SMLOUVA O auditu SŘBI SPÚ
SMLOUVA O auditu SŘBI SPÚ
Xxxxx Xxxxxxx Objednatele:
uzavřená mezi smluvními stranami:
Česká republika – Státní pozemkový úřad
se sídlem: Husinecká 1024/11a, 130 00 Praha 3 – Žižkov
zastoupená: Xxx. Xxxxxxxx Xxxxx, ústředním ředitelem
IČ: 01312774
DIČ: CZ01312774
bankovní spojení: Česká národní banka
číslo účtu: 0000000/0710
(dále též jako „Objednatel“)
a
[DOPLNÍ ÚČASTNÍK]
se sídlem: [DOPLNÍ ÚČASTNÍK VZ]
zastoupená: [DOPLNÍ ÚČASTNÍK VZ]
IČ: [DOPLNÍ ÚČASTNÍK VZ],
DIČ: [DOPLNÍ ÚČASTNÍK VZ]
spisová značka [DOPLNÍ ÚČASTNÍK VZ]
bankovní spojení: [DOPLNÍ ÚČASTNÍK VZ],
číslo účtu: [DOPLNÍ ÚČASTNÍK VZ]
společnost zapsaná v obchodním rejstříku vedeném [DOPLNÍ ÚČASTNÍK VZ],
(dále též jako „Poskytovatel“)
uzavírají tuto smlouvu v souladu s ustanovením § 1746 odst. 2. zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů (dále jen „občanský zákoník“)
(dále jen „Smlouva“).
-
Objednatel prohlašuje, že:
je správním úřadem s celostátní působností, organizační složkou státu a účetní jednotkou, přičemž byl zřízen zákonem č. 503/2012 Sb., o Státním pozemkovém úřadu a o změně některých souvisejících zákonů, ve znění pozdějších předpisů,
je povinným orgánem dle § 3 písm. e) zákona č. 181/2014 Sb., (zákon o kybernetické bezpečnosti), tj. je správce a provozovatel významného informačního systému (dále jen VIS),
splňuje veškeré podmínky a požadavky v této Smlouvě stanovené a je oprávněn tuto Smlouvu uzavřít a řádně plnit závazky v ní obsažené.
Poskytovatel prohlašuje, že:
splňuje veškeré podmínky a požadavky v této Smlouvě stanovené a je oprávněn tuto Smlouvu uzavřít a řádně plnit závazky v ní obsažené,
ke dni uzavření této Smlouvy není v úpadku dle zákona č. 182/2006 Sb., o úpadku a způsobech jeho řešení (insolvenční zákon), ve znění pozdějších předpisů (dále jen „Insolvenční zákon“), a zavazuje se Objednatele bezodkladně informovat o všech skutečnostech, které nasvědčují hrozícímu úpadku, popř. o prohlášení úpadku jeho společnosti,
detailně se seznámil s rozsahem a povahou předmětu Xxxxxxx zakázky, že jsou mu známy veškeré technické, kvalitativní a jiné podmínky nezbytné k její realizaci, těmto podmínkám rozumí a je schopný je dodržet,
jako společnost akreditovaná pro výkon auditních a certifikačních služeb v oblasti „Information Security Management System / Systém řízení bezpečnosti informací“ (dále jen ISMS/SŘBI) disponuje veškerými profesními znalostmi, dovednostmi a kapacitami k řádnému splnění předmětu této smlouvy a že všechny fyzické osoby, uvedené v příloze č. 3 smlouvy, které použije k plnění této Smlouvy, mají potřebné platné akreditované certifikáty a požadovanou praxi k plnění auditu SŘBI.
-
Předmětem této Smlouvy je provedení auditu Systému řízení bezpečnosti informací (SŘBI) na Státním pozemkovém úřadu.
Podrobné vymezení předmětu Smlouvy je uvedeno v Příloze č. 1 Smlouvy.
