Obsah
I. Seznam použitých zkratek
II. Úvodní ustanovení
1. Předmět
1.1 | Systém řízení elektronického nástroje a související požadavky |
1.2 | Rozsah certifikace shody elektronického nástroje ve vazbě na rozsah funkcionality |
1.3 | Splnění jakých požadavků musí provozovatel elektronického nástroje prokázat pro účely certifikace |
III. Požadavky na elektronické nástroje
2. Technické požadavky
2.1 | Zaznamenání času elektronického úkonu (T 1) |
2.2 | Pořízení záznamu o elektronickém úkonu (T 2) |
2.3 | Řízení přístupu k aktivům v rámci zadávacích postupů (T 3) |
2.4 | Použití otevřených formátů dokumentů (T 4) |
2.5 | Archivace dokumentace o veřejné zakázce (T 5) |
2.6 | Omezené poskytování zabezpečeného dokumentu dálkovým přístupem (T 6) |
2.7 | Neomezené poskytování zabezpečeného dokumentu dálkovým přístupem (T 7) |
2.8 | Neomezené poskytování dokumentu dálkovým přístupem (T 8) |
2.9 | Odeslání datové zprávy v rámci organizace zadavatele (T 9) |
2.10 | Příjem datové zprávy v rámci organizace zadavatele (T 10) |
2.11 | Odeslání šifrované datové zprávy opatřené elektronickým podpisem (T 11) |
2.12 | Odeslání otevřené datové zprávy opatřené elektronickým podpisem (T 12) |
2.13 | Odeslání otevřené datové zprávy (T 13) |
2.14 | Příjem šifrované datové zprávy opatřené elektronickým podpisem (T 14) |
2.15 | Příjem otevřené datové zprávy opatřené elektronickým podpisem (T 15) |
2.16 | Příjem otevřené datové zprávy (T 16) |
2.17 | Příjem a uložení nabídky (T 17) |
2.18 | Otevírání nabídek podaných elektronickými prostředky (T 18) |
2.19 | Jednání komise / poroty / zadavatele (T 19) |
2.20 | Elektronický podpis dokumentu (T 20) |
2.21 | Odeslání datové zprávy webové služby (T 21) |
2.22 | Příjem datové zprávy webové služby (T 22) |
2.23 | Zpřístupnění návrhu v soutěži o návrh soutěžní porotě (T 24) |
2.24 | Zajištění zákazu diskriminace (T 25) |
2.25 | Zpřístupnění informací pro využití elektronického nástroje (T 26) |
2.26 | Zajištění technické podpory a servisu elektronického nástroje (T 27) |
3. Požadavky na řízení zdrojů
3.1 | Požadavky na prostředí |
3.2 | Požadavky na procesy řízení lidských zdrojů |
3.2.1 | Před započetím práce s elektronickým nástrojem nebo v provozním prostředí elektronického nástroje |
3.2.2 | Během práce s elektronickým nástrojem nebo v provozním prostředí elektronického nástroje |
3.2.3 | Při ukončení práce s elektronickým nástrojem nebo v provozním prostředí elektronického nástroje |
4. Systémové požadavky na elektronický nástroj
4.1 | Požadavky na bezpečnost informací |
4.2 | Požadavky na procesy řízení dokumentů |
4.3 | Požadavky na procesy řízení záznamů |
4.4 | Požadavky na vytváření elektronického nástroje |
4.5 | Požadavky na provádění změn elektronického nástroje |
4.6 | Požadavky na monitorování, měření a přezkoumávání provozu elektronického nástroje |
Seznam tabulek
Tabulka I. Struktura (matice) procesů oblasti řízení lidských zdrojů.
Seznam schémat
Schéma I. Systém řízení elektronického nástroje
Schéma II. Certifikace elektronického nástroje ve vazbě na rozsah jeho funkcionality
Schéma III. Stěžejní faktory ovlivňující plnění požadavků na elektronický nástroj
I. Seznam použitých zkratek
ČSN EN ISO 9001 | Česká technická norma - Systémy managementu kvality - Požadavky |
ČSN EN/IEC 27001 | Česká technická norma - Informační technologie - Bezpečnostní techniky - Systémy managementu bezpečnosti informací -Požadavky |
EU | Evropská unie |
GPS | Globální polohový systém |
IETF | Internet Engineering Task Force, česky „Komise techniky Internetu“. |
IS VZ US | Informační systém o veřejných zakázkách -uveřejňovací subsystém |
JŘSU | Jednací řízení s uveřejněním |
OJS eSender | Official Journal Supplement. Úřední věstník EU (tj. evropské uveřejňovací místo). |
OPOCE | Úřad pro publikace Evropské unie |
PDF/A, ISO 19005 | Portable Dokument Formát/Archive. Archivační verze formátu PDF definovaná standardem ISO 19005 |
SD | Soutěžní dialog |
T | Technické požadavky |
ÚOHS | Úřad pro ochranu hospodářské soutěže |
UŘ | Užší řízení |
UTC | Coordinated Universal Time, česky koordinovaný světový čas |
ZD | Zadávací dokumentace |
ZVZ | Zákon č. 137/2006 Sb., o veřejných zakázkách, ve znění pozdějších předpisů |
Specifikace požadavků pro prokazování shody elektronických nástrojů (dále jen „standard“) vymezuje způsob prokázání shody elektronických nástrojů s požadavky stanovenými v ZVZ a jeho prováděcích právních předpisech (dále jen „legislativní požadavky“).
