Strona główna
Pobierz dane XML Zamówienie publiczne: Opracowanie dokumentacji i wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji w Starostwie Powiatowym w Żaganiu ZP.271.21.2019Drukuj informację Zamówienie publiczne: Opracowanie dokumentacji i wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji w Starostwie Powiatowym w Żaganiu ZP.271.21.2019Szczegóły informacji
Opracowanie dokumentacji i wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji w Starostwie Powiatowym w Żaganiu ZP.271.21.2019
Niniejszy dokument jest wersją archiwalną.
Status: archiwalne
Rodzaj zamówienia: Usługi
Zamawiający: POWIAT ŻAGAŃSKI
Termin składania ofert / wniosków: 2019-04-18 23:59:00
Treść:
ZP.271.21.2019 Żagań, 11 kwietnia 2019 r.
Powiat Żagański zwraca się z prośbą o przedstawienie oferty cenowej na zadanie pn.
„Opracowanie dokumentacji i wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji w Starostwie Powiatowym w Żaganiu”
„Opracowanie dokumentacji i wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji w Starostwie Powiatowym w Żaganiu”
- Nazwa i adres Zamawiającego:
Powiat Żagański, ul. Dworcowa 39, 68-100 Żagań
- Opis przedmiotu zamówienia:
opracowanie dokumentacji systemowej do wdrożenia w ramach wymagań Krajowych Ram Interoperacyjności
- Wykonanie usługi opracowania dokumentacji Systemu Zarządzania Bezpieczeństwem Informacji w Urzędzie
- Opracowanie dokumentacji musi być poprzedzone audytem diagnostycznym jako element rozpoznania i wymagań organizacyjno-technicznych Urzędu.
- Wykonanie usługi opracowania dokumentacji Systemu Zarządzania Bezpieczeństwem Informacji w Urzędzie realizowane w oparciu o:
- ustawę z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (t.j. Dz. U. z 2017 r., poz. 570 ze zm.),
- przepisy rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 roku w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2017 r., poz. 2247),
- polskie normy PN-ISO/IEC 27001:2017, PN-ISO/IEC 27002/2014-12, PN-ISO/IEC 27005/2014-01 oraz PN-ISO/IEC 31000:2012,
- wytyczne Ministra Cyfryzacji dla kontroli działania systemów teleinformatycznych używanych do realizacji zadań publicznych wydane dnia 15 grudnia 2015 roku
- z uwzględnieniem wymagań NIK w obszarze badania systemów teleinformatycznych i Krajowych Ram Interoperacyjności
- Minimalny wymagany zakres audytu diagnostycznego zakończonego raportem w wersji wydrukowanej i elektronicznej to:
- Wykonanie testów penetracyjnych infrastruktury ICT min.:
- Badanie luk systemów informatycznych (aplikacji).
- Badanie luk urządzeń sieciowych.
- Badanie luk baz danych.
- Badanie luk komputerów i notebooków.
- Badanie luk serwerów.
- Badanie luk sieci WiFi.
- Inwentaryzację otwartych portów.
- Analizę bezpieczeństwa stosowanych protokołów.
- Identyfikację podatności systemów i sieci na ataki typu: DoS, DDoS, Sniffing, Spoffing, XSS, Hijacking, Backdoor, Flooding, Password, Guessing i inne.
- Skanowanie aktywnych urządzeń sieci komputerowej, w tym routery, zapory(firewall), przełączniki, serwery i stacje robocze na występowanie luk/podatności w tych urządzeniach oraz błędów w konfiguracji zmniejszających poziom bezpieczeństwa systemów
- Badanie podatności i błędy w konfiguracji systemów będących w posiadaniu organizacji z uwzględnieniem poziomu ważności ze względu na bezpieczeństwo.
- skanowanie z autentykacją w celu potwierdzenia podatności systemu operacyjnego oraz oprogramowania pakietów biurowych i systemu poczty elektronicznej.
- Badanie legalności oprogramowania – scaning próby
- Badanie stacji roboczych – scannig próby kadrowej wraz z wywiadem socjotechnicznym kadr organizacji
- Badanie polityk zarządzania usługami.