-
-
provést předmět plnění ve vysoké kvalitě s odbornou péčí odpovídající podmínkám sjednaným v této Smlouvě;
plnit tuto Smlouvu objektivním, nestranným a profesionálním způsobem kvalifikovaných auditorů SŘBI/ISMS;
stanovit v Příloze č. 3 kvalifikované osoby – auditory ISMS/SŘBI, v souladu s ustanovením 1.2.4 k plnění předmětu smlouvy a bez souhlasu Objednatele nesmí pověřit jinou osobu provedením předmětu plnění podle této smlouvy;
neprodleně oznámit písemnou formou Objednateli překážky, které mu brání v plnění předmětu Smlouvy;
dodržovat bezpečnostní, hygienické, požární, organizační, ekologické předpisy, předpisy o bezpečnosti a ochraně zdraví při práci na pracovištích Objednatele a veškeré další platné právní předpisy
a zároveň interní předpisy Objednatele, se kterými byl seznámen, resp. mohl se s nimi seznámit, a za stejných podmínek zajistit, aby všechny osoby podílející se na plnění jeho závazků z této Smlouvy, které se budou zdržovat v prostorách nebo na pracovištích Objednatele, dodržovaly zmíněné předpisy;chránit práva duševního vlastnictví Objednatele a třetích osob;
plnit ustanovení článku 9 k ochraně důvěrných informací a po ukončení této Smlouvy nevratně zničit všechny pracovní pomůcky auditorů (pracovní záznamy důkazů z auditu, poznámky apod.), které obsahují důvěrné neveřejné informace k Objednateli a nejsou přímou součástí auditní zprávy.
-
Poskytovatel se dále zavazuje udržovat v platnosti a účinnosti po celou dobu poskytování Služeb pojistnou smlouvu, jejímž předmětem je pojištění odpovědnosti za újmu, zejména majetkovou újmu (škodu) způsobenou Poskytovatelem třetí osobě (Objednateli), a to tak, že limit pojistného plnění vyplývající z pojistné smlouvy nesmí být nižší než 1 000 000,- Kč za rok a pojistné plnění v uvedené výši se musí vztahovat na jakoukoliv újmu, kterou může způsobit Poskytovatel Objednateli při plnění této Smlouvy. Poskytovatel je kdykoliv v průběhu trvání této Smlouvy povinen na požádání Objednatele předložit do tří dnů pojistnou smlouvu dle tohoto odstavce, nebo její relevantní části, nebo pojistku ve smyslu § 2775 občanského zákoníku, a to nejpozději do 7 dnů ode dne doručení žádosti Objednatele.
-
-
Cena za splnění předmětu této smlouvy je smluvními stranami dohodnuta ve výši …………. Kč bez DPH, přičemž sazba DPH činí 21 %, výše DPH činí ………….… Kč a cena včetně DPH činí …….…….. Kč a zahrnuje i cestovní náklady vzniklé Poskytovateli při plnění předmětu Smlouvy.
Cena bude Objednatelem Poskytovateli uhrazena na základě akceptačního protokolu vystaveného Objednatelem a daňového dokladu – faktury (dále jen „faktura“) vystavené Poskytovatelem.
Lhůta splatnosti je stanovena na 30 dní od doručení faktury Objednateli. Poskytovatel se zavazuje odeslat daňový doklad Objednateli nejpozději následující pracovní den po jeho vystavení.
Faktura musí splňovat náležitosti obchodní listiny ve smyslu § 435 občanského zákoníku a řádného daňového dokladu stanoveného zákonem č. 235/2004 Sb., o dani z přidané hodnoty, ve znění pozdějších předpisů.
Nebude-li faktura obsahovat stanovené náležitosti a přílohy, nebo v ní nebudou správně uvedeny údaje dle této Smlouvy, je Objednatel oprávněn vrátit ji do 5 pracovních dní Poskytovateli. V takovém případě se přeruší běh lhůty splatnosti a nová lhůta splatnosti počne běžet doručením opravené faktury.
Poskytovatel tímto bere na vědomí, že Objednatel je organizační složkou státu a jeho stav účtu závisí na převodu finančních prostředků ze státního rozpočtu. Poskytovatel souhlasí s tím, že v případě nedostatku finančních prostředků na účtu Objednatele dojde k zaplacení faktury po obdržení potřebných finančních prostředků a že časová prodleva z těchto důvodů nebude započítána do doby splatnosti uvedené na faktuře a nelze z těchto důvodů vůči Objednateli uplatňovat žádné sankce. Objednatel se zavazuje, že v případě, že tato skutečnost nastane, oznámí ji neprodleně, a to písemně, Poskytovateli nejpozději do doby splatnosti faktury vystavené Poskytovatelem.