1.1 | Systém řízení elektronického nástroje a související požadavky |
Požadavky obsažené v tomto standardu se aplikují na
1. | zavedení systému řízení elektronického nástroje tak, aby byl elektronický nástroj vytvořen a provozován v souladu s legislativními požadavky a |
2. | certifikaci shody elektronického nástroje tj. shody systému řízení elektronického nástroje s legislativními požadavky. |
Provozovatel prokáže shodu elektronického nástroje s legislativními požadavky, pokud prokáže splnění požadavků ve vztahu k
1. | funkcionalitě elektronického nástroje a |
2. | prostředí, ve kterém je elektronický nástroj provozován. |
Systém řízení elektronického nástroje je znázorněn na následujícím schématu.
Schéma I. Systém řízení elektronického nástroje
Legenda ke schématu
Jednotlivé požadavky související se systémem řízení elektronického nástroje jsou popsány v tomto standardu následujícím způsobem
1. | požadavky na elektronický nástroj (tj. legislativní a technické požadavky na funkcionalitu elektronického nástroje) - technické požadavky viz hlava 2. tohoto standardu, |
2. | požadavky na řízení zdrojů (provozního prostředí a lidských zdrojů) v souvislosti s provozem elektronického nástroje - viz hlava 3. tohoto standardu, |
3. | systémové požadavky na elektronický nástroj - viz hlava 4. tohoto standardu. |
1.2 | Rozsah certifikace shody elektronického nástroje ve vazbě na rozsah funkcionality |
Provozovatel elektronického nástroje může požádat o certifikaci elektronického nástroje pro následující skupiny elektronických úkonů
1. úkony nezahrnující přenos a příjem nabídek:
a) | odesílání a příjem datových zpráv, |
b) | elektronické úkony zadavatele bez odesílání datové zprávy, |
c) | jednání zadavatele nebo orgánu ustanoveného zadavatelem (komise) s dodavatelem prostředky umožňujícími dálkový přístup, |
d) | poskytování dokumentů dálkovým přístupem. |
2. úkony spočívající v přenosu a příjmu nabídek.
Ve vztahu k zadávacím postupům upraveným v ZVZ se certifikace shody elektronického nástroje vztahuje na
1. | zadávací řízení ve smyslu ustanovení § 21 ZVZ, |
2. | zvláštní postupy v zadávacím řízení v rozsahu ustanovení § 89 až § 97 ZVZ a |
3. | soutěž o návrh ve smyslu ustanovení § 102 a násl. ZVZ. |
Rozsah certifikace shody elektronického nástroje ve vazbě na rozsah funkcionality elektronického nástroje je uveden na Schématu II. „Certifikace elektronického nástroje ve vazbě na rozsah jeho funkcionality“. Certifikace bude vždy prováděna pro skupiny elektronických úkonů, které zadavatel uvede v žádosti o vydání certifikátu.
Schéma II. Certifikace elektronického nástroje ve vazbě na rozsah jeho funkcionality
1.3 | Splnění jakých požadavků musí provozovatel elektronického nástroje prokázat pro účely certifikace |
Pro získání certifikátu shody musí provozovatel elektronického nástroje prokázat splnění
1. | obecných legislativních požadavků, a to bez ohledu na to, pro jakou skupinu elektronických úkonů provozovatel žádá o vydání certifikátu shody, |
2. | specifických legislativních požadavků, a to v rozsahu stanoveném pro příslušnou skupinu elektronických úkonů, pro kterou provozovatel žádá o vydání certifikátu shody, |
3. | požadavků na řízení zdrojů, a to bez ohledu na to, pro jakou skupinu elektronických úkonů provozovatel žádá o vydání certifikátu shody a |
4. | systémových požadavků, a to bez ohledu na to, pro jakou skupinu elektronických úkonů provozovatel žádá o vydání certifikátu shody. |
III. | Požadavky na elektronické nástroje |
Technické požadavky představují minimální úroveň, kterou musí elektronický nástroj splňovat. Provozovatel může zajistit naplnění jednotlivý požadavků technicko-technologicky pokročilejším řešením/opatřením. Ověření shody elektronického nástroje bude certifikačním orgánem prováděno v oblasti splnění technických požadavků dle specifikace uvedené v následujících kapitolách, přičemž budou akceptována i pokročilejší řešení/opatření.
