interních provozních smluv takzvaných OLA,
▪ návrhem dodavatelských provozních smluv takzvaných UC.
• prosazení a zavedení zpracovaných dokumentů do aktuálního životního cyklu IKT prostředí.
• naplánování, příprava a provedení předcertifikačního auditu.
V současné době nejsou k dispozici kompletní informace ohledně stavu dokumentace, popisující současné IT procesy a IT služby, kterými ČSSZ disponuje. Při zavádění systému řízení ICT služeb dle normy ISO/IEC 20000 budeme část dokumentace aktualizovat (bude-li existovat) a část dokumentace vytvářet (nebude-li existovat).
Z pohledu PDCA cyklu a dle rozsahu zadávací dokumentace bude realizovat aktivity etapy
„Plánování managementu IKT služeb“ a „ Implementace managementu IKT služeb“.
Etapy „Sledování a měření managementu služeb IKT“ a „Management zlepšování služeb IKT“ nebyly explicitně požadovány, nicméně případné upřesnění/doplnění těchto aktivit v rámci naší spolupráce bude součástí upřesňování rozsahu dodávané služby. Případné doplnění těchto
aktivit bude provedeno souběžně s aktualizací rozdělení pracnosti dle maximálního požadovaného rozsahu počtu ČLD v ZD.
Z dostupné dokumentace ČSSZ definující strategické záměry v oblasti IT vnímáme potřebu ČSSZ podporovat strategické záměry především v rámci efektivního poskytování IT služeb spojených s agendou důchodové reformy, nemocenského pojištění, úrazového pojištění a e- Governmentu. V rámci našich aktivit spojených s tvorbou katalogu IKT služeb budeme tedy z výše uvedeného záměru vycházet.
Provedení jednotlivých částí navrhujeme realizovat podle následujícího časového harmonogramu dle PDCA cyklu:
Služba | Délka trvání (týdnů) | Odhadovaná pracnost (v ČLD) | |
1. | Plánování managementu služeb IKT • Vytvoření rozsahu a cílů, provedení analýzy rizik služeb | 4-6 | 30 |
2. | Plánování managementu služeb IKT • Dokumentace – vytvoření/aktualizace politiky řízení IKT služeb | 6-10 | 20 |
3. | Implementace managementu služeb IKT • Dokumentace – vytvoření/aktualizace katalogu IKT služeb | 8-12 | 80 |
4. | Implementace managementu služeb IKT • Dokumentace – vytvoření/aktualizace plánu řízení IKT služeb | 2-4 | 20 |
5. | Implementace managementu služeb IKT • Vytvoření/aktualizace politik pro vybrané procesy řízení IKT služeb (Change management, Configuration management, Release management, Financial management, SLM) | 15-20 | 120 |
6. | Implementace managementu služeb IKT • Dokumentace – vytvoření/aktualizace plánů definovaných v poptávaném rozsahu (kontinuity služeb, dostupnosti, kapacitní, finanční, školení a vzdělávání) | 15-20 | 90 |
7. | Implementace managementu služeb IKT • Dokumentace – zpracování/aktualizace návrhů SLA, OLA a UC | 8-20 | 80 |
8. | Implementace managementu služeb IKT • Prosazení a zavedení zpracovaných dokumentů do aktuálního životního cyklu IKT prostředí | Ad-hoc/dle potřeby | 40 |
9. | Naplánování, příprava a provedení předcertifikačního auditu | 6-8 | 40 |
Výstupy služby
1. Strategie systému ěízení IKT služeb
• Strategické (dlouhodobé) cíle řízení IKT služeb, vazba cílů na celkovou strategii organizace a rámcový postup naplnění těchto cílů (v závislosti na výsledky analýzy rizik IKT služeb)
• Stanovení rozsahu budoucího systému řízení IKT služeb
2. Politika systému ěízení IKT služeb
• Výchozí pravidla a zásady systému řízení IKT služeb (jak na obecné úrovni, tak specifické pro konkrétní procesy bude-li to žádoucí)
• Východiska a principy pro stanovení rolí a odpovědností v rámci procesů řízení IKT služeb
• Rámec a základní pravidla pro definování, popis a aktualizace procesů ITSM
• Pravidla pro sledování efektivity procesů řízení IKT služeb (definice KPI, monitoring, reporting, atp.)
3. Analýza rizik – v koordinaci s analýzou rizik pro oblast bezpečnosti
• Identifikované hrozby, zranitelnosti, dopady
• Stanovená akceptovatelná míra rizika
• Ohodnocená rizika, kterým jsou stávající služby vystaveny; rozdělení rizik do tříd nízká, střední, vysoká, popř. kritická
• Stanovení opatření pro rizika v oblasti neakceptovatelných rizik
4. Katalog IKT služeb
• Struktura business a IT katalogu IKT služeb
• Seznam IKT služeb nabízených odběrateli (zákazníkovi)
• Základní popis každé služby ve strukturované podobě zahrnující např. ID služby, kategorie služby, vlastník služby za zákazníka/odběratele, vlastník služby za dodavatele, informace k obsahu a rozsahu služby, vazba na business procesy zákazníka/odběratele, příp. základní úrovně poskytování služby, atp.