Platby peněžitých částek se provádí bankovním převodem na účet druhé smluvní strany uvedený ve faktuře. Peněžitá částka se považuje za zaplacenou okamžikem jejího odepsání z účtu odesílatele ve prospěch účtu příjemce.
Ceny Služeb dle této Smlouvy jsou neměnné a konečné s výhradou změny zákonné sazby daně z přidané hodnoty.
-
Každá ze smluvních stran jmenuje oprávněnou osobu, popř. zástupce oprávněné osoby. Oprávněné osoby budou zastupovat smluvní stranu ve smluvních, obchodních a technických záležitostech souvisejících s plněním této Smlouvy.
Oprávněné osoby jsou oprávněny jménem stran provádět veškerá jednání stanovená v této Smlouvě.
Jména oprávněných osob jsou uvedena v Příloze č. 2 Smlouvy.
Smluvní strany jsou oprávněny jednostranným písemným oznámením zaslaným druhé smluvní straně změnit oprávněné osoby; toto oznámení jsou však povinny zaslat druhé smluvní straně bez zbytečného odkladu. Změna oprávněné osoby nastává doručením oznámení druhé smluvní straně.
POVINNOSTI OBJEDNATELE A POSKYTOVATELE
Objednatel je povinen zajistit dostupnost míst plnění a poskytovat Poskytovateli v rámci plnění této Smlouvy veškerou nutnou součinnost k plnění předmětu smlouvy.
Poskytovatel se na základě této Smlouvy zavazuje:
Provést plnění předmětu Smlouvy řádně a včas za dohodnutou cenu a za podmínek této Smlouvy.
Předložit Objednateli požadavky na potřebnou dokumentaci a ostatní informace pro plnění předmětu smlouvy, stejně jako požadavky na součinnost při organizačním zajištění, a to do 5 pracovních dní od podpisu této smlouvy.
Budou-li informace poskytnuté Objednatelem, které jsou nezbytné pro plnění dle této smlouvy, obsahovat osobní údaje, bude s nimi Poskytovatelem nakládáno pouze v nezbytném smluvním rozsahu a bezpečným způsobem,
ve smyslu nařízení Evropského parlamentu a Rady EU 2016/679 („GDPR“) a zákona č. 110/2019 Sb., o zpracování osobních údajů.
ODPOVĚDNOST ZA VADY A ODSTRANĚNÍ VAD
Poskytovatel odpovídá za to, že provedení auditu bude splňovat specifikaci stanovenou Smlouvou v Předmětu smlouvy, v návaznosti na Přílohu č. 1 Smlouvy. Vadou se rozumí rozpor mezi skutečnou realizací Xxxxxxx provedenou Poskytovatelem a požadavky, které jsou stanoveny v Příloze č. 1 Smlouvy.
V případě identifikované vady Objednatel neprodleně a doložitelně tuto vadu nahlásí Poskytovateli cestou oprávněné osoby ve smyslu Přílohy č. 2 Smlouvy.
Poskytovatel po dohodě s Objednatelem a v konkrétní dohodnuté lhůtě odstraní identifikovanou vadu.
OCHRANA DŮVĚRNÝCH INFORMACÍ
Smluvní strany jsou si vědomy toho, že v rámci plnění závazků z této Smlouvy:
Smluvní strany se zavazují, že žádná z nich nezpřístupní třetí osobě důvěrné informace, které při plnění této Smlouvy získala od druhé smluvní strany
a neužije důvěrné informace v rozporu s účelem této Smlouvy a pro svůj vlastní prospěch.
za předpokladu, že se podílejí na plnění této Smlouvy nebo na plnění spojeným s plněním dle této Smlouvy, důvěrné informace jsou jim zpřístupněny výhradně za tímto účelem a zpřístupnění důvěrných informací je v rozsahu nezbytně nutném pro naplnění jeho účelu a za stejných podmínek, jaké jsou stanoveny smluvním stranám v této Smlouvě.
