Przykładowa specyfikacja dla zadania:
Wdrożenie wymagań:
- Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 roku w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2012 r., poz. 526)
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Tekst mający znaczenie dla EOG)
- systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO/IEC 27001
Licencja – open IKMJ
- Zezwolenie na wykorzystywanie we własnych celach
- Zezwolenie na kopiowanie
- Zezwolenie na przekazywanie dalej
- Zezwolenie na modyfikacje
Spis treści
I. Opis przedmiotu zamówienia
II. Przygotowanie oferty
III Szczegółowy zakres prac dla wdrożenia ISO/IEC 27001
IV. Kontakt z wykonawcą
FORMULARZ OFERTY
OŚWIADCZENIE
I. Opis przedmiotu zamówienia
Usługa opracowania i wdrożenia systemu zarządzania:
- bezpieczeństwa przetwarzania danych osobowych zgodnego z specyfikacją określoną w Szczegółowym zakresie prac dla wdrożenia KRI, RODO i ISO/IEC 27001
- bezpieczeństwem informacji ISO/IEC 27001 zgodnego z specyfikacją określoną w Szczegółowym zakresie prac dla wdrożenia KRI, RODO i ISO/IEC 27001
Poprzez opracowanie dokumentacji systemu należy rozumieć przygotowanie przez Wykonawcę dokumentów od strony merytorycznej i formalnej do stanu, który pozwala przekazać dokumenty do jednostki certyfikującej przez Zamawiającego, bez podejmowania działań redakcyjnych lub innych ingerencji w treść dokumentu ze strony Zamawiającego. Po stronie Zamawiającego leży jedynie uzgodnienie treści dokumentów z Wykonawcą. Wykonawca gwarantuje, że dokumentacja systemu zarządzania:
- bezpieczeństwem informacji jest zgodna z wymaganiami Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 roku w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2012 r., poz. 526) oraz wymagania certyfikacyjnymi jednostki certyfikującej systemy zarządzania na zgodność z normą ISO/IEC 27001, akredytowanej przez dowolną jednostką akredytującą wymienioną na stronie http://www.iaf.nu//articles/IAF_MEMBERS_SIGNATORIES/4.
- bezpieczeństwem informacji jest zgodna z wymaganiami normy ISO/IEC 27001 oraz wymagania certyfikacyjnymi jednostki certyfikującej systemy zarządzania na zgodność z normą ISO/IEC 27001, akredytowanej przez dowolną jednostką akredytującą wymienioną na stronie http://www.iaf.nu//articles/IAF_MEMBERS_SIGNATORIES/4.
- bezpieczeństwa danych osobowych jest zgodna z wymaganiami Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Tekst mający znaczenie dla EOG).
Gwarancja pozytywnej certyfikacji: Wykonawca udziela Zamawiającemu pisemnej gwarancji na pozytywne przejście procesu certyfikacji za pierwszym razem o następującej treści:
Wykonawca udziela Zamawiającemu gwarancji na system zarządzania zgodnego z normą ISO/IEC 27001, zwanego dalej systemem, która obejmuje pozytywne przejście procesu certyfikacji systemu, w jednostce certyfikującej systemy zarządzania na zgodność z normą ISO/IEC 27001, akredytowanej przez dowolną jednostką akredytującą wymienioną na stronie http://www.iaf.nu//articles/IAF_MEMBERS_SIGNATORIES/4. W przypadku, gdy Zamawiający, mimo zastosowania się do pisemnych zaleceń zawartych ze strony Wykonawcy, nie przejdzie pomyślnie procesu certyfikacji w w/w jednostce certyfikującej, Wykonawca zobowiązuje się do pokrycia kosztów powtórnego procesu certyfikacji w jednostce certyfikującej w tym samym zakresie Systemu.
II. Przygotowanie oferty
Ofertę cenową należy złożyć w formie pisemnej:
pocztą na adres ………,
faxem na nr ………..
lub pocztą elektroniczną na adres ………….
na Formularzu Oferty do dnia …….
