Postępowanie ID: 1116111 : Cyberbezpieczny samorząd w gminie Mogilno. Przygotowanie i wdrożenie systemu zarządzania bezpieczeństwem informacji SZBI wraz z ujednoliceniem istniejącej dokumentacji.

Szanowni Państwo,  

informujemy, że poniższe postępowanie ma charakter szacowania wartości zamówienia w zakresie usługi:  

·         usługa opracowania i wdrożenie dokumentacji SZBI dla 4 jednostek organizacyjnych Urzędu Miejskiego w Mogilnie

·         usługa aktualizacji dokumentacji SZBI dla Urzędu Miejskiego

Usługa obejmuje kompleksowe wsparcie w opracowaniu i ustanowieniu SZBI, wdrożeniu i eksploatacji systemu, a także jego monitorowaniu, przeglądzie oraz dalszym utrzymaniu i doskonaleniu. Realizacja ma na celu zapewnienie poufności, dostępności i integralności informacji w organizacji, uwzględniając takie atrybuty, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność.

Etap I: Weryfikacja stopnia wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), w tym m.in.:

Weryfikacja procesów funkcjonujących

1.         Weryfikacja obszarów oraz systemów przetwarzania danych;

2.         Inwentaryzacja i klasyfikacja wykorzystywanych zasobów oraz aktywów informacyjnych;

3.         Przegląd dokumentacji Systemu Zarządzania Bezpieczeństwem Informacji zgodnie z normą ISO/IEC 27001:2023;

4.         Przegląd polityk, procedur, regulaminów, innych wewnętrznych regulacji w kontekście wymagań, określonych w normie ISO/IEC 27001:2023;

5.         Analiza czynników zewnętrznych i wewnętrznych, które mogą wpływać na SZBI;

6.         Ocena zaangażowania kierownictwa w kwestie bezpieczeństwa informacji;

7.         Sprawdzenie procesu identyfikacji, oceny i zarządzania ryzykiem;

8.         Ocena zasobów ludzkich, technicznych i finansowych dostępnych dla SZBI;

9.         Weryfikacja monitorowania skuteczność SZBI

10.       Sprawdzenie realizacji planów doskonalenia systemu zarządzania bezpieczeństwem informacji;

11.       Ocena procedur nadawania, modyfikowania i usuwania uprawnień dostępu;

12.       Ocena procedur zgłaszania i reagowania na incydenty bezpieczeństwa;

13.       Ocena fizycznych zabezpieczeń dostępu do systemów informatycznych.

Etap II: Analiza ryzyka na podstawie normy ISO 27005:

1.         Opracowanie metodyki przeprowadzonej analizy ryzyka;

2.         Określenie ról, odpowiedzialności i uprawnień związanych z bezpieczeństwem informacji;

3.         Oszacowanie ryzyka utraty bezpieczeństwa informacji i propozycja wdrożenia adekwatnych środków ochrony;

4.         Identyfikacja słabych punktów systemu bezpieczeństwa informacji;

5.         Określenie zagrożeń dla bezpieczeństwa informacji i ich klasyfikacja pod kątem:

a.         prawdopodobieństwa ich występowania,

b.         rozmiaru strat i powstałych szkód w wyniku ich pojawienia;

6.         Opracowanie planów ciągłości działania;

7.         Opracowanie planu postępowania z ryzykiem i jego omówienie z Klientem.

Etap III: Opracowanie i wdrożenie niezbędnej dokumentacji:

1.         Deklaracja stosowania;

2.         Polityka bezpieczeństwa informacji;

3.         Procedura klasyfikacji informacji;

4.         Procedura nadawania, zmiany uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemach informatycznych;

5.         Procedura zarządzania bezpieczeństwem fizycznym i dostępem do pomieszczeń;

6.         Procedura zarządzania bezpieczeństwem fizycznym sprzętu i nośników;

7.         Procedura użytkowania stanowisk komputerowych;

8.         Procedura zarządzania incydentami i naruszeniami bezpieczeństwa informacji;

9.         Procedura zarządzania zmianami;

10.       Zasady dotyczące ochrony danych osobowych;

11.       Procedura implementacji i wycofania systemów teleinformatycznych;

12.       Procedura zarządzania dostępem do sieci i systemów;

13.       Procedura zarządzania i konfiguracji hardware / software;

14.       Procedura organizacji środków ochrony fizycznej.

3.         Weryfikacja stopnia zgodności z wymogami KRI oraz UoKSC w tym m.in.:

1)         Weryfikacja zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia;

2)         Ocena utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację oraz zastosowanie środków bezpieczeństwa w systemach IT;

3)         Weryfikacja przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy;

4)         Weryfikacja podejmowanych działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji;

5)         Ocena procesu wprowadzania zmian w infrastrukturze IT oraz rozliczalności;

6)         Ocena procedur nadawania, modyfikowania i usuwania uprawnień dostępu, sprawdzenie, czy nadane uprawnienia są zgodne z zasadą najmniejszych przywilejów oraz istnieją procedury audytu dostępu;

7)         Weryfikacja realizacji procedury szkoleń osób zaangażowanych w proces przetwarzania informacji;