Veškeré důvěrné informace zůstávají výhradním vlastnictvím předávající strany a přijímající strana vyvine pro zachování jejich důvěrnosti a pro jejich ochranu stejné úsilí, jako by se jednalo o její vlastní důvěrné informace. S výjimkou rozsahu, který je nezbytný pro plnění této Smlouvy, se obě strany zavazují neduplikovat žádným způsobem důvěrné informace druhé strany, nepředat je třetí straně ani svým vlastním zaměstnancům a zástupcům s výjimkou těch, kteří s nimi potřebují být seznámeni, aby mohli plnit tuto Smlouvu. Obě strany se zároveň zavazují nepoužít důvěrné informace druhé strany jinak, než za účelem plnění této Smlouvy.
Nedohodnou-li se smluvní strany výslovně písemnou formou jinak, považují se za důvěrné implicitně všechny osobní údaje, a déle informace, které jsou anebo by mohly být součástí obchodního tajemství, tj. například, ale nejenom, interní řídící dokumenty, popisy nebo části popisů technologických procesů a vzorců, technických vzorců a technického know-how, informace o provozních metodách, procedurách a pracovních postupech, obchodní nebo marketingové plány, koncepce a strategie nebo jejich části, nabídky, kontrakty, smlouvy, dohody nebo jiná ujednání s třetími stranami, informace o výsledcích hospodaření, o vztazích s obchodními partnery, o pracovněprávních otázkách a všechny další informace, jejichž zveřejnění přijímající stranou by předávající straně mohlo způsobit újmu.
Bez ohledu na výše uvedená ustanovení se veškeré informace vztahující se k předmětu této Smlouvy a příslušné dokumentaci považují s ohledem na potencionálně vysokou zneužitelnost informací Objednatele výlučně za důvěrné informace Objednatele a Poskytovatel je povinen tyto informace chránit v souladu s touto Smlouvou. Poskytovatel při tom bere na vědomí, že povinnost ochrany těchto informací podle tohoto článku 9 se vztahuje pouze na Poskytovatele.
Bez ohledu na výše uvedená ustanovení se za důvěrné nepovažují informace, které:
se staly veřejně známými, aniž by jejich zveřejněním došlo k porušení závazků přijímající smluvní strany či právních předpisů,
měla přijímající strana prokazatelně legálně k dispozici před uzavřením této Smlouvy, pokud takové informace nebyly předmětem jiné, dříve mezi smluvními stranami uzavřené smlouvy o ochraně informací,
jsou výsledkem postupu, při kterém k nim přijímající strana dospěje nezávisle a je to schopna doložit svými záznamy,
po podpisu této Xxxxxxx poskytne přijímající straně třetí osoba, jež není omezena v takovém nakládání s informacemi,
mají být zpřístupněny na základě zákona či jiného právního předpisu včetně práva EU nebo závazného rozhodnutí oprávněného orgánu veřejné moci jsou obsažené ve Smlouvě a jsou zveřejněné dle příslušných právních předpisů.
Za porušení povinnosti mlčenlivosti smluvní stranou se považují též případy, kdy tuto povinnost poruší kterákoliv z osob uvedených v odst. 9.3, které daná smluvní strana poskytla důvěrné informace druhé smluvní strany.
Ukončení účinnosti této Smlouvy z jakéhokoliv důvodu se nedotkne ustanovení tohoto článku 9 Smlouvy a jejich účinnost přetrvá i po ukončení účinnosti této Smlouvy.
Poskytovatel souhlasí se zveřejněním této Smlouvy včetně všech jejích změn a dodatků v Registru smluv.
Uveřejnění Smlouvy v Registru smluv, v požadovaném strojově čitelném formátu včetně metadat smlouvy a provedení anonymizace zbytných osobních údajů, zajistí Objednatel.
-
Pro případ prodlení Objednatele s úhradou plateb sjednaných v této Smlouvě (resp. v jejích případných dodatcích, uzavřených mezi Smluvními stranami za účelem splnění předmětu této Smlouvy) je Poskytovatel po Objednateli oprávněn požadovat uhrazení smluvní pokuty ve výši 0,05 % z dlužné částky za každý započatý den prodlení. Poskytovatel bere na vědomí, že Objednatel je organizační složkou státu a stav jeho účtu závisí na převodu finančních zdrojů ze státního rozpočtu. Časová prodleva vzniklá nepřevedením finančních prostředků státu na účet Objednatele nemůže být považována za zavinění prodlení na straně Objednatele a z tohoto důvodu nelze vůči Objednateli uplatňovat žádné sankce. Objednatel se zavazuje, že v případě, že tato skutečnost nastane, oznámí ji Poskytovateli nejpozději do 5 pracovních dnů před původním termínem splatnosti faktury.
