Przykładowy SIWZ RODO, KRI i ISO/IEC 27001

Przykładowa specyfikacja dla zadania:

Wdrożenie wymagań:

  • Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 roku w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2012 r., poz. 526)
  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Tekst mający znaczenie dla EOG)
  • systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO/IEC 27001

Licencja – open IKMJ

  • Zezwolenie na wykorzystywanie we własnych celach
  • Zezwolenie na kopiowanie
  • Zezwolenie na przekazywanie dalej
  • Zezwolenie na modyfikacje

Spis treści

I. Opis przedmiotu zamówienia

II. Przygotowanie oferty

III Szczegółowy zakres prac dla wdrożenia ISO/IEC 27001

IV. Kontakt z wykonawcą

FORMULARZ OFERTY

OŚWIADCZENIE

I. Opis przedmiotu zamówienia

Usługa opracowania i wdrożenia systemu zarządzania:

  1. bezpieczeństwa przetwarzania danych osobowych zgodnego z specyfikacją określoną w Szczegółowym zakresie prac dla wdrożenia KRI, RODO   i ISO/IEC 27001
  2. bezpieczeństwem informacji ISO/IEC 27001 zgodnego z specyfikacją określoną w Szczegółowym zakresie prac dla wdrożenia KRI, RODO   i ISO/IEC 27001

Poprzez opracowanie dokumentacji systemu należy rozumieć przygotowanie przez Wykonawcę dokumentów od strony merytorycznej i formalnej do stanu, który pozwala przekazać dokumenty do jednostki certyfikującej przez Zamawiającego, bez podejmowania działań redakcyjnych lub innych ingerencji w treść dokumentu ze strony Zamawiającego. Po stronie Zamawiającego leży jedynie uzgodnienie treści dokumentów z Wykonawcą. Wykonawca gwarantuje, że dokumentacja systemu zarządzania:

  1. bezpieczeństwem informacji jest zgodna z wymaganiami Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 roku w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2012 r., poz. 526) oraz wymagania certyfikacyjnymi jednostki certyfikującej systemy zarządzania na zgodność z normą ISO/IEC 27001, akredytowanej przez dowolną jednostką akredytującą wymienioną na stronie http://www.iaf.nu//articles/IAF_MEMBERS_SIGNATORIES/4.
  2. bezpieczeństwem informacji jest zgodna z wymaganiami normy ISO/IEC 27001 oraz wymagania certyfikacyjnymi jednostki certyfikującej systemy zarządzania na zgodność z normą ISO/IEC 27001, akredytowanej przez dowolną jednostką akredytującą wymienioną na stronie http://www.iaf.nu//articles/IAF_MEMBERS_SIGNATORIES/4.
  3. bezpieczeństwa danych osobowych jest zgodna z wymaganiami Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Tekst mający znaczenie dla EOG).

Gwarancja pozytywnej certyfikacji: Wykonawca udziela Zamawiającemu pisemnej gwarancji na pozytywne przejście procesu certyfikacji za pierwszym razem o następującej treści:
Wykonawca udziela Zamawiającemu gwarancji na system zarządzania zgodnego z normą ISO/IEC 27001, zwanego dalej systemem, która obejmuje pozytywne przejście procesu certyfikacji systemu, w jednostce certyfikującej systemy zarządzania na zgodność z normą ISO/IEC 27001, akredytowanej przez dowolną jednostką akredytującą wymienioną na stronie http://www.iaf.nu//articles/IAF_MEMBERS_SIGNATORIES/4. W przypadku, gdy Zamawiający, mimo zastosowania się do pisemnych zaleceń zawartych ze strony Wykonawcy, nie przejdzie pomyślnie procesu certyfikacji w w/w jednostce certyfikującej, Wykonawca zobowiązuje się do pokrycia kosztów powtórnego procesu certyfikacji w jednostce certyfikującej w tym samym zakresie Systemu.

Zobacz podobne  Bezpieczeństwo informacji w organizacjach telekomunikacyjnych, norma ISO/IEC 27011

 II. Przygotowanie oferty

Ofertę cenową należy złożyć w formie pisemnej:

pocztą na adres ………,

faxem na nr ………..

lub pocztą elektroniczną na adres ………….

na Formularzu Oferty do dnia …….

