DODATEČNÉ INFORMACE K ZADÁVACÍM PODMÍNKÁM Č. III ZE DNE 13. 8. 2014 ZADAVATEL: Česká republika Ministerstv práce a sciálních věcí Sídlem: Na Příčním právu 1/376, 128 01 Praha 2 Zastupena: Rbinem Pvšíkem, náměstkem ministryně pr řízení úřadu IČ: 00551023 VEŘEJNÁ ZAKÁZKA: KOMPLEXNÍ ANALÝZA ŘÍZENÍ BEZPEČNOSTI A NÁSLEDNÁ IMPLEMENTACE V REZORTU MPSV Výše uvedený zadavatel Vám v suladu s ustanvením 49 zákna č. 137/2006 Sb., veřejných zakázkách, ve znění pzdějších předpisů (dále jen zákn ), sděluje následující ddatečné infrmace k zadávacím pdmínkám vztahující se k výše uvedené veřejné zakázce zadávané dle zákna. Žádst ddatečnu infrmaci k zadávacím pdmínkám č. 1: V ZD uvádíte V rámci VI. fáze realizace předmětu plnění veřejné zakázky budu zpracvány jedntlivé dkumenty pr řízení bezpečnsti v resrtu MPSV, včetně další řídící dkumentace pr jedntlivé IS krmě AIS. Můžete prsím specifikvat, kterých klíčvých infrmačních systémů a na jakých platfrmách se t bude týkat? Ddatečná infrmace k zadávacím pdmínkám č. 1: V bdu 4 zadávací dkumentace FÁZE PLNĚNÍ VEŘEJNÉ ZAKÁZKY zadavatel uvádí, že sučástí VI. fáze realizace předmětu plnění veřejné zakázky je mj.: další řídící dkumentace pr jedntlivé IS krmě AIS: prvzní dkumentace IS bezpečnstní dkumentace IS - Systémvá příručka - Uživatelská příručka - Bezpečnstní plitika IS - Bezpečnstní směrnice pr činnst bezpečnstníh správce IS; Řídící dkumentace musí být zpracvána pr jedntlivé IS krmě AIS a musí být zaměřena na bezpečnstní aspekty fungvání jedntlivých IS. Specifikace, kterých klíčvých IS a jakých platfrem se má řídící dkumentace týkat, vyplyne z analýz prvedených v rámci předchzích fází realizace předmětu plnění veřejné zakázky.
Žádst ddatečnu infrmaci k zadávacím pdmínkám č. 2: (ZD, str. 23) V bdě B1) je dán mezení 200 slv na ppis výstupu. Jedná se mezení na ppis celé fáze, neb puze na ppis každéh z výstupů jedntlivých fází? Pkud se jedná mezení na ppis každéh z výstupů, jedná se výstupy definvané v ZD, neb výstupy navržené v rámci nabídky? Ddatečná infrmace k zadávacím pdmínkám č. 2: V bdu 4 zadávací dkumentace FÁZE PLNĚNÍ VEŘEJNÉ ZAKÁZKY zadavatel specifikval jedntlivé fáze realizace předmětu plnění veřejné zakázky a rvněž knkrétní, zadavatelem pžadvané výstupy daných fází realizace. V bdu 13 zadávací dkumentace ZPŮSOB HODNOCENÍ NABÍDEK zadavatel stanví, že uchazeč v nabídce předlží dkument s názvem Celkvá kvalita nabídky, v rámci kteréh má uchazeč pr účely hdncení dílčíh hdntícíh subkritéria B1) Kvalita navrženéh řešení (60 %) uvést (ppsat), jakým způsbem má v úmyslu knkrétních výstupů jedntlivých fází realizace předmětu plnění, tzn. výstupů pžadvaných zadavatelem v rámci jedntlivých fází realizace předmětu plnění dsáhnut, a t s tím, že zadavatelem stanvený textvý limit 50 200 slv se vztahuje na ppis každéh z výstupů v rámci jedntlivých fází realizace. Výstupy navržené uchazečem v nabídce, resp. v dkumentu s názvem Celkvá kvalita nabídky by měly krespndvat s výstupy specifikvanými zadavatelem v zadávací dkumentaci (uchazeč je pvinen v rámci plnění veřejné zakázky zajistit zadavatelem pžadvané výstupy jedntlivých fází realizace předmětu plnění). Žádst ddatečnu infrmaci k zadávacím pdmínkám č. 3: (ZD, F VI) Ve fázi VI je pžadván zpracvání řídící dkumentace pr jedntlivá IS. Následující dkumentace pžadvaná v ZD bývá becně ddávaná ddavatelem