2.1 | Zaznamenání času elektronického úkonu (T 1) |
Zadavatel zajistí, aby zaznamenání času elektronického úkonu bylo provedeno jedním z následujících způsobů
1. | záznam času, získaný ze zdroje časové informace, je připojen k datové zprávě, |
2. | po provedení postupu dle bodu 1. je k datové zprávě s připojeným záznamem času připojen elektronický podpis nebo elektronická značka nebo |
3. | zaznamenání času je provedeno připojením kvalifikovaného časového razítka k datové zprávě. |
2.2 | Pořízení záznamu o elektronickém úkonu (T 2) |
Zadavatel zajistí, aby veškeré záznamy o elektronických úkonech obsahovaly
1. | jednoznačné určení daného konkrétního úkonu v rámci organizace zadavatele, |
2. | identifikaci osoby, která elektronický úkon provedla v případě, že jde o úkon učiněný konkrétní fyzickou osobou a nejedná o úkon provedený automaticky elektronickým nástrojem (např. příjem nabídek), |
3. | informaci o nestandardním výsledku úkonu, pokud nastala při provedení úkonu chyba a |
4. | zaznamenání času elektronického úkonu dle oddílu 2.1. |
2.3 | Řízení přístupu k aktivům v rámci zadávacích postupů (T 3) |
Zadavatel zajistí, aby řízení přístupu k aktivům v rámci zadávacích postupů bylo provedeno jednou z následujících variant
1. | autentizace a autorizace přistupující osoby je založena na zadání jména a hesla. Poskytovatel dokumentu musí zajistit, aby distribuce jména a hesla přistupujícím osobám proběhla přiměřeně bezpečným způsobem, |
2. | autentizace a autorizace přistupující osoby je založena na certifikátu veřejného klíče přistupující osoby nebo |
3. | autentizace a autorizace přistupující osoby je založena i na jiných technologiích; vždy však musí probíhat přiměřeně bezpečným způsobem. |
2.4 | Použití otevřených formátů dokumentů (T 4) |
Zadavatel zajistí, aby formátem datových zpráv, které jsou vyměňovány během zadávacích postupů, byl otevřený formát.
2.5 | Archivace dokumentace o veřejné zakázce (T 5) |
Zadavatel zajistí, aby dokumentace o veřejné zakázce, ke které je vyžadováno připojení zaručeného elektronického podpisu, byla uchovávána v datovém úložišti s řízeným přístupem. Řízení přístupu se musí řídit pravidly dle oddílu 2.3. Elektronický nástroj musí zajistit, aby při uložení dokumentace do datového úložiště bylo k dokumentaci připojeno kvalifikované časové razítko.
Dokumentace o veřejné zakázce, která obsahuje důvěrné informace, musí být uchovávána v datovém úložišti s řízeným přístupem. Řízení přístupu se musí řídit pravidly dle oddílu 2.3. Dokumentace může být uchovávána ve své šifrované podobě. Pokud je dokumentace uchovávána v šifrované podobě, musí zadavatel bezpečně uchovávat soukromý klíč zadavatele, odpovídající veřejnému klíči zadavatele, kterým byl dokument šifrován. Doba uchování soukromého klíče zadavatele musí odpovídat době uchování dokumentace.
2.6 | Omezené poskytování zabezpečeného dokumentu dálkovým přístupem (T 6) |
Zadavatel zajistí, aby k zabezpečenému dokumentu, který bude omezeně poskytován dálkovým přístupem, byl připojen zaručený elektronický podpis poskytovatele dokumentu. Formát dokumentu musí odpovídat požadavkům dle oddílu 2.4. K dokumentu musí být řízený přístup. Řízení přístupu k dokumentu se musí řídit pravidly dle oddílu 2.3.
2.7 | Neomezené poskytování zabezpečeného dokumentu dálkovým přístupem (T 7) |
Zadavatel zajistí, aby k zabezpečenému dokumentu, který bude neomezeně poskytován dálkovým přístupem, byl připojen zaručený elektronický podpis poskytovatele dokumentu. Formát dokumentu musí odpovídat požadavkům dle oddílu 2.4.
2.8 | Neomezené poskytování dokumentu dálkovým přístupem (T 8) |
Při poskytování dokumentu neomezeným dálkovým přístupem zadavatel pořídí záznam o elektronickém úkonu dle oddílu 2.2. Formát dokumentu musí odpovídat požadavkům dle oddílu 2.4.
2.9 | Odeslání datové zprávy v rámci organizace zadavatele (T 9) |
Formát datové zprávy odesílané v rámci organizace zadavatele bude zvolen podle potřeb zadavatele. Zadavatel vždy zvolí takový formát, který ochrání dokument proti neoprávněné změně. Elektronický protokol použitý k přenosu datové zprávy bude zvolen podle potřeb zadavatele. Zadavatel určí, zda datová zpráva bude šifrována a určí pravidla, jaký Míč bude používán k šifrování.
2.10 | Příjem datové zprávy v rámci organizace zadavatele (T 10) |
Při příjmu datové zprávy, přenášené v rámci organizace zadavatele, musí zadavatel respektovat formát a elektronický protokol příchozí zprávy. V případě šifrované datové zprávy zadavatel stanoví pravidla určující, zda bude datová zpráva dešifrována.. Pravidla pro to, zda bude pro datovou zprávu ověřena platnost tohoto elektronického podpisu, resp. značky, stanoví zadavatel. O příjmu datové zprávy musí být pořízen záznam o elektronickém úkonu dle oddílu 2.2.
2.11 | Odeslání šifrované datové zprávy opatřené elektronickým podpisem (T 11) |
Přípustné formáty odesílané datové zprávy musí stanovit zadavatel. Formát dokumentu musí odpovídat požadavkům dle oddílu 2.4. Elektronický protokol použitý k přenosu datové zprávy, stanoví zadavatel. Příjemce datové zprávy musí odesílateli poskytnout certifikát veřejného klíče. Datová zpráva musí být šifrována veřejným klíčem příjemce. Datová zpráva musí mít připojen zaručený elektronický podpis nebo elektronickou značku, založenou na kvalifikovaném systémovém certifikátu. Pokud je zpráva odesílána zadavatelem, musí být pořízen záznam o elektronickém úkonu dle oddílu 2.2.
