Odůvodnění veřejné zakázky „Zajištění služby Bezpečnostního dohledu pro MS2014+“ podle § 156 zákona č. 137/2006 Sb., o veřejných zakázkách, ve znění pozdějších předpisů (dále jen „ZVZ“) a vyhlášky č. 232/2012 Sb., o podrobnostech rozsahu odůvodnění účelnosti veřejné zakázky a odůvodnění účelnosti veřejné zakázky (dále jen „vyhláška“) Veřejná zakázka uveřejněna: Ve Věstníku veřejných zakázek pod evidenčním číslem VZ: 400671 a v TED pod značkou 2014/S 209-370311
Zadavatel:
Česká republika – Ministerstvo pro místní rozvoj Odbor správy monitorovacího systému Staroměstské náměstí 6 110 15 Praha 1 IČO 660 02 222, DIČ CZ66002222 (dál jen „Zadavatel“ nebo „MMR“). Kontaktní osoba: Ing. Mgr. Radek Vršecký, Ph.D. e-mail:
[email protected] (dál jen „Zadavatel“ nebo „MMR“).
Odůvodnění účelnosti dle § 2 vyhlášky Zadavatel popíše změny:
Protože zadavatel zrušil předchozí zadávací řízení s obdobným předmětem podle § 84 ZVZ, nebyl v souladu s § 86 odst. 3 písm. d) ZVZ povinen uveřejnit předběžné oznámení veřejné zakázky. Zadavatel z tohoto důvodu uvádí úplné odůvodnění účelnosti veřejné zakázky dle písmen a) až d).
a) v popisu potřeb, které mají být splněním veřejné zakázky naplněny,
Ad a) Připravovaná veřejná zakázka představuje ucelenou dodávku služeb pro kontrolu zabezpečení provozního prostředí, aplikace a procesního zajištění komplexního řešení MS2014+. Rozsah požadovaných služeb vychází nejen z požadavků EK na standardy
Strana 1
bezpečnosti pro systémy monitorující fondy Společného strategického rámce, ale i ze standardů bezpečnosti uplatňovaných pro IT systémy v rámci e Governmentu České republiky. Definování základních parametrů služeb bude korespondovat s rozsahem požadavků, které na takovéto systémy kladou zejména České národní normy a příslušné normy EK. b) v popisu předmětu veřejné zakázky,
Ad b) Předmětem této veřejné zakázky je pořízení nezbytně nutných služeb pro zajištění správného nastavení a dohledu nad provozní bezpečností celého systému MS2014+ (dále také „řešení MS2014+“), tj. monitoringu bezpečnosti, kontroly procesů, přístupů a postupů, schvalování změnových řízení aplikace MS2014+, prostředí (HW, SW a infrastruktury) a způsobu jejich řešení z pohledu bezpečnostních norem, kontroly vstupů pro výkon auditů a vlastního provádění pravidelných bezpečnostních auditů, návrhů opravných řešení a tvorba, revize a vedení bezpečnostní dokumentace systému jako celku. Předmětem této Veřejné zakázky jsou následující služby:
Informační bezpečnost,
Ochrana osobních údajů,
Bezpečnostní monitoring,
Kontrola kvality poskytovaných služeb,
Audit prostředí,
s tím, že u každé služby jsou popsány požadavky Zadavatele na její rozsah, klíčové činnosti, kapacitní nároky, SLA parametry a další nezbytné informace potřebné pro správné a úplné vymezení dané služby. Popis a vymezení každé služby jsou doplněny informacemi o způsobu vyhodnocování poskytování těchto služeb. c) vzájemného vztahu předmětu veřejné zakázky a potřeb Zadavatele,
Ad c) Aby Zadavatel mohl dostát všem povinnostem nutným pro zajištění celkového komplexního řešení MS2014+ (v souladu s usnesením vlády ČR ze dne 8. září 2011 č. 664 a s vládou dne 4. 1. 2012 schváleným dokumentem „Postup přípravy monitorovacího systému strukturálních fondů a Fondu soudržnosti na programové období 2014+“), tak se chce zaměřit zejména na metodické a koncepční řízení jednotného informačního systém pro monitorování využívání pomoci z ESI fondů v České republice pro všechny programy.
Strana 2
Vzhledem k vlastním nedostatečným personálním kapacitám a zdrojům, rozhodl se Zadavatel zajistit specializované bezpečnostní, dokumentační a kontrolní činnosti formou externího dodavatele poskytovatele služeb Bezpečnostního dohledu pro MS2014+. Výběrem Bezpečnostního dohledu Zadavatel získá dostatečně odborně a technicky vybavený subjekt pro průběžné nezávislé a nestranné vyhodnocování provozních a bezpečnostních parametrů služeb řešení MS2014+.
d) v předpokládaném termínu splnění veřejné zakázky, oproti skutečnostem uvedeným podle § 1.
Ad d) Zadavatel vychází ze schváleného dokumentu „Postup přípravy monitorovacího systému strukturálních fondů a Fondu soudržnosti na programové období 2014+“, na základě kterého byl informační systém Aplikace MS2014+ spuštěn 1. ledna 2014 (v omezené funkcionalitě) a 1. září 2014 (v plné funkcionalitě) pro užití ŘO. Zadavatel by měl mít Bezpečnostního dohledu.
k tomuto
datu
zajištěny
i
služby
Nicméně skutečný termín zahájení poskytování služeb bude určen Zadavatelem na základě výzvy Zadavatele a k datu, které Zadavatel jednostranně určí, ne však dříve než 7 dní ode dne odeslání výzvy Zadavatelem. Poskytování služeb Bezpečnostního dohledu bude zajištěno na základě Smlouvy o poskytování služeb uzavřené na dobu neurčitou. Zadavatel předpokládá dobu poskytování služeb Bezpečnostního dohledu shodnou s dobou provozu Aplikace MS2014+. Popis rizik souvisejících s plněním veřejné zakázky, které Zadavatel zohlednil při stanovení zadávacích podmínek.
Při přípravě zadávacích podmínek zohlednil Zadavatel zejména rizika:
Riziko nerealizace veřejné zakázky spočívá v tom, že by o
nebylo odpovídajícím způsobem zajištěno průběžné monitorování a ověřování bezpečnosti řešení MS2014+, v plném rozsahu by nebyl zajištěn soubor bezpečnostní dokumentace celého řešení MS2014+ a nebyla by zajištěna funkce věrohodného a nezávislého vyhodnocování SLA parametrů služeb Provozovatele Aplikace MS2014+ a Poskytovatele služeb Prostředí. Tyto skutečnosti s sebou nesou rizika případných zjištění neshod při kontrolních a auditních misích ze strany kontrolních orgánů ČR a EK a uplatnění možných sankcí z jejich strany vůči Zadavateli a ČR.
o
nedošlo k naplnění cílů stanovených ve výše uvedených usneseních vlády ČR.