infrmačníh systému, ne v rámci zavádění neb úprav systémů řízení: prvzní dkumentace IS, systémvá příručka. Prsíme prt upřesnění, c by měl být bsahem těcht dkumentů, pkud budu pžadvány. Ddatečná infrmace k zadávacím pdmínkám č. 3: V bdu 4 zadávací dkumentace FÁZE PLNĚNÍ VEŘEJNÉ ZAKÁZKY zadavatel uvádí, že sučástí VI. fáze realizace předmětu plnění veřejné zakázky je mj.: zpracvání kmplexní bezpečnstní řídící dkumentace pr vrchlvu úrveň řízení: bezpečnstní plitika resrtu MPSV řízení přístupu a správa uživatelských účtů řízení přístupu a správa privilegvaných identit (admin, rt, apd.) řízení rizik řízení aktiv, stanvení rlí a dpvědnsti za jedntlivé IS havarijní plán a plán bnvy (Disaster Recvery & Plan) plán kntinuity činnsti (Business Cntinuity Plan) persnální bezpečnst 2
rganizační bezpečnst bezpečnstní plitika ICT fyzická bezpečnst řízení bezpečnstních incidentů celkvé členění a rzsah bezpečnstní dkumentace musí vycházet z prvedené analýzy stanvení rzsahu, hranic a plitiky Jedntnéh systému řízení bezpečnsti resrtu MPSV; další řídící dkumentace pr jedntlivé IS krmě AIS: prvzní dkumentaci IS bezpečnstní dkumentace IS - Systémvá příručka - Uživatelská příručka - Bezpečnstní plitika IS - Bezpečnstní směrnice pr činnst bezpečnstníh správce IS; Zadavatel uvádí, že přesná specifikace bsahu řídicích dkumentů vyplyne z analýz prvedených v rámci předchzích fází realizace předmětu plnění veřejné zakázky. Zadavatel rvněž upzrňuje, že se nejedná prvzní dkumentaci k jedntlivým infrmačním systémům. Žádst ddatečnu infrmaci k zadávacím pdmínkám č. 4: (ZD, F V) Ve fázi V má být prveden psuzení a návrh ptimalizace dhledvéh systému. Následující dtazy se týkají základních infrmací stávajícím dhledvém systému zadavatele: a) Jaké dhledvé systémy jsu aktuálně využívané v rganizacích zadavatele? b) Jaký je rzsah aktuálně mnitrvaných systémů z phledu technlgií (např. aktivní prvky: Cisc; servery: Windws, Unix atd.)? c) Klik systémů je řádvě zařazen d bezpečnstníh dhledu? d) Jsu prvzvány systémy, které nejsu zařazeny d žádnéh dhledvéh systému? Pkud an, klik systémů se řádvě jedná a v klika lkalitách / rganizacích? Ddatečná infrmace k zadávacím pdmínkám č. 4: Zadavatel uvádí, že v tut chvíli nemá infrmace vztahující se k výše plženým tázkám a) až d). Dané skutečnsti vyplynu z analýz prvedených v rámci předchzích fází realizace předmětu plnění veřejné zakázky. Vybranému uchazeči budu rvněž při pdpisu smluvy předány již vminulsti zpracvané analýzy. Rámcvý přehled dříve zpracvaných analýzách je uveden v Přílze č. 6 zadávací dkumentace Seznam předchzích analýz, které budu ddány vítěznému uchazeči při pdepsání smluvy. Žádst ddatečnu infrmaci k zadávacím pdmínkám č. 5: (ZD, kap. 5) Pkud je v pžadavcích na prezenční šklení (managementu i speciální šklení administrátrů) uveden u některé rganizace puze celkvý pčet sb bez udání reginální půsbnsti, je mžné předpkládat, že tyt sby budu škleny splečně v místě sídla vedení rganizace? (Jedná se zejména speciální šklení administrátrů a některé rganizace šklení 3
