Twoja oferta nie została złożona. Nie udało się poprawnie zaszyfrować oferty, spróbuj ponownie.
Wadium
Wadium w 2 minuty
Uzyskaj wadium bez dokumentów i odchodzenia od komputera, w 3 krokach:
kliknij podaj dane opłać online
Sprawdź, jak to zrobić - Film
Postępowanie: „Audyt Bezpieczeństwa Informacji”, którego celem jest zwiększenie poziomu bezpieczeństwa informacji w funkcjonowaniu Urzędu Gminy
Termin:
| Zamieszczenia : | 22-01-2018 10:05:23 |
| Składania : | 29-01-2018 15:00:00 |
| Otwarcia : | - |
| Tryb: | |
| Rodzaj: | - |
Wymagania i specyfikacja
1.Zamawiający zastrzega sobie prawo do podjęcia negocjacji w zakresie oferowanej ceny z Dostawcą, którego oferta została wybrana jako najkorzystniejsza, w przypadku gdy cena podana przez Dostawcę przekracza wysokość środków przewidzianych w budżecie Zamawiającego.
2.Niezwłocznie po wyborze najkorzystniejszej oferty Zamawiający zawiadomi e-mailowo wszystkich Dostawców, którzy ubiegali się o udzielenie zamówienia.
3.Jeżeli Dostawca, którego oferta została wybrana uchyla się od dostarczenia zamówienia, Zamawiający może wybrać kolejną ofertę najkorzystniejszą spośród złożonych ofert, bez przeprowadzenia ich ponownej oceny.
4.Zamawiający zastrzega sobie prawo do rezygnacji z części zamówienia w przypadku przekroczenia wysokości środków przewidzianych w swoim budżecie.
5.Zamawiający zastrzega sobie prawo unieważnienia postępowania o udzielenie zamówienia na każdym etapie jego przeprowadzania bez podania przyczyny.
6.Do prowadzonego postępowania nie przysługują Dostawcom środki ochrony prawnej określone w przepisach ustawy Prawo Zamówień Publicznych (t.j. Dz. U. z 2013r., poz. 907 z późn. zm.).
Usługa winna być wykonana zgodnie z wymaganiami ustawy z dnia 29.08.1997 r. o ochronie danych osobowych (Dz.U.2016 poz. 922 ze zm.) i Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29.04.2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U.2004.100.1024), ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz.U. Nr 64, poz. 565, z późn. zm.) i Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U.2016 poz. 113), oraz Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Liczba lokalizacji: 2
Liczba pracowników: 73
Liczba serwerów: 2 fizyczne i 5 wirtualnych
Liczba stacji roboczych: 65
Liczba urządzeń sieciowych: 2 x utm i 5 x switch
Szczegółowy zakres usługi:
1. Analiza spełnienia wymagań paragrafu 20 ust. 1 i 2 Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 roku w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (tj. Dz. U. z 2016 r. poz. 113) w szczególności obejmująca weryfikację:
a. Wdrożonej dokumentacji dotyczącej Systemu Zarządzania Bezpieczeństwa Informacji,
b. Zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia,
c. Utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację,
d. Przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy,
e. Podejmowania działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji,
f. Bezzwłocznej zmiany uprawnień, w przypadku zmiany zadań osób, o których mowa w pkt e,
g. Zapewnienia szkolenia osób zaangażowanych w proces przetwarzania informacji z uwzględnieniem aspektów związanych z bezpieczeństwem informacji,
h. Zapewnienia ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami,
i. Ustanowienia podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość,
j. Zabezpieczenia informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie,
k. Ustalonych zapisów zawieranych w umowach serwisowych gwarantujących odpowiedni poziom bezpieczeństwa informacji,
l. Ustalenia zasad postępowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych,
m. Zapewnienia odpowiedniego określonego przez KRI poziomu bezpieczeństwa w systemach teleinformatycznych,
n. Sposobu postępowania z incydentami związanymi z bezpieczeństwem informacji.
