Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál smlouvy stáhnete odsud
m' c"Y/ZV- 2ó/^O
č.j.: MV-84454-8NZ-2015 Ministerstvo vnitra ČR l NEWPS.CZ s.r.o.
Dodatek č. 3
ke smlouvě o poskytování služeb
č.j. MV-139045-6/KAP-2011 (dále jen Smlouva) uzavřené dne 27. 5. 2013
1. Smluvní strany:
Dodavatel: Přemyslovská 2845/43, Praha 3, PSČ 130 00
NEWPS.CZ s.r.o. 25625632
Sídlem: CZ25625632
IČO: u Městského obch. soudu v Praze, oddíl C, vložka číslo 55889
DIČ:
Raiffeisenbank, a.s., Olbrachtova 9/2006, 140 21 Praha 4
Zapsaný: 5081103433 l 5500
Zastoupený:
Bankovní spojení:
Číslo účtu:
a
Odběratel:
Česká republika - Ministerstvo vnitra
Sídlem: Nad Štolou 936/3, Praha 7, 170 34
IČO:
00007064
DIČ:
CZ00007064
jejímž jménem jedná: Ing. Jiří Kolda, ředitel odboru koncepce, architektury a projektů
informačních a komunikačních technologii
Kontaktní adresa: Nám. Hrdinů 1634/3, 140 21 Praha 4
Bankovní spojení: ČNB, pobočka 701
Číslo účtu:
6015-3605881/0710
Dále jen ,,smluvní strany".
Strana 1 z 5
T
č.j.: MV-84454-8NZ-2015 Ministerstvo vnitra ČR l NEWPS.CZ s.r.o.
Vzhledem k tomu, že
odběratel potřebuje zajistit
- vspyrtváovřue,népopdop2o7ru. 5.a20ú1d3r,žbu centrály Czech POINT i pro funkcionality a komponenty
- správu změn systému Czech POINT a vytvořeni komplexní dokumentace systému,
- rekonstrukci a modernizaci webových stránek systému Czech POINT,
dohodly se smluvní strany na uzavření tohoto Dodatku č. 3.
2. Příloha č. 1 Smlouvy se mění a nově zní takto:
Příloha č. 1 - Seznam funkcionalit a komponent Systému Czech POINT
1. Aplikace Czech POINT - Dodavatelem je společnost SoRware602 a.s., Hornokrčská 15,
140 00 Praha 4, lČ 63078236;
2. výpis z Katastru nemovitosti (KN) - Dodavatelem je společnost Sofžware602 a.s.,
Hornokrčská 15, 140 00 Praha 4, lČ 63078236;
3. výpis z Obchodního rejstřlku (OR) - Dodavatelem je společnost SoRware602 a.s.,
Hornokrčská 15, 140 00 Praha 4, lČ 63078236,"
4 výpis z Živnostenského rejstř/ku (ŽR) - Dodavatelem je společnost Soňware602 a s ,
Hornokrčská 15, 140 00 Praha 4, lČ 63078236,"
5. výpis z Re/stř/ku trestů (RT) - Dodavatelem je společnost De/tax system a.s., Jankovcova
1569/2C, 170 00 Praha 7, lČ 49241451;
6. Při/etl podání podle živnostenského zákona (§72) - Dodavatelem je společnost Deltax
ystem a.s., Jankovcova 1569/2c, 170 00 Praha 7, lČ 49241451;
7. Zádost o výpis nebo opis z Rejstříku trestů podle zákona Č.124/2008 Sb. (VRT) -
Dodavatelem je společnost De/tax system a.s., Jankovcova 1569/2c, 170 00 Praha 7,
lČ 49241451;
8. výpis z bodového hodnocení řidiče (BODY) - Dodavatelem je společnost Soňware602 a.s.,
Hornokrčská 15, 140 00 Praha 4, lČ 63078236;
9. Vydání ověřeného výstupu ze Seznamu kva/ifikovanYch Dodavatelů (SKD) - Dodavatelem
je společnost ASD Software, s.ro., Žerotínova 2981/55A, 787 01 Šumperk, lČ 623 63 930,'
10. Podání do registru účastníků provozu modulu autovraků ISOH (ISOH) - Dodavatelem je
společnost De/tax system a.s., Jankovcova 1569/2C, 170 00 Praha 7, lČ 49241451,'
11. Hlášení nesouladu předložených dokladů na kontaktních místech Czech POINT -
Dodavatelem je společnost Soňware602 a.s., Hornokrčská 15, 140 00 Praha 4,
lČ 63078236;
12. Napojeni' matričních úřadů na Centrálu Czech POINT - Dodavatelem je společnost KOM/X
s.ro., Radlická 751/113e, 150 00 Praha 5, lČ 47117087;
13. Centrální asistent Systému Czech POINT - Dodavatelem je společnost DATRON, a.s.,
Vachkova 3008, 470 01 Česká Lípa, lČ 43227520;
14. Samoobslužné rozhraní pro správu identit uživatelů - Dodavatelem je společnost Novell
Professional Services Česká republika, s.r.o., Na Zertvách 29/2247, 180 00 Praha 8,
lČ 25625632;
15. POWER User Forum Systému Czech POINT - Dodavatelem je společnost Továrna na
dokonalé programy s.lo., Bohuňova 1366, 140 00 Praha 4, lČ 45272638;
16. Kolektor terénních dat prostřednictvím Systému Czech POINT - Dodavatelem je
společnost SoRware602 a.s., Hornokrčská 15, 140 00 Praha 4, lČ 63078236;
17. SMS navigace - Dodavatelem je společnost AutoCont CZ a.s., Poděbradská 55/88, 198 00
Praha 9, lČ 476 76 795;
18. Auditní software Centrály Czech POINT - Dodavatelem je společnost Novell Professional
Services Česká republika, s.r.o., Na Žertvách 29/2247, 180 00 Praha 8, lČ 25625632;
Strana 2 z 5
T
č.j.: MV-84454-8NZ-2015 Ministerstvo vnitra ČR l NEWPS.CZ s.r.o.