V případě prodlení Poskytovatele z důvodů výlučně na jeho straně s termínem dodání akceptovatelného výstupu z plnění smlouvy je Objednatel oprávněn požadovat na Poskytovateli uhrazení smluvní pokuty ve výši 1.000, - Kč za každý kalendářní den prodlení.
V případě porušení povinnosti podle čl. 9 této smlouvy, je Poskytovatel povinen zaplatit Objednateli smluvní pokutu ve výši 50.000, - Kč za každé jednotlivé porušení povinnosti, aniž by bylo dotčeno oprávnění Objednatele zakotvené v odst. 11.3.2 Xxxxxxx.
Vznikem nároku na uplatnění smluvní sankce není dotčen nárok Smluvní strany na náhradu vzniklé škody.
Zaplacení jakékoliv sjednané smluvní pokuty nezbavuje povinnou smluvní stranu povinnosti splnit své závazky, ani nahradit způsobenou škodu nebo nemajetkovou újmu. Kumulace více práv na slevy z ceny a/nebo smluvní pokuty v případě jednoho porušení Smlouvy je přípustná.
Každá ze stran nese odpovědnost za způsobenou majetkovou újmu (škodu)
a nemajetkovou újmu v rámci platných právních předpisů a této Smlouvy. Obě smluvní strany se zavazují k vyvinutí maximálního úsilí k předcházení škodám a k minimalizaci vzniklých škod.
-
Tato Smlouva nabývá platnosti dnem uzavření. Smlouva nabývá účinnosti dnem jejího uveřejnění v registru smluv.
Tato Xxxxxxx se uzavírá na dobu určitou, která skončí 1. 11. 2021.
Objednatel je bez jakýchkoliv sankcí vedle důvodů uvedených v právních předpisech oprávněn odstoupit od této Smlouvy v případě, že:
Poskytovatel je v prodlení s plněním déle než 10 dní od stanoveného termínu zahájení či ukončení plnění smlouvy; nebo
dojde k porušení povinnosti ochrany důvěrných informací dle této Smlouvy ze strany Poskytovatele;
bude vydáno rozhodnutí o úpadku Poskytovatele, Poskytovatel sám podá dlužnický návrh na zahájení insolvenčního řízení nebo insolvenční návrh ohledně Poskytovatele je zamítnut proto, že majetek nepostačuje k úhradě nákladů insolvenčního řízení (ve znění insolvenčního zákona); nebo
Poskytovatel vstoupí do likvidace, nebo dojde k jinému byť jen faktickému podstatnému omezení rozsahu jeho činnosti, který by mohl mít negativní dopad na jeho způsobilost plnit závazky podle této Xxxxxxx;
Poskytovatel nebude schopen předložit pojistnou smlouvu, její relevantní části nebo pojistku dle odst. 4.2 této Smlouvy;
Poskytovatel je oprávněn odstoupit od této Smlouvy pouze v případě, že:
Objednatel je v prodlení se zaplacením jakékoliv splatné částky dle této Smlouvy po dobu delší než 60 dnů;
Objednatel je v prodlení s poskytováním nezbytné součinnosti dle této Smlouvy; nebo
Objednatel jiným způsobem podstatně poruší tuto Smlouvu,
a Objednatel nezjedná nápravu ani v dodatečné přiměřené lhůtě, kterou mu k tomu Poskytovatel poskytne v písemné výzvě ke splnění povinnosti, přičemž tato lhůta nesmí být kratší než 10 dnů od doručení takovéto výzvy k nápravě a v této výzvě zároveň musí být uvedeno právo Poskytovatele od Smlouvy odstoupit.
Účinky odstoupení od Xxxxxxx nastávají dnem doručení písemného oznámení o odstoupení druhé smluvní straně.