5. Návrh SLA
• Návrhy SLA pro jednotlivé služby spolu s návrhem interních provozních smluv tzv. OLA a návrhem pravidel a předpokladů pro zasmluvnění dodavatelů prostřednictvím dodavatelských provozních smluv takzvaných UC.
6. Plán ěízení služeb
• Definice rozsahu a cílů plánu
• Procesy plánování, schvalování, komunikace, přezkoumávání (měření), vyhodnocování a aktualizace plánu a s nimi související odpovědnosti (v souladu v principy PDCA cyklu pro řízení IKT služeb)
• Definované vazby na dílčí aktivity realizující jednotlivé části plánu (např. projekty) a definované zdroje pro realizaci plánu
7. Směrnice procesů ITSM
• ěízení konfigurace a změn (Configuration & Change Management) včetně záznamů konfigurační databáze (CMDB) a seznamu plánovaných změn (FSC)
• ěízení uvolnění HW a SW verzí (Release Management) včetně řízení DSL
• Finančnímu řízení služeb (Financial Management)
• ěízení kvality a zlepšování služeb (Service Level Management)
• ěízení bezpečnosti informací (politika, která bude vytvořena v rámci oblasti
informační bezpečnosti)
V případě, že bude identifikována potřeba rozšířit seznam procesm, pro které je třeba definovat politiky, je možné tyto služby dodat v rámci rozsahu procesm definovaných
v ISO/IEC 20000. V úvodních aktivitách projektu mmže být rozhodnuto a jejich doplnění a přerozdělení ČLD (dle ZD) do jednotlivých aktivit.
8. Plány služeb
• V návaznosti na celkový plán řízení služeb, detailní rozpracování plánu pro požadované ITSM procesy:
o plán kontinuity služeb,
o plán dostupnosti služeb,
o kapacitní plán služeb,
o finanční plán služeb,
(pozn. struktura těchto dílčích plánů bude odpovídat struktuře celkového plánu, pro snazší řízení jejich životního cyklu)
9. Politika zlepšování služeb
• Procesy a postupy pro zlepšování jak celkového ITSM prostředí, tak jednotlivých IKT služeb
• Základní principy procesu údržby katalogu IKT služeb, rolí a odpovědností
• Role a jejich odpovědnosti za zlepšování jednotlivých oblastí
• Definovaná platforma pro definování doporučení a rozhodování o jejich realizaci.
• Provázanost na plány služeb a nastavení celkového plánu zlepšování
10. Plán školení a vzdělávání v oblasti ITSM
• Návrh postupu realizace prvního školícího cyklu pro oblast ITSM, včetně nastavených rolí a odpovědností
• Pravidla pro další úroveň školení a následné pravidelné školení pro udržování povědomí a informování o novinkách v ITSM organizace
Rozsah poskytnuté služby
Celkový pěedpokládaný objem dílčích služeb – podpora systému ěízení IKT služeb – za dobu trvání projektu činí 520 ČLD.
Skupina služeb „Implementace systému ěízení IKT služeb (ITSM)“ zahrnuje následující prvky:
- Procesy - Nastavení výše uvedených (poptávaných) ICT procesů pro úsek informačních a komunikačních technologií ČSSZ s rozhraními do jednotlivých odborných útvarů ČSSZ zpracovávající dílčí agendy (např. výběr pojistného, správa dávek důchodového pojištění, atp.)
- Organizační složky - ústředí ČSSZ a další organizační složky ČSSZ,
- Technologie - aplikační vybavení jednotlivých oblastí ČSSZ tak, jak definováno ve strategii rozvoje IKT související technická infrastruktura ČSSZ
Přesné vydefinování rozsahu této služby bude provedeno v úvodních aktivitách plánování ITSM.
Metodiky a standardy využité pěi poskytování služby
Při poskytování služeb se budeme řídit doporučeními, která jsou uvedena v následujících metodikách a standardech:
• ISO/IEC 20000:1 – Management služeb, část 1: Specifikace (v aktuální verzi z roku
2011)
• ISO/IEC 20000:2 – Management služeb, část 2: Soubor postupů (v aktuální verzi z roku 2012)
• ITIL V3
• COBIT5
Popis metodiky zavádění a vytvoěení, zavedení, provozování a optimalizace systému pro
ěízení IKT služeb (ITSM)
Systém pro ǔízení IKT služeb (ITSM)
Pro zavedení a implementaci systému pro řízení IKT služeb navrhujeme využít především aktuální normu ISO/IEC 20000 (na základě které se od roku 2012 provádí veškeré certifikace) a vycházet z rámce ITIL V3. Pro zajištění komplexní přípravy na certifikační audit je důležité pokrýt všechny fáze životního cyklu ITSM a oblasti procesů řízení IKT služeb definovaných aktuálními verzemi jednotlivých částí normy ISO/IEC 20000 (viz následující obrázek)
Pro každou fázi/aktivitu zavedení systému pro řízení IKT služeb je v rámci metodiky zavedení ITSM definován popis vstupů, výstupy, požadované součinnosti včetně šablon. Použití těchto metodických rámců bude přizpůsobeno prostředí Zadavatele. Náš základní metodický postup zavádění systému řízení IKT je zobrazen v následujícím schématu.