19. Manuální výpis z rejstřiku trestů - Dodavatelem je společnost De/tax system a.s.,
jankovcova 1569/2c, 170 00 Praha 7, lČ 49241451;
20. výpis z /nso/venčn/ho rejstř/ku (/S/R) - Dodavatelem je společnost CCA Group a.s.,
Karlovo nám. 17, 120 00 Praha 2, lČ 25695312,'
21. Úschovna Centrály Czech POINT - Dodavatelem je společnost DATRON, a.s., Vachkova
3008, 471 01 Česká Lípa, lČ 43227520;
22. Aplikační vrstva pro konverzi dokumentů (AVK) - Dodavatelem je společnost Profinit, s.r.o.,
Praha 6, Tychonova 2, PSČ 160 00, lČ 25650203;
23. Centrální úložiště ověřovacích doložek Centrály Czech POINT - Dodavatelem je
společnost Novell Professional Services Česká republika, s.lo., Na ZV'ertvách 29/2247,
180 00 Praha 8, lČ 25625632;
24. Agendy souviseilcí se zajištěn/m provozu ISDS na kontaktních místech Czech POINT
(Aq/SDS) - Dodavatelem je společnost SoRware602 a.s., Hornokrčská 15, 140 00 Praha 4,
lČ 63078236;
25. Konektor Centrály SYstému Czech POINT na spisovou službu MV ČR - Dodavatelem je
společnost SoRware602 a.s., Hornokrčská 15, 140 00 Praha 4, lČ 63078236;
26. Rozhraní Czech PO/NT@oHi'ce - Dodavatelem je společnost Novell Professional Services
Česká republika, s.lo., Na Žertvách 29/2247, 180 00 Praha 8, lČ 25625632;
27. Administrativní modul kontaktních mist Czech POINT - Dodavatelem je společnost
SoRware602 a.s., Hornokrčská 15, 140 00 Praha 4, lČ 63078236;
28. Agenda ,,Dědictví" v Systému Czech POINT (ISND) - Dodavatelem je společnost KOMIX
s.lo., Radlická 751/113e, 150 00 Praha 5, lČ 47117087;
29. Internetové kontaktní místo veřejné správy Czech POINT (IKM) - Dodavatelem je
spo/ečnostALW/L Trade, spol. s r.o., Průběžná 2397/76, 100 00 Praha IQ lČ 16188641;
30. Katalog autentizačních a autorizačních služeb jednotného /dentitn/ho Prostoru
Czech POINT (J/P) - Dodavatelem je společnost Novell Professional Services Česká
republika, s.r.o., Na Žertvách 29/2247, 180 00 Praha 8, lČ 25625632,'
31. SYstém DONEZ - Dodavatelem je společnost Soňtware602 a.s., Hornokrčská 15, 140 00
Praha 4, lČ 63078236.
32. Úprava funkcionalit Czech POINT - Dodavatelem je společnost NEWPS.CZ s.lo., Na
žertvách 29/2247, 180 00 Praha 8, lČ 25625632;
33. Úprava komunikačního prostředí a formulářů pro matriční události a ISEO - Dodavatelem je
společnost KOM/X s.r.o., Radlická 751/113e, 150 00 Praha 5, lČ 47117087
34. Nové funkciona/ity Czech POINT 2012 - Dodavatelem je společnost NEWPS.CZ s.l o., Na
žertvách 29/2247, 180 00 Praha 8, lČ 25625632;
35. Dodávka a implementace formulářů Czech POINT - Dodavatelem je společnost
Soňware602 a.s., Hornokrčská 15, 140 00 Praha 4, lČ 63078236;
36. SW modul pro ověřeni certifi'kátů podpisů - Dodavatelem je společnost NEVYPS. CZ s.lo.,
Na žertvách 29/2247, 180 00 Praha 8, lČ 25625632,'
37. Bezpečnostní úprava J/P - Dodavatelem je společnost NEWPS.CZ s.r.o., Na žertvách
29/2247, 180 00 Praha 8, lČ 25625632,'
38. Formulář pro výpis z CRŘ pro držitele datové schránkV - Dodavatelem je společnost
SoRware602 a.s., Hornokrčská 15, 140 00 Praha 4, lČ 63078236.
3. Správa změn systému Czech POINT a vytvořeni komplexní dokumentace systému, podrobná
specifikace je uvedena v příloze č. 1 tohoto dodatku.
4. Rekonstrukce a modernizace webových stránek systému Czech POINT zahrnující jejich úpravu,
podrobná specifikace je uvedena v příloze č. 2 tohoto dodatku.
Strana 3 z 5
7
č.j.: MV-84454-8NZ-2015 Ministerstvo vnitra ČR l NEWPS.CZ s.r.o.
5. Cena
Celková cena za předmět plnění tohoto dodatku je dohodnuta oběma smluvními stranami ve výši
25 460 000 KČ bez DPH
při sazbě 21% činí DPH 5 346 600 KČ
30 806 600 KČ včetně DPH
a) cena za předmět tohoto dodatku podle bodu 2. je stanovena takto:
- aktivační poplatek ve výši 5 280 000 Kč bez DPH, který je splatný ke dni podpisu smlouvy podle
platebních podmínek článku 6 Smlouvy,
- navýšení měsIčnI platby podle článku 5.2 Smlouvy o částku 440.000,- KČ bez DPH po dobu
platnosti prvních 24 měsíců tohoto dodatku, počínaje 1. lednem 2016.
- navýšení měsíční platby podle článku 5.2 Smlouvy o částku 255.000,- KČ bez DPH po uplynutí
prvních 24 měsíců tohoto dodatku, počínaje 1. lednem 2018.
b) cena za předmět tohoto dodatku podle bodu 3. je stanovena ve výši 3 000 000 KČ bez DPH.
Dnem zdanitelného plnění je den předání této části plnění způsobem uvedeným v příloze č. 1
tohoto dodatku a podle platebních podmínek článku 6 Smlouvy.
C) cena za předmět tohoto dodatku podle bodu 4. je stanovena ve výši 500 000 KČ bez DPH.
Dnem zdanitelného plnění je den předání této části plnění způsobem uvedeným v příloze č. 2
tohoto dodatku a podle platebních podmínek článku 6 Smlouvy.
6. Místo a doba plnění je uvedena v článku 3 Smlouvy.
7. Požadavek na součinnost ze strany Odběratele se řídí podle článku 4 Smlouvy.
8. Sankční podmínky
a) Sankční podmínky pro předmět tohoto dodatku podle bodu 2. se řídí ustanoveními článku 7
Smlouvy.
b) Sankční podmínky pro předmět tohoto dodatku podle bodu 3.