2. Audyt zgodności z RODO
a. Analiza i ocena spełnienia obowiązków organizacji w zakresie rozporządzenia o ochronie danych osobowych
b. Rejestrowanie czynności przetwarzania
c. Powierzenie przetwarzania danych osobowych
d. Obowiązek informacyjny
e. Stosowane klauzule zgód na przetwarzanie danych osobowych
f. Ocena stopnia zabezpieczenia danych osobowych i stosowanych środków technicznych i organizacyjnych
g. Polityki ochrony danych osobowych;
h. Pseudonimizacja i szyfrowanie danych osobowych
i. Dostępność i przywrócenie dostępu do danych
j. Mierzenie skuteczności mechanizmów kontrolnych dla wprowadzonych środków
k. Procedury zgłaszania i reakcji na naruszenia ochrony danych osobowych
l. Weryfikacji przygotowanej oceny skutków dla ochrony danych
m. Procedury zarządzania ryzykiem
n. Obowiązek realizacji oceny
o. Badanie przygotowania do zmian w zakresie inspektora ochrony danych
p. Wyznaczenie inspektora ochrony danych
q. Status i pozycja DPO
r. Zadania i przygotowanie DPO
3. Analiza i szacowanie ryzyka w oparciu o normę PN-ISO/IEC 27005:2014
a. Inwentaryzacja aktywów podlegających szacowaniu ryzyka,
b. Określenie zagrożeń dla wyznaczonych aktywów,
c. Określenie podatności dla wyznaczonych aktywów,
d. Określenie prawdopodobieństw dla wyznaczonych aktywów,
e. Oszacowanie ryzyka pod kątem skutków naruszenia bezpieczeństwa danych.
4. Zewnętrzne i wewnętrzne testy penetracyjne infrastruktury informatycznej
a. Testy styku sieci lokalnej z Internetem przeprowadzane ze stacji roboczej podłączonej do sieci Internet
• Analiza topologii brzegu sieci;
• Weryfikacja mechanizmów ochronnych;
• Próba wykrycia usług sieciowych udostępnianych do Internetu;
• Detekcja wersji oraz typu oprogramowania dostępnego z sieci Internet;
• Eksploatacja dostępnych urządzeń oraz usług wystawionych do sieci Internet;
• Przedstawienie rozwiązań zwiększających bezpieczeństw styku sieci lokalnej z siecią Internet.
b. Testy penetracyjne przeprowadzone ze stacji roboczej podłączonej do wewnętrznego systemu informatycznego w celu zidentyfikowania możliwości przeprowadzenia włamania z wewnątrz organizacji
• Analiza topologii sieci LAN;
• Weryfikacja mechanizmów ochronnych w sieci;
• Analiza komunikacji sieciowej;
• Skanowanie portów TCP/UDP próba wykrycia usług sieciowych;
• Skanowanie hostów aktywnych w sieci;
• Exploitacja dostępnych urządzeń oraz usług w sieci LAN;
• Przedstawienie rozwiązań zwiększających bezpieczeństw sieci LAN.
5. Wykonanie i przekazanie Raportów z Audytu.
a. Opis zakresu przeprowadzonych prac audytowych,
b. Analizę informacji zebranych podczas audytów,
c. Wnioski i zalecenia związane z rozwiązaniem występujących problemów.
6. Audyt socjotechniczny czynnika ludzkiego.
a. Próby uzyskania poufnych informacji od użytkowników;
b. Próby umieszczenia szkodliwego oprogramowania na stacjach roboczych;
c. Próby uzyskania dostępu do danych poufnych u użytkowników;
d. Sprawdzenie sposobu przechowywania haseł przez użytkowników;
e. Weryfikacja ochrony powierzonego sprzętu i dokumentacji;
7. Szkolenie pracowników „praktyczne aspekty RODO”
a. Przedstawienie obwiązujących aktów prawnych oraz kodyfikacji europejskiej,
b. Omówienie filarów rozporządzenia o ochronie danych osobowych;
c. Zaprezentowanie zmian wynikających z projektu ustawy o ochronie danych osobowych,
d. Omówienie zakresu terytorialnego rozporządzenia,
e. Przedstawienie zasad zbierania i przechowywania danych osobowych,
f. Ćwiczenie dotyczące warunków przetwarzania danych osobowych,
g. Zgoda i warunki udzielania oświadczenia woli na przetwarzanie danych osobowych, uwzględnienie zmian wynikających z przetwarzania danych osobowych dzieci,
h. Podział danych osobowych, przedstawienie zmian w danych szczególnie chronionych,
i. Omówienie obowiązków informacyjnych,
j. Przedstawienie zakresu wniosków o udzielenie informacji do administratora danych,
k. Uprawnienia kontrole osób, których dane są przetwarzane tj. prawo dostępu, prawo poprawiania, prawo do bycia zapomnianym, prawo przenoszenia danych, prawo do wzniesienia sprzeciwu, prawo dotyczące profilowania,
l. Omówienie roli administratora i podmiotu przetwarzającego z uwzględnieniem obowiązków,
ł. Współadministratorzy – podział obowiązków i przedstawienie nowego pojęcia,
m. Ćwiczenie dotyczące powierzenia przetwarzania danych osobowych,
n. Omówienie relacji administrator i podmiot przetwarzający,
ń. Przedstawienie nowych wymagań dla umów powierzenia,
o. Omówienie zmian w zakresie inwentaryzacji i zgłaszania zbiorów danych osobowych,
p. Przedstawienie obowiązków realizacji rejestrowania kategorii czynności przetwarzania.