Příprava nastavení IT Governance
r
e k t
Podpora provozu
v
o
j
o
P
Asistence při řešení klíčových
dle ISO/IEC 20000
Externí dodavatel
Poskytovatel IT služeb
Service Catalogue
Operational Level Agreements
Zákazníci
Service Level
Agreements
Operational Level Agreements
Service
Level Uživatel Agreements
Uživatel
IT služba
Hardware
IT služba
IT služba
Po oblast nastavení služeb, KPMG dále využije Service management framework, který kombinuje nejlepší z COBIT, ITIL a ISO/IEC 20000 a jeho využívání umožňuje získat jednoznačný pohled na IT v jazyku, který je srozumitelný jak pro stranu zákazníka, tak i poskytovatele služeb. Schéma tohoto rámce je zobrazeno na následujícím schématu.
Podmínky a potěebné součinnosti pro poskytnutí služby
V rámci zajištění požadované kvality výstupů projektu očekáváme poskytnutí následujících vstupů a součinnosti ze strany Zadavatele:
• Poskytnutí následující dokumentace ČSSZ v aktuálních verzích (pokud existuje):
• Přehled aplikační architektury a infrastruktury ČSSZ
• Organizační řád (jiná forma popisu agend odborných útvarů) ČSSZ
• Přehled a popis činností (služeb) realizovaných úsekem informačních a komunikačních technologií pro interního (případně externího) zákazníka
• Přehled SLA, OLA a smluv s externími dodavateli IKT služeb
• Přehled aktuální dokumentace relevantní k ISO/IEC 20000 (politiky, směrnice,
záznamy) pro vybrané IT procesy
• Stávající směrnice provozu IKT
• Stávající směrnice o provádění interního auditu
• Organizační struktura ČSSZ, organizační struktura IT
• Umožnění schůzek se zástupci ČSSZ:
• Vrchní ředitel úseku informačních a komunikačních technologií
• ěeditel odboru koncepcí a systémové integrace a vybraní pracovníci odboru
• ěeditel odboru systémové, komunikační a technické podpory a vybraní pracovníci odboru
• ěeditel odbor provozu centrálních informačních technologií a vybraní pracovníci odboru
• ěeditel odboru financování a majetku
• Stanovení/potvrzení vlastníků ICT procesů
• Připomínkování předložených výstupů relevantními osobami a akceptace finální verzí
těchto výstupů
Návaznosti služby na ostatní poskytované služby
Aktivity v rámci této služby předpokládají úzkou spolupráci se službou:
• Podpora systému řízení bezpečnosti informací (zj. v oblasti provedení hodnocení a řízení rizik, nastavení principů řízení bezpečnosti a rozhodnutí o implementace odpovídajících opatření)
• Podpora systému řízení kontinuity (zj. v oblasti nastavení principů řízení kontinuity a rozhodnutí o implementace odpovídajících opatření)
• ěízení vztahu zadavatele s provozovateli jednotlivých IKT systémů (zj. v oblasti nastavení principů řízení dodavatelů a rozhodnutí o implementaci odpovídajících opatření)
• Implementace procesů centrální podpory uživatelů (zj. v oblasti nastavení principů procesů Incident a Problem management a rozhodnutí o implementaci odpovídajících opatření)
• Systémová imntegrace
Odhadovaná pracnost nutná pro poskytnutí služby
Služba | Odhadovaná pracnost (v ČLD) | |
1. | Plánování managementu služeb IKT • Vytvoření rozsahu a cílů, provedení analýzy rizik služeb | 30 |
2. | Plánování managementu služeb IKT • Dokumentace – vytvoření/aktualizace politiky řízení IKT služeb | 20 |
3. | Implementace managementu služeb IKT • Dokumentace – vytvoření/aktualizace katalogu IKT služeb | 80 |
4. | Implementace managementu služeb IKT • Dokumentace – vytvoření/aktualizace plánu řízení IKT služeb | 20 |
5. | Implementace managementu služeb IKT • Vytvoření/aktualizace politik pro vybrané procesy řízení IKT služeb (Change management, Configuration management, Release management, Financial management, SLM) | 120 |
6. | Implementace managementu služeb IKT | 90 |
• Dokumentace – vytvoření/aktualizace plánů definovaných v poptávaném rozsahu (kontinuity služeb, dostupnosti, kapacitní, finanční, školení a vzdělávání) | ||
7. | Implementace managementu služeb IKT • Dokumentace – zpracování/aktualizace návrhů SLA, OLA a UC | 80 |
8. | Implementace managementu služeb IKT • Prosazení a zavedení zpracovaných dokumentů do aktuálního životního cyklu IKT prostředí | 40 |
9. | Naplánování, příprava a provedení předcertifikačního auditu | 40 |
Celkem | 520 |
Celkový předpokládaný objem dílčích služeb - podpora systému řízení IKT služeb – za dobu trvání projektu bude činit 520 ČLD.
ěízení vztahu zadavatele s provozovateli jednotlivých IKT systémů
Název služby
ěízení vztahu zadavatele s provozovateli jednotlivých IKT systémů.
Za jakým účelem je služba poskytována
V rámci řízení vztahů zadavatele s provozovateli jednotlivých IKT systémů poskytneme dle požadavků Zadavatele podporu řízení vztahu s dodavateli včetně konzultačních a poradenských služeb.
