Wadium w 2 minuty
Uzyskaj wadium bez dokumentów i odchodzenia od komputera, w 3 krokach:
kliknij podaj dane opłać online
Sprawdź, jak to zrobić - Film
Postępowanie: Wykonanie Audytu - Cyberbezpieczeństwo w SP ZOZ MSWiA w Kielcach
| Zamieszczenia : | 21-07-2022 10:03:00 |
| Składania : | 26-07-2022 09:00:00 |
| Otwarcia : | 21-07-2022 09:38:00 |
| Tryb: | Zapytanie ofertowe |
| Rodzaj: | Usługa |
Wymagania i specyfikacja
Szanowni Państwo,
informujemy o postępowaniu prowadzonym przez Zamawiającego w trybie zgodnym z regulaminem wewnętrznym organizacji.
Zapraszamy do złożenia ofert poprzez poniższy formularz elektroniczny.
Zastrzegamy, że postępowanie może zakończyć się brakiem wyboru oferty w przypadku: - niewystarczających środków na realizację zamówienia, - zmianę zapotrzebowania Zamawiającego.
W przypadku pytań:
- merytorycznych, proszę o kontakt poprzez przycisk "Wyślij wiadomość do zamawiającego" lub pod nr tel 412604237
od poniedziałku do piątku w dni robocze, w godzinach od 8:00 do 15:00.
Zaznaczamy, że oficjalnym potwierdzeniem chęci realizacji zamówienia przez Zamawiającego jest wysłanie zamówienia lub podpisanie umowy.
Wiadomości z platformy zakupowej mają charakter informacyjny.
SP ZOZ MSWiA w Kielcach im. św. Jana Pawła II zleci wykonanie audytu bezpieczeństwa informacji.
Wymagania dotyczące audytu bezpieczeństwa
Audyt bezpieczeństwa, o którym mowa w niniejszego zarządzenia może być przeprowadzony przez:
1) jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku (Dz. U. z 2022 r. poz. 5), w zakresie właściwym do podejmowanych ocen bezpieczeństwa systemów informacyjnych;
2) co najmniej dwóch audytorów posiadających:
a) certyfikaty określone w poniższym wykazie certyfikatów uprawiających do przeprowadzenia audytu lub
b) co najmniej trzyletnią praktykę w zakresie audytu bezpieczeństwa systemów informacyjnych, lub
c) co najmniej dwuletnią praktykę w zakresie audytu bezpieczeństwa systemów informacyjnych i legitymujących się dyplomem ukończenia studiów podyplomowych w zakresie audytu bezpieczeństwa systemów informacyjnych, wydanym przez jednostkę organizacyjną, która w dniu wydania dyplomu była uprawniona, zgodnie z odrębnymi przepisami, do nadawania stopnia naukowego doktora nauk ekonomicznych, technicznych lub prawnych.
Wykaz certyfikatów uprawniających do przeprowadzenia audytu:
1. Certified Internal Auditor (CIA);
1) Certified Information System Auditor (CISA);
2) Certyfikat audytora wiodącego systemu zarządzania bezpieczeństwem informacji według normy PN-EN ISO/IEC 27001 wydany przez jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku, w zakresie certyfikacji osób;
3) Certyfikat audytora wiodącego systemu zarządzania ciągłością działania PN-EN ISO 22301 wydany przez jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku, w zakresie certyfikacji osób;
4) Certified Information Security Manager (CISM);
5) Certified in Risk and Information Systems Control (CRISC);
6) Certified in the Governance of Enterprise IT (CGEIT);
7) Certified Information Systems Security Professional (CISSP);
8) Systems Security Certified Practitioner (SSCP);
9) Certified Reliability Professional;
10) Certyfikaty uprawniające do posiadania tytułu ISA/IEC 62443 Cybersecurity Expert.
Celem audytu jest wykazanie przez świadczeniodawcę podniesienia poziomu bezpieczeństwa teleinformatycznego po zrealizowaniu czynności, zgodnie z niniejszym zarządzeniem oraz w odniesieniu do stanu na dzień przeprowadzenia badania poziomu dojrzałości cyberbezpieczeństwa u świadczeniodawcy w formie ankiety. Przeprowadzony audyt wykaże podniesienie poziomu bezpieczeństwa teleinformatycznego w odniesieniu do poziomu wynikającego z ankiety lub jego brak. Raport musi zawierać jasne stanowisko audytora w zakresie wykazania, że spożytkowane środki wpłynęły na podniesienie poziomu bezpieczeństwa.
|
Nazwa obszaru |
Opis działań skutkujących podniesieniu poziomem bezpieczeństwa teleinformatycznego u świadczeniodawców |
|
Skuteczność działania infrastruktury |
-Urządzenia i konfiguracja w zakresie ochrony poczty -Urządzenia i konfiguracja w zakresie ochrony sieci -Urządzenia i konfiguracja w zakresie systemów serwerowych -Urządzenia i konfiguracja w zakresie stacji roboczych -Urządzenia i konfiguracja w zakresie systemów bezpieczeństwa |
|
Procesy zarządzania bezpieczeństwem informacji |
-Nośniki wymienne - udokumentowany sposób postępowania -Zarządzanie tożsamością / dostęp do systemów w zakresie: -- Przydzielanie dostępu -- Odbieranie dostępu -Pomieszczenie w dyspozycji struktur zespołu odpowiedzialnego za cyberbezpieczeństwo w przypadku podmiotów, które otrzymały decyzję uznającą taki podmiot za operatora usługi kluczowej, o którym mowa w art. 5 ustawy z dnia 5 lipca 2018 r. o Krajowym Systemie Cyberbezpieczeństwa |
|
Monitorowanie i reagowanie na incydenty bezpieczeństwa |
-Procedury zarządzania incydentami -Raportowanie poziomów pokrycia scenariuszami znanych incydentów -Dokumentacja dotycząca przekazywania informacji do właściwego zespołu CSIRT poziomu krajowego/ sektorowego zespołu cyberbezpieczeństwa -Monitorowanie i wykrycie incydentów bezpieczeństwa -Identyfikacja i dokumentowanie przyczyn wystąpienia incydentów |
|
Zarządzanie ciągłością działania |
-Konfiguracja oraz polityki systemów do wykonywania kopii bezpieczeństwa -Raport z przeglądów i testów odtwarzania kopii bezpieczeństwa -Procedury wykonywania i przechowywania kopii zapasowych -Strategia i polityka ciągłości działania, awaryjne oraz odtwarzania po katastrofie (DRP) -Procedury utrzymaniowe |
|
Utrzymanie systemów informacyjnych |
-Harmonogramy skanowania podatności -Aktualny status realizacji postępowania z podatnościami -Procedury związane ze z identyfikowaniem (wykryciem) podatności -Współpraca z osobami odpowiedzialnymi za procesy zarządzania incydentami |
|
Zarządzanie bezpieczeństwem i ciągłością działania łańcucha usług |
-Polityka bezpieczeństwa w relacjach z dostawcami -Standardy i wymagania nakładane na dostawców w umowach w zakresie cyberbezpieczeństwa -Dostęp zdalny -Metody uwierzytelnienia |
Komunikaty