Odběratel je oprávněn vystavit sankční fakturu Dodavateli v případě nedodržení termínu plnění ve
výši 10.000,- kč za každý, byt' započatý, den prodlení;
C) Sankční podmínky pro předmět tohoto dodatku podle bodu 4.
Odběratel je oprávněn vystavit sankční fakturu Dodavateli v případě nedodržení termínu plněni ve
výši 3.000,- kč za každý, byt' započatý, den prodlení;
9. Ostatní ustanovení Smlouvy včetně jejích dodatků č. 1 a 2 zůstávají nezměněny.
10. Dodatek se vyhotovuje v 5 stejnopisech, z nichž Odběratel obdrží tři (3) a Dodavatel dva (2)-
11. Dodatek nabývá platnosti a účinnosti dnem podpisu poslední ze zúčastněných stran.
12. Přílohy
V nás|edujÍcÍch přílohách je podrobná specifikace stanovena v zadávací dokumentaci.
Strana 4 z 5
r" č.j.: MV-84454-8NZ-2015 Ministerstvo vnitra ČRI NEWPS.CZ s.r.o.
Příloha č. 1 - Správa změn systému Czech POINT a vytvoření dokumentace systému
Příloha č. 2 - Rekonstrukce a modernizace webových stránek Czech POINT.
výše uvedená Příloha č. 1 se stává Přílohou č. 2 Smlouvy a Příloha č. 2 se stává Přílohou č. 3
Smlouvy.
13. Podpisová strana
Datum Dodavatel Odběratel
V Praze V Praze
Jméno
M-a?. Ui\ 15 -12- 2015
Ing. Jiří Kolda
Podpis
Funkce
N"-:, '"$,'""(N)""'
Súana 5 z 5
r"
l Příloha č. 2 Zadávací dokumentace
Správa změn systému Czech POINT
a vytvoření doklllnentace k systéinu
Zadavatel žádá o vytvoření dokumentace k systému Czech POINT podle níže uvedeného vzoru struk-
tury dokumentace a prováděni její průběžné aktualizace. Pro dokumenty, jejichž vytvoření je v kom-
petenci Ministerstva vnitra, je požadováno poskytnutí případné součinnosti dodavatele při jejich
zpracováni a aktualizaci. Dále zadavatel žádá o vytvořeni správy změn dokumentace a aplikačního
vybavení systému.
Požadavky na dokumentaci vychází zejména z Vyhlášky č. 529/2006 Sb., o požadavcích na strukturu a
obsah informační koncepce a provozní dokumentace a o požadavcích na řIzení bezpečnosti a kvality
informačních systémů veřejné správy (vyhláška o dlouhodobém řIzení informačních systémů veřejné
správy) a z Vyhlášky č. 316/2014 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních
incidentech, reaktivních opatřeních a o stanoveni náležitostí podání v oblasti kybernetické bezpeč-
nosti (vyhláška o kybernetické bezpečnosti).
Dokumentace (zejména v části Provozní dokumentace) nemusí nutně mít uvedenou strukturu, ale
měla by obsahovat všechny uvedené obsahové celky.
Zadavatel žádá navrhnout a implementovat Proces (politiku) řIzenI změn (verzováni, schvalovací pro-
ces) a zajistit pro uvedenou dokumentaci a aplikační vybaveni systému bezpečné elektronické úložiš-
tě s řízeným přístupem.
Smluvní strany budou povinny poskytnout si navzájem veškerou součinnost, která se v průběhu plně-
ni projeví jako potřebná. Zadavatel požaduje průběžné předávání vytvořených dokumentů a jejich
zavádění do správy dokumentů systému Czech POINT. Předáni a převzetí jednotlivých dokumentů
bude potvrzeno předávacím protokolem podepsaným pověřenými zástupci obou smluvních stran.
Vytvoření kompletní dokumentace k systému a zavedení procesu správy změn je požadováno reali-
zovat nejpozději do 30. 6. 2016.
Vzor struktury dokumentace
L PROJEKTOVÁ DOKUMENTACE 2
íl. PROVOZNÍ DOKUMENTACE lSVS: 2
A. SYSTÉMOVÁ PŘÍRUČKA 2
B. UŽIVATELSKÁ PŘÍRUČKA 2
Ill. BEZPEČNOSTNÍ DOKUMENTACE 3
A. Bezpečnostnĺ POLITIKA 3
b. Dalšĺ dokumentace 6
IV. ARCHIV 8
Strana 1 (celkem 8)
!
l
l. Projektová dokumentace
1. Zápisy z porad
2. Požadavkové listy
3. Akceptační protokoly
4. Ostatní
II. Provozní dokumentace:
A. systémová příručka
1. popis funkcí, včetně bezpečnostních, které používá správce systému pro provádění
určených Činností v lSVS, a návod na použití těchto funkci,
pozn.: Dokument, který popisuje funkce (služby) systému.
2. parametry kvality, které vycházejí z požadavků na kvalitu podle § 3 odst. 2,
pozn.: Definice provozních parametrů systému, nap. výkonnostních (/imitn/ch).
3. podrobný popis ISVS nebo odkaz na dokument, ve kterém je popis uveden a který
je správci systému dostupný,
pozn.: Architektura (design) systému, datový model, popis procesů, co a kam se loguje, popis vněj-
ších rozhraní (jak vlastních, tak napojeni' na externi), monitorovací nástroje, statistické výstupy.
Mj. tedy popis APl KzMÚ, WS J/P/KAAS, napojenlna spisovou službu, úložiště ověřovacích doložek.
4. popis jednotlivých činností vykonávaných při správě informačního systému veřejné
správy, včetně činnosti definovaných pro role podle § 12, určenífýzických osob, které tyto
činnosti vykonávají, a oprávněni nezbytných pro výkon těchto činnosti,
pozn.: ,,Administrátorská dokumentace': tedy dokument, který popisuje činnosti administrátorů
systému (všech jeho částQ a to jak při rutinním provozu, tak ipři obnově běhu systému v případě ha-
várie. Např. plán zá/ohován/, havarijnl plány, provoznlpřlručka, instalační příručka, mapa infrastruk-
tury.
