Przykładowa specyfikacja dla zadania:

Wdrożenie wymagań:

Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 roku w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2012 r., poz. 526)
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Tekst mający znaczenie dla EOG)
systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO/IEC 27001

Licencja – open IKMJ

Zezwolenie na wykorzystywanie we własnych celach
Zezwolenie na kopiowanie
Zezwolenie na przekazywanie dalej
Zezwolenie na modyfikacje

Spis treści

III Szczegółowy zakres prac dla wdrożenia ISO/IEC 27001

I. Opis przedmiotu zamówienia

Usługa opracowania i wdrożenia systemu zarządzania:

bezpieczeństwa przetwarzania danych osobowych zgodnego z specyfikacją określoną w Szczegółowym zakresie prac dla wdrożenia KRI, RODO i ISO/IEC 27001
bezpieczeństwem informacji ISO/IEC 27001 zgodnego z specyfikacją określoną w Szczegółowym zakresie prac dla wdrożenia KRI, RODO i ISO/IEC 27001

Poprzez opracowanie dokumentacji systemu należy rozumieć przygotowanie przez Wykonawcę dokumentów od strony merytorycznej i formalnej do stanu, który pozwala przekazać dokumenty do jednostki certyfikującej przez Zamawiającego, bez podejmowania działań redakcyjnych lub innych ingerencji w treść dokumentu ze strony Zamawiającego. Po stronie Zamawiającego leży jedynie uzgodnienie treści dokumentów z Wykonawcą. Wykonawca gwarantuje, że dokumentacja systemu zarządzania:

bezpieczeństwem informacji jest zgodna z wymaganiami Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 roku w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2012 r., poz. 526) oraz wymagania certyfikacyjnymi jednostki certyfikującej systemy zarządzania na zgodność z normą ISO/IEC 27001, akredytowanej przez dowolną jednostką akredytującą wymienioną na stronie http://www.iaf.nu//articles/IAF_MEMBERS_SIGNATORIES/4.
bezpieczeństwem informacji jest zgodna z wymaganiami normy ISO/IEC 27001 oraz wymagania certyfikacyjnymi jednostki certyfikującej systemy zarządzania na zgodność z normą ISO/IEC 27001, akredytowanej przez dowolną jednostką akredytującą wymienioną na stronie http://www.iaf.nu//articles/IAF_MEMBERS_SIGNATORIES/4.
bezpieczeństwa danych osobowych jest zgodna z wymaganiami Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Tekst mający znaczenie dla EOG).

Gwarancja pozytywnej certyfikacji: Wykonawca udziela Zamawiającemu pisemnej gwarancji na pozytywne przejście procesu certyfikacji za pierwszym razem o następującej treści:
Wykonawca udziela Zamawiającemu gwarancji na system zarządzania zgodnego z normą ISO/IEC 27001, zwanego dalej systemem, która obejmuje pozytywne przejście procesu certyfikacji systemu, w jednostce certyfikującej systemy zarządzania na zgodność z normą ISO/IEC 27001, akredytowanej przez dowolną jednostką akredytującą wymienioną na stronie http://www.iaf.nu//articles/IAF_MEMBERS_SIGNATORIES/4. W przypadku, gdy Zamawiający, mimo zastosowania się do pisemnych zaleceń zawartych ze strony Wykonawcy, nie przejdzie pomyślnie procesu certyfikacji w w/w jednostce certyfikującej, Wykonawca zobowiązuje się do pokrycia kosztów powtórnego procesu certyfikacji w jednostce certyfikującej w tym samym zakresie Systemu.

Zobacz podobne Jak przetwarzać informacje niejawne w firmie? Wprowadzenie do przetwarzania informacji niejawnych.

II. Przygotowanie oferty

Ofertę cenową należy złożyć w formie pisemnej:

pocztą na adres ………,

faxem na nr ………..

lub pocztą elektroniczną na adres ………….

na Formularzu Oferty do dnia …….