r. Omówienie nowych środków bezpieczeństwa i podejścia opartego na ryzyku,
s. Ćwiczenie dotyczące stosowania środków ochrony,
ś. Zgłoszenie naruszenia ochrony i ocena skutków na podstawie rozporządzenia unijnego,
t. Ćwiczenie dotyczące naruszeń ochrony danych osobowych,
u. Ćwiczenie dotyczące analizy ryzyka
w. Ocena skutków dla ochrony danych,
x. Rola Inspektora Danych Osobowych porównanie wymagań i zmian w stosunku do roli Administratora Bezpieczeństwa Informacji,
y. Kodeks postępowania w Rozporządzaniu GDPR
z. Zadania Prezesa Urzędu Ochrony Danych Osobowych.
8. Inwentaryzacja sprzętu i oprogramowania służącego do przetwarzania informacji, połączona z weryfikacją legalnością użytkowanego oprogramowania.
a. Skanowanie komputerów w poszukiwaniu programów komputerowych i plików multimedialnych.
b. Spisanie posiadanej dokumentacji licencyjnej i innych atrybutów legalności.
c. Analiza zebranych danych.
d. Sporządzenie raportu wstępnego z audytu zawierającego:
• Zestawienie posiadanych licencji,
• Zestawienie zainstalowanych programów komputerowych,
• Zestawienie plików multimedialnych,
• Zestawienie nadmiarów i niedoborów licencyjnych,
• Sugerowany program naprawczy,
• Propozycja procedur zarządzania oprogramowaniem.
9. Zapewnienie opieki doradczej po zakończeniu audytu.
W postępowaniu mogą wziąć udział Wykonawca, którzy:
1. Prowadzi działalność w zakresie, którego dotyczy przedmiot zamówienia przez okres co najmniej 2 lat przed dniem złożenia oferty.
2. Nie jest dopuszczalne wykonywanie audytu przez podwykonawców.
3. Dysponują zespołem składającym się co najmniej z 2 osób, z których każda posiada certyfikat z nadanym numerem - Audytor Wiodący ISO 27001.
2.Niezwłocznie po wyborze najkorzystniejszej oferty Zamawiający zawiadomi e-mailowo wszystkich Dostawców, którzy ubiegali się o udzielenie zamówienia.
3.Jeżeli Dostawca, którego oferta została wybrana uchyla się od dostarczenia zamówienia, Zamawiający może wybrać kolejną ofertę najkorzystniejszą spośród złożonych ofert, bez przeprowadzenia ich ponownej oceny.
4.Zamawiający zastrzega sobie prawo do rezygnacji z części zamówienia w przypadku przekroczenia wysokości środków przewidzianych w swoim budżecie.
5.Zamawiający zastrzega sobie prawo unieważnienia postępowania o udzielenie zamówienia na każdym etapie jego przeprowadzania bez podania przyczyny.
6.Do prowadzonego postępowania nie przysługują Dostawcom środki ochrony prawnej określone w przepisach ustawy Prawo Zamówień Publicznych (t.j. Dz. U. z 2013r., poz. 907 z późn. zm.).
Usługa winna być wykonana zgodnie z wymaganiami ustawy z dnia 29.08.1997 r. o ochronie danych osobowych (Dz.U.2016 poz. 922 ze zm.) i Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29.04.2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U.2004.100.1024), ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz.U. Nr 64, poz. 565, z późn. zm.) i Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U.2016 poz. 113), oraz Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Liczba lokalizacji: 2
Liczba pracowników: 73
Liczba serwerów: 2 fizyczne i 5 wirtualnych
Liczba stacji roboczych: 65
Liczba urządzeń sieciowych: 2 x utm i 5 x switch
Szczegółowy zakres usługi:
1. Analiza spełnienia wymagań paragrafu 20 ust. 1 i 2 Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 roku w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (tj. Dz. U. z 2016 r. poz. 113) w szczególności obejmująca weryfikację:
a. Wdrożonej dokumentacji dotyczącej Systemu Zarządzania Bezpieczeństwa Informacji,
b. Zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia,
c. Utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację,
d. Przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy,
e. Podejmowania działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji,
f. Bezzwłocznej zmiany uprawnień, w przypadku zmiany zadań osób, o których mowa w pkt e,
g. Zapewnienia szkolenia osób zaangażowanych w proces przetwarzania informacji z uwzględnieniem aspektów związanych z bezpieczeństwem informacji,
h. Zapewnienia ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami,
i. Ustanowienia podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość,
j. Zabezpieczenia informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie,
k. Ustalonych zapisów zawieranych w umowach serwisowych gwarantujących odpowiedni poziom bezpieczeństwa informacji,
l. Ustalenia zasad postępowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych,
m. Zapewnienia odpowiedniego określonego przez KRI poziomu bezpieczeństwa w systemach teleinformatycznych,
n. Sposobu postępowania z incydentami związanymi z bezpieczeństwem informacji.