2.12 | Odeslání otevřené datové zprávy opatřené elektronickým podpisem (T 12) |
Přípustné formáty odesílané datové zprávy stanoví zadavatel. Formát dokumentu musí odpovídat požadavkům dle oddílu 2.4. Elektronický protokol použitý k přenosu datové zprávy, stanoví zadavatel.. Datová zpráva musí mít připojen zaručený elektronický podpis nebo elektronickou značku, založenou na kvalifikovaném systémovém certifikátu. Pokud je zpráva odesílána zadavatelem, musí být pořízen záznam o elektronickém úkonu dle oddílu 2.2.
2.13 | Odeslání otevřené datové zprávy (T 13) |
Přípustné formáty odesílané datové zprávy stanoví zadavatel. Formát dokumentu musí odpovídat požadavkům dle oddílu 2.4. Elektronický protokol použitý k přenosu datové zprávy stanoví zadavatel. Pokud je zpráva odesílána zadavatelem, musí být pořízen záznam o elektronickém úkonu dle oddílu 2.2.
2.14 | Příjem šifrované datové zprávy opatřené elektronickým podpisem (T 14) |
Při příjmu datové zprávy musí zadavatel respektovat formát a elektronický protokol příchozí zprávy. Zadavatel zajistí ověření platnosti připojeného elektronického podpisu, resp. elektronické značky. Datová zpráva může být dešifrována. Pravidla určující, zda bude datová zpráva dešifrována, stanoví příjemce. Pokud je zpráva přijímána zadavatelem, musí být pořízen záznam o elektronickém úkonu dle oddílu 2.2.
Pokud je připojen zaručený elektronický podpis, příjemce musí datovou zprávu odmítnout v případě, kdy zaručený elektronický podpis není platný nebo jeho kvalifikovaný certifikát byl zneplatněn. Pokud je připojena elektronická značka, příjemce musí datovou zprávu odmítnout v případě, kdy elektronická značka není platná nebo její kvalifikovaný systémový certifikát byl zneplatněn.
2.15 | Příjem otevřené datové zprávy opatřené elektronickým podpisem (T 15) |
Při příjmu datové zprávy musí zadavatel respektovat formát a elektronický protokol příchozí zprávy. Zadavatel musí zajistit ověření platnosti připojeného elektronického podpisu, resp. elektronické značky. Pokud je zpráva přijímána zadavatelem, musí být pořízen záznam o elektronickém úkonu dle oddílu 2.2.
Pokud je připojen zaručený elektronický podpis, příjemce musí datovou zprávu odmítnout v případě, kdy zaručený elektronický podpis není platný nebo jeho kvalifikovaný certifikát byl zneplatněn. Pokud je připojena elektronická značka, příjemce musí datovou zprávu odmítnout v případě, kdy elektronická značka není platná nebo její kvalifikovaný systémový certifikát byl zneplatněn.
2.16 | Příjem otevřené datové zprávy (T 16) |
Při příjmu datové zprávy musí zadavatel respektovat formát a elektronický protokol příchozí datové zprávy.V případech, kdy je k datové zprávě připojen zaručený elektronický podpis nebo elektronická značka, ačkoliv to zákon ani zadavatel nepožadoval, nemůže příjemce datovou zprávu odmítnout, a to ani v případě, kdy elektronický podpis nebo elektronická značka nejsou platné
2.17 | Příjem a uložení nabídky (T 17) |
Při příjmu datové zprávy nabídky musí zadavatele respektovat formát a elektronický protokol příchozí zprávy. Zadavatel musí zajistit ověření platnosti připojeného zaručeného elektronického podpisu, resp. elektronické značky. Pokud není ověřena platnost připojeného zaručeného elektronického podpisu, resp. elektronické značky během příjmu nabídky, musí být ověřena v průběhu úkonu otevírání obálek. Datová zpráva nabídky nesmí být dešifrována. Zadavatel musí pořídit záznam o elektronickém úkonu dle oddílu 2.2. V průběhu příjmu nabídky nesmí být pořízeny žádné kopie datové zprávy nabídky.
Zadavatel zajistí, aby po příjmu datové zprávy nabídky neprodleně následovalo bezpečné uložení datové zprávy nabídky. Bezpečné uložení datové zprávy nabídky musí být provedeno způsobem, aby přístup k šifrované nabídce, uložené v datovém úložišti, nebyl možný před uplynutím lhůty pro podání nabídek.
Zadavatel zajistí, aby datová zpráva nabídky byla uložena takovým způsobem, aby byl zjistitelný pokus o přístup k uložené nabídce před termínem otevírání nabídek. Při jakémkoli takovém pokusu o přístup k nabídce před termínem otevírání nabídek musí být pořízen záznam o elektronickém úkonu dle oddílu 2.2.