Způsob/postup poskytnutí služby
Nastavování procesu řízení vztahu s dodavateli bude probíhat ve spolupráci se službou Implementace systému řízení IKT služeb. Navrhovaný systém řízení bude poskytovat rámec a principy mimo jiné také pro proces řízení vztahu s dodavateli (specifické požadavky Zadavatele pro vykonávání tohoto procesy budou již součástí činností této služby).
Dle požadavků zadavatele poskytneme podporu zejména v oblastech:
• Sledování a přezkoumání plnění SLA na základě analýz reportů, výstupů monitoringu, provozních statistik a provozu IKT.
• Vytváření zpráv o dosaženém stavu IKT služeb (např. zpráva o výpadcích, zpráva o objemu incidentů, problémů, změn a úkolů, počtu žádostí o podporu apod., hlášení o dosaženém stavu po významných událostech).
• Proces přezkoumání provozních smluv včetně určení služeb, rozsahu, autorizačních úrovní, parametrů reportingu a záznamech o dosaženém stavu.
• Proces řešení smluvních sporů včetně záznamu, vyšetřování, reakce a formálního uzavření.
• Proces očekávaného ukončení služby, předčasného ukončení služby nebo pro
převod služby na jiný subjekt.
Služba | Délka trvání (týdnů) |
1. | Sledování a přezkoumání plnění SLA | Ad-hoc (minimálně 1x měsíčně) |
2. | Vytváření zpráv o dosaženém stavu IKT služeb | Ad-hoc (minimálně 1x měsíčně) |
3. | Posouzení a návrh zlepšení „Procesu přezkoumání provozních smluv“ | 3-6 |
4. | Posouzení a návrh zlepšení „Procesu řešení smluvních sporů“ | 3-6 |
5. | Posouzení a návrh zlepšení „Procesu očekávaného ukončení služby“ | 3-6 |
Výstupy služby
1. Reporty plnění SLA
• Pravidelné reporty připravované na základně sledování a vyhodnocování plnění nastavených SLA s dodavateli
o Součástí budou informace o dosaženém stavu IKT služeb (např. o výpadcích, o objemu incidentů, problémů, změn a úkolů, počtu žádostí o podporu apod., hlášení o dosaženém stavu po významných událostech).
2. Zjištění a doporučení pro dílčí činnosti/procesy
• Zejména pro procesy:
o přezkoumání provozních smluv včetně určení služeb, rozsahu, autorizačních úrovní, parametrů reportingu a záznamech o dosaženém stavu.
o řešení smluvních sporů včetně záznamu, vyšetřování, reakce a formálního uzavření.
• Očekávaného ukončení služby, předčasného ukončení služby nebo pro převod služby na jiný subjekt
Rozsah poskytnuté služby
Celkový pěedpokládaný objem dílčích služeb – podpora systému ěízení IKT služeb – za dobu trvání projektu činí 320 ČLD.
Služba „ěízení vztahu zadavatele s provozovateli jednotlivých IKT systémů“ zahrnuje výše uvedené procesy týkající se klíčových dodavatelů IKT systémů pokrývající:
- ústředí ČSSZ a další organizační složky ČSSZ,
- aplikační vybavení jednotlivých oblastí ČSSZ tak, jak definováno ve strategii rozvoje IKT související technickou infrastruktura ČSSZ
Přesný seznam a počet dodavatelů klíčových služeb bude specifikován v úvodních fázích realizace dodávky této služby.
Aktivity „Sledování a přezkoumání plnění SLA na základě analýz reportů, výstupů monitoringu, provozních statistik a provozu IKT“ a „Vytváření zpráv o dosaženém stavu IKT služeb“ budou realizovány pro vybrané klíčové dodavatele IKT systémů (odhadujeme 5-10 klíčových dodavatelů IKT systémů).
V rámci služeb je zahrnuta analýza a návrh zlepšení efektivity procesů pro:
• přezkoumání provozních smluv včetně určení služeb, rozsahu, autorizačních úrovní, parametrů reportingu a záznamech o dosaženém stavu.
• řešení smluvních sporů včetně záznamu, vyšetřování, reakce a formálního uzavření.
• očekávané ukončení služby, předčasného ukončení služby nebo pro převod služby na jiný subjekt.
Metodiky a standardy využité pěi poskytování služby
Při poskytování služeb se budeme řídit doporučeními, která jsou uvedena v následujících metodikách a standardech:
• ISO/IEC 20000:1 – Management služeb, část 1: Specifikace (v aktuální verzi z roku 2011)
• ISO/IEC 20000:2 – Management služeb, část 2: Soubor postupů (v aktuální verzi z roku 2012)
• interní KPMG metodiky pro řízení nákupu a dodávek IT služeb a technických řešení např. KPMG Supplier management methodology (metodiky pro řízení dodavatelů) , KPMG Vendor and system selection methodology (metodika pro výběr systému a dodavatele), KPMG Sourcing Methodology (metodika pro řízení zdrojů)
• ITIL V3
• COBIT5
Aplikovaný metodický postup pro realizaci poptávaných služeb:
• Sledování a přezkoumání plnění SLA na základě analýz reportů, výstupů monitoringu, provozních statistik a provozu IKT.
