PŘÍLOHA SMLOUVY O POSKYTOVÁNÍ SLUŽEB SPECIFIKACE služeb interního auditu v oblasti informačních a komunikačních systémů a INFORMAČNÍ A KYBERNETICKÉ bezpečnosti V SZIF

Příloha č. 1 Xxxxxxx

PŘÍLOHA SMLOUVY O POSKYTOVÁNÍ SLUŽEB


SPECIFIKACE služeb interního auditu v oblasti informačních a komunikačních systémů a INFORMAČNÍ A KYBERNETICKÉ bezpečnosti V SZIF

A Plánování auditů

Ve spolupráci se zaměstnanci Odboru interního auditu a vnitřní kontrola Objednatele připraví Poskytovatel podklady pro plánování činnosti interního auditu v oblasti informačních a komunikačních systémů a informační a kybernetické bezpečnosti v SZIF na období 2021 – 2023. Pro roky 2022 a 2023 se Poskytovatel bude podílet na sestavení ročního plánu interního auditu upřesněním tříletého plánu pro dané roky, a to vždy v termínu po dohodě s objednatelem.

Plán interních auditů bude založen na základě posouzení specifických rizik. Prvotní posouzení rizik určí specifické oblasti, procesy nebo činnosti, které představují nejvyšší rizika. Hlavním výstupem bude plánovací dokumentace obsahující:

  • identifikaci a zhodnocení rizikových oblastí IT prostředí

  • cíl a rozsah interního auditu

  • časový harmonogram auditů v předmětném období.

Podrobnosti této dokumentace budou dohodnuty v průběhu spolupráce. Výběr oblastí/procesů k samostatným auditům je v kompetenci Objednatele na základě doporučení Poskytovatele. Jednotlivé audity budou zadány formou samostatné objednávky, kde budou uvedeny základní parametry auditu.

Vzhledem k certifikaci Objednatele dle normy ČSN ISO/IEC 27001:2014 budou pro plánování auditů v oblasti bezpečnosti informací primárně využity Zásady dobré praxe dle ČSN ISO/IEC 27001: 2014 a rozdělení bezpečnostních oblastí dle této normy při zohlednění podmínky zauditování všech prvků ISMS zavedeného v SZIF dle ČSN ISO/IEC 27001: 2014 v průběhu tříletého období. Současně budou při plánování zohledněny požadavky zákona č. 181/2014 Sb., o kybernetické bezpečnosti a velikost platební agentury SZIF s cca 1300 zaměstnanci, 7 Regionálními odbory a 65 okresními pracovišti.

Poskytovatel zajistí plnění této části zakázky alespoň jedním auditorem, který bude držitelem platného certifikátu Lead auditor ISMS, platného certifikátu CISA/CRISC/CISSP a bude mít minimálně 6 let praxe (doloží životopisem) s prováděním auditů informačních a komunikačních systémů a informační a kybernetické bezpečnosti.

B Provádění jednotlivých auditů

Během platnosti smlouvy budou provedeny 3 plnohodnotné samostatné interní audity v oblasti informačních a komunikačních systémů a informační a kybernetické bezpečnosti v SZIF (ve smyslu kapitoly 9. 2 „Interní audit“ normy ČSN ISO/IEC 27001:2014), vždy jeden v jednotlivých letech 2021 – 2023. Audity budou prováděny v souladu s metodikou Objednatele na základě parametrů definovaných v plánovací fázi respektive uvedených na objednávce a budou obsahovat minimálně tyto klíčové aktivity:

  • plánovací příprava

  • shromažďování informací

  • hodnocení informačních a komunikačních systémů a informační a kybernetické bezpečnosti v SZIF

  • prezentace výstupů.

Dle povahy auditu, především u auditů technického rázu, může dojít k rozšíření těchto metodik o metodiky a auditní manuály související s auditovaným prostředím/technologií.