S ohledem na ustanovení odst. 11.4 této Smlouvy je vyloučena aplikace ustanovení § 2591 občanského zákoníku, který mj. stanoví, že Poskytovatel má právo po předchozím upozornění Objednatele odstoupit od Smlouvy v případě, že marně uplyne Poskytovatelem stanovená dodatečná lhůta k poskytnutí součinnosti Objednatelem. Obdobně je vyloučena aplikace ustanovení § 1978 odst. 2 občanského zákoníku, který stanoví, že marné uplynutí dodatečné lhůty stanovené k plnění může mít za následek odstoupení od této Smlouvy bez dalšího.
Ukončením účinnosti této Smlouvy, včetně zrušení závazku v důsledku odstoupení od této Smlouvy, nejsou dotčena ustanovení Smlouvy týkající se záruk, nároků z odpovědnosti za vady, nároky z odpovědnosti za újmu a nároky ze smluvních pokut, ustanovení o ochraně informací, ani další ustanovení a nároky, z jejichž povahy vyplývá, že mají trvat i po zániku účinnosti této Smlouvy.
-
Tato Smlouva představuje úplnou dohodu smluvních stran o předmětu této Smlouvy. Tuto Smlouvu je možné měnit pouze písemnou dohodou smluvních stran ve formě číslovaných dodatků. Takové dohody musí mít podobu datovaných, číslovaných a oběma Smluvními stranami podepsaných dodatků Smlouvy.
Pokud by se kterékoliv ustanovení této Smlouvy ukázalo být neplatným, zdánlivým nebo nevynutitelným nebo se jím stalo po uzavření této Smlouvy, pak tato skutečnost nepůsobí neplatnost, zdánlivost ani nevynutitelnost ostatních ustanovení této Smlouvy.
Veškerá práva a povinnosti vyplývající z této Smlouvy přecházejí, pokud to povaha těchto práv a povinností nevylučuje, na právní nástupce smluvních stran.
Nedílnou součást Smlouvy tvoří tyto přílohy:
Podrobná specifikace Předmětu smlouvy |
|
Oprávněné osoby |
|
Realizační tým Poskytovatele |
|
Akceptační protokol (vzor) |
Smluvní strany prohlašují, že si tuto Smlouvu přečetly, že s jejím obsahem souhlasí a na důkaz toho k ní připojují svoje podpisy.
Objednatel
V Praze dne __.__.______
|
Poskytovatel
V _______________ dne __.__.______
|
...................................................................... Xxx. Xxxxxx Xxxx Ústřední ředitel Státní pozemkový úřad
|
................................................................. [DOPLNÍ ÚČASTNÍK VZ]
|
Příloha č. 1
Podrobná specifikace Předmětu smlouvy
Předmětem
smlouvy je provedení auditu Systému řízení bezpečnosti
informací SPÚ na shodu tohoto systému řízení s požadavky
zákona č. 181/2014 Sb., ve znění pozdějších předpisů,
a
návazné vyhlášky č. 82/2018 Sb. (o kybernetické bezpečnosti),
v rozsahu povinností správce a provozovatele „významného
informačního systému“ dle § 3 písm. e) zákona.
Audit se skládá se z částí:
1. Příprava auditu
Na úvodních jednáních smluvních stran je projednána a oboustranně schválena příprava auditu, zejména v následujících oblastech:
specifikace níže uvedených bodů 1, 3 až 5 z části 3. - Zpráva z auditu,
věcně časový návrh „Plánu auditu SŘBI“.
2. Vlastní provedení auditu
Fáze I. Audit dokumentovaných informací
V
této části auditor/auditoři přezkoumává/jí zpřístupněnou
základní dokumentaci k SŘBI.
Nálezy z této fáze
I. jsou prezentovány oprávněné osobě SPÚ před započetím fáze
II. k případnému vyjasnění indikovaných neshod a možných
sporných bodů.
Pozn.:
zpřístupnění dokumentovaných informací z provozu, včetně
případných náhledů
do informačních systémů
Objednatele, je prováděno při auditu na místě (ústředí SPÚ).
Fáze II. Audit na místě
Ve
druhé části je/jsou auditor/auditoři seznámen/seznámeni na
místě (viz bod 3.3 Smlouvy)
s vlastním výkonem provozu
SŘBI. Na základě auditních metod a postupů sbírají důkazy
z provozu SŘBI, včetně auditních pohovorů se zaměstnanci
SPÚ. Pro nezbytnou součinnost doprovodu auditorů na jednotlivých
pracovištích jsou určeni zaměstnanci SPÚ.