2.18 | Otevírání nabídek podaných elektronickými prostředky (T 18) |
Zadavatel zajistí, aby otevření nabídek podaných elektronickými prostředky bylo provedeno jednou z následujících variant
1. | otevření nabídky podané elektronickými prostředky bude provedeno způsobem navazujícím na příjem nabídky dle oddílu 2.17. Přístup k šifrované nabídce uložené v datovém úložišti, bude proveden součinností minimálně dvou osob, resp. i většího počtu osob, stanoví-li tak zadavatel, s neúplnými právy přístupu k uložené nabídce. Kombinací přístupových práv těchto osob bude umožněn přístup k uložené nabídce. Nabídka pak bude dešifrována soukromým klíčem zadavatele příslušejícím veřejnému klíči zadavatele, který byl použit k šifrování datové zprávy nabídky nebo |
2. | otevření nabídky podané elektronickými prostředky bude provedeno způsobem, navazujícím na příjem nabídky dle oddílu 2.17. Šifrovaná datová zpráva nabídky je dešifrována součinností osob, majících přístup k soukromým klíčům zadavatele příslušejícím veřejným klíčům zadavatele, které byly použity k šifrování datové zprávy nabídky. |
2.19 | Jednání komise / poroty / zadavatele (T 19) |
Zadavatel zajistí, aby součástí záznamu o jednání komise / poroty / zadavatele byl dokument zápisu z jednání. Musí být pořízen záznam o elektronickém úkonu dle oddílu 2.2.
2.20 | Elektronický podpis dokumentu (T 20) |
Zadavatel zajistí, aby elektronický podpis dokumentu byl proveden jedním z následujících způsobů
1. | formát dokumentu musí odpovídat požadavkům dle oddílu 2.4. Dokument musí být podepsán připojením zaručeného elektronických podpisu nebo zaručené elektronické značky k dokumentu. Po připojení elektronického podpisu nebo elektronické značky zadavatele musí být pořízen záznam o elektronickém úkonu dle oddílu 2.2, nebo |
2. | u vícestranného zaručeného elektronického podpisu bude dokument oboustranně podepsán postupnou výměnou zpráv. V tomto případě zadavatel musí odeslat datovou zprávu s dokumentem s připojeným zaručeným elektronickým podpisem dodavateli způsobem dle oddílu 2.11. Dodavatel musí při příjmu datové zprávy respektovat formát příchozí zprávy. V případě, že byla datová zpráva šifrovaná, provede dodavatel její dešifrování. Dodavatel ověří platnost připojeného zaručeného elektronického podpisu. Dodavatel musí datovou zprávu odmítnout v případě, kdy zaručený elektronický podpis není platný nebo jeho kvalifikovaný certifikát byl zneplatněn. Dále dodavatel musí k dešifrovanému dokumentu připojit vlastní zaručený elektronický podpis a odeslat jej v datové zprávě v souladu s oddílu 2.11. Zadavatel při příjmu této zprávy musí postupovat dle oddílu 2.14. Postup vícestranného elektronického podpisu lze realizovat v opačném pořadí, tj. dokument nejdříve podepíše dodavatel a následně ho předá zadavateli. Veškeré výše uvedené požadavky se použijí obdobně. |
2.21 | Odeslání datové zprávy webové služby (T 21) |
Klientská aplikace musí při odeslání zprávy webové službě dodržet pravidla komunikace stanovená službou. Musí být pořízen záznam o elektronickém úkonu dle oddílu 2.2.
2.22 | Příjem datové zprávy webové služby (T 22) |
Klientská aplikace musí při příjmu zprávy webové služby dodržet pravidla komunikace stanovená službou. Musí být pořízen záznam o elektronickém úkonu dle oddílu 2.2.
2.23 | Zpřístupnění návrhu v soutěži o návrh soutěžní porotě (T 24) |
Elektronický nástroj musí zadavateli umožnit zpřístupnění návrhu v soutěži o návrh soutěžní porotě tak, aby pro osoby, jež jsou součástí soutěžní poroty, nebylo možné na základě informací poskytnutých elektronickým nástrojem identifikovat dodavatele, který návrh podal (dále jen „anonymizace návrhu“). K anonymizaci návrhu musí dojít až po otevření a dešifrování návrhu. Soutěžní porotě zpřístupní zadavatel anonymizovaný návrh v dešifrované podobě.
Elektronický nástroj musí i po anonymizaci návrhu poskytnout zadavateli informaci o dodavateli, jež návrh podal.
Zadavatel zajistí, aby o zpřístupnění návrhu v soutěži o návrh soutěžní porotě byl pořízen záznam o elektronickém úkonu dle oddílu 2.2.
2.24 | Zajištění zákazu diskriminace (T 25) |
Provozovatel musí provozovat elektronický nástroj v takovém prostředí a takovým způsobem, aby užívání elektronického nástroje nebylo podmiňováno používáním běžně nedostupných nebo nákladných technologií, což by způsobilo vyloučení určitého dodavatele z účasti na zadávacích postupech.
2.25 | Zpřístupnění informací pro využití elektronického nástroje (T 26) |
Elektronický nástroj musí umožnit zadavateli poskytovat dodavatelům, kteří mají zájem účastnit se zadávacích postupů, k dispozici veškeré informace technické povahy, včetně případného kódování a šifrování, které jsou nezbytné pro komunikaci elektronickými prostředky, zejména pro elektronické podání nabídek a žádostí o účast, a to po celou dobu používání elektronického nástroje.