III Szczegółowy zakres prac dla wdrożenia KRI, RODO, ISO/IEC 27001

  1. Opracowanie przez Zleceniobiorcę niżej wymienionych dokumentów: przygotowanie przez Wykonawcę dokumentów od strony merytorycznej i formalnej do stanu, który pozwala przekazać dokumenty do jednostki certyfikującej przez Zamawiającego, bez podejmowania działań redakcyjnych lub innych ingerencji w treść dokumentu ze strony Zamawiającego. Po stronie Zamawiającego leży jedynie uzgodnienie treści dokumentów z Wykonawcą. Wykonawca gwarantuje że dokumentacja systemu zarządzania bezpieczeństwem informacji jest zgodna z wymaganiami Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 roku w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2012 r., poz. 526), Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Tekst mający znaczenie dla EOG), normy ISO/IEC 27001 oraz wymagania certyfikacyjnymi jednostki certyfikującej systemy zarzadzania na zgodność z normą ISO/IEC 27001, akredytowanej przez dowolną jednostką akredytującą wymienioną na stronie http://www.iaf.nu//articles/IAF_MEMBERS_SIGNATORIES/4 .):
    1. Zakres systemu zarządzania
      1. bezpieczeństwa danych osobowych
      2. bezpieczeństwem informacji
    2. Księga systemu zarządzania:
      1. bezpieczeństwa danych osobowych
      2. bezpieczeństwem informacji
    3. Polityka bezpieczeństwa danych osobowych
    4. Polityka bezpieczeństwa informacji
    5. Schemat organizacyjny kierowania sprawami:
      1. bezpieczeństwa danych osobowych
      2. bezpieczeństwa informacji
    6. Deklaracja stosowania dla systemu
      1. bezpieczeństwa danych osobowych
      2. bezpieczeństwa informacji
    7. Identyfikacja celów przetwarzania danych osobowych
    8. Identyfikacja czasów przechowywania danych osobowych
    9. Identyfikacja kanałów przetwarzania danych osobowych
    10. Plan kontynuacji działania (BCP)
    11. Metodyka szacowania ryzyka
    12. Wszystkie procedury potrzebne do przejścia procesu certyfikacji:
      1. Procedury udzielania dostępu do danych osobowych
      2. Procedury nadzorowania dostępem do danych osobowych
      3. Procedury zabierania dostępu do danych osobowych
      4. Procedury kasowania danych osobowych
      5. Procedury powierzania danych osobowych stronom trzecim
      6. Procedury transferu danych osobowych
      7. Procedura nadzoru nad dokumentami
      8. Procedura działania korekcyjnych, korygujące i zapobiegawcze
      9. Procedura auditu wewnętrznego
      10. Procedura nadzoru nad zapisami
      11. Procedura przeglądu zarządzania
      12. Procedura zarządzania incydentami
      13. Procedura bezpieczeństwa wewnętrznego organizacji
      14. Procedura ewakuacji personelu i sprzętu z obiektów
      15. Procedura klasyfikacji informacji wewnętrznych i zewnętrznych
      16. Procedura oceny ryzyk generowanych przez strony zewnętrzne (klientów, dostawców, kooperantów, innych)
      17. Procedura postępowania w przypadku odejścia pracownika z firmy
      18. Procedura bezpieczeństwa infrastruktury teleinformatycznej (sieć, serwerownie, urządzenia łączności, inne elementy)
      19. Procedura bezpieczeństwa fizycznego
      20. Procedura nadzór nad przyrządami pomiarowymi i zapewnienia spójności pomiarowej
      21. Inne niezbędne u klienta z punktu widzenia systemu bezpieczeństwa informacji (po ocenie potrzeb)
    13. Dokumenty ustalające status systemu zarządzania bezpieczeństwem informacji zgodnie z wymaganiami normy.
    14. Opracowanie formularzy i rejestrów będących integralną częścią w/w dokumentów w formie i treści odpowiedniej do potrzeb i woli klienta.
    15. Przygotowanie wniosku o certyfikację
  2. Analiza ryzyk u klienta:
    1. Identyfikacja aktywów
    2. Identyfikacja i ocena podatności, które mogą być wykorzystane przez zagrożenia dla aktywów
    3. Identyfikacja i ocena stopnia utraty poufność, integralność, dostępność aktywów
    4. Identyfikacja i ocena skutków utraty poufności, integralności i dostępności w odniesieniu do aktywów
    5. Ocena ryzyka zgodnie z wybrana metodyką.
  3. Szkolenie klienta z zakresu: (łączny czas trwania szkoleń nie krótszy niż 24 godziny robocze)
    1. Wymagania Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Tekst mający znaczenie dla EOG)
    2. Wymagań normy ISO/IEC 27001
    3. Wymagań załącznika A normy ISO/IEC 27001
    4. Szacowania ryzyka dla organizacji, dla konkretnych ryzyk, z podaniem wzorów i obliczeń
    5. Metod zapewnienia spójności metrologicznej wg ISO 10012
    6. Przeprowadzania audytów wewnętrznych na zgodność z normą ISO/IEC 27001, wraz z podaniem sposobu audytowania, przygotowania raportu z audytu, podjęcia działań poaudytowych
    7. Systemu wzajemnego uznawania (IAF, ILAC, EA, CEN, CENELEC, jednostki akredytujące, jednostki certyfikujące, jednostki normalizujące), porozumień międzynarodowych w zakresie systemu wzajemnego uznawania
    8. Podstaw prawnych dla w/w systemu
    9. Przeprowadzenie egzaminów wstępnych i końcowych ze znajomości wymagań normy dla koordynatora bezpieczeństwa i audytorów wewnętrznych
    10. Wydanie świadectw (koordynatora bezpieczeństwa i audytorów wewnętrznych)
  4. Wdrożenie dokumentów do stosowania, a w szczególności:
    1. Przygotowanie i przekazanie wytycznych odnośnie elektronicznego nadzorowania dokumentów i zapisów, jeżeli potrzebne, konfiguracja ustawień
    2. Przeprowadzenia walidacji metod z klientem
    3. Przeprowadzenia szacowania niepewność dla metod
    4. Uzupełnienia zapisów wymaganych normą razem z klientem (po raz pierwszy i wtóry, aż do skutku)
    5. Praktyczne szkolenie w formie konsultacji indywidualnych z zakresu stosowania opracowanej dokumentacji
    6. Udzielenie wszelkiego wsparcia w celu uzyskania biegłego posługiwania się przez klienta systemem
  5. Audyty: (łączny czas trwania audytu nie krótszy niż 16 godziny robocze)
    1. Techniczny – wymagań zawartych w załączniku A normy ISO/IEC 27001 i Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Tekst mający znaczenie dla EOG)
    2. Systemowy – wymagań normy zawartych normie ISO/IEC 27001 i Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Tekst mający znaczenie dla EOG)
    3. Sporządzenie raportów w formie wymaganej przez jednostkę certyfikującą,
    4. Przekazanie raportów do klienta
    5. Wykonanie, razem z klientem, działań poaudytowych w formie uzgodnionej z klientem. Jeżeli występuje konieczność korekty dokumentacji, wykonują ją Dostawca
  6. Obsługa certyfikacji:
    1. Wykonanie (na powyższych zasadach) działań po przeglądzie dokumentacji i audycie certyfikującym
Zobacz podobne  NIS vs NIS2