V rámci dodávky bude Objednateli Poskytovatelem předána auditní dokumentace dle interních standardů Objednatele, případně dle interní metodologie Poskytovatele. Její součástí je především:

  • organizace a interní předpisová základna

  • plánování

  • použité metodologie

  • popis technologií a systémová schémata

  • popis aplikací a aplikačních vazeb

  • dokumentace auditních prací

  • auditní zjištění

  • návrh zprávy

  • závěrečná zpráva.

Publikace zpráv bude prováděna dvoukolově:

  • Návrh zprávy odsouhlasený Odborem interního auditu a vnitřní kontrola Objednatele bude distribuován představitelům auditovaných útvarů pro zpracování jejich připomínek, námětů a reakcí na auditní zjištění.

  • Závěrečná Zpráva bude distribuovaná všem zainteresovaným osobám dle zvyklostí a postupů Objednatele.

Zpráva z auditu bude členěna rovněž v souladu s postupy Objednatele a bude obsahovat minimálně tyto komponenty:

  • definici auditu (rozsah auditu)

  • manažerské shrnutí

  • přehled zjištěných nedostatků vč. identifikovaných rizik a navržených doporučení

  • detailní popis auditorské práce

  • auditní doložku.


Přesnější členění a formát výsledných zpráv bude dohodnut v rámci spolupráce.

Poskytovatel zajistí plnění této části zakázky nejméně dvěma auditory s tím, že každý z nich bude mít minimálně 6 let praxe (doloží životopisem) s prováděním auditů informačních a komunikačních systémů a informační a kybernetické bezpečnosti a alespoň jeden bude držitelem platného certifikátu Lead auditor ISMS, a alespoň jeden držitelem platného certifikátu CISA/CRISC/CISSP.

C Volné hodiny

Poskytovatel poskytne v průběhu trvání smlouvy auditory pro potřeby auditorského týmu Odboru interního auditu a vnitřní kontrola Objednatele v rozsahu až 280 pracovních hodin (tj. 35 člověkodní), kdy auditor Poskytovatele bude na vyžádání spolupracovat s interními auditory Objednatele i na ostatních interních auditech, jejichž cíle se mohou týkat prověření oblastí informačních a komunikačních systémů, bezpečnosti informací nebo kybernetické bezpečnosti. Kapacita auditorů může být Objednatelem též využita ve smyslu konzultací či školení poskytovaných k problematice uvedených oblastí. Objednatel požadovanou kapacitu auditorů oznámí poskytovateli nejpozději 10 pracovních dní před plánovaným uskutečněním auditu či konzultace, pokud se se Poskytovatelem nedohodne jinak. Z vykonané činnosti vznikne výkaz práce a akceptační protokol, případně jiný výstup dle dohody.

Volné hodiny auditorů Poskytovatele jsou k dispozici Objednateli dle jeho potřeby.

Pro objednávání volných hodin auditorů Poskytovatele bude využíván následující mechanizmus:

  • ohlášení potřeby a dohodnutí parametrů – definovat shodu nad osobami, předmětem prací, termíny případně parametry dodávky

  • vytvoření objednávky dle dohodnutých parametrů

  • provedení prací čerpáním hodin

  • potvrzení dodávky schválením definovaného výstupu

  • fakturace dle objednávky.


Poskytovatel zajistí plnění této části zakázky alespoň jedním auditorem, který bude držitelem platného certifikátu Lead auditor ISMS, platného certifikátu CISA/CRISC/CISSP a bude mít minimálně 6 let praxe (doloží životopisem) s prováděním auditů informačních a komunikačních systémů a informační a kybernetické bezpečnosti.


D Harmonogram plnění zakázky

Bližší popis trvání jednotlivých fází je uveden v časovém harmonogramu dle jednotlivých let.


období

činnost

2021

Zpracování plánu na období 2021 – 2023

1 x samostatný audit

Upřesnění plánu pro rok 2022

Samostatné hodiny dle potřeby

2022

1 x samostatný audit

Upřesnění plánu pro rok 2023

Samostatné hodiny dle potřeby

2023

1 x samostatný audit

Samostatné hodiny dle potřeby


Strana 3 (celkem 3)

Document Metadata

Filed: March 19th, 2023