5. definování uživatelů nebo skupin uživatelů a jejich oprávnění a povinnosti při
využIvánI informačního systému veřejné správy.
pozn.: Popis roll a oprávněn/intern/ch iexternlch uživatelů. OVM definuje pro lSVS vždy alespoň roli
a) správce systému, kterým je zaměstnanec nebo jiná fyzická osoba, která zaj/št'uje řlzen/provozu
lSVS, b) bezpečnostního správce systému, kterým je zaměstnanec nebo jiná fyzická osoba, která zajiš-
ťuje kontrolu bezpečnosti lSVS; zároveň definuje pro každou roli souhrn určených činností a potřeb-
ných oprávněnlpro provádění těchto činností v lSVS.
B. uživatelská příručka
1. popis funkcí, včetně bezpečnostních, které používá uživatel pro svou činnost v ISVS,
a návod na použitítěchto funkci,
pozn.: Uživatelská dokumentace, např. příručka pro národního administrátora, /oká/nlho administrá-
tora, prohlížeče krizového řlzenj administrátora krizového řízení, administrátora zřizované organiza-
ce, uživatele, garanta AlS, návody na použitíformulářů registraci A/S
2. b) vymezeni oprávněni a povinností uživatelů ve vztahu k lSVS.
pozn.: např. Provozn/řád
Strana 2 (celkem 8)
r m m
Ill. bezpečnostní dokumentace
Pozn.: Níže je uvedena komp/etn/struktura bezpečnostní dokumentace, jak bude vyžadována pro
součást kritické informačnl infrastruktury od května 2016. Pro aktuá/nlstav doporučujeme jako mít
minimálně Bezpečnostní politiku a bezpečnostnlsměrnice pro vybrané součásti systému l činnosti
(např. zabezpečení uživatelských účtů, řlzenl přístupu ext. aplikací k webovým službám, řlzenl vzdále-
ného přístupu na servery)
A. Bezpečnostní politika
1. Politika systému řízenI bezpečnosti informací
[§ 5 odst. 1pIsm. a), § S odst. 2 písm. a)]
a) Cíle, principy a potřeby řIzenI bezpečnosti informaci.
b) Rozsah a hranice systému řIzeni bezpečnosti informací.
C) Pravidla a postupy pro řÍzenjdokumentace.
d) Pravidla a postupy pro řízenI zdrojů a provozu systému řIzenI bezpečnosti informací.
e) Pravidla a postupy pro provádění auditů kybernetické bezpečnosti.
f) Pravidla a postupy pro přezkoumání systému řIzenI bezpečnosti informací.
g) Pravidla a postupy pro nápravná opatření a zlepšováni systému řIzení bezpečnosti infor-
mací.
2. Politika organizační bezpečnosti
[§ 5 odst. 1pIsm. b), § 5 odst. 2 písm. b)]
a) Určení bezpečnostních roli a jejich práv a povinnosti,
1. práva a povinnosti manažera kybernetické bezpečnosti,
2. práva a povinnosti architekta kybernetické bezpečnosti,
3. práva a povinnosti auditora kybernetické bezpečnosti,
4. práva a povinnosti garanta aktiv,
5. práva a povinnosti výboru pro řIzenI kybernetické bezpečnosti.
b) Požadavky na oddě|enivýkonu činností jednotlivých bezpečnostních rolí.
3. Politika řIzenI dodavatelů
[§ 5 odst. 1pIsm. C), § 5 odst. 2 písm. C)]
a) Pravidla a principy pro výběr dodavatelů.
b) Pravidla pro hodnoceni rizik dodavatelů.
c) Náležitosti smlouvy o úrovni služeb a způsobů a úrovni realizace bezpečnostních opatření a
o určení vzájemné smluvní odpovědnosti.
d) Pravidla pro prováděni kontroly zavedeni bezpečnostních opatření.
e) Pravidla pro hodnocenidodavate|ů.
4. Politika klasifikace aktiv
[§ 5 odst.1pism. d), § 5 odst. 2 pÍsm. d)]
a) Identifikace, hodnoceni a evidence primárních aktiv
1. určení a evidence jednotlivých primárních aktiv včetně určení jejich garanta,
2. hodnocení důležitosti primárních aktiv z hlediska důvěrnosti, integrity a dostupnos-
ti.
b) Identifikace, hodnocení a evidence podpůrných aktiv
1. určeni a evidence jednotlivých podpůrných aktiv včetně určeni jejich garanta,
2. určeni vazeb mezi primárními a podpůrnými aktivy.
C) Pravidla ochrany jednotlivých úrovní aktiv
1. způsoby rodišováni jednotlivých úrovni aktiv,
2. pravidla pro manipulaci a evidenci aktiv podle úrovni aktiv,
3. přípustné způsoby používánÍ aktiv.
d) Způsoby spolehlivého smazáni nebo ničenítechnických nosičů dat.
Strana 3 (celkem 8)
5. Politika bezpečnosti lidských zdrojů
[§ 5 odst. 1pIsm. e), § 5 odst. 2 písm. e)]
a) Pravidla rozvoje bezpečnostního povědomi a způsoby jeho hodnocení
1. způsoby a formy poučeni uživatelů,
2. způsoby a formy poučenigarantů aktiv,
3. způsoby a formy poučení administrátorů,
4. způsoby a formy poučení dalších osob zastávajÍcÍch bezpečnostní role.
b) Bezpečnostní školeni nových zaměstnanců.
C) Pravidla pro řešeni případů porušení bezpečnostní politiky systému řIzenI bezpečnosti in-
formaci.
d) Pravidla pro ukončení pracovního vztahu nebo změnu pracovní pozice.
1. vrácení svěřených aktiv a odebrání práv při ukončeni pracovního vztahu,
2. změna přístupových oprávnění při změně pracovni pozice.
6. Politika řIzení provozu a komunikací
[§ 5 odst.1pism.f), § 5 odst. 2 pIsm.f)]
a) Pravomoci a odpovědnosti spojené s bezpečným provozem.
b) Postupy bezpečného provozu.
C) Požadavky a standardy bezpečného provozu.
d) ŘÍzenÍ technických zranitelnostI.
e) Pravidla a omezení pro provádění auditů kybernetické bezpečnosti a bezpečnostních testů.
