Przejdź do treści strony Przejdź do menu Przejdź do wyszukiwarki Przejdź do mapy biuletynu
Kontrast:
Rozmiar czcionki:
Odstępy:
Reset:
Lektor:
Biuletyn
Informacji Publicznej Gmina Głuchołazy

Przeprowadzenie diagnozy cyberbezpieczeństwa, audytu KRI oraz audyt RODO w Urzędzie Miejskim w Głuchołazach

ZAPYTANIE OFERTOWE 

dotyczy  postępowania o udzielenie zamówienia na:


Przeprowadzenie diagnozy cyberbezpieczeństwa, audytu KRI oraz audyt RODO w Urzędzie Miejskim w Głuchołazach.

 

Lokalizacja realizacji zadania :

Siedziba Zamawiającego – 48-340 Głuchołazy ul. Rynek 15, pl. Basztowy 8 oraz ul. Gen. Andersa 4.

 

Cel zapytania :

Zapytanie ofertowe na przeprowadzenie diagnozy cyberbezpieczeństwa, audytu KRI oraz RODO w siedzibie Zamawiającego.

 

Opis przedmiotu zamówienia

 

Zakres audytu RODO :

  • Audyt polityk ochrony danych osobowych wprowadzonych/stosowanych przez organizację (w kontekście uwzględnienia atrybutu poufności, dostępności i integralności).
  • Weryfikacja: czynności przetwarzania danych/kategorii czynności przetwarzania.
  • Weryfikacja klauzul informacyjnych w zakresie przetwarzania danych (weryfikacja ich treści, sposobu ich spełniania).
  • Weryfikacja przyjętych regulacji w zakresie ochrony danych w fazie projektowania oraz domyślnej ochrony danych.
  • Weryfikacja stosowanego wzoru umowy powierzenia przetwarzania danych oraz audyt wprowadzonych do obiegu umów powierzenia przetwarzania danych osobowych.
  • Audyt działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne upoważnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji.
  • Weryfikacja przyjętych regulacji w zakresie zarządzania naruszeniem - audyt komunikowania naruszeń bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań naprawczych.
  • Weryfikacja zarządzania ryzykiem w kontekście ryzyka ogólnego oraz ryzyka dla podmiotów danych (oceny skutków) – w ślad za Komunikatem Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony.

 

Zakres audytu KRI :

  • Audyt działań projektowych, wdrożeniowych oraz eksploatacyjnych z uwzględnieniem ich funkcjonalności, niezawodności, używalności, wydajności, przenoszalności i pielęgnowalności przy zastosowaniu norm oraz uznanych w obrocie profesjonalnym standardów i metodyk.
  • Audyt Systemu Zarządzania Bezpieczeństwem Informacji pod kątem poufności, dostępności i integralności.
  • Audyt regulacji wewnętrznych w zakresie zmieniającego się otoczenia pod kątem aktualizacji.
  • Audyt utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację.
  • Audyt okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji, oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy.
  • Audyt działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji.
  • Audyt procesów zapewniających szkolenia osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem takich zagadnień, jak:

a) zagrożenia bezpieczeństwa informacji,

b) skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna,

c) stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich.

  • Audyt ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, pod kątem:

a) monitorowania dostępu do informacji,

b) czynności zmierzających do wykrycia nieautoryzowanych działań związanych z przetwarzaniem informacji,

c) zapewnienia środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych, usług sieciowych i aplikacji.

  • Audyt ustanowionych podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość.
  • Audyt zabezpieczeń informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie.
  • Audyt umów serwisowych podpisanych ze stronami trzecimi, gwarantujących odpowiedni poziom bezpieczeństwa informacji.
  • Audyt zasad postępowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych.
  • Audyt odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, polegającego w szczególności na:

a) dbałości o aktualizację oprogramowania,

b) minimalizowaniu ryzyka utraty informacji w wyniku awarii,

c) ochronie przed błędami, utratą, nieuprawnioną modyfikacją,

d) stosowaniu mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisu prawa,

e) zapewnieniu bezpieczeństwa plików systemowych,

f) redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych,

g) niezwłocznym podejmowaniu działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia bezpieczeństwa,

h) kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa.