Strana 3
Riziko prodlení s plněním veřejné zakázky spočívá zejména v nebezpečí, že by některé služby musel, po přechodnou dobu, zajistit Zadavatel náhradním způsobem (např. vlastními omezenými personálními kapacitami nebo zadáním výkonu některých služeb Provozovateli Aplikace MS2014+ nebo Poskytovateli služeb Prostředí popř. jinému subjektu). Náhradním způsobem však není možné zajistit provádění bezpečnostního monitoringu (vzhledem k potřebě souvisejícího HW a SW vybavení, kterým Zadavatel nedisponuje) a tato služba by nebyla zajištěna vůbec.
Riziko snížené kvality plnění spočívá zejména v nebezpečí, ohrožení provozních parametrů Aplikace MS2014+ a / nebo Prostředí, tak jak si jej vymínil Zadavatel a blíže definoval jeho obsah v zadávacích podmínkách; popřípadě v situaci, kdy se vyskytnou jiné provozní incidenty vyvolané činností Bezpečnostního dohledu. Zadavatel, aby omezil toto riziko, v technických podmínkách stanovil zejména, že vyhodnocování provozních a bezpečnostních parametrů služeb řešení MS2014+ bude realizováno způsobem, který toto riziko minimalizuje (dedikované HW a SW prostředky Bezpečnostního dohledu, aj.) a pro případy neplnění SLA parametrů Bezpečnostního dohledu sjednal povinnost Poskytovatele služeb Bezpečnostního dohledu zaplatit smluvní pokuty.
Riziko vynaložení dalších finančních nákladů spočívá v nebezpečí, že Zadavatel nakonec zaplatí za plnění veřejné zakázky více, než by měl podle nabídkové ceny. Zadavatel v podrobných zadávacích podmínkách veřejné zakázky stanovil takové podmínky, které tuto možnost vylučují (např. v Příloze č. 1 Smlouvy o poskytování služeb je u všech služeb v části Minimální rozsah služeb následující ustanovení „Rozsah plnění ze strany Poskytovatele nebude v rámci této klíčové činnosti omezen a to i v takovém případě, pokud množství aktuálně provedených činností (v návaznosti na předmět činností) bude vyšší, než Objednatelem deklarovaný minimální rozsah Služby a není důvodem pro změnu výše paušální ceny za poskytovanou Službu“. Zároveň je ve Smlouvě o poskytování služeb uvedeno ustanovení o nepřekročitelnosti ceny služeb (s výjimkou inflační doložky a možných změn v právních předpisech upravujících DPH). To by mělo, na základě Zadavateli známých informací, postačovat pro dostatečnou variabilitu služeb danou
Strana 4
provozními potřebami při konstantní ceně za plnění.
Varianty naplnění potřeby a zdůvodnění zvolené alternativy veřejné zakázky.
Riziko jediné nabídky, kterou by obdržel Zadavatel nebo která by zbyla k hodnocení, spočívá v nebezpečí, že by Zadavatel byl nucen zrušit zadávací řízení. Toto riziko se však nejeví jako vysoké, neboť Zadavatel v prokázání kvalifikačních předpisech stanovil požadavky na významné služby a seznam techniků odpovídající předmětu plnění veřejné zakázky a svůj návrh následně ještě upravil na základě zapracování připomínek soudního znalce z oboru ICT.
Alternativou plnění veřejné zakázky by byla realizace vlastními silami Zadavatele. K tomuto způsobu řešení však Zadavatel nemá ani vhodné technické prostředky, ani dostatečné odborné personální a technické kapacity.
Další alternativou by bylo poskytování služeb Bezpečnostního dohledu zadáním výkonu služeb Bezpečnostního dohledu nebo vybraných služeb Bezpečnostního dohledu buď Provozovateli Aplikace MS2014+ nebo Poskytovateli služeb Prostředí. Tím by ale přišel o výhodu nezávislé průběžné kontroly kvality služeb Provozovatele Aplikace MS2014+ a/nebo Poskytovatele služeb Prostředí.
Realizace této veřejné zakázky je zcela klíčová k naplnění cílů Popis toho, do jaké míry stanovených ve výše uvedených usneseních vlády ČR a to zejména ovlivní veřejná zakázka plnění v oblasti zajištění a kontroly bezpečnostních parametrů plánovaného cíle. komplexního řešení MS2014+, jak bylo doporučeno v závěrech auditu monitorovacího systému pro programové období 2007-2013 v roce 2010. Další informace odůvodňující účelnost veřejné zakázky (nepovinný údaj).
----------------------------------------------------------------------------
Odůvodnění přiměřenosti požadavků na technické kvalifikační předpoklady pro plnění veřejné zakázky dle § 3 odst. 2 vyhlášky Odůvodnění přiměřenosti požadavků na seznam významných služeb.
Zadavatel stanovil minimální úroveň významných služeb (v souladu s § 56, odst. 2 ZVZ) zejména s ohledem na jejich věcný obsah ve vztahu ke službám Bezpečnostního dohledu, které jsou předmětem zadávacího řízení. Zadavatel zdůrazňuje, že v případě požadavků na
Strana 5
doložení zkušeností týkajících se technických norem, se jedná o významné služby, nikoli o certifikaci osoby uchazeče. Minimální finanční hodnotu významných služeb stanovil pouze v míře nezbytně nutné pro to, aby významné služby měly vypovídací hodnotu. Zadavatel požaduje předložení seznamu nejméně 4 významných služeb uchazečem v posledních 3 letech (dále též souhrnně označovány jako „referenční zakázky“) takto:
1 významná služba řízení informační bezpečnosti za účelem prokázání znalostí a zkušeností z oblastí Informační bezpečnosti spočívající v implementaci systému řízení informační bezpečnosti dle norem řady ISO 27000, přičemž předmět plnění spočíval v poskytnutí služeb zahrnujících analýzu rizik, hodnocení aktiv, výběr a implementaci opatření a návrh a vytvoření celé dokumentační základny systému řízení při splnění parametrů odpovídajících řešení MS2014+ v hodnotě minimálně 1 mil. Kč bez DPH. Dále Zadavatel požaduje, aby tato významná služba byla realizována u zákazníka, který provozuje informační systém s minimálně 3000 koncovými uživateli (nebo alespoň 20 uživatelskými rolemi) a zajišťuje komunikaci s externími informačními systémy na úrovni přenosů a validací strukturovaných dat. Požadavky na referenční zakázku jsou takto stanoveny s ohledem na rozsah a obsah řešení MS2014+ a na to, že Zadavatel má platnou Informační koncepci dle zákona č.365/2000 Sb. o ISVS a Vyhlášky č. 529/2006 Sb. o dlouhodobém řízení informačních systémů veřejné správy, která je zpracována v souladu s normami ISO/IEC 20000 (ITIL) a ISO/IEC 27001. Rovněž dodavatel Aplikace MS2014+ (a zároveň Provozovatel Aplikace MS2014+) již realizuje v rámci plnění veřejné zakázky příslušnou bezpečnostní dokumentaci dle ISO/IEC 27001.