- Badanie procesów autoryzacji.
- Badanie zarządzania uprawnieniami i logowanie zdarzeń.
- Badanie zarządzania zmianami konfiguracyjnymi i aktualizacjami.
- Ocenę konfiguracji systemu operacyjnego.
- Dostępność i ciągłość działania systemów .
- Analizę systemu zarządzania kopiami zapasowymi.
- Analizę bezpieczeństwa funkcji i protokołów specyficznych dla aplikacji /serwera.
- Ocenę mechanizmów bezpieczeństwa (firewalli).
- Analizę dostępów do urządzeń aktywnych
- Badanie routingu.
- Badanie redundancji rozwiązań
- Badanie stanu i sposobu realizacji na dzień audytu
- Badanie Procedur zarządzania systemami teleinformatycznymi.
- Procedur planowania aktualizacji systemów teleinformatycznych.
- Zasad ochrony przed oprogramowaniem szkodliwym, w tym weryfikacja zabezpieczeń przed możliwością nieautoryzowanych instalacji oprogramowania.
- Procedur zarządzania historią zmian.
- Procedur zarządzania kopiami zapasowymi.
- Procedur zabezpieczania nośników.
- Polityk kontroli dostępu do systemów.
- Zasad odpowiedzialności użytkowników.
- Procedur dostępu do systemów operacyjnych.
- Procedur dostępu i kontroli do usług internetowych.
- Zasad zarządzania hasłami.
- Zasad stosowania zabezpieczeń kryptograficznych.
-
- Procedur kontroli zabezpieczeń komputerów przenośnych.
- Bezpieczeństwa sieci LAN, WAN, WiFi.
- Zasad użytkowania Internetu.
- Zasad użytkowania systemów monitorujących.
- Procedur rejestracji błędów.
- Zasad funkcjonowania metod autoryzacji na stacjach roboczych.
- Analiz stopnia zabezpieczenia stacji roboczych i nośników danych w szczególności tych, na których przetwarzane są dane osobowe.
- Weryfikacji zasad postępowania z urządzeniami przenośnymi w szczególności tymi, na których przetwarzane są dane osobowe.
- Zasad wytycznych związanych z użytkowaniem sprzętu poza siedzibą.
- Zasad funkcjonowania procedur bezpiecznego przekazywania sprzętu.
- Niszczenie niepotrzebnych nośników.
- Zasad funkcjonowania poprawności składowania danych elektronicznych.
- Analiz procedur backupu (sposób wykonywania kopii bezpieczeństwa, zakres kopiowanych danych, przechowywanie kopii bezpieczeństwa), oraz procesu ich administracji.
- Analiz planów ciągłości działania
- Badanie i analizy dokumentacyjnej treści procedur i dokumentacji z obszaru Ochrony Danych Osobowych UODO i RODO na dzień audytu
- Badanie jako próba audytowa i wywiad on-site dla badania stanu zabezpieczeń i realizacji wymagań m.in.:
- Kontrola zabezpieczeń obszaru przetwarzania danych osobowych.
- Kontrola zabezpieczeń pomieszczeń.
- Kontrola zabezpieczeń zbiorów tradycyjnych.
- Kontrola zabezpieczeń zbiorów archiwalnych.
- Kontrola ochrony przed zdarzeniami losowymi.
- Kontrola ochrony sprzętu przed kradzieżą.
- Kontrola działania sytemu monitoringu.
- Kontrola działania systemu alarmowego.
- Weryfikacja dokumentów wewnętrznych Zamawiającego regulujących przetwarzanie danych osobowych.
- Przeprowadzenie analizy wytycznych w zakresie dostępu osób upoważnionych do przetwarzania danych osobowych.
- Weryfikacja ewidencji osób upoważnionych do przetwarzania danych osobowych.
- Przeprowadzenie analizy możliwości dostępu fizycznego do danych przez osoby nieupoważnione.
- Weryfikacja pracy użytkowników w obszarach, w których przetwarzane są dane osobowe.
- Weryfikacja sposobu przetwarzania danych osobowych.
- Weryfikacja kontroli nad przepływem danych osobowych.
- Weryfikacja przechowywania danych osobowych.