managementu, např. Státní úřad inspekce práce). Pkud nebudu škleny v sídle vedení, je mžné pr jedntlivé rganizace uvést města, ve kterých mají prběhnut šklení a pr každé měst pčty šklených? Ddatečná infrmace k zadávacím pdmínkám č. 5: Zadavatel v bdu 5 zadávací dkumentace ŠKOLENÍ PERSONÁLU RESORTU MPSV V OBLASTI ŘÍZENÍ BEZPEČNOSTI uvádí, že veškeré šklení bude rganizván v bjektech zadavatele dle reginální půsbnsti. Šklení managementu jedntlivých slžek a rganizačních celků resrtu MPSV bude rganizván svdně na úrvni krajů, např.: na Krajské pbčce ÚP ČR pr Jihčeský kraj budu prškleni všichni zaměstnanci pracující na krajské pbčce (12 sb) + vybraní zaměstnanci kntaktních pracvišť ÚP ČR Jihčeskéh kraje (2 x 20 sb). Celkem tedy 52 sb. Analgicky se bude pstupvat u všech statních pracvišť. Místa a adresy jedntlivých pracvišť ÚP ČR a ČSSZ, viz hypertextvé dkazy v ZD. Celkvý pčet pršklených v tmt druhu prezenčníh šklení je 1 048 sb. V případě speciálníh šklení pr ICT administrátry (celkem 64 sb) zadavatel v zadávací dkumentaci uvádí, že šklení bude rganizván v bjektech zadavatele dle reginální půsbnsti s tím, že v případě, kdy se jedná šklení jedntlivých sb z různých částí ČR, bude jejich šklení rganizván centrálně. Vzhledem k tmu, že jedntlivé sby, které mají být škleny v rámci speciálníh šklení, jsu z různých částí ČR, bude speciální šklení realizván frmu prezenčníh šklení centrálně v sídle zadavatele v Praze. Žádst ddatečnu infrmaci k zadávacím pdmínkám č. 6: (ZD, str. 5) Pžadujete puze pršklení zaměstnanců pr získání certifikace Auditr ISMS a Manažer ISMS neb též zajištění zkušek? Bude uvedená skupina (d 20 sb) šklena najednu a v jednm místě (Praze)? Prsím specifikujte. Ddatečná infrmace k zadávacím pdmínkám č. 6: V bdu 4 zadávací dkumentace FÁZE PLNĚNÍ VEŘEJNÉ ZAKÁZKY zadavatel uvádí, že sučástí II. fáze realizace předmětu plnění veřejné zakázky je mj.: prvedení přípravných kurzů zaměstnanců zadavatele (d 20 sb) pr získání certifikace na základě kurzů akreditvaných vzdělávacím systémem, který je v České republice zastřešen ČIA (Český institut pr akreditaci) v následujících blastech: Oblast auditu a kntrly, - Certifikvané šklení Auditr ISMS Oblast řízení bezpečnsti infrmačních technlgií - Certifikvané šklení Manažer ISMS 4
(Přípravné kurzy je nutn zahájit bez prdlení p pdpisu smluvy); Zadavatel pžaduje zajistit výše uvedené šklení v rámci II. fáze realizace předmětu plnění frmu prezenčníh šklení a nepžaduje zajištění zkušek. Šklení v rámci II. fáze realizace předmětu plnění bude realizván pr všech 20 sb najednu v sídle zadavatele v Praze. Žádst ddatečnu infrmaci k zadávacím pdmínkám č. 7: (ZD, kap. 5) Šklení persnálu resrtu MPSV v blasti řízení bezpečnsti prsím zdpvězení dtazů k e-learningu: a) Specifikujte prsím HW (disk, paměť) a perační systém pčítače, na kterém má být instalván webvý prtál e-learningu. b) Jaký je pžadvaný způsb správy uživatelů (skupiny v Active Directry, externí seznam / databáze, manuální )? c) Jaký je pžadvaný / prefervaný způsb autentizace studentů k prtálu? d) Jaký je pžadvaný / prefervaný způsb přiřazení studentů ke kurzům (manuálně, externí seznam / databáze, skupiny v Active Directry, žádst e-mailem )? Ddatečná infrmace k zadávacím pdmínkám č. 7: Zadavatel uvádí, že základní pžadavky na e-learningvý mdul jsu specifikvány v bdu 5 zadávací dkumentace ŠKOLENÍ PERSONÁLU RESORTU MPSV V OBLASTI ŘÍZENÍ BEZPEČNOSTI (str. 14). Základním technlgickým rámcem je pžadavek zadavatele, aby vytvřené e-learningvé mduly byl mžné implementvat d LMS Sharepint Learning KIT. V Praze dne 13. 8. 2014 Ing. Vendula Gergelvá, v.r. ddělení veřejnéh zadávání 5