1 významná služba řízení kontinuity činností za účelem prokázání znalostí a zkušeností z oblasti Informační bezpečnosti spočívající v návrhu systému řízení kontinuity činností (např. ČSN ISO 22301, nebo BS25599) nebo kontinuity služeb (např. dle ISO 20000) v hodnotě minimálně 300 000,- Kč bez DPH. Dále Zadavatel požaduje, aby tato významná služba splňovala požadavek, že jím navržené návrhy prošly úspěšnou implementací a testováním.
Strana 6
Požadavky na referenční zakázku jsou takto stanoveny s ohledem na to, že Zadavatel má platnou Informační koncepci dle zákona č.365/2000 Sb. o ISVS a Vyhlášky č. 529/2006 Sb. o dlouhodobém řízení informačních systémů veřejné správy, která je zpracována v souladu s normami ISO/IEC 20000 (ITIL) a ISO/IEC 27001. Rovněž dodavatel Aplikace MS2014+ (a zároveň Provozovatel Aplikace MS2014+) realizuje v rámci plnění veřejné zakázky příslušnou provozní dokumentaci dle ITIL.
1 významná služba bezpečnostního monitoringu ICT, jejíž předmět plnění spočíval v poskytnutí služeb bezpečnostního monitoringu, detekci slabých míst a optimalizace technických a konfiguračních parametrů monitorovaného prostředí, za účelem prokázání znalostí a zkušeností z oblasti Bezpečnostního monitoringu v prostředí s parametry odpovídajícími řešení MS2014+, v hodnotě ročního plnění minimálně 7 mil. Kč bez DPH. Dále Zadavatel požaduje, aby tato významná služba splňovala požadavek, že součástí této služby bylo vybudování centrálního místa pro dohled a monitoring s využitím specializovaných SW/HW prostředků pro sběr auditních záznamů schopného provádět analýzy, korelace a další operace nad získanými záznamy. Požadavky na referenční zakázku jsou takto stanoveny s ohledem na, dle Zadavatele, nejdůležitější službu v rámci služeb Bezpečnostního dohledu co do rozsahu služby, věrohodnosti a průkaznosti zjištění Bezpečnostního dohledu vůči dalším poskytovatelům služeb (Provozovateli Aplikace MS2014+ a Poskytovateli služeb Prostředí) a možných negativních dopadů do řešení MS2014+ při poskytování služby.
významná služba povedení penetračních testů, jejíž předmět plnění spočíval v poskytnutí služby ověření stavu bezpečnosti a zranitelnosti informačního systému formou penetračních testů za účelem prokázání znalostí a zkušeností z oblasti Audit prostředí v hodnotě ročního plnění minimálně 300 000,- Kč bez DPH. Dále Zadavatel požaduje, aby tato významná služba splňovala požadavek, že penetrační testy obsahovaly testy webového rozhraní (webové aplikace) přístupné z prostředí veřejné sítě internet, testovaný systém byl v době poskytnutí služby využíván alespoň 3000 uživateli (jedná se o celkový počet registrovaných uživatelů v systému, nikoliv o současně pracující uživatele), penetrační testy zahrnovaly ad-hoc
Strana 7
manuální postupy, nástroje a schopnosti testerů uchazeče a obsahovaly zpracování návrhů doporučení pro odstranění zjištěných skutečností a nedostatků. Požadavky na referenční zakázku jsou takto stanoveny s ohledem rozsah a obsah řešení MS2014+ a na věrohodnost a průkaznost zjištění Bezpečnostního dohledu vůči dalším poskytovatelům služeb (Provozovateli Aplikace MS2014+ a Poskytovateli služeb Prostředí) a možných negativních dopadů do řešení MS2014+ při poskytování služby. Požadovaná finanční hodnota součtu všech 4 referenčních zakázek je nižší než předpokládaná hodnota veřejné zakázky, tedy nepřekračuje trojnásobek předpokládané hodnoty VZ, odůvodnění tedy povinné není. Odůvodnění přiměřenosti požadavku na předložení seznamu techniků či technických útvarů.
Požadavek na předložení seznamu 8 techniků vychází z obsahu a povahy poptávaných služeb, které spočívají v poskytování služeb Bezpečnostního dohledu nutných služeb pro zajištění správného nastavení a dohledu nad provozní bezpečností řešení MS2014+ (monitoring bezpečnosti, kontrola procesů, přístupů a postupů, schvalování změnových řízení aplikace, HW a SW prostředí a způsobu jejich řešení z pohledu bezpečnostních norem, kontrola vstupů pro výkon auditů a vlastní provádění pravidelných bezpečnostních auditů, návrhy opravných řešení a tvorba, revize a vedení bezpečnostní dokumentace systému jako celku), jehož provoz je technicky i organizačně velice komplexním a složitým procesem. Z toho důvodu implementace a provoz obdobného rozsahu vyžaduje zapojení různých odborností a specialistů; proto Zadavatel vyžaduje bezpečnostní tým složený ze dvou dílčích týmů (Tým informační bezpečnosti a Tým monitoringu a testování), přičemž je požadován vždy minimálně jeden odborník pro danou odbornou nebo technologickou oblast. Roli vedoucího projektu bude vykonávat vedoucí týmu informační bezpečnosti. S ohledem na povahu a požadavky spojené s poskytováním služeb Bezpečnostního dohledu požaduje Zadavatel prokázání odpovídajících řídících a odborných zkušeností u klíčových pracovníků realizačního týmu poskytovatele. Role každého z 8 techniků byly stanoveny na základě dobré oborové praxe, která je společná veřejnoprávnímu i soukromému sektoru. Členění vychází z klíčových rolí v týmu poskytovatele služeb s důrazem na zkušenosti s implementací a poskytováním služeb nad provozem srovnatelného informačního systému a zkušenosti s
Strana 8
technologiemi, na nichž bude Aplikace MS2014+ provozována. Požadavek na znalost konkrétních oblastí a technologií je stanoven a vychází z charakteru služeb Bezpečnostního dohledu, zejména z oblasti řízení informační bezpečnosti, bezpečnostního a provozního monitoringu. Odůvodnění přiměřenosti požadavku na předložení popisu technického vybavení a opatření používaných dodavatelem k zajištění jakosti a popis zařízení či vybavení dodavatele určeného k provádění výzkumu.