2. Audyt zgodności z RODO
a. Analiza i ocena spełnienia obowiązków organizacji w zakresie rozporządzenia o ochronie danych osobowych
b. Rejestrowanie czynności przetwarzania
c. Powierzenie przetwarzania danych osobowych
d. Obowiązek informacyjny
e. Stosowane klauzule zgód na przetwarzanie danych osobowych
f. Ocena stopnia zabezpieczenia danych osobowych i stosowanych środków technicznych i organizacyjnych
g. Polityki ochrony danych osobowych;
h. Pseudonimizacja i szyfrowanie danych osobowych
i. Dostępność i przywrócenie dostępu do danych
j. Mierzenie skuteczności mechanizmów kontrolnych dla wprowadzonych środków
k. Procedury zgłaszania i reakcji na naruszenia ochrony danych osobowych
l. Weryfikacji przygotowanej oceny skutków dla ochrony danych
m. Procedury zarządzania ryzykiem
n. Obowiązek realizacji oceny
o. Badanie przygotowania do zmian w zakresie inspektora ochrony danych
p. Wyznaczenie inspektora ochrony danych
q. Status i pozycja DPO
r. Zadania i przygotowanie DPO
3. Analiza i szacowanie ryzyka w oparciu o normę PN-ISO/IEC 27005:2014
a. Inwentaryzacja aktywów podlegających szacowaniu ryzyka,
b. Określenie zagrożeń dla wyznaczonych aktywów,
c. Określenie podatności dla wyznaczonych aktywów,
d. Określenie prawdopodobieństw dla wyznaczonych aktywów,
e. Oszacowanie ryzyka pod kątem skutków naruszenia bezpieczeństwa danych.
4. Zewnętrzne i wewnętrzne testy penetracyjne infrastruktury informatycznej
a. Testy styku sieci lokalnej z Internetem przeprowadzane ze stacji roboczej podłączonej do sieci Internet
• Analiza topologii brzegu sieci;
• Weryfikacja mechanizmów ochronnych;
• Próba wykrycia usług sieciowych udostępnianych do Internetu;
• Detekcja wersji oraz typu oprogramowania dostępnego z sieci Internet;
• Eksploatacja dostępnych urządzeń oraz usług wystawionych do sieci Internet;
• Przedstawienie rozwiązań zwiększających bezpieczeństw styku sieci lokalnej z siecią Internet.
b. Testy penetracyjne przeprowadzone ze stacji roboczej podłączonej do wewnętrznego systemu informatycznego w celu zidentyfikowania możliwości przeprowadzenia włamania z wewnątrz organizacji
• Analiza topologii sieci LAN;
• Weryfikacja mechanizmów ochronnych w sieci;
• Analiza komunikacji sieciowej;
• Skanowanie portów TCP/UDP próba wykrycia usług sieciowych;
• Skanowanie hostów aktywnych w sieci;
• Exploitacja dostępnych urządzeń oraz usług w sieci LAN;
• Przedstawienie rozwiązań zwiększających bezpieczeństw sieci LAN.
5. Wykonanie i przekazanie Raportów z Audytu.
a. Opis zakresu przeprowadzonych prac audytowych,
b. Analizę informacji zebranych podczas audytów,
c. Wnioski i zalecenia związane z rozwiązaniem występujących problemów.