• Vytváření zpráv o dosaženém stavu IKT služeb
1. Identifikace IKT a služeb ČSSZ na základě dostupné dokumentace a diskuzí s odpovědnými pracovníky
2. Určení klíčových dodavatelů IKT služeb
3. Identifikace smluvní dokumentace, platných SLA s klíčovými dodavateli IKT služeb
4. Pro vybrané klíčové dodavatele služeb IKT bude provedena identifikace a detailní analýza reportů, výstupů monitoringu, provozních statistik a provozu IKT
5. Vytvoření zpráv o dosaženém stavu IKT služeb
6. Návrh opatření pro jednotlivé dodávky služeb, návrh změn příslušných IT procesů
Aplikovaný metodický postup pro realizaci procesĤ
• Proces přezkoumání provozních smluv včetně určení služeb, rozsahu, autorizačních úrovní, parametrů reportingu a záznamech o dosaženém stavu.
• Proces řešení smluvních sporů včetně záznamu, vyšetřování, reakce a formálního uzavření.
• Proces očekávaného ukončení služby, předčasného ukončení služby nebo pro
převod služby na jiný subjekt.
1. Posouzení současného stavu (formalizace) uvedených procesů – dokumentace, postupy, procedury
2. Ověření skutečného stavu fungování procesů na základě dostupné evidence, záznamů, KPI reportů, auditních reportů, apod.
3. Identifikace nedostatků
4. Návrh opatření pro zlepšení fungování procesů
Strategie a politiky pro systém řízení vztahů s dodavateli
Metodika KPMG pro řízení dodavatelů IT služeb,„KPMG Supplier management methodology“, je založena na obecných principech a doporučeních dle ISO/IEC 20000 a ITIL V3. Metodika popisuje základní fáze v rámci celého životního cyklu řízení vztahů s dodavateli.
• Strategické požadavky společnosti
• Business požadavky
IT požadavky
• Podklady pro výběrové řízení
• ...
Hodnocení a výběr nového dodavatele
Založení nového dodavatele a zasmluvnění (SLA, UC)
Kategorizace dodavatele a údržba databáze dodavatelů a smluv
Databáze dodavatelů a smluv
Udržování vztahů s dodavatelem a pravidelné vyhodnocování plnění smluvních podmínek
Obnova nebo ukončení smlouvy
Podmínky a potěebné součinnosti pro poskytnutí služby
Poskytnutí následující dokumentace ČSSZ v aktuálních verzích (pokud existuje):
• Přehled nakupovaných služeb IKT
• SLA (nebo obdobné smlouvy) se stávajícími dodavateli IKT služeb
• Pravidla pro nákup služeb IKT
• Stávající směrnice pro nákup IKT služeb a vybavení
• Reporty o plnění SLA pro jednotlivé dodávky služeb
• Procesy a procedury přezkoumání provozních smluv
• Procesy a procedury řešení smluvních sporů
• Proces a procedury očekávaného ukončení služby
• Aktuální zjištění, rizika, nedostatky v oblasti řízení služeb se zákazníky
• Šablony smluv na poskytování služeb s dodavateli
• Strategie a pravidla outsourcingu IKT služeb
• Katalog rizik – oblast poskytování služeb IKT Umožnění schůzek se zástupci ČSSZ:
• Vrchní ředitel úseku informačních a komunikačních technologií
• Osobou odpovědnou za agendu nákupu v souvislosti s poskytováním IKT služeb
• Osobou odpovědnou za evidenci, zpracování a vyhodnocování smluv s dodavateli IKT služeb
• Osoba zodpovědná za řízení vztahu s dodavateli jednotlivých IKT služeb (account manager)
• Právní odbor zodpovědný za tvorbu smluv s dodavateli IKT
Připomínkování předložených výstupů relevantními osoby a akceptace finální verzí těchto výstupů.
Návaznosti služby na ostatní poskytované služby
Aktivity v rámci této služby předpokládají úzkou spolupráci se službou:
• Implementace systému řízení IKT služeb (zj. v oblasti nastavení principů řízení dodavatelů a rozhodnutí o implementaci odpovídajících opatření)
Odhadovaná pracnost nutná pro poskytnutí služby
Služba | Odhadovaná pracnost (v ČLD) | |
1. | Sledování a přezkoumání plnění SLA | 100 |
2. | Vytváření zpráv o dosaženém stavu IKT služeb | 70 |
3. | Posouzení a návrh zlepšení „Procesu přezkoumání provozních smluv“ | 50 |
4. | Posouzení a návrh zlepšení Posouzení a návrh zlepšení „Procesu řešení smluvních sporů“ | 50 |
5. | Posouzení a návrh zlepšení „Procesu očekávaného ukončení služby“ | 50 |
Celkem | 320 |
Implementace procesů centrální podpory uživatelů
Název služby
Implementace procesů centrální podpory uživatelů
Za jakým účelem je služba poskytována
Rozvoj centrálního ServiceDesku dle „Strategie rozvoje IKT ČSSZ do roku 2014“ je koncipován jako hlavní rozhranní pro evidenci a správu jakýchkoliv problémů týkajících se HW, síťového, programového a aplikačního vybavení v rámci celé ČSSZ. ServiceDesk musí fungovat jako komunikační rozhraní mezi koncovými uživateli (zadavateli) a interními či externími řešiteli.