III Szczegółowy zakres prac dla wdrożenia KRI, RODO, ISO/IEC 27001

Opracowanie przez Zleceniobiorcę niżej wymienionych dokumentów: przygotowanie przez Wykonawcę dokumentów od strony merytorycznej i formalnej do stanu, który pozwala przekazać dokumenty do jednostki certyfikującej przez Zamawiającego, bez podejmowania działań redakcyjnych lub innych ingerencji w treść dokumentu ze strony Zamawiającego. Po stronie Zamawiającego leży jedynie uzgodnienie treści dokumentów z Wykonawcą. Wykonawca gwarantuje że dokumentacja systemu zarządzania bezpieczeństwem informacji jest zgodna z wymaganiami Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 roku w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2012 r., poz. 526), Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Tekst mający znaczenie dla EOG), normy ISO/IEC 27001 oraz wymagania certyfikacyjnymi jednostki certyfikującej systemy zarzadzania na zgodność z normą ISO/IEC 27001, akredytowanej przez dowolną jednostką akredytującą wymienioną na stronie http://www.iaf.nu//articles/IAF_MEMBERS_SIGNATORIES/4 .):
1. Zakres systemu zarządzania
  1. bezpieczeństwa danych osobowych
  2. bezpieczeństwem informacji
2. Księga systemu zarządzania:
  1. bezpieczeństwa danych osobowych
  2. bezpieczeństwem informacji
3. Polityka bezpieczeństwa danych osobowych
4. Polityka bezpieczeństwa informacji
5. Schemat organizacyjny kierowania sprawami:
  1. bezpieczeństwa danych osobowych
  2. bezpieczeństwa informacji
6. Deklaracja stosowania dla systemu
  1. bezpieczeństwa danych osobowych
  2. bezpieczeństwa informacji
7. Identyfikacja celów przetwarzania danych osobowych
8. Identyfikacja czasów przechowywania danych osobowych
9. Identyfikacja kanałów przetwarzania danych osobowych
10. Plan kontynuacji działania (BCP)
11. Metodyka szacowania ryzyka
12. Wszystkie procedury potrzebne do przejścia procesu certyfikacji:
  1. Procedury udzielania dostępu do danych osobowych
  2. Procedury nadzorowania dostępem do danych osobowych
  3. Procedury zabierania dostępu do danych osobowych
  4. Procedury kasowania danych osobowych
  5. Procedury powierzania danych osobowych stronom trzecim
  6. Procedury transferu danych osobowych
  7. Procedura nadzoru nad dokumentami
  8. Procedura działania korekcyjnych, korygujące i zapobiegawcze
  9. Procedura auditu wewnętrznego
  10. Procedura nadzoru nad zapisami
  11. Procedura przeglądu zarządzania
  12. Procedura zarządzania incydentami
  13. Procedura bezpieczeństwa wewnętrznego organizacji
  14. Procedura ewakuacji personelu i sprzętu z obiektów
  15. Procedura klasyfikacji informacji wewnętrznych i zewnętrznych
  16. Procedura oceny ryzyk generowanych przez strony zewnętrzne (klientów, dostawców, kooperantów, innych)
  17. Procedura postępowania w przypadku odejścia pracownika z firmy
  18. Procedura bezpieczeństwa infrastruktury teleinformatycznej (sieć, serwerownie, urządzenia łączności, inne elementy)
  19. Procedura bezpieczeństwa fizycznego
  20. Procedura nadzór nad przyrządami pomiarowymi i zapewnienia spójności pomiarowej
  21. Inne niezbędne u klienta z punktu widzenia systemu bezpieczeństwa informacji (po ocenie potrzeb)
13. Dokumenty ustalające status systemu zarządzania bezpieczeństwem informacji zgodnie z wymaganiami normy.
14. Opracowanie formularzy i rejestrów będących integralną częścią w/w dokumentów w formie i treści odpowiedniej do potrzeb i woli klienta.
15. Przygotowanie wniosku o certyfikację
Analiza ryzyk u klienta:
1. Identyfikacja aktywów
2. Identyfikacja i ocena podatności, które mogą być wykorzystane przez zagrożenia dla aktywów
3. Identyfikacja i ocena stopnia utraty poufność, integralność, dostępność aktywów
4. Identyfikacja i ocena skutków utraty poufności, integralności i dostępności w odniesieniu do aktywów
5. Ocena ryzyka zgodnie z wybrana metodyką.
Szkolenie klienta z zakresu: (łączny czas trwania szkoleń nie krótszy niż 24 godziny robocze)
1. Wymagania Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Tekst mający znaczenie dla EOG)
2. Wymagań normy ISO/IEC 27001
3. Wymagań załącznika A normy ISO/IEC 27001
4. Szacowania ryzyka dla organizacji, dla konkretnych ryzyk, z podaniem wzorów i obliczeń
5. Metod zapewnienia spójności metrologicznej wg ISO 10012
6. Przeprowadzania audytów wewnętrznych na zgodność z normą ISO/IEC 27001, wraz z podaniem sposobu audytowania, przygotowania raportu z audytu, podjęcia działań poaudytowych
7. Systemu wzajemnego uznawania (IAF, ILAC, EA, CEN, CENELEC, jednostki akredytujące, jednostki certyfikujące, jednostki normalizujące), porozumień międzynarodowych w zakresie systemu wzajemnego uznawania
8. Podstaw prawnych dla w/w systemu
9. Przeprowadzenie egzaminów wstępnych i końcowych ze znajomości wymagań normy dla koordynatora bezpieczeństwa i audytorów wewnętrznych
10. Wydanie świadectw (koordynatora bezpieczeństwa i audytorów wewnętrznych)
Wdrożenie dokumentów do stosowania, a w szczególności:
1. Przygotowanie i przekazanie wytycznych odnośnie elektronicznego nadzorowania dokumentów i zapisów, jeżeli potrzebne, konfiguracja ustawień
2. Przeprowadzenia walidacji metod z klientem
3. Przeprowadzenia szacowania niepewność dla metod
4. Uzupełnienia zapisów wymaganych normą razem z klientem (po raz pierwszy i wtóry, aż do skutku)
5. Praktyczne szkolenie w formie konsultacji indywidualnych z zakresu stosowania opracowanej dokumentacji
6. Udzielenie wszelkiego wsparcia w celu uzyskania biegłego posługiwania się przez klienta systemem
Audyty: (łączny czas trwania audytu nie krótszy niż 16 godziny robocze)
1. Techniczny – wymagań zawartych w załączniku A normy ISO/IEC 27001 i Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Tekst mający znaczenie dla EOG)
2. Systemowy – wymagań normy zawartych normie ISO/IEC 27001 i Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Tekst mający znaczenie dla EOG)
3. Sporządzenie raportów w formie wymaganej przez jednostkę certyfikującą,
4. Przekazanie raportów do klienta
5. Wykonanie, razem z klientem, działań poaudytowych w formie uzgodnionej z klientem. Jeżeli występuje konieczność korekty dokumentacji, wykonują ją Dostawca
Obsługa certyfikacji:
1. Wykonanie (na powyższych zasadach) działań po przeglądzie dokumentacji i audycie certyfikującym