7. Politika řizenI přístupu
[§ 5 odst. 1pIsm.g), § 5 odst. 2 písm. g)]
a) Princip minimálních oprávněni/potřeba znát {need to know).
b) Požadavky na řIzenI přístupu.
C) Životn' cyklus řizení př'stupu.
d) ŘÍzenÍ privilegovaných oprávnění.
e) ŘÍzenÍ přístupu pro mimořádné situace.
f) Pravidelné přezkoumání přístupových oprávnění včetně rozdělenI jednotlivých uživatelů v
přístupových skupinách.
8. Politika bezpečného chováni uživatelů
1§ 5 odst.1pism. h), § 5 odst. 2 písm. h)]
a) Pravidla pro bezpečné nakládánís aktivy.
b) Bezpečné použití přístupového hesla.
C) Bezpečné použití elektronické pošty a přístupu na internet.
d) Bezpečný vzdálený přistup.
e) Bezpečné chováni na sociálních sItích.
f) Bezpečnost ve vztahu k mobilnIm zařIzenIm.
9. Politika zálohování a obnovy
[§ 5 odst. 1pIsm. i), § 5 odst. 2 písm. i)]
a) Požadavky na zálohování a obnovu.
b) Pravidla a postupy zálohovánI.
c) Pravidla bezpečného uloženi záloh.
d) Pravidla a postupy obnovy.
e) Pravidla a postupy testováni zá|ohování a obnovy.
10. Politika bezpečného předáváni a výměny informací
[§ 5 odst. 1 písm. j)]
a) Pravidla a postupy pro ochranu předávaných informací.
b) Způsoby ochrany elektronické výměny informaci.
C) Pravidla pro využjvánÍ kryptografické ochrany.
Strana 4 (celkem 8)
r r7 -"7 .P 1/. .~7 D "7
11. Politika řjzenÍtechnických zranitelnosti
[§ 5 odst. 1pIsm. k))
a) Pravidla pro omezení instalace programového vybaveni,
b) Pravidla a postupy vyhledávání opravných programových balíčků,
c) Pravidla a postupy testování oprav programového vybaveni,
d) Pravidla a postupy nasazeni oprav programového vybavení.
12. Politika bezpečného použÍvání mobilních zařIzenI
[§ 5 odst. 1pIsm. l)]
a) Pravidla a postupy pro bezpečné použÍvánj mobilních zařIzenI.
b) Pravidla a postupy pro zajištění bezpečnosti zařIzenI, kterými orgán a osoba uvedená v § 3
písm. C) a d) zákona nedisponuje.
13. Politika poskytováni a nabývání licencí programového vybaveni a informaci
[§ 5 odst. 1pIsm. m), § 5 odst. 2 pÍsm. j)]
a) Pravidla a postupy nasazení programového vybavení a jeho evidence.
b) Pravidla a postupy pro kontrolu dodržovánÍ|icenčních podmínek.
14. Politika dlouhodobého ukládání a archivace informací
[§ 5 odst. 1 písm. n)]
a) Pravidla a postupy archivace dokumentů a záznamů.
b) Ochrana archivovaných dokumentů a záznamů.
C) Politika přístupu k archivovaným dokumentům a záznamům.
15. Politika ochrany osobních údajů
[§ 5 odst. 1pIsm. O), § 5 odst. 2 písm. k)]
a) Charakteristika zpracovávaných osobních údajů.
b) Popis přijatých a provedených organizačních opatření pro ochranu osobních údajů.
c) Popis přijatých a provedených technických opatřeni pro ochranu osobních údajů.
16. Politika fyzické bezpečnosti
[§ 5 odst. 1pÍsm. p)]
a) Pravidla pro ochranu objektů.
b) Pravidla pro kontrolu vstupu osob.
c) Pravidla pro ochranu zařIzenI.
d) Detekce narušení fyzické bezpečnosti.
17. Politika bezpečnosti komunikační sItě
[§ 5 odst. 1 písm. q)]
a) Pravidla a postupy pro zajištění bezpečnosti sItě.
b) Určení práv a povinnosti za bezpečný provoz sItě.
C) Pravidla a postupy pro řIzení přístupů v rámci sItě.
d) Pravidla a postupy pro ochranu vzdálen'ého přístupu k síti.
e) Pravidla a postupy pro monitorováni sItě a vyhodnocování provozních záznamů.
18. Politika ochrany před škodlivým kódem
[§ 5 odst. 1pIsm. r), § 5 odst. 2 písm. m)]
a) Pravidla a postupy pro ochranu komunikace mezi vnitřní a vnější sítí.
b) Pravidla a postupy pro ochranu serverů a sdílených datových úložišť.
C) Pravidla a postupy pro ochranu pracovních stanic.
19. Politika nasazení a použÍvánj nástroje pro detekci kybernetických bezpečnostních
událostí
[§ 5 odst. 1pIsm. S), § S odst. 2 písm. n)]
a) Pravidla a postupy nasazeni nástroje pro detekci kybernetických bezpečnostních událostí.
Strana 5 (celkem 8)
T " "T
b) Provozní postupy pro vyhodnocování a reagováni na detekované kybernetické bezpeč-
nostní události.
C) Pravidla a postupy pro optimalizaci nastaveni nástroje pro detekci kybernetických bezpeč-
nostních události.
20. Politika využiti a údržby nástroje pro sběr a vyhodnocení kybernetických
bezpečnostních událostí
[§ 5 odst. 1 písm. t)]
a) Pravidla a postupy pro evidenci a vyhodnoceni kybernetických bezpečnostních události.
b) Pravidla a postupy pravidelné aktualizace pravidel pro vyhodnocení kybernetických bez-
pečnostních událostí.
C) Pravidla a postupy pro optimální nastaveni bezpečnostních vlastnosti nástroje pro sběr a
vyhodnocení kybernetických bezpečnostních události.
21. Politika bezpečného používánÍ kryptografické ochrany
[§ S odst.1písm. u), § 5 odst. 2 pÍsm.1)]
a) Úroveň ochrany s ohledem na typ a sIlu kryptografického algoritmu.
b) Pravidla kryptografické ochrany informací
1. při přenosu po komunikačních sItich,
2. při uloženi na mobilní zařIzenI nebo vyměnitelný technický nosič dat,
C) Systém správy klíčů.