Zadavatel splnění takovéhoto technického kvalifikačního požadavku nevyžaduje.
Odůvodnění přiměřenosti požadavku na provedení kontroly technické kapacity veřejným Zadavatelem nebo jinou osobou jeho jménem, případně provedení kontroly opatření týkajících se zabezpečení jakosti a výzkumu.
Zadavatel splnění takovéhoto technického kvalifikačního požadavku nevyžaduje.
Odůvodnění přiměřenosti požadavku na předložení osvědčení o vzdělání a odborné kvalifikaci dodavatele nebo vedoucích zaměstnanců dodavatele nebo osob v obdobném postavení a osob odpovědných za poskytování příslušných služeb.
Zadavatel stanovuje tento kvalifikační předpoklad společně s požadavkem na předložení seznamu techniků či technických útvarů. U všech techniků je požadována kvalifikace odpovídající standardním požadavkům § 3 Vyhlášky č. 232 / 2012 o podrobnostech rozsahu odůvodnění účelnosti veřejné zakázky a odůvodnění veřejné zakázky s výjimkou:
Vedoucí týmu informační bezpečnosti – vysokoškolské vzdělání a 5 let praxe ICT (z toho 3 roky v oblasti informační bezpečnosti)
Bezpečnostní specialista – 5 let praxe v ICT
Bezpečnostní konzultant – 5 let praxe v ICT
Vedoucí týmu monitoringu a testování – vysokoškolské vzdělání a 5 let praxe v ICT
Specialista - bezpečnostní monitoring - 5 let praxe v ICT
Specialista - monitoring - 5 let praxe v ICT
Strana 9
U těchto rolí zvýšil Zadavatel požadavky na základě toho, že u informačních systémů, srovnatelných s řešením MS2014+, se předpokládá trvání životního cyklu minimálně 5 let (tj. teprve v rámci celého životního cyklu mohou nastat všechny možné situace a stavy systému, na které je nutné reagovat). Zároveň jsou tyto požadavky odvozeny od předpokládané doby k získání nutných zkušeností příslušných techniků tak, aby byli schopni příslušné služby správně nastavit, interpretovat zjištění, provést jejich vyhodnocení a následně navrhovat příslušná opatření k nápravě. U rolí, kde požaduje Zadavatel vysokoškolské vzdělání, činí tak z důvodu minimalizace potenciálních rizik vyplývajících z řídící a manažerské role příslušného technika vyžadující maximální teoretickou znalost; požadavek je souladný se standardními požadavky na trhu u obdobných zakázek. Požadavek Zadavatele na vysokoškolské vzdělání a na 5 let praxe v oboru reflektuje praxi na trhu zaměstnanosti odborníků v oboru ICT, kdy tito nastupují do prvého dlouhodobého zaměstnání po maturitě a předpokladem pro pozdější zastávání vrcholových odborných pozic je praktická zkušenost s celým životním cyklem rozsáhlého informačního systému, zároveň doplněná teorií získanou v odpovídajícím studijním programu umožňující nadhled přesahující hledisko role dílčího technika. Znalost vybraných konkrétních oblastí a technologií je požadována s ohledem na znalost a zkušenost příslušné oblasti. Zadavatel požaduje a umožňuje doložit prokazatelnou znalost jak předložením příslušného certifikátu nebo dokladu o absolvování školení. Nebylo by v souladu s efektivním vynakládáním veřejných prostředků, pokud by Zadavatel připustil, že Poskytovatel bude po podpisu smlouvy fakticky provádět rekvalifikaci svých techniků na znalost technologií a oblastí pro poskytování služeb Bezpečnostního dohledu. Odůvodnění přiměřenosti požadavku na předložení přehledu průměrného ročního počtu zaměstnanců dodavatele či jiných osob podílejících se na plnění zakázek podobného charakteru a počtu vedoucích zaměstnanců dodavatele nebo osob v obdobném postavení.
Zadavatel splnění takovéhoto technického kvalifikačního požadavku nevyžaduje.
Strana 10
Odůvodnění přiměřenosti požadavku na předložení přehledu nástrojů či pomůcek, provozních a technických zařízení, které bude mít dodavatel při plnění veřejné zakázky k dispozici.
Zadavatel splnění takovéhoto technického kvalifikačního požadavku nevyžaduje.
Odůvodnění obchodních podmínek veřejné zakázky ve vztahu k potřebám Zadavatele a rizikům souvisejícím s plněním veřejné zakázky dle § 4 vyhlášky Odůvodnění vymezení obchodní podmínky stanovící delší lhůtu splatnosti faktur než 30 dnů.
Lhůta splatnosti fakturovaných částek je stanovena na nejméně třicet (30) kalendářních dnů od doručení faktury objednateli. (článek 5.8 Smlouvy o poskytování služeb). Dodavatel je tedy oprávněn předložit fakturu i se splatností právě 30 dní ke dni doručení. Podmínky, aby se jednalo „alespoň o 30 dní“ a to „ke dni doručení“ byly zapracovány s ohledem na rozumné vyřešení vzájemných práv a povinností v případech, kdy zástupce dodavatele nedoručí fakturu osobně. Slovo „alespoň“ jednoznačně vylučuje, aby Zadavatel (či třetí osoba) označil za neplatné doručení faktury před 30. dnem a tedy chrání dodavatele. Oproti tomu požadavek, aby byla dodržena splatnost 30 dnů od doručení, chrání Zadavatele před případy, kdy by faktura byla doručena opožděně oproti očekávanému dnu doručení, kdyby její přeprava probíhala obvyklým způsobem. Pravidlo zajišťuje Zadavateli, aby měl vždy dostatek času provést kontrolu její správnosti.