III Szczegółowy zakres prac dla wdrożenia KRI, RODO, ISO/IEC 27001
- Opracowanie przez Zleceniobiorcę niżej wymienionych dokumentów: przygotowanie przez Wykonawcę dokumentów od strony merytorycznej i formalnej do stanu, który pozwala przekazać dokumenty do jednostki certyfikującej przez Zamawiającego, bez podejmowania działań redakcyjnych lub innych ingerencji w treść dokumentu ze strony Zamawiającego. Po stronie Zamawiającego leży jedynie uzgodnienie treści dokumentów z Wykonawcą. Wykonawca gwarantuje że dokumentacja systemu zarządzania bezpieczeństwem informacji jest zgodna z wymaganiami Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 roku w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2012 r., poz. 526), Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Tekst mający znaczenie dla EOG), normy ISO/IEC 27001 oraz wymagania certyfikacyjnymi jednostki certyfikującej systemy zarzadzania na zgodność z normą ISO/IEC 27001, akredytowanej przez dowolną jednostką akredytującą wymienioną na stronie http://www.iaf.nu//articles/IAF_MEMBERS_SIGNATORIES/4 .):
- Zakres systemu zarządzania
- bezpieczeństwa danych osobowych
- bezpieczeństwem informacji
- Księga systemu zarządzania:
- bezpieczeństwa danych osobowych
- bezpieczeństwem informacji
- Polityka bezpieczeństwa danych osobowych
- Polityka bezpieczeństwa informacji
- Schemat organizacyjny kierowania sprawami:
- bezpieczeństwa danych osobowych
- bezpieczeństwa informacji
- Deklaracja stosowania dla systemu
- bezpieczeństwa danych osobowych
- bezpieczeństwa informacji
- Identyfikacja celów przetwarzania danych osobowych
- Identyfikacja czasów przechowywania danych osobowych
- Identyfikacja kanałów przetwarzania danych osobowych
- Plan kontynuacji działania (BCP)
- Metodyka szacowania ryzyka
- Wszystkie procedury potrzebne do przejścia procesu certyfikacji:
- Procedury udzielania dostępu do danych osobowych
- Procedury nadzorowania dostępem do danych osobowych
- Procedury zabierania dostępu do danych osobowych
- Procedury kasowania danych osobowych
- Procedury powierzania danych osobowych stronom trzecim
- Procedury transferu danych osobowych
- Procedura nadzoru nad dokumentami
- Procedura działania korekcyjnych, korygujące i zapobiegawcze
- Procedura auditu wewnętrznego
- Procedura nadzoru nad zapisami
- Procedura przeglądu zarządzania
- Procedura zarządzania incydentami
- Procedura bezpieczeństwa wewnętrznego organizacji
- Procedura ewakuacji personelu i sprzętu z obiektów
- Procedura klasyfikacji informacji wewnętrznych i zewnętrznych
- Procedura oceny ryzyk generowanych przez strony zewnętrzne (klientów, dostawców, kooperantów, innych)
- Procedura postępowania w przypadku odejścia pracownika z firmy
- Procedura bezpieczeństwa infrastruktury teleinformatycznej (sieć, serwerownie, urządzenia łączności, inne elementy)
- Procedura bezpieczeństwa fizycznego
- Procedura nadzór nad przyrządami pomiarowymi i zapewnienia spójności pomiarowej
- Inne niezbędne u klienta z punktu widzenia systemu bezpieczeństwa informacji (po ocenie potrzeb)
- Dokumenty ustalające status systemu zarządzania bezpieczeństwem informacji zgodnie z wymaganiami normy.
- Opracowanie formularzy i rejestrów będących integralną częścią w/w dokumentów w formie i treści odpowiedniej do potrzeb i woli klienta.
- Przygotowanie wniosku o certyfikację
- Zakres systemu zarządzania
- Analiza ryzyk u klienta:
- Identyfikacja aktywów
- Identyfikacja i ocena podatności, które mogą być wykorzystane przez zagrożenia dla aktywów
- Identyfikacja i ocena stopnia utraty poufność, integralność, dostępność aktywów
- Identyfikacja i ocena skutków utraty poufności, integralności i dostępności w odniesieniu do aktywów
- Ocena ryzyka zgodnie z wybrana metodyką.