B. Další dokumentace
1. Zpráva z auditu kybernetické bezpečnosti
[§ 28 odst. 1 písm. b)]
a) Cíle auditu kybernetické bezpečnosti.
b) Předmět auditu kybernetické bezpečnosti.
C) Kritéria auditu kybernetické bezpečnosti.
d) |dentifikovánitýmu auditorů a osob, které se auditu kybernetické bezpečnosti zúčastnily.
e) Datum a místo, kde byly prováděny činnosti při auditu kybernetické bezpečnosti.
f) zjištěníz auditu kybernetické bezpečnosti.
g) Závěry auditu kybernetické bezpečnosti.
2. Zpráva z přezkoumáni systému řIzeni bezpečnosti informaci
[§ 28 odst. 1pIsm. C)]
a) Vyhodnocení opatření z předchozího přezkoumání systému řizenI bezpečnosti informaci,
b) Identifikace změn a okolnostI, které mohou mít vliv na systém řízenI bezpečnosti informa-
cí.
C) Zpětná vazba o výkonnosti řízenI bezpečnosti informací
1. neshody a nápravná opatření, )sť
2. výsledky monitorování a měření,
3. výsledky auditu,
4. naplněni cIlů bezpečnosti,
d) výsledky hodnoceni rizik a stav plánu zvládání rizik.
e) Identifikace možnosti pro neustálé zlepšováni.
d) Doporučeni potřebných rozhodnuti, stanoveni opatřeni a osob zajišťujÍcÍch výkon jednotli-
vých činností.
3. Metodika pro identifikaci a hodnoceni aktiv a pro identifikaci a hodnoceni rizik
[§ 28 odst. 1pIsm. d), § 28 odst. 2 písm. b)]
a) Určeni stupnice pro hodnocení primárních aktiv
1. určeni stupnice pro hodnocení úrovni důvěrnosti aktiv,
2. určení stupnice pro hodnocení úrovníintegrity aktiv,
Strana 6 (celkem 8)
7
3. určení stupnice pro hodnocení úrovni dostupnosti aktiv.
b) Určení stupnice pro hodnoceni rizik
1. určení stupnice pro hodnocení úrovní dopadu,
2. určení stupnice pro hodnocení úrovni hrozby,
3. určeni stupnice pro hodnoceni úrovni zranitelnosti,
4. určení stupnice pro hodnoceni úrovni rizik,
C) Metody a přístupy pro zvládání rizik.
d) Způsoby schvalování přijatelných rizik.
4. Zpráva o hodnoceni aktiv a rizik
[§ 28 odst. 1pIsm. e), § 28 odst. 2 písm. C)]
a) Přehled primárních aktiv
1. identifikace a popis primárních aktiv,
2. určení garantů primárních aktiv,
3. hodnocení primárních aktiv z hlediska důvěrnosti, integrity a dostupnosti.
b) Přehled podpůrných aktiv (neplatí pro orgány a osoby uvedené v § 3 písm. e) zákona)
1. identifikace a popis podpůrných aktiv,
2. určeni garantů podpůrných aktiv,
3. určeni vazeb mezi primárními a podpůrnými aktivy,
C) ldentifikováni a hodnocení rizik
1. posouzení možných dopadů na aktiva,
2. hodnoceni existujÍcÍch hrozeb,
3. hodnoceni existujÍcÍch zranitelností, hodnocení existujÍcÍch opatření,
4. stanovení úrovně rizika, porovnání této úrovně s kritérii pro přijatelnost rizik,
5. určeni a schválení přijatelných rizik.
d) Zvládání rizik
1. návrh způsobu zvládání rizik,
2. návrh opatřeni a jejich realizace.
5. Prohlášeni o aplikovatelnosti
[§ 28 odst. 1pIsm. f), § 28 odst. 2 písm. d)]
a) Přehled vybraných bezpečnostních opatřenivčetně zdůvodnění jejich výběru a jejich vazby
na identifikovaná rizika.
b) Přehled zavedených bezpečnostních opatření.
6. Plán zvládáni rizik
[§ 28 odst. 1pIsm.g), § 28 odst. 2 písm. e)]
a) Obsah a cíle vybraných bezpečnostních opatřeni pro zvládáni rizik.
b) Potřebné zdroje pro jednotlivá bezpečnostní opatření pro zvládáni rizik.
c) Osoby zajĹšt'ujÍcÍ jednotlivá bezpečnostníopatřenÍ pro zvládáni rizik.
d) Termíny zavedení jednotlivých bezpečnostních opatřeni pro zvládáni rizik.
e) Způsoby hodnocení úspěšnosti zavedení jednotlivých bezpečnostních opatřeni pro zvládá-
nírizik.
7. PIán rozvoje bezpečnostního povědomí
[§ 28 odst. 1pIsm. h), § 28 odst. 2 pÍsm. f)]
a) Obsah a termíny poučeni uživatelů.
b) Obsah a terminy poučenigarantů aktiv (neplatí pro orgány a osoby uvedené v § 3 písm. e)
zákona).
c) Obsah a terminy poučení administrátorů (neplatí pro orgány a osoby uvedené v § 3 písm.
e) zákona).
d) Obsah a termíny poučení dalších osob zastávajÍcÍch bezpečnostní role.
e) Obsah a termíny poučení nových zaměstnanců.
f) Formy a způsoby hodnocení plánu.
Strana 7 (celkem 8)
7"
8. Zvládání kybernetických bezpečnostních incidentů
[§ 28 odst. 1pIsm. i), § 28 odst. 2 písm. g)]
a) Definová ní kategorií kybernetického bezpečnostního incidentu.
b) Pravidla a postupy pro evidenci a zvládání jednotlivých kategorií kybernetických bezpeč-
nostních incidentů.
C) Pravidla a postupy testování systému zvládáni kybernetických bezpečnostních incidentů.
d) Pravidla a postupy pro vyhodnocení kybernetických bezpečnostních incidentů a pro zlep-
šováni kybernetické bezpečnosti.
9. Strategie řízenI kontinuity činnosti
[§ 28 odst. 1pIsm. j), § 28 odst. 2 písm. h)]
a) Práva a povinnosti zúčastněných osob.
b) Cíle řIzenI kontinuity činnosti
1. minimálni úroveň poskytovaných služeb,
2. doba obnoveni chodu,
3. bod obnoveníchodu.