Odůvodnění vymezení obchodní podmínky stanovící požadavek na pojištění odpovědnosti za škodu způsobenou dodavatelem třetím osobám ve výši přesahující dvojnásobek předpokládané hodnoty veřejné zakázky.
Poskytovatel bude smlouvou zavázán udržovat v platnosti a účinnosti pojistnou smlouvu, která se vztahuje na plnění předmětu veřejné zakázky a jejímž předmětem je pojištění odpovědnosti za škodu způsobenou uchazečem třetí osobě; limit pojistného plnění vyplývající z pojistné smlouvy nesmí být nižší než 10.000.000,- Kč s výší spoluúčasti maximálně 10 %. Výše požadovaného pojistného plnění tedy odpovídá méně než 25 % předpokládané hodnoty veřejné zakázky. Pojištění je možné doložit i pojistným certifikátem, musí z něj být však zřejmá výše pojistného plnění, míra spoluúčasti a předmět pojištění (pojištění odpovědnosti za škodu způsobenou Uchazečem Strana 11
třetí osobě a typově popsaná činnost, která je kryta pojištěním). V průběhu plnění Smlouvy o poskytování služeb je Poskytovatel povinen předložit kopii pojistné smlouvy na vyžádání Objednateli.
Odůvodnění vymezení obchodní podmínky stanovící požadavek bankovní záruky vyšší než je 5 % ceny veřejné zakázky.
Zadavatel nevyžaduje coby obchodní podmínku složení bankovní záruky (smluvní záruku). Zadavatel pouze v rámci zadávacího řízení a v souladu s § 67 ZVZ po dodavatelích vyžaduje k zajištění plnění jejich povinností složení jistoty ve výši 500.000,- Kč odpovídající méně než 1,0 % předpokládané hodnoty zakázky. Zadavatel určil zadávací lhůtu, po kterou bude jistota vázána, v trvání 6 měsíců, která začíná běžet dnem následujícím po skončení lhůty pro podání nabídek. Důvodem je skutečnost, že zahájení plnění předmětu této veřejné zakázky je vázáno na dokončení zadávacího řízení „Pořízení HW platformy a Infrastruktury serverovny pro MS2014+“.
Odůvodnění vymezení obchodní podmínky stanovící požadavek záruční lhůty delší než 24 měsíců.
Zadavatel, vzhledem k charakteru předmětu veřejné zakázky, u služeb, vyžaduje záruku na tyto služby v trvání 90 dnů ode dne jejich poskytnutí. Nevyžaduje tudíž záruky se lhůtou delší než 24 měsíců.
Odůvodnění vymezení obchodní podmínky stanovící smluvní pokutu za prodlení dodavatele vyšší než 0,2 % z předpokládané hodnoty veřejné zakázky za každý den prodlení.
Smluvní sankce a tzv. kreditace za služby (jsou uvedeny zejm. v článku XIV Smlouvy o poskytování služeb) a tvoří komplexní systém opatření zajišťujících včasné a řádné poskytování služeb Bezpečnostního dohledu. Smluvní pokuta za prodlení Poskytovatele vyšší než 0,2 % z předpokládané hodnoty plnění (nebo dílčího plnění) veřejné zakázky za každý den prodlení není ve smlouvě stanovena. Sankce (ve formě slevy z paušální ceny - kreditace) může být stanovena maximálně do výše 60% odměny za poskytování dané služby za dané vyhodnocovací období (odpovídá kalendářnímu měsíci), při nedodržení SLA parametrů služby. Tento mechanismus byl použit Zadavatelem proto, aby byl Poskytovatel motivován k řádnému plnění smluvních podmínek (zejm. dodržení tzv. SLA parametrů služeb Bezpečnostního dohledu). Kreditace je však zastropována ve výši 60 % odměny Poskytovatele za poskytování dané služby za dané vyhodnocovací období, neboť se jedná o faktor sledovaný risk-manažery dodavatelů a bez tohoto zastropování by se mohl omezit počet dodavatelů ochotných podat nabídku v zadávacím řízení.
Strana 12
Nejvyšší smluvní pokuta je ve Smlouvě o poskytování služeb stanovena ve výši 10.000.000,- Kč (v čl. 14.9 Smlouvy o poskytování služeb). Tato sankce by byla Zadavatelem uplatněna v případě porušení stavu nezávislosti Poskytovatele, který Zadavatel definoval v čl. 6.17 Smlouvy o poskytování služeb jako stav, „… kdy by fyzická nebo právnická osoba kontrolovala plnění a kvalitu plnění sama sobě, osobě ze stejného podnikatelského seskupení nebo svým obchodním partnerům na základě dále definovaných smluvních vztahů. Poskytovatel se proto zavazuje, že on sám, osoby tvořící s ním stejné podnikatelské seskupení či jiná fyzická nebo právnická osoba uvedená v rámci této Smlouvy… nebude poskytovat Služby dle této Smlouvy, zejména pokud: byl/byla vybrána jako vítězný uchazeč v rámci zadávacího řízení "Pořízení aplikace MS2014+ a zajištění jejího provozu a rozvoje" a nebo je pracovníkem/zaměstnancem vítězného uchazeče (nebo osobou v obdobném postavení) a nebo je subdodavatelem vítězného uchazeče anebo je pracovníkem/zaměstnancem tohoto subdodavatele (nebo osobou v obdobném postavení) a aktuálně na základě platné smlouvy poskytuje Objednateli plnění při realizaci veřejné zakázky "Pořízení aplikace MS2014+ a zajištění jejího provozu a rozvoje", byl/byla vybrána jako vítězný uchazeč v rámci zadávacího řízení "Pořízení HW platformy a Infrastruktury serverovny pro MS2014+" a nebo je pracovníkem/zaměstnancem vítězného uchazeče (nebo osobou v obdobném postavení) a nebo je subdodavatelem vítězného uchazeče anebo je pracovníkem/zaměstnancem tohoto subdodavatele (nebo osobou v obdobném postavení) a aktuálně na základě platné smlouvy poskytuje Objednateli plnění při realizaci veřejné zakázky "Pořízení HW platformy a Infrastruktury serverovny pro MS2014+". Toto ustanovení Zadavatel dal do Smlouvy o poskytování služeb jako nejefektivnější nástroj, kterým zabrání střetu zájmu případného poskytovatel služeb Bezpečnostního dohledu s Provozovatelem Aplikace MS2014+ a Poskytovatelem služeb Prostředí.
