Ministerstvo zemědělství

Název, druh veřejné zakázky a popis předmětu

• Název: Analýza bezpečnostních rizik informačních aktiv a vypracování návrhu bezpečnostních opatření pro jejich snížení
• Druh veřejné zakázky: Služby

Stručný popis předmětu:
Analýza rizik stávajícího systému dle ISO/IEC 27001 a ISO/IEC 27002:
proces porovnávání odhadovaných rizik proti přínosu a/nebo ceně možných bezpečnostních opatření, který se skládá z následujících částí:

a) Návrh a schválení metodiky pro provedení analýzy rizik
Hodnocení a řízení rizik je zcela individuální pro každou organizaci. Konzultanti do 60 dní od podpisu smlouvy formálně evidovaným projektovým dokumentem doporučí a pomohou vybrat vhodnou metodiku pro identifikaci a ocenění rizik a definovat kritéria, na základě, kterých se bude rozhodovat o tom kdy je dané riziko pro organizaci akceptovatelné a kdy nikoli. Definici vhodné metody, včetně volby metrik pro ocenění rizik je vhodné popsat ve směrnici, která vznikne nejdéle do konce projektu (povinný dokumentovaný postup – viz čl. 4.2.1. c normy ISO/IEC 27001).
Výstup: Metodika analýzy a hodnocení rizik
b) Identifikace kontextu a hranic pro analýzu rizik
c) Identifikace a ocenění informačních aktiv v rámci hranic analýzy (bezpečnostního perimetru)
V rámci tohoto kroku budou identifikována veškerá informační aktiva důležitá z pohledu informační bezpečnosti. Tato aktiva budou vkládána do vhodné tabulky, nebo vhodného IS, dále jen Registru aktiv, který může být v rámci projektu zapůjčen a následně jim bude přiřazena hodnota dle interní klasifikační stupnice.
d) Identifikace hrozeb a zranitelností
V tomto kroku budou na základě diskuze s jednotlivými vlastníky aktiv vybrány z katalogu hrozeb všechny hrozby, která se vztahují k daným aktivům. Totéž bude provedeno v případě zranitelností.
e) Odhad pravděpodobnosti realizace hrozeb/využití zranitelných míst
Výše uvedený seznam hrozeb a zranitelností bude v tomto kroku doplněn o odhad pravděpodobnosti výskytu jednotlivých hrozeb.
f) Provedení vlastní analýzy rizik dle ISO/IEC 31000 a ISO/IEC 27005
Analýza rizik bude prováděna formou brainstormingu za účasti odborníků objednatele i zadavatele a zkušeného moderátora, přičemž se použije metoda „WHAT – IF“. (Postup při provádění analýzy rizik bude popsán v povinném dokumentovaném postupu, který bude vytvořen v rámci plnění předmětu zakázky.
Analýza rizik se bude provádět podle předem sestaveného harmonogramu, který bude sestaven nejdéle do 60 dní po podepsání smlouvy tak, aby Analýza rizik pokryla celou organizaci, všechny klíčové procesy a hlavní provozní operace organizace ve vazbě na ICT.
Výstupem z analýzy rizik bude podrobná zpráva s popisem jednotlivých rizik a jejich ohrožení. Tato zpráva bude prezentována vedení.
Výstup: Dokument Analýza rizik. Předání dokumentu bude součástí akceptace díla.

Návrh opatření ke zvýšení úrovně bezpečnosti informací, dat a IS

V této etapě bude vypracován plán řízení rizik s využitím knihovny opatření dle ISO/IEC 27001 a ISO/IEC 27002. Na základě výsledků analýzy rizik odborný tým vybere bezpečnostní opatření, na která vypracuje programy (postupy/projekty) pro odstranění nebo snížení rizik.
Při navrhování bezpečnostních opatření pro odstranění nebo minimalizaci rizik je vhodné počítat i s dalšími možnostmi řízení rizik, jako např.:
• vědomé přijetí rizik, je-li to v souladu s bezpečnostní politikou a systémem řízení rizik (akceptovatelná rizika),
• vyhnutí se rizikům,
• přenesení nebo rozložení míry rizika na další strany (například dodavatele, pojišťovny)
Při výběru bezpečnostních opatření se bude vycházet především z následujících priorit:
• splnění požadavků platných právních předpisů, aplikovaných norem a dalších předpisů a požadavků
• plánovaný rozvoj aktivit organizace a jejího ISMS
• uplatnění „best practices“

Velký důraz je kladen na přesné strukturování existujících problémů a nedostatků tak, aby připravený program řízení rizik obsahoval klíčové podklady pro kvalifikovaná rozhodnutí managementu Organizace
Výstupem je dlouhodobý bezpečnostní program – Plán bezpečnosti, který je složen z několika relativně samostatných projektů s přesně definovanými cíli.
Výstup: Plán zvládání rizik, Cíle ISMS. Předání dokumentů bude součástí akceptace díla.

Postup zadání, předpokládaná hodnota

• Postup: zadáváno v e-tržišti
• Režim veřejné zakázky: VZ malého rozsahu
• Předpokládaná hodnota: 749 990 Kč bez DPH

Zadavatel

• Úřední název: Podpůrný a garanční rolnický a lesnický fond, a.s.
• IČO: 49241494
• Poštovní adresa:
  Sokolovská 394/17
  186 00 Praha 8 - Karlín

Adresa kontaktního místa

Nabídky, resp. žádosti o účast podávat na:
Zadávání veřejné zakázky realizováno v jiném systému.