C) Strategie řIzenI kontinuity činností pro naplněni cIlů kontinuity.
d) Způsoby hodnocení dopadů kybernetických bezpečnostních incidentů na kontinuitu a po-
suzování souvisejIcIch rizik.
e) Určenia obsah potřebných plánů kontinuity.
f) Postupy pro realizaci opatřenívydaných Národním bezpečnostním úřadem.
10. Přehled obecně závazných právních předpisů, vnitřních předpisů a jiných předpisů a
smluvních závazků
[§ 28 odst. 1pIsm. k), § 28 odst. 2 pÍsm. i)]
a) Přehled obecně závazných právních předpisů.
b) Přehled vnitřních předpisů a jiných předpisů.
C) Přehled smluvních závazků.
IV. Archiv
Pro archivaci již neplatných verzí dokumentů
i
i
Strana 8 (celkem 8)
T .
Příloha č. 3 Zadávací dokumentace
Rekonstrukce a modernizace webových stránek Czech POINT
Zadavatel žádá o rekonstrukci a modernizaci webových stránek http://www.czechpoint.cz, včetně
redakčního systému, podle níže uvedené specifikace. Údržbu těchto nových stránek bude provádět
dodavatel podle odst. 2.7. Smlouvy.
Smluvní strany budou povinny poskytnout si navzájem veškerou součinnost, která se v průběhu
plnění projeví jako potřebná. Předání a převzetí plněni bude potvrzeno předávacím protokolem
podepsaným pověřenými zástupci obou smluvních stran. Vytvořeni nových stránek je požadováno
realizovat nejpozději do 30. 6. 2016.
1. Webové stránky a komunikační rozhraní domény http'//www.czechpoint.cz
Komunikační rozhraní webových stránek bude napojeno na vybrané informační systémy ve správě
Ministerstva vnitra. Komunikační rozhraní zabezpečí sdi|enÍ vybraných dat a jejich možnou prezentaci
na webových stránkách např. v podobě statistik, či mapových výstupů.
Grafický návrh webových stránek bude zpracován v souladu s Logo manuálem projektu Czech POINT
a Ministerstva vnitra. Webová prezentace včetně grafiky bude odpovídat podmínkám Blind friendly
web. Stránky budou vytvořeny dle závazných pravidel, která určuji, jak by měla být webová
prezentace vytvořena tak, aby byla validní. Stránky budou vytvořeny v souladu s vyhláškou č.
64/2008 Sb., o formě uveřejňování informací souvisejÍcÍch s výkonem veřejné správy prostřednictvím
webových stránek pro osoby se zdravotním postižením (vyhláška o přístupnosti). S ohledem na
bezpečnost bude dodržena minimálně metodika OWASP pro bezpečné webové prezentace
(www.owasp.org), zejména s ohledem na OWASP Top 10 Rizik. Webová prezentace musí splňovat
standardy W3C.
Pravidla, která bude vytvořené dílo dodržovat:
" Každý netextový prvek nesoucí významové sdělení musí mít svou textovou alternativu. Taktéž
informace sdělované pomocí skriptů, appletů, obrázků a obdobných doplňků musí být
dostupné bez kteréhokoliv z těchto doplňků na straně uživatele. Barvy prostředí musí být
dostatečně kontrastní.
· Pro určení velkosti písma nesmí být použity absolutní jednotky a předpisy určujÍcÍ typ písma
musí obsahovat celou rodinu písem.
· Obsah webové stránky musí řídit uživatel, obsah stránky se mění, pouze pokud uživatel
aktivuje urč'tý prvek. Webová stránka bez př'mého příkazu nesm' "man"pulovat uživatelským
prostředím, pokud na to není uživatel výslovně upozorněn.
· Nová okna se otevÍrajÍ jen v odůvodněných případech a uživatel je na to předem upozorněn.
Obsah ani kód webové stránky nepředpokládá ani nevyžaduje konkrétni způsob použití ani
konkrétni výstupní či ovládacI zařizenI.
Stránky musí být koncipovány tak, aby uživatele vždy co nejjednodušším způsobem dovedly k cíli.
Navigace musí být přehledná, z každé stránky se uživatel musí jednoduše dostat na titulní stránku.
Stránky musí obsahovat drobečkovou navigaci.
V hlavni sekci budou uveřejněny informace pro koncové uživatele, kteří by zde měli bez problémů
nalézt požadované informace. Celá tato část webových stránek by měla být přístupná i pro osoby
zrakově postižené.
Struktura webové prezentace musí být členěna dle požadavků hlavních cIlových uživatelů. Detailní
zpracování struktury webové prezentace bude zpracováno ve spolupráci s dodavatelem na základě
základni analýzy požadavků cIlových skupin.
1
7' Stránky bude možné zobrazovat také na mobilních zařIzenIch (smartphony a tablety). Navržené
rozhraní musí být přehledné a uživateli musí umožnit jednoduchý a intuitivní pohyb včetně
vyhledáváni předmětů dle jednoduše nastavitelných kritérii.
Webová aplikace bude umožňovat spuštěnÍvÍce jazykových mutaci, stránky budou obsahovat českou
a a nglickou jazykovou mutaci. Webová prezentace bude umožňovat fulltextové vyhledáváni.
Na webové prezentaci budou zveřejněny převážně statické texty jako samotný obsah stránek včetně
dokumentů ke stažení. Některé zveřejňované informace však budou načítány dynamicky z interních i
externích datových zdrojů, např. statistiky typů podání, mapová prezentace, ale i případné ankety.
Webová prezentace musí být optimalizovaná pro běžné internetové prohlížeče (IE, Mozilla, Chrome,
Safari).
2. Redakční systém
Redakční systém bude zabezpečovat editaci obsahové náplně webové prezentace a zároveň bude
zajišťovat základni statistiky provozu webové prezentace. Redakční systém bude mít možnost
diferencovaného uživatelského přístupu a s možností workflow schvalovánI textů k uveřejněni.
Struktura webové prezentace bude členěna na základě definice cIlových skupin v součinnosti se
zadavatelem. Dodavatel zároveň dodá uživatelskou dokumentaci k redakčnímu systému.
Redakční systém musí být přístupný z prostředí internetu zabezpečenou komunikací. Redakční
systém musí poskytovat kom pIetni portálové služby, potřebné pro vytvořeni jednotného prostředí
pro personalizovaný přistup k obsahu webové prezentace a k integrovaným aplikacím a funkcím.