Základem celého rozvoje a zkvalitnění služeb je zavedení nového SW nástroje (horizontu nejpozději do roku 2012).
Cílem poskytování služeb implementace procesů centrální podpory uživatelů bude především aktualizovat, zkoordinovat a optimalizovat existující prostředí jednotného kontaktního místa pro uživatele IKT. Cílem rovněž bude navrhnout tyto procesy tak, aby podpořily případnou
certifikaci systému řízení IKT služeb dle ISO/IEC 20000.
Způsob/postup poskytnutí služby
V rámci implementace procesů centrální podpory uživatelů poskytneme konzultační a poradenské služby podpory jednotného kontaktního místa pro uživatele IKT prostředí Zadavatele (HelpDesku). Dle požadavků poskytneme podporu implementace těchto procesů s cílem aktualizovat, zkoordinovat a optimalizovat existující prostředí zadavatele, zejména:
• Přijetí, záznam a sledování informace o závadě podporované IKT služby,
• Přijetí, záznam a sledování reklamací všech definovaných a podporovaných IKT služeb,
• Přijetí, záznam a sledování požadavků na zřízení, změny anebo zrušení standardních podporovaných IKT služeb.
Naše služby budou mimo jiné také zaměřeny na zajištění a zlepšování reakce operátorů na požadavky uživatelů, popsání eskalačních procedur v rámci IKT služeb a analýzy trendů (počet požadavků k jednotlivým službám, reakce operátorů, množství a rychlost vyřešených / nevyřešených požadavků a další).
Procesy centrální podpory uživatelů IKT budou navrženy koordinovaně s návrhy procesů v rámci služby „Implementace systému řízení IKT služeb“ tak, aby podpořily případnou
certifikaci systému řízení IKT služeb dle ISO/IEC 20000. Konkrétně se jedná o provázání s následujícími procesy:
• Ǎízení odstraňování závad (Incident Management)
• Ǎízení ǔešení problémĤ (Problem Management)
Z pohledu definice cílů této služby vnímáme možnost doplnění požadovaného rozsahu činností o proces související se správou požadavků na zřízení, změny anebo zrušení standardních poskytovaných IKT služeb. Tento proces může být součástí jiných, již výše definovaných procesů, případně může být v úvodních aktivitách projektu rozhodnuto a jeho doplnění a přerozdělení ČLD do jednotlivých aktivit.
Provedení jednotlivých částí navrhujeme realizovat podle následujícího časového harmonogramu:
Služba | Délka trvání (týdnů) | |
1. | Aktualizace, koordinace a optimalizace systému řízení pro odstraňování závad (Incident Management) | 15-20 |
2. | Aktualizace, koordinace a optimalizace systému řízení řešení problémů (Problem Management) | 12-15 |
Výstupy služby
Následující tabulka poskytuje stručné shrnutí výstupů a jejich obsahu, které budou výstupem výše uvedených činností.
1. Směrnice Incident managementu
• Nastavení principů Incident managementu
• Definice kategorií incidentů
• Role a odpovědnosti Incident managementu
• Nastavení procesu a odpovědností souvisejících s řízením odstraňování závad bude obsahovat zejména:
o záznam informace o závadě,
o řešení jednodušších požadavků vlastními kapacitami personálu HelpDesku,
o předání složitějších požadavků dalším úrovním podpory,
o příjem vyřešených požadavků od dalších úrovní podpory,
o informování oprávněných uživatelů o odstranění závady resp. vyřešení reklamace,
o eskalace požadavků na řešení závad a reklamací, jejichž řešení přesáhlo stanovený časový limit,
o záznam ukončení závady (obnovy služby),
o informování oprávněných uživatelů o průběhu řešení závady resp. reklamace a o jejím vyřešení (obnově služby).
2. Směrnice Problem management
• Nastavení principů Problem managementu
• Definice kategorií problémů
• Role a odpovědnosti Problem managementu
• Nastavení procesu a odpovědností souvisejících s řízením problémů bude obsahovat zejména následující:
o Analýzu příčin závad a reklamací,
o Návrh řešení,
o Záznam řešení do znalostní databáze,
o Uplatňování a vymáhání řešení požadavků na řešení u výkonných složek IKT (resp. externích dodavatelů a poskytovatelů),
o Proaktivní prevenci závad a reklamací,
o Vytvoření a údržba znalostního katalogu (Knowledge base),
o Vytváření statistik výskytu závažných a opakovaných závad a jejich příčin a dalších reportů, statistik a analýz.
Rozsah poskytnuté služby
Celkový pěedpokládaný objem dílčích služeb – Implementace procesů centrální podpory uživatelů – za dobu trvání projektu bude činit 320 ČLD.
Skupina služeb „Implementace procesů centrální podpory uživatelů“ zahrnuje
• Procesy - Asistenci při zlepšování procesů incident a problem management pro útvar IKT s rozhraními do jednotlivých odborných útvarů ČSSZ zpracovávající dílčí agendy.