  • Audyt poziomu bezpieczeństwa w systemach teleinformatycznych, polegającego w szczególności na minimalizowaniu ryzyka utraty informacji w wyniku awarii.
  • Audyt komunikowania incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących.
  • Audyt ciągłości wykonywania audytu wewnętrznego.
  • Audyt występowania dodatkowych zabezpieczeń, niezależnych od zakresu, o którym mowa w § 20 ust. 2 pkt 1:14, w przypadkach uzasadnionych analizą ryzyka w systemach teleinformatycznych podmiotów realizujących zadania publiczne.
  • Audyt prowadzenia / występowania dzienników systemowych odnotowujących działania użytkowników lub obiektów systemowych, polegających na dostępie do:

a) systemu z uprawnieniami administracyjnymi,

b) konfiguracji systemu, w tym konfiguracji zabezpieczeń,

c) przetwarzanych w systemach danych podlegających prawnej ochronie w zakresie wymaganym przepisami prawa.

  • Audyt występowania procedur spoza zakresu § 20 ust. 2 pkt 1:14, mogących stanowić odnotowywanie działań użytkowników lub obiektów systemowych, a także innych zdarzeń związanych z eksploatacją systemu w postaci:

a) działań użytkowników nieposiadających uprawnień administracyjnych,

b) zdarzeń systemowych nieposiadających krytycznego znaczenia dla funkcjonowania systemu,

c) zdarzeń i parametrów środowiska, w którym eksploatowany jest system teleinformatyczny,

– w zakresie wynikającym z analizy ryzyka.

  • Audyt procedur związanych z dziennikami systemowymi.

 

Diagnoza z zakresu cyberbezpieczeństwa :

  • Diagnoza musi być przeprowadzona w zakresie określonym w „Formularzu informacji związanych z przeprowadzeniem diagnozy cyberbezpieczeństwa” stanowiącym załącznik nr 8 do Regulaminu Konkursu Grantowego Cyfrowa Gmina – formularz stanowi załącznik do zapytania.
  • Zamawiający bierze udział w programie „Cyfrowa Gmina” przez co zobowiązany jest do przekazania wyników diagnozy do Państwowego Instytutu Badawczego – Naukowej Akademii Sieci Komputerowych. Zamawiający oczekuje aby Wykonawca przekazał wyniki diagnozy w formie wypełnionego załącznika dołączonego do powyższego zapytania.

 

Przeprowadzenie testów podatności infrastruktury IT w tym urządzeń serwerowych, brzegowych, skanująco-drukujących, stacji roboczych oraz punktów styku sieci WAN/LAN.

 

Gmina Głuchołazy zwraca się do Wykonawcy o przedstawienie oferty cenowej na realizacje w/w usługi.

 

Warunki postępowania:

 

  1. Wymagania względem Wykonawcy:
  • Wykonawca posiada co najmniej trzyletnią praktykę w zakresie audytu bezpieczeństwa systemów informacyjnych. Za praktykę uważa się udokumentowane wykonanie w ciągu ostatnich 3 lat przed dniem rozpoczęcia audytu minimum 3 audytów w zakresie bezpieczeństwa systemów informacyjnych przeprowadzonych w jednostkach administracji publicznej. Zakres przeprowadzonych audytów musi obejmować bezpieczeństwo systemów informacyjnych lub ciągłość działania.
  • Wykonawca posiada przynajmniej dwóch audytorów posiadających odpowiednią kwalifikację. Odpowiednia kwalifikacja jest rozumiana jako posiadanie przez osoby wykonujące czynności, certyfikatu z poniższej listy :
    • Certified Internal Auditor (CIA);
    • Certified Information System Auditor (CISA);
    • Certyfikat audytora wiodącego systemu zarządzania bezpieczeństwem informacji według normy PN-EN ISO/IEC 27001 wydany przez jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku (Dz. U. z 2017 r. poz. 1398 oraz z 2018 r. poz. 650 i 1338), w zakresie certyfikacji osób;
    • Certyfikat audytora wiodącego systemu zarządzania ciągłością działania PN-EN ISO 22301 wydany przez jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku, w zakresie certyfikacji osób;
    • Certified Information Security Manager (CISM);
    • Certified in Risk and Information Systems Control (CRISC);
    • Certified in the Governance of Enterprise IT (CGEIT);
    • Certified Information Systems Security Professional (CISSP);
    • Systems Security Certified Practitioner (SSCP);
    • Certified Reliability Professional;
    • Certyfikaty uprawniające do posiadania tytułu ISA/IEC 62443 Cybersecurity Expert.
  • Lista certyfikatów jest zgodna z treścią Rozporządzenia Ministra Cyfryzacji z dnia 12 października 2018r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu (Dz. U. 2018r. poz. 1999).
  • Nabywca zastrzega sobie aby audyt wykonany był stacjonarnie w siedzibie Nabywcy.