- Weryfikacja poufności, dostępności i udostępniania danych osobowych.
- Identyfikacja zagrożeń, słabych stron związanych z przetwarzania danych osobowych.
- Weryfikacja dostępu osób nieupoważnionych do miejsc, gdzie przetwarzane są dane osobowe.
- Weryfikacja zapisów umów ze stronami trzecimi (SLA)
- Wykonanie przeglądów i badania stanu stron informacyjnych (www, itp.) pod kątem obowiązku informacyjnego i WCGA 2.0
Wynikiem przeprowadzonego audytu jest raport z w/w czynności wraz z wydaniem rekomendacji dla stwierdzonych niezgodności.
- Minimalny wymagany zakres opracowania dokumentacji Systemu Zarządzania Bezpieczeństwem Informacji w oparciu o normy ISO 27001, ISO 27005 , ISO 20000 jako dokumentacji realizującej wymagania art. 15, art. 20 Krajowych Ram Interoperacyjności to:
- Procedury/zapisy przeprowadzania analizy ryzyka wraz z wsparciem informatycznym w obszarze zarządzania ochrona danych , szacowania ryzyka, planów minimalizacji ryzyka w ujęciu cyberbezpieczeństwa
- Procedury/zapisy przeprowadzania wewnętrznych i zewnętrznych audytów, zawierających wskazanie: częstotliwości audytów; sposobu przygotowywania i zatwierdzania ich planów; sposobu ich przeprowadzania oraz dokumentowania i raportowania ich wyników.
- Procedury/zapisy działań korygujących w przypadku niezgodności z wymaganiami systemu zarządzania. W szczególności procedura określać będzie: zdarzenia mogące zainicjować określenie i wprowadzenie działania korygującego; sposób analizy niezgodności i identyfikowania działań korygujących; sposób ich wprowadzania i dokumentowania; przegląd ich realizacji.
- Procedury/zapisy wprowadzania działań zapobiegawczych w przypadku wystąpienia sytuacji mogącej prowadzić do niezgodności z wymaganiami systemu zarządzania. W szczególności procedura określać będzie: zdarzenia mogące zainicjować określenie i wprowadzenie działań zapobiegawczych; sposób analizy zidentyfikowanych problemów i określanie działań zapobiegawczych; sposób ich wprowadzania i dokumentowania; przegląd ich realizacji.
- Procedury/zapisy przeglądu systemu zarządzania, w szczególności określającej: częstotliwość przeglądów; zakres i sposób ich przeprowadzania; materiały źródłowe niezbędne do przeprowadzenia przeglądu; tryb wdrażania wniosków.
- Procedury/zapisy nadzoru nad dokumentami wchodzącymi w skład systemu zarządzania. W szczególności zostaną określone Zasady/zapisy wersjonowania, zatwierdzania, dystrybucji, przechowywania, archiwizowania i niszczenia dokumentów.
- Procedury/zapisy nadzoru nad zapisami, określającej zasady/zapisy przechowywania, archiwizowania oraz niszczenia zapisów.
- Procedury wymagań w zakresie zabezpieczeń teleinformatycznych.
- Zasady/zapisy bezpiecznego przetwarzania informacji przez pracowników
- Stosowanie zasady/zapisy czystego biurka i czystego ekranu.
- Procedury wymagań zabezpieczenia stacji roboczych.
- Zasady/zapisy klasyfikacji informacji i postępowania z informacjami klasyfikowanymi
- Zasady/zapisy zarządzania dostępem do informacji, w tym nadawania, modyfikacji, odbierania uprawnień oraz przeglądu uprawnień.
- Zasady/zapisy zarządzania dostępem do usług informatycznych, w tym usług sieciowych
- Zarządzanie mechanizmami uwierzytelniającymi, w tym hasłami.
- Zasady/zapisy publikacji informacji.
- Zasady/zapisy wymiany danych z podmiotami zewnętrznymi.
- Zasady/zapisy wewnętrznej wymiany danych
- Zasady/zapisy postępowania z nośnikami informacji, w tym składowanie i wymiana nośników oraz niszczenie informacji zapisanych na nośnikach.