Strana 13
Odůvodnění vymezení obchodní podmínky stanovící smluvní pokutu za prodlení Zadavatele s úhradou faktur vyšší než 0,05 % z dlužné částky za každý den prodlení.
V případě prodlení kterékoliv smluvní strany se zaplacením peněžité částky vzniká oprávněné straně nárok na úrok z prodlení dle občanskoprávních předpisů, smluvní pokuta za prodlení Zadavatele vyšší než 0,05 % z dlužné částky za každý den prodlení tedy není ve smlouvě stanovena.
Odůvodnění vymezení dalších obchodních podmínek. Veřejný Zadavatel odůvodní vymezení obchodních podmínek veřejné zakázky na služby ve vztahu ke svým potřebám a k rizikům souvisejícím s plněním veřejné zakázky.
Termín zahájení poskytování služeb bude určen Zadavatelem na základě výzvy Zadavatele a k datu, které Zadavatel jednostranně určí, ne však dříve než 7 dní ode dne odeslání výzvy Zadavatelem. Zadavatel předpokládá podpis smlouvy na veřejnou zakázku bez zbytečného odkladu poté, kdy tak bude moci dle ZVZ učinit. Zadavatel odešle výzvu dle předchozího odstavce bez zbytečného odkladu po uzavření smlouvy na veřejnou zakázku. V obchodních podmínkách a specifikaci jednotlivých služeb (v Příloze č. 1 Smlouvy o poskytování služeb) Zadavatel u každé služby stanovil:
Činnosti
Lokality
Prostředí Aplikace MS2014+ (resp. Prostředí)
Minimální rozsah služeb
Požadované role (techniky)
SLA parametry (které např. vyjadřují procento ze smluvně předepsaného času, po které je služba poskytována, časy, lhůty, výskyty incidentů, aj.): o
provozní dobu služeb – 08.00 - 16.00 (5x8)
o
minimální dostupnost – 99,5 % (s výjimkou služby BS03_Bezpečnostní monitoring, která má 99,7 %)
o
a další SLA parametry dle ITILv3
Zvláštní důraz je ve smlouvě kladen rovněž na důvěrnost citlivých informací, vlastnická a licenční práva a součinnost poskytovatele služeb Bezpečnostního dohledu se Zadavatelem, Provozovatelem Aplikace MS2014+ a Poskytovatelem služeb Prostředí. Doba a místo plnění Doba a místo plnění je upraveno v části IV Smlouvy o poskytování služeb. Doba plnění: Vychází se z principu, že dobu plnění určuje jednostranně Zadavatel Strana 14
a poskytovatel služeb Bezpečnostního dohledu musí dodržovat minimální stanovené lhůty. Tento systém byl zvolen, protože upřesnění časového harmonogramu veřejné zakázky závisí na skutečnostech, které nejsou ke dni zahájení zadávacího řízení známy. Místo plnění: Místem plnění "primární lokalita" je datové centrum Poskytovatele služeb Prostředí na adrese Jeremenkova 40b, Olomouc.. Testovací / školící lokalita Prostředí a Aplikace MS2014+ na adrese sídla Zadavatele (dále též „záložní“ nebo „zálohovací lokalita“). Uchazeč je oprávněn poskytovat části plnění prostřednictvím vzdáleného přístupu v případě, že Zadavatel vzdálený přístup schválí a charakter služeb jejich plnění prostřednictvím vzdáleného přístupu umožňuje. K HW/SW zařízením řešení MS2014+ bude moci Uchazeč přistupovat pomocí vzdáleného přístupu, Zadavatel nepřipouští (s výjimkou instalace nebo servisního zásahu u vyhodnocovacího centra) přístup pracovníků Uchazeče do režimové zóny serverovny MS2014+ v rámci datového centra. Uchazeč za tímto účelem poskytne Poskytovateli služeb Prostředí kompletní přehled komunikačních protokolů, portů a potřebných síťových služeb, které bude pro vzdálený přístup k vyhodnocovacímu centru nezbytně potřebovat. Na základě tohoto přehledu Poskytovatel služeb Prostředí zajistí konfiguraci nezbytných komunikačních prostupů pro přístup Uchazeče do datového centra za účelem vzdálené správy vyhodnocovacího centra služeb Bezpečnostního dohledu. Subdodavatelé V souladu s ustanovením § 44 odst. 6 ZVZ požaduje Zadavatel, aby uchazeč uvedl seznam subdodavatelů v Příloze č. 2 Smlouvy o poskytování služeb. Podrobné požadavky na jeho obsah jsou uvedeny v článku 8.1 písm. i) Zadávací dokumentace. Výměna technika, výměna subdodavatele Lze je vyměnit pouze s předchozím písemným souhlasem Zadavatele, poté co dodavatel předloží informace o jejich kvalifikaci. Zůstanou tak zachovány skutečnosti, které byly prokázány při posuzování kvalifikace. Zadavatel má právo odmítnout nového subdodavatele poskytovatele služeb Bezpečnostního dohledu, který podal nabídku v zadávacím řízení, na jehož základě byla uzavřena Smlouva o
Strana 15
poskytování služeb, nebo v tomto zadávacím řízení byl subdodavatelem, s jehož pomocí jiný uchazeč prokazoval splnění kvalifikačních předpokladů. Jedná se o obdobné pravidlo, jako je stanoveno v § 69 ZVZ. Toto pravidlo má předcházet protisoutěžním dohodám mezi uchazeči. Odměna a platební podmínky Oprávnění poskytovatele služeb Bezpečnostního dohledu vystavit fakturu předchází vždy povinnost poskytovatele služeb Bezpečnostního dohledu předat Zadavateli k akceptaci doklady o tom, že smluvní plnění bylo řádně poskytnuto včetně SLA parametrů. Jejich správnost a objektivnost musí být ověřena / odsouhlasena Zadavatelem. Výši smluvní odměny dle Smlouvy o poskytování služeb lze změnit pouze:
z důvodu změny DPH nebo jiné daně či povinných poplatků souvisejících s předmětem plnění,
v případě že stane-li se v průběhu trvání smlouvy Česká republika členem Evropské měnové unie a bude-li závazně stanoven koeficient pro přepočet CZK na EUR, budou ceny sjednané v CZK přepočteny na EUR na základě tohoto koeficientu sjednaného v mezinárodních úmluvách, kterými bude Česká republika vázána, jakož i v souladu s případnou tomu odpovídající vnitrostátní právní úpravou České republiky,
pokud součin ročních měr inflace za po sobě jdoucí zohledněné kalendářní roky bude 1,05 nebo vyšší. Zadavatel zvolil tento model, neboť se jedná o dobrou oborovou praxi a Zadavatel zároveň tento model považuje za hospodárnější než přenášet obě tato rizika na Poskytovatele, který by je pak neúměrným způsobem promítl do výše smluvní ceny.