 

W przypadku niespełnienia powyższych wymagań, oferta Wykonawcy zostanie odrzucona.

 

  1. Kryterium wyboru najkorzystniejszej oferty:
  • Cena 80%
  • Doświadczenie osób wykonujących 20%
  1. Pożądany termin realizacji zamówienia:  do dnia 20 maja 2022r.
  2. Istotne warunki  umowy lub wzór umowy : wzór umowy zostanie przekazany po rozstrzygnięciu postępowania.
  3. Przeprowadzenie zgodnie z warunkami zaproszenia i złożoną ofertą audytu cyberbezpieczeństwa w ramach projektu „Cyfrowa Gmina” w Urzędzie Miejskim w  Głuchołazach diagnozy cyberbezpieczeństwa zgodnie z zakresem oraz formularzem stanowiącym załącznik nr 8 do dokumentacji oraz z powyższym zakresem.

 

Ofertę oraz referencje Wykonawca może złożyć:

w formie pisemnej na adres:   Urząd Miejski w Głuchołazach, 48-340 Głuchołazy, ul. Rynek 15                 

w formie elektronicznej na adres poczty elektronicznej:  iod@glucholazy.pl

 

Oferta musi być złożona przez osobę upoważnioną do składania oświadczeń woli w imieniu Wykonawcy z podaniem ceny jednostkowej* i/ lub ceny  za  realizację całości  przedmiotu zamówienia* w terminie do dnia 25.04.2022 r., do godziny 15:00

 

Zamawiający, oświadcza i informuje, że niniejsze zapytanie ofertowe ma wyłącznie charakter sondażu rynku pod kątem wyboru oferty najkorzystniejszej pod względem cenowym (i ewentualnie innych kryteriów).

Złożenie ewentualnej oferty nie stwarza po stronie oferenta roszczenia względem Zamawiającego o zawarcie umowy. Zamawiający zastrzega sobie prawo wyboru oferty i zawarcia umowy z wybranym oferentem.

Zamawiający zastrzega sobie prawo unieważnienia postępowania bez podawania przyczyny unieważnienia na każdym etapie prowadzonego postępowania.

XLSXZałącznik_nr_8_-_Formularz_informacji_związanych_z_przeprowadzeniem_diagnozy_cyberbezpieczeństwa.xlsx (20,77KB)

 

Zgodnie z art. 13 ust. 1 i 2 RODO, informuje się, że:


1. Administratorem danych osobowych jest: Burmistrz Głuchołaz;

2. Kontakt z osobą odpowiedzialną w sprawie ochrony danych osobowych - tel. 774092143 adres email iod@glucholazy.pl

3. Dane osobowe przetwarzane będą na podstawie art. 6 ust. 1 lit. a) RODO. Na tej podstawie przetwarzane są dane przetwarzane przez Pana /Panią dobrowolnie  celem przeprowadzenia postępowania o udzielenie przedmiotowego zamówienia publicznego;

4. Odbiorcami danych osobowych będą osoby lub podmioty, którym udostępniona zostanie dokumentacja postępowania; 

5. Dane osobowe będą przechowywane,  przez okres 4 lat od dnia zakończenia postępowania o udzielenie zamówienia;

6. W odniesieniu do danych osobowych decyzje nie będą podejmowane w sposób zautomatyzowany, stosowanie do art. 22 RODO;

7.W związku z przetwarzaniem danych osobowych przysługuje Panu/Pani prawo do:

1) żądania dostępu do danych dotyczących osoby, której dotyczą,

2) sprostowania danych osobowych,

3) żądania usunięcia danych osobowych,

4) żądania ograniczenia przetwarzania,

5) wniesienia sprzeciwu wobec przetwarzania,

6) cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem,

7) wniesienia skargi do organu nadzorczego.

na podstawie art. 15 RODO, prawo dostępu do swoich danych osobowych, zgromadzonych przez Zamawiającego w związku z prowadzonym postępowaniem o udzielenie przedmiotowego zamówienia publicznego.

  • XML
Metryczka
  • Wytworzono:
    20-04-2022
    przez: Paweł Będzmirowski
  • Wprowadzono przez:
    Paweł Będzmirowski
  • Udostępniono:
    20-04-2022, 13:59
  • Podmiot udostępniający:
    Gmina Głuchołazy
    Odwiedzin: 1625
Powrót do poprzedniej strony »