- Zasady/zapisy wprowadzania zmian w przetwarzaniu informacji, w szczególności z wykorzystaniem systemów informatycznych, z uwzględnieniem testowania bezpieczeństwa wprowadzanych rozwiązań.
- Zasady/zapisy i wytyczne w zakresie utrzymania dokumentacji zabezpieczeń i systemów informatycznych.
- Zasady/zapisy zgłaszania podatności w mechanizmach przetwarzających informacje
- Zasady/zapisy postępowania w przypadku incydentu naruszenia bezpieczeństwa informacji.
- Zasady/zapisy kontroli bezpieczeństwa informacji.
- Zasady/zapisy zarządzania oprogramowaniem.
- Zasady/zapisy zarządzania kopiami zapasowymi.
- Zasady/zapisy zarządzania kopiami archiwalnymi.
- Zasady/zapisy konserwacji i serwisu zabezpieczeń technicznych i systemów informatycznych.
- Zasady/zapisy monitorowania bezpieczeństwa infrastruktury informatycznej.
- Zasady/zapisy przygotowania urządzeń IT do ponownego użycia.
- Zasady/zapisy wycofywania urządzeń IT z użycia.
- Zasady/zapisy bezpiecznego korzystania z urządzeń mobilnych.
- Zasady/zapisy bezpiecznej pracy zdalnej.
- Zasady/zapisy ochrony przed złośliwym oprogramowaniem.
- Zasady/zapisy zarządzania mechanizmami kryptograficznymi.
- Zasady/zapisy monitorowania przepisów prawnych związanych z zabezpieczeniem przetwarzanych informacji oraz wprowadzania zmian wynikających z obowiązków prawnych.
- Zasady/zapisy i wytyczne w zakresie ochrony fizycznej i technicznej infrastruktury IT.
- Zasady/zapisy i wytyczne w zakresie monitorowania przepisów prawnych związanych z ochroną informacji.
- Zasady/zapisy i wytyczne w zakresie bezpiecznej współpracy z podmiotami zewnętrznymi.
- Wytyczne w zakresie bezpiecznego świadczenia usług związanych z przetwarzaniem informacji.
- Zasady/zapisy i wytyczne w zakresie bezpieczeństwa osobowego w procesach rekrutacji i zarządzania personelem.
- Zasady/zapisy/ wytyczne i dokumenty w zakresie ciągłości działania, w tym:
- ciągłość przetwarzania informacji,
- plan ciągłości działania dla sytuacji uniemożliwienia przetwarzania informacji,
- plan komunikacji kryzysowej na wypadek braku możliwości przetwarzania informacji,
- Zasady/zapisy testowania planu ciągłości działania.
- Procedury/zapisy zarządzania usługami IT
- Projektowanie i wdrażanie nowych lub zmodyfikowanych usług.
- Zarządzanie poziomem usług.
- Raportowanie usług.
- Zarządzanie dostępnością usług.
- Zapewnienie ciągłości świadczenia usług.
- Budżetowanie i rozliczanie usług.
- Zarządzania pojemnością.
- Zarządzanie relacjami.
- Zarządzanie incydentami.
- Zarządzanie problemami.
- Zarządzanie konfiguracją
- Zarządzanie wydaniami.
- Minimalny zakres prac wdrożeniowo - audytowych:
- Audyt Najwyższego Kierownictwa
- Audyt próby Dyrektorów/Kierowników
- Audyt próby kadrowej i stacji rob.
- Audyt pionu IT i testy penetracyjne
- Szkolenie z zakresu SZBI/KRI kadr kierowniczych min. 6 h/grupa
- Szkolenie z zakresu SZBI/KRI kadr pracowniczych min. 5 grupach z pre i post testem wiedzy
- Szkolenie wybranego max. 4 osobowego zespołu na audytora wewnętrznego ISO 27001 min. 3 dni zakończone egzaminem i wydaniem certyfikatu
- W ramach realizacji zadania wymagany jest audyt nadzoru skuteczności opracowanego i wdrożonego systemu w okresie do 12 miesięcy od daty końcowego protokołu odbioru wykonania w/w usług.