Zobacz podobne Nowa norma ISO/IEC 27001:2022

IV. Kontakt z wykonawcą

Osoba upoważniona do kontaktu z Wykonawcami: ……………

FORMULARZ OFERTY

na wykonanie zamówienia publicznego o wartości netto poniżej 30 000 €.

I. Nazwa i adres ZAMAWIAJĄCEGO: (wpisz)
II. Usługę opracowania i wdrożenia systemu zarządzania bezpieczeństwem KRI, RODO i ISO/IEC 27001 w (wpisz)
III. Tryb postępowania: Zapytanie ofertowe.

IV. Nazwa i adres WYKONAWCY (wpisz)
nazwa ……………………………………………………………
adres ……………………………………………………………
tel ……………………………………………………………..
fax ……………………………………………………………..
Regon ……………………………………………………………
NIP ……………………………………………………………..
KRS ……………………………………………………………..

(pieczęć Wykonawcy)

1. Oferuję wykonanie przedmiotu zamówienia za:
Wartość umowy ………….. zł netto + ………….. zł ( ………….. % )VAT = ………….. zł brutto
Słownie ………….. zł brutto.
2. Deklaruję ponadto:
a) termin wykonania usługi …………..m-cy od dnia podpisania umowy.
b) warunki płatności: …………..
c) udzielenie gwarancji Zamawiającemu na warunkach przedstawionych w zaproszeniu
d) spełnienie wymagań dla usługi wymienionych w szczegółowej specyfikacji dla projektów KRI, RODO i ISO/IEC 27001
e) inne ………………………………………………………….

Zobacz podobne PN-ISO/IEC 29100:2017 - Technika informatyczna - Techniki bezpieczeństwa - Ramy prywatności

…………………………..dn. ……………………….
…………………………………………………………
podpisy i pieczęcie osób upoważnionych
do reprezentowania Wykonawcy

Załącznik nr 1

OŚWIADCZENIE

Składając ofertę w trybie uproszczonym (pozaustawowe) na: Usługę opracowania i wdrożenia systemu zarządzania bezpieczeństwem KRI, RODO i ISO/IEC 27001 w ………….

oświadczamy, że spełniamy warunki dotyczące:
1) posiadania uprawnień do wykonywania określonej działalności lub czynności, jeżeli przepisy prawa nakładają obowiązek ich posiadania;
2) posiadania wiedzy i doświadczenia;
3) spełniamy wymagania zawarte w normie ISO 10019
4) dysponowania odpowiednim potencjałem technicznym oraz osobami zdolnymi do wykonania zamówienia;
5) sytuacji ekonomicznej i finansowej