Tito průvodci
mohou/nemusí být zároveň i auditovanými osobami.
V průběhu
obou fází probíhá na základě komunikační matice nezbytná
komunikace mezi oprávněnými osobami SPÚ a vedoucím auditorem,
zejména k zajištění a zpřístupnění auditory požadovaných
informací, a k zajištění další nezbytné součinnosti,
zejména řešení nutnosti
ad-hoc změn oproti schválenému
plánu auditu (např. neplánovaná nepřítomnost auditovaných
apod.).
3. Zpráva z auditu
Výstupem auditu je „Zpráva z auditu SŘBI“, která obsahuje minimálně:
Základní informace (tým auditorů, oprávněné osoby SPÚ a jejich odpovědnost v rámci auditu, komunikační matice, aj.).
Stanovení cílů, předmětů, kritérií auditu a metrik hodnocení:
Cíl auditu
Nezávislé kvalifikované ověření shody na SPÚ provozovaného SŘBI s požadavky zákona č. 181/2014 Sb. a návazné vyhlášky č. 82/2018 Sb. (o kybernetické bezpečnosti).
Předmět auditu
Dokumentovaný a provozovaný Systém řízení bezpečnosti informací (SŘBI) v organizaci SPÚ – ústředí.
Kritéria auditu
Kritériem
pro hodnocení SŘBI je plnění zákona č. 181/2014 Sb. (ZKB) a
návazné vyhl.
č. 82/2018 Sb. (VKB), o kybernetické
bezpečnosti, na úrovni relevantních požadavků této legislativy,
kladených na správce a provozovatele „významného informačního
systému“ (VIS).
Metriky hodnocení
Shoda = dokumentováno / prováděno (SPÚ plní požadavek ZKB/VKB pro kategorii VIS).
Neshoda = není dokumentováno / není prováděno (SPÚ neplní požadavek ZKB/VKB pro kategorii VIS).
Zaváděno = plnění požadavku ZKB/VKB pro kategorii VIS je v procesu zavádění (v plánu nebo v procesu implementace).
NR/NA = není relevantní/aplikovatelné pro SPÚ (jako správce a provozovatele VIS)
Metody a postupy auditu (navrhuje vedoucí auditor, odsouhlasí oprávněná osoba SPÚ).
Seznam požadovaných a seznam zpřístupněných dokumentovaných informací – tj. řídící dokumentace, plány a záznamy o jejich plnění a ostatní relevantní informace (navrhuje vedoucí auditor, odsouhlasí oprávněná osoba).
Proveditelnost a rizika auditu, opatření k jejich minimalizaci (identifikují a odsouhlasí obě strany).
Stanovený věcně-časový „Plán auditu SŘBI“ a jeho následné plnění (plán navrhuje vedoucí auditor, odsouhlasí oprávněná osoba SPÚ).
Zjištění z auditu – kompletní kontrolní tabulky („checklists“) stanovených požadavků ZKB/VKB, auditní zjištění a jejich vyhodnocení podle stanovených metrik hodnocení pro I. a II. fázi auditu.
Přezkoumání nalezených neshod s oprávněnou osobou SPÚ a (vyjádření SPÚ k neshodám a případné doplnění důkazů k jejich eliminaci).
Případné nevyřešené názorové rozdíly (konstatování „bez názorových rozdílů mezi auditory a oprávněnými osobami SPÚ“, nebo výčet nevyřešených názorových rozdílů mezi auditory a oprávněnými osobami SPÚ).
Návrhy auditu na další zlepšení (příležitosti ke zlepšení systému SŘBI).
Manažerské shrnutí pro vrcholové vedení SPÚ (shrnující manažerská SWOT tabulka a celkové stručné shrnutí výsledků auditu).
Distribuci finální zprávy z auditu zajišťuje vedoucí auditor oprávněné osobě SPÚ v elektronické (PDF) a listinné podobě. V případě použití zaručeného elektronického podpisu vedoucího auditora na PDF verzi postačuje tato elektronická verze zprávy.
5. Prezentace výsledku auditu vrcholovému vedení SPÚ
V případě zájmu ze strany vrcholového vedení SPÚ provede vedoucí auditor prezentaci Zprávy z auditu, s důrazem na zjištění a závěry z auditu.