Změna rozsahu služeb Zadavatel ve Smlouvě o poskytování služeb upravil také možnost jednostranné změny rozsahu poskytovaných služeb a parametrů těchto služeb a tomu adekvátní změnu paušální ceny stanovené ve Smlouvě o poskytování služeb a podmínky, za kterých může takto učinit (např. že k tomu nedojde dříve než po 4 letech). Důvodem pro případnou změnu výše smluvní odměny dle Smlouvy o poskytování služeb může být Zadavatelem předpokládaná obměna HW
Strana 16
platformy každé 4 roky. Pro případ jednostranné změny rozsahu poskytovaných služeb Bezpečnostního dohledu a parametrů těchto služeb ze strany Zadavatele (ke změně rozsahu poskytovaných služeb a jejich parametrů nedojde dříve než po 4 letech od podpisu Smlouvy o poskytování služeb) je ve Smlouvě o poskytování služeb odst. 3.3, který mj. stanovuje, že Zadavatel:
si vyhrazuje právo provést jednostrannou změnu rozsahu služeb
bude o datu změny rozsahu služeb informovat poskytovatele služeb Bezpečnostního dohledu s předstihem nejméně 4 měsíců
navrhne novou výši paušální ceny za poskytování služeb, která vyjde z původní výše paušální ceny a zohlední kvantitativní a kvalitativní změnu poskytovaných služeb, přičemž nejvýše bude odpovídat ceně v čase a v místě obvyklé.
je oprávněn pro potřeby posouzení nové výše paušální ceny přizvat soudního znalce a požádat jej o zpracování posudku. Poskytovatel soudnímu znalci poskytne nezbytnou součinnost.
Změnové řízení Protože informační systémy se ze své podstaty dynamicky vyvíjí, Zadavatel nemůže vyloučit změny smlouvy na veřejnou zakázku, které budou prováděny v souladu se ZVZ. Vlastnické právo a užívací práva I když předmětem veřejné zakázky jsou služby a Zadavatel nepředpokládá pořizování SW a HW prostředků, které budou využity pro poskytování příslušných služeb, obchodní podmínky zajišťují pro Zadavatele oprávnění, že v případě, že výsledkem činnosti poskytovatele služeb Bezpečnostního dohledu bude předmět požívající ochrany autorského díla, jsou práva Zadavatele upravena tak, že minimalizují situaci, kdy by Zadavatel byl povinen tato práva zajišťovat cestou jednacího řízení bez uveřejnění z důvodu výhradních práv poskytovatele služeb Bezpečnostního dohledu.
Strana 17
Odůvodnění vymezení technických podmínek ve vztahu k potřebám a rizikům podle § 5 vyhlášky Technická podmínka:
Odůvodnění technické podmínky:
Celkové vymezení technických podmínek
I když předmětem veřejné zakázky jsou služby, technické podmínky veřejné zakázky pro jednotlivé služby vycházejí z technických parametrů a potřeb pro provoz Aplikace MS2014+ a Prostředí. Bez naplnění těchto technických podmínek není možné zajistit naplnění kvalitativních a kvantitativních parametrů Zadavatelem požadovaných služeb. Specifikace pro jednotlivé služby je v zadávacích podmínkách orientována na příslušné standardy, normy, vlastnosti a funkcionality poskytovaných služeb a nikterak nepředurčuje využívání konkrétních technologií pro realizaci služeb Bezpečnostního dohledu. Předmět, nad kterým budou služby Bezpečnostního monitoringu poskytovány, byl zpracován v součinnosti s dodavatelem Aplikace MS2014+, který zajišťuje softwarovou realizaci informačního systému Aplikace MS2014+ a je zároveň provozovatelem Aplikace MS2014+ a Poskytovatelem služeb Prostředí, který je provozovatelem HW platformy a Infrastruktury serverovny MS2014+.
Požadavek na SLA ve výši 99,5 % a vyšší
Stanovení SLA parametrů pro služby Bezpečnostního dohledu vychází z požadavků Zadavatele na SLA parametry Aplikace MS2014+. Dodavatel Aplikace MS2014+ má informační systém Aplikace MS2014+ vyvinout a připravit tak, aby byla zajištěna dostupnost koncových služeb (pro koncové uživatele Aplikace MS2014+) v úrovni 99,5% ve stanovené provozní době. Tímto byla stanovena základní výchozí úroveň pro SLA parametry, které budou uplatněny na služby Prostředí, které jsou předmětem zadávacího řízení na "Pořízení HW platformy a Infrastruktury serverovny pro MS2014+" a které ještě není dokončeno. V rámci zadávací dokumentace, resp. vymezení předmětu plnění byly stanoveny detailní a konkrétní SLA parametry pro jednotlivé služby Prostředí, aby na jejich základě došlo ke splnění požadovaného parametru 99,5% na úrovni koncových služeb Aplikace MS2014+, a proto je z tohoto důvodu u služeb přímo souvisejících s HW, datovými centry a síťovou infrastrukturou nutno požadovat ještě vyšší SLA až 99,9 %. Od SLA parametrů výše zmíněných veřejných zakázek, které budou Strana 18
tvořit předmět, nad kterým budou služby Bezpečnostního dohledu poskytovány, byly Zadavatelem stanoveny SLA parametry pro služby Bezpečnostního dohledu. SLA pro všechny služby jsou stanoveny na úrovni 99,5% s výjimkou služby „BS03_Bezpečnostní monitoring“, kde Zadavatel stanovil SLA na úrovni 99,7 % v provozní době 5 x 7 (pro poskytnutí služby HW/SW vyhodnocovacího centra bezpečnostního monitoringu v provozní době 24x7x365).