- Opracowany system KRI/SZBI musi być zgodny i zintegrowany z dokumentacją oraz wymaganiami systemu ochrony badanych osobowych funkcjonującym w urzędzie.
- Warunki udziału w postepowaniu: - doświadczenie
- Co najmniej 3 opracowanych systemów zarządzania bezpieczeństwem informacji (KRI/ SZBI) wg standardu PN-ISO/IEC 27001 zakończone w okresie ostatnich 36 miesięcy w jednostkach administracji publicznej zakończony w okresie ostatnich 48 miesięcy jako SZBI/SMS.
- Co najmniej 2 usługi polegające na przeprowadzeniu audytu bezpieczeństwa systemów teleinformatycznych, w tym testów penetracyjnych oraz analiz konfiguracji systemów ICT ora WCGA 2.0 pod kątem bezpieczeństwa, przy czym wartość każdej usługi była nie mniejsza niż 20 000 PLN brutto zakończone w okresie ostatnich 48 miesięcy.
- Co najmniej dwie usługi polegające na przeprowadzeniu szacowania ryzyka w obszarze bezpieczeństwa informacji zgodnie z wymaganiami PN-ISO/IEC 27005:2014 w organizacji posiadającej rozproszoną strukturę, o liczbie zatrudnionych osób nie mniejszej niż 100 zakończone w okresie ostatnich 48 miesięcy.
- Co najmniej jeden projekt powinien obejmować dostosowanie do wymagań Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) w ramach usług zewnętrznych.
- Warunki udziału w postepowaniu: - kwalifikacje zespołu audytowo-konsultacyjnego Zespół składający się z co najmniej 5 osóbw tym:
- Kierownika o wykształceniu wyższym informatycznym, posiadającego certyfikat audytora wiodącego ISO/IEC 27001 i ISO/IEC 20000, ISO 22301 lub osób posiadających poszczególne certyfikaty
- min. 1 audytor / ekspert o wykształceniu wyższym prawniczym oraz certyfikatem audytora ISO 27001,
- Pozostali członkowie zespołu to osoby posiadające wykształcenie wyższe i doświadczenie w realizacji audytów z obszaru ochrony danych osobowych z min. certyfikatem audytora ISO 27001.
- . Termin realizacji zadania: do 29.11.2019 W ramach realizacji zadania wymagany jest audyt nadzoru skuteczności opracowanego i wdrożonego systemu w okresie do 12 miesięcy od daty końcowego protokołu odbioru wykonania w/w usług.
Ofertę prosimy dostarczyć w kopercie/opakowaniu z napisem: „Opracowanie dokumentacji i wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji w Starostwie Powiatowym w Żaganiu”
do dnia 18 kwietnia 2019 r. do pokoju nr 18 w budynku Starostwa Powiatowego
w Żaganiu ul. Dworcowa 39, 68-100 Żagań w godzinach pracy urzędu.
do dnia 18 kwietnia 2019 r. do pokoju nr 18 w budynku Starostwa Powiatowego
w Żaganiu ul. Dworcowa 39, 68-100 Żagań w godzinach pracy urzędu.
Zamawiający dopuszcza złożenie oferty w formie:
- elektronicznej na adres zamowienia.publiczne@powiatzaganski.pl (podpisany skan dokumentu)
- lub faxem na nr: 68 477-79-20 (podpisany dokument)
Osoba do kontaktu:
- Tomasz Makowski – Informatyk w dni robocze w godzinach od 8.00
do 15.00 tel. 730 940 040
do 15.00 tel. 730 940 040
W załączeniu przesyłamy :
- załącznik nr 1 – formularz ofertowy
- załącznik nr 2 – wykaz prac
- załącznik nr 3 – wykaz osób
- załącznik nr 3a - zobowiązanie do współpracy
- załącznik nr 3b - zobowiązanie innych podmiotów do udostepnienia osób niezbędnych do wykonania zamówienia
Załączniki
Pobierz dane XML Zamówienie publiczne: Opracowanie dokumentacji i wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji w Starostwie Powiatowym w Żaganiu ZP.271.21.2019Drukuj informację Zamówienie publiczne: Opracowanie dokumentacji i wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji w Starostwie Powiatowym w Żaganiu ZP.271.21.2019