Zadavatel zajistí, aby o zpřístupnění informací pro využití elektronického nástroje byl pořízen záznam o elektronickém úkonu dle oddílu 2.2.
2.26 | Zajištění technické podpory a servisu elektronického nástroje (T 27) |
Provozovatel elektronického nástroje musí zajistit technickou podporu a servis elektronického nástroje v takové míře, aby bylo možné zajistit řádný provoz elektronického nástroje a splnění ostatních požadavků tohoto standardu. Technickou podporu a servis musí provozovatel elektronického nástroje poskytovat v rozsahu přiměřeném složitosti funkcionality elektronického nástroje.
3. | Požadavky na řízení zdrojů |
Provozovatel elektronického nástroje musí určovat a zajistit zdroje potřebné pro efektivní a účinný provoz elektronického nástroje. Zdroje pro účely tohoto standardu tvoří
1. | prostředí,, ve kterém je elektronický nástroj provozován a které zahrnuje hardware, operační systémy a další systémové programové vybavení a prostory nezbytné pro zajištění požadovaných parametrů elektronického nástroje a |
2. | lidské zdroje, které jsou nezbytné pro provozování elektronického nástroje (správu a obsluhu) v zamýšleném rozsahu a pro dodržování stanovených požadavků na elektronický nástroj. |
Provozovatel elektronického nástroje musí specifikovat požadavky na řízení zdrojů (provozního prostředí a lidských zdrojů) a jeho části tak, aby bylo zajištěno, že elektronický nástroj plní stanovené požadavky při jeho provozování v provozním prostředí v zamýšleném rozsahu.
3.1 | Požadavky na prostředí |
Provozovatel elektronického nástroje musí dokumentovaným způsobem stanovit požadavky na prostředí, a to zejména hardware, software a prostory nezbytné pro provozování elektronického nástroje v zamýšleném rozsahu. Musí vést záznamy o tom, že jsou tyto požadavky při provozu elektronického nástroje plněny. Rozsah požadavků je závislý na složitosti elektronického nástroje (tj. komptabilitě funkcionality).
3.2 | Požadavky na procesy řízení lidských zdrojů |
Provozovatel musí provést taková opatření v oblasti řízení lidských zdrojů, která minimalizují negativní vliv pracovníků na provoz elektronického nástroje ve stanoveném rozsahu při dodržení všech stanovených požadavků. Požadavky na řízení lidských zdrojů jsou zde následně členěny jako doporučené a minimální. Doporučené procesy řízení lidských zdrojů a jejich plnění zajistí provozovateli elektronického nástroje ucelenější nástroj řízení . Pro plnění požadavků tohoto standardu však provozovateli elektronického nástroje postačí naplnění minimálních požadavků na procesy řízení lidských zdrojů. Způsob naplnění níže uvedených požadavků musí být dokumentován a musí existovat záznamy jako důkazy o plnění požadavků.
Minimální procesy řízení lidských zdrojů jsou definovány v následující matici.
Tabulka I. Struktura (matice) procesů oblasti řízení lidských zdrojů
PROCESY |
Před započetím práce s elektronickým nástrojem nebo v provozním prostředí elektronického nástroje | Během práce s elektronickým nástrojem nebo v provozním prostředí elektronického nástroje | Při ukončení práce s elektronickým nástrojem nebo v provozním prostředí elektronického nástroje |
Vytvoření role | Provádění vzdělávacích aktivit | Ukončení práce v roli |
Stanovení požadavků na odbornou způsobilost pracovníka v roli | Disciplinární řízení |
Ustanovení pracovníka do role a jeho proškolení |
Pozn. 1: Pracovníkem se rozumí zaměstnanec provozovatele elektronického nástroje nebo i jiná osoba, která se podílí na provozování elektronického nástroje.
Pozn. 2: Disciplinárním řízením se rozumí uplatňování odpovědnosti za činnost spočívající v provozování elektronického nástroje a uplatňování sankcí bez ohledu na to, zda se jedná o odpovědnost vyplývající z pracovního poměru nebo jiného vztahu.
3.2.1 | Před započetím práce s elektronickým nástrojem nebo v provozním prostředí elektronického nástroje |
Provozovatel elektronického nástroje
1. | stanoví role nutné pro provozování elektronického nástroje, jejich odpovědnosti, pravomoci a požadavky na odbornou způsobilost, |
2. | definuje odpovědnosti a postupy seznamování pracovníků určovanými pro danou roli s jejich odpovědnostmi, povinnostmi a pravomocemi, |
3. | definuje odpovědnosti, pravomoci a postupy určování pracovníků do rolí. |
3.2.2 | Během práce s elektronickým nástrojem nebo v provozním prostředí elektronického nástroje |
Provozovatel elektronického nástroje plánuje a zajišťuje vzdělávací aktivity, prostřednictvím nichž zajistí, že pracovníci budou splňovat požadavky na odbornou způsobilost stanovené pro zastávanou roli. V případě, že jsou činnosti zajištěny smluvní stranou, provozovatel vyžaduje naplnění tohoto požadavku po smluvní straně.
Provozovatel elektronického nástroje stanoví odpovědnosti a postupy pro zahájení, provedení a ukončení disciplinárního řízení pro případ, že pracovník poruší stanovené povinnosti při provozu elektronického nástroje.