6. Audyt socjotechniczny czynnika ludzkiego.
a. Próby uzyskania poufnych informacji od użytkowników;
b. Próby umieszczenia szkodliwego oprogramowania na stacjach roboczych;
c. Próby uzyskania dostępu do danych poufnych u użytkowników;
d. Sprawdzenie sposobu przechowywania haseł przez użytkowników;
e. Weryfikacja ochrony powierzonego sprzętu i dokumentacji;
7. Szkolenie pracowników „praktyczne aspekty RODO”
a. Przedstawienie obwiązujących aktów prawnych oraz kodyfikacji europejskiej,
b. Omówienie filarów rozporządzenia o ochronie danych osobowych;
c. Zaprezentowanie zmian wynikających z projektu ustawy o ochronie danych osobowych,
d. Omówienie zakresu terytorialnego rozporządzenia,
e. Przedstawienie zasad zbierania i przechowywania danych osobowych,
f. Ćwiczenie dotyczące warunków przetwarzania danych osobowych,
g. Zgoda i warunki udzielania oświadczenia woli na przetwarzanie danych osobowych, uwzględnienie zmian wynikających z przetwarzania danych osobowych dzieci,
h. Podział danych osobowych, przedstawienie zmian w danych szczególnie chronionych,
i. Omówienie obowiązków informacyjnych,
j. Przedstawienie zakresu wniosków o udzielenie informacji do administratora danych,
k. Uprawnienia kontrole osób, których dane są przetwarzane tj. prawo dostępu, prawo poprawiania, prawo do bycia zapomnianym, prawo przenoszenia danych, prawo do wzniesienia sprzeciwu, prawo dotyczące profilowania,
l. Omówienie roli administratora i podmiotu przetwarzającego z uwzględnieniem obowiązków,
ł. Współadministratorzy – podział obowiązków i przedstawienie nowego pojęcia,
m. Ćwiczenie dotyczące powierzenia przetwarzania danych osobowych,
n. Omówienie relacji administrator i podmiot przetwarzający,
ń. Przedstawienie nowych wymagań dla umów powierzenia,
o. Omówienie zmian w zakresie inwentaryzacji i zgłaszania zbiorów danych osobowych,
p. Przedstawienie obowiązków realizacji rejestrowania kategorii czynności przetwarzania.
r. Omówienie nowych środków bezpieczeństwa i podejścia opartego na ryzyku,
s. Ćwiczenie dotyczące stosowania środków ochrony,
ś. Zgłoszenie naruszenia ochrony i ocena skutków na podstawie rozporządzenia unijnego,
t. Ćwiczenie dotyczące naruszeń ochrony danych osobowych,
u. Ćwiczenie dotyczące analizy ryzyka
w. Ocena skutków dla ochrony danych,
x. Rola Inspektora Danych Osobowych porównanie wymagań i zmian w stosunku do roli Administratora Bezpieczeństwa Informacji,
y. Kodeks postępowania w Rozporządzaniu GDPR
z. Zadania Prezesa Urzędu Ochrony Danych Osobowych.
8. Inwentaryzacja sprzętu i oprogramowania służącego do przetwarzania informacji, połączona z weryfikacją legalnością użytkowanego oprogramowania.
a. Skanowanie komputerów w poszukiwaniu programów komputerowych i plików multimedialnych.
b. Spisanie posiadanej dokumentacji licencyjnej i innych atrybutów legalności.
c. Analiza zebranych danych.
d. Sporządzenie raportu wstępnego z audytu zawierającego:
• Zestawienie posiadanych licencji,
• Zestawienie zainstalowanych programów komputerowych,
• Zestawienie plików multimedialnych,
• Zestawienie nadmiarów i niedoborów licencyjnych,
• Sugerowany program naprawczy,
• Propozycja procedur zarządzania oprogramowaniem.
9. Zapewnienie opieki doradczej po zakończeniu audytu.
W postępowaniu mogą wziąć udział Wykonawca, którzy:
1. Prowadzi działalność w zakresie, którego dotyczy przedmiot zamówienia przez okres co najmniej 2 lat przed dniem złożenia oferty.
2. Nie jest dopuszczalne wykonywanie audytu przez podwykonawców.
3. Dysponują zespołem składającym się co najmniej z 2 osób, z których każda posiada certyfikat z nadanym numerem - Audytor Wiodący ISO 27001.
Załączniki do postępowania
Postępowanie nie posiada załączników
| 2018-01-30 08:02 | Wojciech Leszczyński |
Witam Powołując się na "5.Zamawiający zastrzega sobie prawo unieważnienia postępowania o udzielenie zamówienia na każdym etapie jego przeprowadzania bez podania przyczyny." Zamówienie zostaje anulowane i postępowanie pozostaje bez rozstrzygnięcia. Pozdrawiam Wojciech Leszczyński |
| 2018-01-22 10:07 | Wojciech Leszczyński | Dokonano edycji następujących elementów postępowania: nazwa pozycji numer 1 |
Komunikaty