- Szkolenie klienta z zakresu: (łączny czas trwania szkoleń nie krótszy niż 24 godziny robocze)
- Wymagania Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Tekst mający znaczenie dla EOG)
- Wymagań normy ISO/IEC 27001
- Wymagań załącznika A normy ISO/IEC 27001
- Szacowania ryzyka dla organizacji, dla konkretnych ryzyk, z podaniem wzorów i obliczeń
- Metod zapewnienia spójności metrologicznej wg ISO 10012
- Przeprowadzania audytów wewnętrznych na zgodność z normą ISO/IEC 27001, wraz z podaniem sposobu audytowania, przygotowania raportu z audytu, podjęcia działań poaudytowych
- Systemu wzajemnego uznawania (IAF, ILAC, EA, CEN, CENELEC, jednostki akredytujące, jednostki certyfikujące, jednostki normalizujące), porozumień międzynarodowych w zakresie systemu wzajemnego uznawania
- Podstaw prawnych dla w/w systemu
- Przeprowadzenie egzaminów wstępnych i końcowych ze znajomości wymagań normy dla koordynatora bezpieczeństwa i audytorów wewnętrznych
- Wydanie świadectw (koordynatora bezpieczeństwa i audytorów wewnętrznych)
- Wdrożenie dokumentów do stosowania, a w szczególności:
- Przygotowanie i przekazanie wytycznych odnośnie elektronicznego nadzorowania dokumentów i zapisów, jeżeli potrzebne, konfiguracja ustawień
- Przeprowadzenia walidacji metod z klientem
- Przeprowadzenia szacowania niepewność dla metod
- Uzupełnienia zapisów wymaganych normą razem z klientem (po raz pierwszy i wtóry, aż do skutku)
- Praktyczne szkolenie w formie konsultacji indywidualnych z zakresu stosowania opracowanej dokumentacji
- Udzielenie wszelkiego wsparcia w celu uzyskania biegłego posługiwania się przez klienta systemem
- Audyty: (łączny czas trwania audytu nie krótszy niż 16 godziny robocze)
- Techniczny – wymagań zawartych w załączniku A normy ISO/IEC 27001 i Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Tekst mający znaczenie dla EOG)
- Systemowy – wymagań normy zawartych normie ISO/IEC 27001 i Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Tekst mający znaczenie dla EOG)
- Sporządzenie raportów w formie wymaganej przez jednostkę certyfikującą,
- Przekazanie raportów do klienta
- Wykonanie, razem z klientem, działań poaudytowych w formie uzgodnionej z klientem. Jeżeli występuje konieczność korekty dokumentacji, wykonują ją Dostawca
- Obsługa certyfikacji:
- Wykonanie (na powyższych zasadach) działań po przeglądzie dokumentacji i audycie certyfikującym
IV. Kontakt z wykonawcą
Osoba upoważniona do kontaktu z Wykonawcami: ……………
FORMULARZ OFERTY
na wykonanie zamówienia publicznego o wartości netto poniżej 30 000 €.
I. Nazwa i adres ZAMAWIAJĄCEGO: (wpisz)
II. Usługę opracowania i wdrożenia systemu zarządzania bezpieczeństwem KRI, RODO i ISO/IEC 27001 w (wpisz)
III. Tryb postępowania: Zapytanie ofertowe.
IV. Nazwa i adres WYKONAWCY (wpisz)
nazwa ……………………………………………………………
adres ……………………………………………………………
tel ……………………………………………………………..
fax ……………………………………………………………..
Regon ……………………………………………………………
NIP ……………………………………………………………..
KRS ……………………………………………………………..
(pieczęć Wykonawcy)
1. Oferuję wykonanie przedmiotu zamówienia za:
Wartość umowy ………….. zł netto + ………….. zł ( ………….. % )VAT = ………….. zł brutto
Słownie ………….. zł brutto.
2. Deklaruję ponadto:
a) termin wykonania usługi …………..m-cy od dnia podpisania umowy.
b) warunki płatności: …………..
c) udzielenie gwarancji Zamawiającemu na warunkach przedstawionych w zaproszeniu
d) spełnienie wymagań dla usługi wymienionych w szczegółowej specyfikacji dla projektów KRI, RODO i ISO/IEC 27001
e) inne ………………………………………………………….
…………………………..dn. ……………………….
…………………………………………………………
podpisy i pieczęcie osób upoważnionych
do reprezentowania Wykonawcy
OŚWIADCZENIE
Składając ofertę w trybie uproszczonym (pozaustawowe) na: Usługę opracowania i wdrożenia systemu zarządzania bezpieczeństwem KRI, RODO i ISO/IEC 27001 w ………….
oświadczamy, że spełniamy warunki dotyczące:
1) posiadania uprawnień do wykonywania określonej działalności lub czynności, jeżeli przepisy prawa nakładają obowiązek ich posiadania;
2) posiadania wiedzy i doświadczenia;
3) spełniamy wymagania zawarte w normie ISO 10019
4) dysponowania odpowiednim potencjałem technicznym oraz osobami zdolnymi do wykonania zamówienia;
5) sytuacji ekonomicznej i finansowej
…………………………..dn. ……………………….
…………………………………………………………
podpisy i pieczęcie osób upoważnionych
do reprezentowania Wykonawcy