3.2.3 | Při ukončení práce s elektronickým nástrojem nebo v provozním prostředí elektronického nástroje |
Provozovatel elektronického nástroje stanoví odpovědnosti a postupy pro řádný průběh ukončení práce pracovníka s elektronickým nástrojem (včetně ukončení případných smluvních vztahů), které zahrnují zejména odevzdání přidělených aktiv a odejmutí přístupových práv k elektronickému nástroji.
4. | Systémové požadavky na elektronický nástroj |
Prostřednictvím systémových požadavků na elektronické nástroje zajišťuje provozovatel plnění legislativních požadavků již v průběhu návrhu a vývoje elektronického nástroje a po celou dobu provozování elektronického nástroje.
4.1 | Požadavky na bezpečnost informací |
Provozovatel elektronického nástroje musí eliminovat dopady identifikovaných hrozeb, které mohou mít za následek neplnění stanovených požadavků na elektronický nástroj. Příklady struktury hrozeb a z ní vyplývající důvody členění požadavků jsou uvedeny na následujícím Schématu.
Při provádění úkonů v zadávacích postupech musí být ve všech případech zajištěna dostupnost a integrita předávaných a zpracovávaných informací a ve stanovených případech musí být navíc zajištěna i důvěrnost těchto informací.
Schéma III. Stěžejní faktory ovlivňující plnění požadavků na elektronický nástroj
Dostupnost, integritu a důvěrnost musí provozovatel dokumentovaným způsobem zabezpečit a to aplikováním vybraných postupů mezinárodních norem v oblasti bezpečnosti informací. Provozovatel musí zajistit provedení alespoň následujících kroků
1. | určit rozsah a hranice elektronického nástroje na základě posouzení jeho uspořádání, struktury, umístění (lokality), aktiv a technologií, |
2. | definovat politiku bezpečnosti informací elektronického nástroje, která |
a) | stanovuje principy, zásady a celkový rámec řízení bezpečnosti informací, |
b) | bere v úvahu zákonné nebo regulatorní požadavky a smluvní závazky provozovatele elektronického nástroje a stanovuje kritéria, kterými budou hodnocena rizika, |
3. | stanovit přístup provozovatele elektronického nástroje k rizikům bezpečnosti informací |
a) | identifikovat metodiku hodnocení rizik, která vyhovuje stanovené úrovni bezpečnosti informací, zákonným a regulatorním požadavkům, a zajistí reprodukovatelnost a porovnatelnost výsledků, |
b) | vytvořit kritéria pro akceptaci rizik a identifikovat jejich akceptační úrovně, |
4. | identifikovat rizika |
a) | identifikovat aktiva v rámci rozsahu elektronického nástroje a jejich vlastníky, |
b) | identifikovat hrozby pro tato aktiva, |
c) | identifikovat zranitelnosti, které by mohly být hrozbami využity, |
d) | identifikovat jaké dopady na provoz elektronického nástroje by mohla mít ztráta důvěrnosti, integrity a dostupnosti aktiv, |
5. | analyzovat a vyhodnotit rizika, |
6. | identifikovat a stanovit varianty pro zvládání rizik, kterými může být |
a) | aplikování vhodných opatření k eliminaci či snížení dopadu rizik, |
b) | vědomé a objektivní akceptování rizik za předpokladu, že zřetelně naplňují politiky organizace a kritéria pro akceptaci rizik |
c) | vyhnutí se rizikům, |
d) | přenesení rizik spojených s činností organizace na třetí strany, např. na pojišťovny, dodavatele, |
7. | vybrat a aplikovat jednotlivá bezpečnostní opatření pro zvládání rizik. |
Provozovatel elektronického nástroje musí v rámci provozování elektronického nástroje:
1. | monitorovat, přezkoumávat a zavádět další opatření |
a) | pro včasnou detekci chyb zpracování, |
b) | pro včasnou identifikaci úspěšných i neúspěšných pokusů o narušení bezpečnosti a detekci bezpečnostních incidentů, |
c) | umožňující vedení provozovatele elektronického nástroje určit, zda bezpečnostní aktivity prováděné pověřenými osobami, nebo pro které byly implementovány technologie, fungují podle očekávání, |
d) | umožňující detekci bezpečnostních událostí, které mohou způsobit bezpečnostní incident, |
2. | měřit účinnost zavedených opatření pro ověření toho, že byly naplněny požadavky na bezpečnost, |
3. | provádět interní audity bezpečnosti informací v plánovaných intervalech a přijímat účinná opatření k odstranění nedostatků a |
4. | pravidelně přezkoumávat rizika, přiměřenost a účinnost přijatých opatření pro zvládání rizik, výskyt bezpečnostních událostí a incidentů, výsledky interních auditů a na základě toho přijímat opatření ke zlepšování nastaveného systému řízení bezpečnosti informací. |
4.2 | Požadavky na procesy řízení dokumentů |
Provozovatel elektronického nástroje musí řídit (vytváří, klasifikuje, schvaluje, označuje, eviduje, ukládá, distribuuje, reviduje, provádí změny, chrání, uchovává a likviduje) veškeré dokumenty související s provozováním elektronického nástroje s ohledem na jejich klasifikaci po celou dobu jejich životního cyklu. Součástí řízení je i zajišťování stanovené úrovně dostupnosti, integrity a důvěrnosti informací v dokumentech.