• Organizace - ústředí ČSSZ a další organizační složky ČSSZ
• Technologie - aplikační vybavení jednotlivých oblastí ČSSZ tak, jak je definováno ve strategii rozvoje IKT související technická infrastruktura ČSSZ
Z pohledu implementace navržených procesů předpokládáme též naše zapojení do případných aktivit výběru a implementace nového ServiceDesk nástroje a to zejména z pohledu řízení dodávky a zajištění kvality.
Přesné vydefinování rozsahu této služby bude provedeno v úvodních etapách aktivity zavedení ITSM.
Metodiky a standardy využité pěi poskytování služby
Při poskytování služeb se budeme řídit doporučeními, která jsou uvedena v následujících
metodikách a standardech:
• ISO/IEC 20000:1 – Management služeb, část 1: Specifikace (v aktuální verzi z roku 2011)
• ISO/IEC 20000:2 – Management služeb, část 2: Soubor postupů (v aktuální verzi z roku 2012)
• ITIL V3
• COBIT5
Popis metodiky pro implementaci procesů centrální podpory uživatelů
Pro zavedení a implementaci procesů centrální podpory uživatelů navrhujeme využít především normu ISO/IEC 20000 a vycházet z rámce ITIL V3 (viz prezentovaná metodika u služby
„Implementace systému řízení IKT služeb“).
Rozsah ITSM procesů, které metodika KPMG považuje za klíčové v oblasti podpory centrální podpory uživatelů (help-desk) je zobrazen na následujícím schématu:
Request Management
Incident Management
Service Level Management
Problem
Service Desk Management
IT Asset & Configuration Management
Service Desk
Release & Deploymen t Management
Change
Project Portfolio Management Management
ITSM procesy
IT – Help Desk
Ukázka rámcového konceptu procesu pro ěízení požadavků na zěízení, změny anebo zrušení standardních podporovaných IKT služeb(Request fulfilment) včetně vazeb na okolní procesy ITSM je dle metodiky KPMG zobrazen na následujícím schématu:
Change management
1. Evidence a kategorizace požadavku
2. Výběr služby 3. Odsouhlasení
businessem
4. Příjem požadavku a
plánování
5. Řešení požadavku
6. Uzavření požadavku
Business request management
Request fulfillment
Incident management
Katalog IT služeb
Capacity management
7. Monitoring + informování
Ukázka rámcového konceptu procesu pro ěízení odstraňování závad (Incident management)včetně vazeb na okolní procesy ITSM je dle metodiky KPMG zobrazen na následujícím schématu:
1. Příjem a evidence incidentu
2. Kategorizace a prioritizace
3. Diagnóza a ohodnocení
4. Řešení a 5. Vyhodnocení
eskalace a uzavření
Incident management
Request management
Event management
Configuration management
Change management
Problem
Knowledge management database
6. Monitoring + Inf ormování
Ukázka rámcového konceptu procesu pro ěízení ěešení problémů(Problem management)včetně vazeb na okolní procesy ITSM je dle metodiky KPMG zobrazen na následujícím schématu:
1. Příjem a evidence problému
2. Kategorizace a prioritizace
3. Diagnóza a ohodnocení
4. Řešení a 5. Ohodnocení
případná a uzavření iniciace změny
Problem management
Incident management
Configuration management
Change management
Knowledge database
6. Monitoring + Informace
Pro všechny fáze/aktivity zavedení procesů centrální podpory uživatelů je v rámci metodiky KPMG definován popis vstupů, výstupy, požadované součinnosti včetně šablon. Užití metodiky bude přizpůsobeno konkrétním podmínkám a potřebám Zadavatele.
Podmínky a potěebné součinnosti pro poskytnutí služby
V rámci zajištění požadované kvality výstupů projektu očekáváme poskytnutí následujících vstupů a součinnosti ze strany Zadavatele:
• Poskytnutí následující dokumentace v aktuálních verzích (pokud existuje):
• Stávající směrnice související s provozem helpdesku
• Stávající směrnice pro koncové uživatele
• Umožnění schůzek s:
• Vrchní ředitel úseku informačních a komunikačních technologií
• ěeditel odboru koncepcí a systémové integrace a vybraní pracovníci odboru
• ěeditel odboru systémové, komunikační a technické podpory a vybraní pracovníci odboru
• ěeditel odbor provozu centrálních informačních technologií a vybraní pracovníci odboru
• Osobou odpovědnou za správu uživatelských požadavků
• Vlastníky IKT služeb na straně zákazníka
• Upřesnění/stanovení vlastníků procesů Incident management a Problem management
• Připomínkování předložených výstupů relevantními osoby a akceptace finální verzí
těchto výstupů
Návaznosti služby na ostatní poskytované služby
Aktivity v rámci této služby předpokládají úzkou spolupráci se službou:
• Implementace systému řízení IKT služeb (zj. v oblasti nastavení principů procesů Incident a Problem management a rozhodnutí o implementaci odpovídajících opatření)
Odhadovaná pracnost nutná pro poskytnutí služby
Služba | Odhadovaná pracnost (v ČLD) | |
1. | Aktualizace, koordinace a optimalizace systému řízení pro odstraňování závad (Incident Management) | 200 |
2. | Aktualizace, koordinace a optimalizace systému řízení řešení problémů (Problem Management) | 120 |
Celkem | 320 |
Celkový předpokládaný objem dílčích služeb – Implementace procesů centrální podpory uživatelů – za dobu trvání projektu bude činit 320 ČLD.