8)         Ocena zapewnienia stopnia ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami;

9)         Obowiązywanie podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość;

10)       Weryfikacja wdrożenia środków zabezpieczania informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie;

11)       Przegląd umów serwisowych podpisanych ze stronami trzecimi w zakresie stosowania zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji;

12)       Przegląd zasad postępowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych;

4.         RODO:

1)                    Szacowanie ryzyka dla praw i wolności osób, których dane dotyczą na gruncie RODO:

a.         Metodyka analizy ryzyka:

•           klasyfikacja zasobów – analiza i identyfikacja zasobów i informacji, rozpoznanie obszarów przetwarzania danych osobowych oraz form przetwarzania danych;

•           identyfikacja zagrożeń dla poszczególnych kategorii danych osobowych;

•           weryfikacja podatności – ustalenie przyczyn występowania zidentyfikowanych zagrożeń  dla  przetwarzania  poszczególnych  kategorii  danych  osobowych z uwzględnieniem środków zabezpieczenia danych;

•           określenie następstw wystąpienia zagrożenia – ocena, jak utrata poszczególnej kategorii danych w określonym procesie przetwarzania wpłynie na prawa i wolności osób, których dane dotyczą;

•           identyfikacja adekwatnych zabezpieczeń do zagrożeń.

b.         Ocena wskaźników, służących do szacowania prawdopodobieństwa, biorąc pod uwagę:

•           zdarzenia historyczne;

•           świadomość personelu;

•           kontekst zewnętrzny;

•           wartość procesu;

•           istniejące podatności i źródła zagrożeń.

c.         Określenie poziomu skutku wystąpienia ryzyka w kontekście prawa i wolności osób, których dane dotyczą z uwzględnieniem:

•           ilości rekordów danych;

•           kategorii danych;

•           łatwości identyfikacji podmiotu danych;

•           postępowania Administratora danych            i           istniejących    w         organizacji      procedur odnoszących się do szacowania ryzyka.

d.         Szacowanie    ryzyka dla       naruszenia      praw    i           wolności         podmiotów      danych, z uwzględnieniem:

•           prawdopodobieństwa urzeczywistnienia się scenariusza zagrożeń;

•           skutku danego zagrożenia w podziale na stratę materialną, niematerialną oraz wpływ na stan zdrowotny podmiotu danych;

•           przedstawienie           wyników         szacowania    i           oceny  ryzyka poszczególnych procesów/zasobów w raporcie po audytowym;

•           wydanie rekomendacji dla Administratora danych;

•           przygotowanie planu postępowania z ryzykiem.

2)         Obowiązki informacyjne:

•           określenie roli podmiotów w poszczególnych procesach przetwarzania danych;

•           aktualizacja treści klauzul obowiązków informacyjnych.

3)         Umowy powierzenia przetwarzania danych osobowych:

•           opracowanie arkusza weryfikacyjnego podmiotu przetwarzającego w zakresie stopnia wdrożenia odpowiednich środków technicznych i organizacyjnych dla zapewnienia bezpieczeństwa przetwarzanych danych;

•           opracowanie wzoru protokołu potwierdzającego zwrot/usunięcie powierzonych do przetwarzania danych osobowych Administratora.

4)         Polityka przetwarzania danych:

•           aktualizacja Polityki oraz jej załączników.

5)         Instrukcja zarządzania systemem informatycznym:

•           aktualizacja Instrukcji oraz jej załączników.

6)         Rejestr czynności przetwarzania oraz Rejestr umów powierzenia danych:

•           aktualizacja Rejestru czynności przetwarzania;

•           opracowanie wzoru Rejestru umów powierzenia.

Dlaczego warto odpowiedzieć na szacowanie wartości zamówienia?

Informujemy, iż niniejsze postępowanie nie stanowi zaproszenia do składania ofert w rozumieniu art. 66 Kodeksu cywilnego, nie zobowiązuje Zamawiającego do zawarcia umowy, czy też udzielenia zamówienia i nie stanowi części procedury udzielania zamówienia publicznego realizowanego na podstawie ustawy Prawo zamówień publicznych. 

Jednocześnie Zamawiający zastrzega, że odpowiedź na niniejsze postępowanie o charakterze szacowania ceny może skutkować:

• zaproszeniem do złożenia oferty lub/i 

• zaproszeniem do negocjacji warunków umownych lub 

• zawarciem umowy, której przedmiot został określony w niniejszym postępowaniu. 

W przypadku pytań:

• technicznych lub merytorycznych, proszę o kontakt za pośrednictwem przycisku "Wyślij wiadomość do zamawiającego" lub pod nr tel 52 318 55 33, p.Paweł Grycza;

• związanych z obsługą platformy, proszę o kontakt z Centrum Wsparcia Klienta platformy zakupowej Open Nexus pod nr 22 101 02 02, czynnym od poniedziałku do piątku w godzinach 8:00 do 17:00.   

Oficjalnym potwierdzeniem chęci realizacji zamówienia przez Zamawiającego jest wysłanie zamówienia lub podpisanie umowy.  Wiadomości z platformy zakupowej mają charakter informacyjny.