Odůvodnění stanovení základních a dílčích hodnotících kritérií ve vztahu k potřebám Zadavatele dle § 6 vyhlášky Hodnotící kritérium:
Odůvodnění:
Výše nabídkové ceny s vahou 60 %
Předmětem hodnocení je výše nabídkové ceny za veškeré smluvní plnění („Celková cena Nabídky“). Aby Zadavatel předešel nereálným cenám uchazečů, jsou tito povinni Celkovou nabídkovou cenu zpracovat za jednotlivé služby ve struktuře dle přílohy Příloha č. 5: Rozklad paušálních cen služeb, zadávací dokumentace. Zadavatel požaduje pro každou službu (a činnosti v rámci této služby) vyčíslit cenu obsahující pracovní dobu služby, složky ceny vázané na činnost osob zodpovědných za poskytování služby a ostatní složky ceny služby související se službami Bezpečnostního dohledu.
Navržený způsob a postup poskytovaných služeb s vahou 40 %
Vzhledem ke složitosti smluvního plnění není žádoucí vybírat uchazeče pouze na základě jeho cenové nabídky. Protože se předmět veřejné zakázky skládá ze služeb různého charakteru a oblastí, pro dílčí hodnotící kritérium „Navržený způsob a postup poskytovaných služeb“ stanovil Zadavatel pro každou oblast subkritérium. Poměr vah pro subkritéria stanovil Zadavatel v poměru 20% pro subkritérium „Navržený způsob poskytování služeb řízení informační bezpečnosti“, 60% pro subkritérium „Navržený způsob poskytování služeb bezpečnostního monitoringu“ a 20% pro subkritérium „Navržený způsob poskytování služeb auditu“. Subkritérium Navržený způsob poskytování služeb řízení informační bezpečnosti (s vahou 20% v rámci dílčího hodnotícího kritéria) Navržený způsob poskytování služeb řízení informační bezpečnosti je pro Zadavatele důležitý, protože poskytovatel služeb Bezpečnostního dohledu bude muset implementovat a udržovat
Strana 19
systém řízení informační bezpečnosti dle norem řady ISO 27000. Tento systém musí být v souladu s platnou Informační koncepcí Zadavatele a zároveň bude integrovat i vstupy od provozovatele Aplikace MS2014+ a Poskytovatel služeb Prostředí, kteří v rámci svých plnění vytvořili a budou udržovat části bezpečnostní dokumentace a procesů souvisejících s jejich plněním. Proto stanovil Zadavatel, aby součástí hodnocení subkritéria „Navržený způsob poskytování služeb řízení informační bezpečnosti“ byl uchazečem navržený harmonogram průběhu – Implementační plán systému řízení informační bezpečnosti obsahující popis jednotlivých kroků, názvů a obsahů jednotlivých výstupů včetně návrhů termínů realizace navržených kroků; procesů a postupů (metodik) realizace; požadavky na součinnost ze strany Zadavatele, Provozovatele Aplikace MS2014+ a Poskytovatele služeb Prostředí a jejich zdůvodnění v rámci této VZ. Předmětem hodnocení je zpracovaný Implementační plán systému řízení bezpečnosti informací s vymezením klíčových oblastí dle ISO 27001, s popisem jednotlivých kroků a s uvedením kroků, názvů a obsahů jednotlivých výstupů; procesů a postupů (metodik) realizace, termínů realizace navržených kroků a požadavky na součinnost ze strany Zadavatele, Provozovatele Aplikace MS2014+ a Poskytovatele služeb Prostředí a jejich zdůvodnění v rámci této VZ. Předmětem hodnocení bude Uchazečem navržený způsob a postup implementace systému řízení informační bezpečnosti, zejména pak vymezení klíčových oblastí dle ISO 27001 s popisem jednotlivých kroků a s uvedením názvů a obsahů výstupů, které budou v průběhu dané oblasti vytvořeny a požadovanému objemu součinnosti Zadavatele, Provozovatele Aplikace MS2014+ a Poskytovatele služeb Prostředí a jeho zdůvodnění s důrazem na ověření, že nedochází k přenesení zátěže a nebo odpovědností za provedení požadovaných činností zpět na Zadavatele. Subkritérium Navržený způsob poskytování služeb bezpečnostního monitoringu (s vahou 60% v rámci dílčího hodnotícího kritéria) Služba bezpečnostního monitoringu je, dle předběžných kalkulací Zadavatele, nejdůležitější co se týče ceny a případné dílčí vadné plnění může představovat riziko pro provoz Aplikace MS2014+ a/nebo Prostředí. Předmětem hodnocení je navržený popis řešení bezpečnostního monitoringu Aplikace MS2014+ a Prostředí; procesy a postupy poskytování služeb bezpečnostního monitoringu; nástroje a opatření minimalizující vznik provozních a bezpečnostních incidentů
Strana 20
vzniklých na základě činnosti uchazeče a možnost vzniku chyb způsobených lidským faktorem při poskytování služeb. Součástí hodnocení subkritéria „Navržený způsob poskytování služeb bezpečnostního monitoringu“ je způsob, způsob, který nejlépe věcně a v souladu s požadavky Zadavatele dle těchto zadávacích podmínek zpracuje návrh technického řešení bezpečnostního monitoringu Aplikace MS2014+ a Prostředí, vymezí schopnosti a parametry nabízeného řešení HW/SW vyhodnocovacího centra v oblasti sběru, vyhodnocování a ukládání auditních informací s důrazem na minimalizaci vzniku provozních a bezpečnostních incidentů a stanoví vhodnou posloupnost jednotlivých kroků vedoucích k zajištění plné funkčnosti bezpečnostního monitoringu Prostředí a Aplikace MS2014+ Subkritérium Navržený způsob poskytování služeb auditu (s vahou 20% v rámci dílčího hodnotícího kritéria) Služby auditu jsou nedílnou součástí průběžné kontroly a ověřování dodržování bezpečnostních a provozních parametrů, vyhledávání slabých míst a navrhování opatření k jejich odstranění nebo jejich eliminaci jak Aplikace MS2014+ tak Prostředí. Předmětem hodnocení je navržený popis způsobu poskytování služeb auditu a technické kontroly s důrazem na oblast penetračních testů (metodiku, harmonogram, nástroje a postupy). Součástí hodnocení subkritéria „Navržený způsob poskytování služeb auditu“ je návrh metodiky penetračních testů a harmonogram jejich provádění, zdůvodnění vhodnosti zvolených nástrojů a popis opatření vedoucí k minimalizaci vzniku provozních a bezpečnostních incidentů činností uchazeče resp. v souvislosti s poskytování služeb penetračních testů a minimalizací dopadů na kvalitu a kvantitu poskytovaných služeb Aplikace MS2014+ a Prostředí.
Strana 21