Funkční požadavky:
· Autorizace a autentizace uživatele.
· Kompletní správa struktury webu s neomezenou hloubkou stromové struktury.
· Vytvářeni a editace článků pomocí komfortního WYSIWYG editoru.
· SchvalovacI workflow Článků (indikace stavu - schválené, upravené, publikované,
archivované, apod.).
· Ruční určení doby platnosti článků.
· Podpora vytváření verzi článků a jejich archivace.
· Konfigurovatelná archivace Článků (nastavení dne archivace).
· Tagováni článků, možnost přidání neomezeného počtu tagů, správa tagů (editace, slučování),
výpisy Článků dle tagů a jejich kombinace.
· Možnost opatřit Články vlastními metadaty.
· Možnost tvorby dynamicky načítaného obsahu z externích datových zdrojů.
· Personalizace obsahu. .
· Možnost vkládáni obrázků ve formátech JPG, PNG, GIF (včetně animovaného).
· Možnost vkládáni video souborů ve standardních formátech.
· Možnost vkládání audio souborů ve standardních formátech.
· Možnost hromadného nahrávání souborů, včetně adresářů a podadresářů, přes webové
rozhraní, bez nutnosti instalovat další podpůrné programy.
· Možnost náhledu na článek před publikací.
· Možnost fulltextového vyhledávánív článcích včetně příloh.
· Systém musí podporovat vÍce jazykových mutaci, včetně vyhledávání a umožňovat vytváření
různých struktur pro jednotlivé jazykové mutace.
· Automatické generování sitemap.
· Automatické generování RSS dle nastaveni správce systému.
· Možnost propojení se sociálnhni sítěmi.
· Možnost zasÍ|áníodkazů na článek e-mailem.
· Možnosti tisku článků.
2
m'"
· Statistiky činnosti uživatelů.
· Umožnění správy vÍcero webových prezentací (cIlových webů).
Další požadované aplikace redakčního systému:
· Ankety s možnosti zadáváni vÍce otázek k jedné anketě.
· Diskuze k článkům, i samostatně stojÍcÍi s možností moderováni.
· Notifikace nových Článků na e-mail uživatelům, kteří si přeji být tímto způsobem informováni.
· Aktuality, možnost vytvářeni aktualit ze článků.
· Kalendář akcí.
· Podpora začlenění E-shop.
· Vytváření webových form ulářů přímo správcem systému, ukládání dat zaslaných uživateli do
databáze, možnost exportu do CSV.
· Nástroje pro monitoring a statistiky.
· Redakční systém bude napojen na jednotný identitní prostor Czech POlNTu.
· Umožnění sledováni návštěvností webu bezplatným nástrojem Google analytics (vC.
unikátního návštěvníka), (www.google.com/analytics).
· Umožněni exportováni dat z toho webu.
· Nástroj na kontrolu aktuálnosti webových odkazů umístěných na webu.
· Umožněnjvk|ádánÍiframe a portletů do šablon stránek.
· Umožnění vyhledáváni v zobrazených a možnost filtrováni údajů z externích databází přes
webové služby (např. kontakty kontaktních mist veřejné správy).
Prvky webových stránek musí být v redakčním systému uloženy tak, aby byla umožněna jejich snadná
úprava. Také musí umožňovat hromadné operace s články a strukturou, jako je její přesouváni,
hromadné autorizace a podobně tak, aby byla maximálně zjednodušena práce šéfredaktora l správce
webu. Prvky, které jsou využívány ve vÍce stránkách, nesmí být v databázi duplicitně uloženy. Změna
konkrétního prvku se musí projevit na všech stránkách, kde je tento prvek použit.
Redakční systém musí stránky generovat takovým způsobem, aby byly dobře Čitelné pro vyhledávače,
a tedy obsahovaly technickou optimalizaci pro vyhledávače SEO. Jedná se především o celkovou
velikost stránky, správné použiti meta tagů, keywords, description, title, robots a o správně
generovanou sémantiku struktury dokumentu, použití nadpisů Hl až H6. Nezanedbatelným kritériem
je taktéž velikost stránky, která by neměla přesáhnout 40kb. Redakční systém musí být schopen
integračního a komunikačního rozhraní s externími datovými zdroji. Toto rozhraní musí umožňovat
dynamické a automatické čerpání dat z Centrály Czech POINT (dostupnost cIlových rejstříků, aktuální
statistiky o provedených transakcích, mapová služba, kontakty kontaktních mist veřejné správy, aj.).
Všechny dňči části redakčního systému musí mít jednotné uživatelské prostředí pro uživatele a
uživatelské skupiny.
Do redakčního systému budou přistupovat čtyři hlavni kategorie uživatelů s rozličnými právy
přístupu, kterými jsou:
· správce systém u (nejvyšši oprávněni v systému),
· schvalovatelé článků (šéfredaktoři),
· autoři a editoři článků,
· koncoví uživatelé (různé cIlové skupiny uživatelů Czech POINT) nejnižší oprávněni v systému -
pouze v roli přispěvatelů v diskuzích, anketách atp. prostřednictvím webové prezentace.
Každá z těchto skupin přistupuje k datům z různého úhlu pohledu, se specifickým oprávněním a se
specifickým rozhraním pro zadávání a úpravu dat.
Správce systému:
Úroveň správce redakčního systému a databáze umožňuje spravovat nastaveni oprávněni uživatelů,
vytvářet a editovat obsah strá nek, vytvářet a upravovat elektronické formuláře, vytvářet a upravovat
šablony vzhledu webových stránek.
3
· kompletní správa redakčního systému
· vytváření workflow
· editace stromové struktury webu
· editace šablon webových stránek
· správa databáze souborů a obrázků
· kompletní správa systému, s přístupem ke všem statistickým výstupům včetně statistik z
proxy serveru
Schvalovatelé článků:
· publikování a editace článků,
· možnost vráceni článku editorovi,
· přistup k veřejným i neveřejným dokumentům.
Autoři a editoři článků:
· tvorba a editace článků,
· přistup k veřejným i neveřejným dokumentům.
Koncoví uživatelé (široká veřejnost):
· přístup k hlavni prezentační vrstvě ze stolního PC nebo mobilních zařízenÍ;
· možnost účasti v anketách
4