Pěíloha č. 3 Rámcové smlouvy Seznam týmu specialistů
Vedoucí projektu | – osoba odpovědná za | řízení dílčích zakázek a plnění rámcové smlouvy |
Jméno Pozice | Vzdělání Certifikace | Praxe Zkušenosti |
Xxx Xxxx
vedoucí projektu
Mgr. – Matematicko-fyzikální fakulta Univerzity Karlovy
CISA
12 let
IT poradenství řízení a strategie IT IT bezpečnost
IT Governance IT sourcing
krizové plánování v oblasti IT
Tým „Systémová integrace“
Jméno Pozice
Xxxx Xxxxxxxxx
vedoucí týmu SI
Xxxxx Xxxx
2. člen týmu SI
Xxx Xxxxx
3. člen týmu SI
Vzdělání Certifikace
Ing. Csc. – České vysoké učení technické
Mgr. – Matematicko-fyzikální fakulta Univerzity Karlovy
Ing. – Vysoká škola ekonomická v Praze
Praxe Zkušenosti 11 let
IT systémy
implementace technologické infrastruktury
IT strategie 10 let
Enterprise Architektury
řízení technických dodávek
řízení integračních projektů a vývoje
4 roky
ICT strategie bankovní sektor
Praxe
Zkušenosti
Vzdělání
Certifikace
Jméno
Pozice
Tým „Projektová kancelář“
Xxx Xxxxxxx
vedoucí týmu PK
Ing. – Vysoká škola ekonomická
v Praze PRINCE2 CAE
11 let
procesně-organizační projekty audity fungování
procesně-organizační změny
Xxxx Xxxxxx
2. člen týmu PK
Xxx Xxxxxxx
3. člen týmu PK
Xxxxx Xxxxxx
4. člen týmu PK
osvědčení „Systémy managementu jakosti se zaměřením pro management jakosti projektů“ 10006:2004
Ing. - Vysoká škola zemědělská
MSc. - Masarykův ústav vyšších studií a Sheffield Hallam University
PRINCE2 ISO10006
Ing. – Slezská univerzita v Opavě PRINCE2
Ing. – Vysoká škola ekonomická v Praze
PRINCE2
osvědčení „Systémy managementu jakosti se zaměřením pro management jakosti projektů“ 10006:2004
zavádění projektového managementu
studie proveditelnosti, projektové žádosti
12 let projektové řízení procesní analýzy
informační technologie
příprava investičních projektů
7 let
optimalizace procesů benchmarking
implementace a metodika projektového řízení
školící programy
strategické plánování a finanční analýzy
12 let
procesně organizační projekty
ekonomické, věcné, právní, organizační a personální analýzy
zvyšování efektivnosti
Praxe
Zkušenosti
Vzdělání
Certifikace
Jméno
Pozice
Tým „Bezpečnost informací“
Xxxxx Xxxxxxxx
vedoucí týmu BI
Xxxxxx Xxxxx
2. člen týmu BI
Ing. – České vysoké učení
technické CISA CISSP
ISMS Lead Auditor Training Course
Cisco Networking Academy
Ing. – Vysoká škola ekonomická v Praze
CISCO CCIE inkubátor
8 let
audit a implementace systémů management IT bezpečnosti hodnocení bezpečnosti IS
audit interního kontrolního prostředí
2 roky
řízení IT bezpečnosti analýza a řízení rizik
Xxxxx Xxxxxx Ing. – Technická univerzita v Liberci
2 roky
bezpečnostní metody
3. člen týmu BI v internetovém bankovnictví
certifikační audity penetrační testy analýza a řízení rizik
Xxxxx Xxxxxxxx
4. člen týmu BI
Ing. – Vysoká škola ekonomická v Praze
ITIL CISA
TOGAF 9 ITIL v3 PMP
ISO 27001
6 let
IT Governance projektové řízení analýzy rizik a procesů
řízení informační bezpečnosti
Praxe
Zkušenosti
Vzdělání
Certifikace
Jméno
Pozice
Tým „Implementace systému řízení IKT služeb“
Xxxxx Xxxxxxx
vedoucí týmu ŘS
Xxxx Xxxxx
2. člen týmu ŘS
Xxxx Xxxxxxx
3. člen týmu ŘS
Xxxx Xxxx
4. člen týmu ŘS
Ing. – Vysoká škola ekonomická
v Praze CISA CIA ITIL
člen Českého institutu interních auditorů
Ing. – Univerzita Hradec Králové ITIL V3
Ing. – Vysoká škola ekonomická v Praze
Ing. – Vysoká škola ekonomická v Praze
12 let
IT Governance IT sourcing
Project Risk Management Quality Assurance
2 roky
IT Governance
analýza a optimalizace podnikových procesů a IT podpory
IT strategie 7 let
efektivita podnikových procesů
optimalizace a změna procesů ve finanční oblasti a IT
IT strategie 3 roky
Enterprise Architektura IT Management
IT Governance