Provozovatel elektronického nástroje musí vytvořit dokumentované postupy, které stanoví odpovědnosti, pravidla a postupy zejména pro
1. | vytváření, identifikaci a evidenci dokumentů, |
2. | klasifikaci dokumentů, |
3. | schvalování dokumentů, |
4. | distribuci dokumentů. |
5. | nakládání s dokumenty podle pravidel odpovídající klasifikaci dokumentů, |
6. | zajištění aktuálnosti dokumentů jejich revidováním a aktualizací včetně opakovaného schvalování, |
7. | zajištění identifikovatelnosti změn dokumentů a jejich aktuálního stavu, |
8. | zajištění čitelnosti a snadné identifikovatelnosti dokumentů, |
9. | zajištění stanovené dostupnosti dokumentů, |
10. | zajištění integrity dokumentů, |
11. | zajištění identifikace a řízení dokumentů externího původu. |
Vytváření dokumentů souvisejících s provozem elektronického nástroje mohou být v jakékoliv podobě (tj. listinné či elektronické) a na jakémkoliv nosiči.
4.3 | Požadavky na procesy řízení záznamů |
Záznamy jako zvláštní kategorie dokumentů musí být vytvořeny a udržovány tak, aby poskytovaly důkaz o shodě se stanovenými požadavky na provoz elektronického nástroje. Záznamy musí být chráněny a řízeny, musí zůstat čitelné, snadno identifikovatelné a musí být možné je snadno vyhledat. Opatření potřebná k identifikaci, uložení, ochraně, vyhledání, době platnosti a uspořádání záznamů musí být dokumentována.
Provozovatel elektronického nástroje musí zajistit kontinuitu verzí dokumentu a zajistit požadavek dohledatelnosti u každého dokumentu a záznamu.
Vytváření záznamů souvisejících s provozem elektronického nástroje mohou být v jakékoliv podobě (tj. listinné či elektronické) a na jakémkoliv nosiči.
4.4 | Požadavky na vytváření elektronického nástroje |
Provozovatel elektronického nástroje musí zajistit dokumentovaným způsobem objektivní důkazy o tom, že vytváření elektronického nástroje probíhalo v souladu s jím stanovenými požadavky na návrh a vývoj elektronického nástroje, které zahrnují minimálně požadavky tohoto standardu a požadavky na bezpečnost zpracovávaných informací. Dále musí vést záznamy o tom, že v průběhu plánování návrhu a vývoje byly stanoveny
1. | odpovědnosti a pravomoci při návrhu a vývoji elektronického nástroje, |
2. | vhodné etapy návrhu a vývoje elektronického nástroje (minimálně návrh a vývoj elektronického nástroje a integrace elektronického nástroje do provozního prostředí), |
3. | způsoby a podmínky testování (ověření) a validace elektronického nástroje, v každé stanovené etapě návrhu a vývoje elektronického nástroje. |
Ve stanovených etapách musí provozovatel elektronického nástroje provádět systematická přezkoumání návrhu a vývoje tak, aby
1. | byla průběžně vyhodnocována schopnost elektronického nástroje plnit stanovené požadavky, |
2. | byly včas identifikovány všechny problémy a mohla být navržena nezbytná opatření k zajištění splnění požadavků na elektronický nástroj. |
Provozovatel elektronického nástroje musí vést záznamy o výsledcích a průběhu testování elektronického nástroje, které bylo prováděno tak, aby bylo prokázáno, že plní stanovené požadavky na elektronický nástroj.
Provozovatel musí vést záznamy o výsledcích a průběhu validace elektronického nástroje, která byla prováděna tak, aby bylo zajištěno, že elektronický nástroj provozovaný ve specifikovaném prostředí je schopen plnit požadavky specifikovaného nebo zamýšleného použití.
Musí být zpracována uživatelská dokumentace elektronického nástroje a dokumentace související se správou elektronického nástroje. Provozovatel musí vést dokumentaci zdrojového kódu, a to v případě, že je oprávněn provádět změny v tomto zdrojovém kódu.
4.5 | Požadavky na provádění změn elektronického nástroje |
Pro provádění změn elektronického nástroje platí stejné požadavky jako na vytváření elektronického nástroje.
Všechny změny elektronického nástroje musí být v souladu s legislativními požadavky a požadavky tohoto standardu. Tyto změny musí být identifikovatelné, musí být dokumentovány a schváleny odpovědnou osobou před jejich realizací.
4.6 | Požadavky na monitorování, měření a přezkoumávání provozu elektronického nástroje |
Provozovatel elektronického nástroje musí aplikovat vhodné metody monitorování a podle okolností také měření stanovených provozních parametrů elektronického nástroje.
Výsledky monitorování nebo měření musí být zaznamenány a analyzovány s cílem identifikovat neshody a jejich příčiny. Provozovatel elektronického nástroje musí neprodleně po zjištění neshody přijmout účinná opatření k nápravě pro odstranění dopadu neshody a jejích příčin. Po stanovené době musí provozovatel elektronického nástroje přezkoumat, zda přijatá opatření byla účinná. Neshody a jejich příčiny, přijatá opatření i přezkoumání účinnosti přijatých opatření musí být dokumentováno.