IV. Kontakt z wykonawcą

Osoba upoważniona do kontaktu z Wykonawcami: ……………

FORMULARZ OFERTY

na wykonanie zamówienia publicznego o wartości netto poniżej 30 000 €.

 

I. Nazwa i adres ZAMAWIAJĄCEGO: (wpisz)
II. Usługę opracowania i wdrożenia systemu zarządzania bezpieczeństwem KRI, RODO   i ISO/IEC 27001 w (wpisz)
III. Tryb postępowania: Zapytanie ofertowe.

IV. Nazwa i adres WYKONAWCY (wpisz)
nazwa ……………………………………………………………
adres ……………………………………………………………
tel ……………………………………………………………..
fax ……………………………………………………………..
Regon ……………………………………………………………
NIP ……………………………………………………………..
KRS ……………………………………………………………..

(pieczęć Wykonawcy)

1. Oferuję wykonanie przedmiotu zamówienia za:
Wartość umowy ………….. zł netto + ………….. zł ( ………….. % )VAT = ………….. zł brutto
Słownie ………….. zł brutto.
2. Deklaruję ponadto:
a) termin wykonania usługi …………..m-cy od dnia podpisania umowy.
b) warunki płatności: …………..
c) udzielenie gwarancji Zamawiającemu na warunkach przedstawionych w zaproszeniu
d) spełnienie wymagań dla usługi wymienionych w szczegółowej specyfikacji dla projektów KRI, RODO   i ISO/IEC 27001
e) inne ………………………………………………………….

Zobacz podobne  Jakie są cele cyberbezpieczeństwa?

…………………………..dn. ……………………….
…………………………………………………………
podpisy i pieczęcie osób upoważnionych
do reprezentowania Wykonawcy


Załącznik nr 1

OŚWIADCZENIE

Składając ofertę w trybie uproszczonym (pozaustawowe) na: Usługę opracowania i wdrożenia systemu zarządzania bezpieczeństwem KRI, RODO   i ISO/IEC 27001 w ………….

oświadczamy, że spełniamy warunki dotyczące:
1) posiadania uprawnień do wykonywania określonej działalności lub czynności, jeżeli przepisy prawa nakładają obowiązek ich posiadania;
2) posiadania wiedzy i doświadczenia;
3) spełniamy wymagania zawarte w normie ISO 10019
4) dysponowania odpowiednim potencjałem technicznym oraz osobami zdolnymi do wykonania zamówienia;
5) sytuacji ekonomicznej i finansowej

 

…………………………..dn. ……………………….
…………………………………………………………
podpisy i pieczęcie osób upoważnionych
do reprezentowania Wykonawcy

Scroll to Top