6. Ukončení auditu a fakturace
Po splnění předchozích bodů a podpisu akceptačního protokolu ze strany oprávněné osoby SPÚ je provedena fakturace a úhrada faktury podle článku 5 Smlouvy.
Příloha č. 2
Oprávněné osoby
Za Objednatele:
zástupce Objednatele ve věcech smluvních:
-
Xxxxx a příjmení
Xxx. Xxxxxx Xxxx
Adresa
Státní pozemkový úřad, Husinecká 1024/11a, 130 00
Praha 3 – ŽižkovE-mail
Telefon
000 000 000
zástupce Objednatele ve věcech technických a realizačních:
-
Jméno a příjmení
Xx. Xxxxxxx Xxxx, vedoucí Oddělení bezpečnosti
Adresa
Státní pozemkový úřad, Husinecká 1024/11a, 130 00
Praha 3 – ŽižkovE-mail
Telefon
000 000 000
a na základě jeho pověření v dílčích záležitostech další osoby:
-
Xxxxx a příjmení
Xxx. Xxx Xxxx, manažer kybernetické bezpečnosti
Adresa
Státní pozemkový úřad, Husinecká 1024/11a, 130 00
Praha 3 – ŽižkovE-mail
Telefon
000 000 000
-
Xxxxx a příjmení
Xxx. Xxxxx Xxxxx, architekt kybernetické bezpečnosti
Adresa
Státní pozemkový úřad, Husinecká 1024/11a, 130 00
Praha 3 – ŽižkovE-mail
Telefon
000 000 000
Za Poskytovatele:
ve věcech smluvních:
-
Jméno a příjmení
[DOPLNÍ ÚČASTNÍK VZ]
Adresa
[DOPLNÍ ÚČASTNÍK VZ]
E-mail
[DOPLNÍ ÚČASTNÍK VZ]
Telefon
[DOPLNÍ ÚČASTNÍK VZ]
ve věcech technických a realizačních:
-
Jméno a příjmení
[DOPLNÍ ÚČASTNÍK VZ]
Adresa
[DOPLNÍ ÚČASTNÍK VZ]
E-mail
[DOPLNÍ ÚČASTNÍK VZ]
Telefon
[DOPLNÍ ÚČASTNÍK VZ]
Osoby oprávněné jednat ve věcech smluvních jsou oprávněny v rámci této Smlouvy vést s druhou stranou jednání obchodního a smluvního charakteru, jsou oprávněny měnit či rušit tuto Smlouvu či uzavírat dodatky k této Smlouvě.
Osoby oprávněné jednat ve věcech technických a realizačních jsou oprávněny v rámci této Smlouvy vést s druhou stranou jednání technického charakteru, nejsou však oprávněny měnit či rušit tuto Smlouvu či uzavírat dodatky k této Smlouvě. Dále jsou oprávněny předávat či přebírat plnění a podepisovat příslušné předávací nebo akceptační protokoly a provádět činnosti a úkony, o nichž to stanoví tato Smlouva.
Příloha č. 3
Realizační tým Poskytovatele
účastník VZ vyplní níže uvedené kontaktní údaje
Pozice |
Kontaktní údaje |
vedoucí auditor SŘBI/ISMS* |
Jméno a příjmení: Telefon: E-mail: |
auditor 1 SŘBI/ISMS** |
Jméno a příjmení: Telefon: E-mail: |
auditor 2 SŘBI/ISMS** |
Jméno a příjmení: Telefon: E-mail: |
auditor X SŘBI/ISMS** |
Jméno a příjmení: Telefon: E-mail: |
…. |
|
Příloha č. 4
Akceptační protokol
Předmětem akceptace je řádné provedení auditu Systému řízení bezpečnosti informací na SPÚ podle:
SMLOUVY O AUDITU SŘBI SPÚ
Xxxxx Xxxxxxx Objednatele: …………………..
Výsledek akceptace: (variantu výsledku označit křížkem)
akceptováno |
akceptováno s výhradami* |
neakceptováno* |
* Odůvodnění Objednatele:
* Vyjádření Poskytovatele:
Akceptaci provedl:
příjmení jméno, titul |
funkce |
podpis |
|
|
|
Datum vystavení protokolu: ………………… Celkový počet stran: 1