Przykładowa specyfikacja dla zadania:
Wdrożenie systemu zarządzania bezpieczeństwem
informacji zgodnego z normą ISO/IEC 27001
I. Opis przedmiotu zamówienia
Usługa opracowania i wdrożenia systemu zarządzania bezpieczeństwem informacji ISO/IEC 27001 zgodna z specyfikacją określoną w Szczegółowym zakresie prac dla wdrożenia ISO/IEC 27001
Poprzez opracowanie dokumentacji systemu należy rozumieć: przygotowanie przez Wykonawcę dokumentów od strony merytorycznej i formalnej do stanu, który pozwala przekazać dokumenty do jednostki certyfikującej przez Zamawiającego, bez podejmowania działań redakcyjnych lub innych ingerencji w treść dokumentu ze strony Zamawiającego. Po stronie Zamawiającego leży jedynie uzgodnienie treści dokumentów z Wykonawcą. Wykonawca gwarantuje, że dokumentacja systemu zarządzania bezpieczeństwem informacji jest zgodna z wymaganiami normy ISO/IEC 27001 oraz wymaganiami certyfikacyjnymi jednostki certyfikującej systemy zarządzania na zgodność z normą ISO/IEC 27001, akredytowanej przez dowolną jednostkę akredytującą wymienioną na stronie http://www.iaf.nu//articles/IAF_MEMBERS_SIGNATORIES/4 .
Gwarancja pozytywnej certyfikacji: Wykonawca udziela Zamawiającemu pisemnej gwarancji na pozytywne przejście procesu certyfikacji za pierwszym razem o następującej treści:
Wykonawca udziela Zamawiającemu gwarancji na System zarządzania zgodny z normą ISO/IEC 27001, zwany dalej systemem, która obejmuje pozytywne przejście procesu certyfikacji systemu w jednostce certyfikującej systemy zarządzania na zgodność z normą ISO/IEC 27001, akredytowanej przez dowolną jednostką akredytującą wymienioną na stronie http://www.iaf.nu//articles/IAF_MEMBERS_SIGNATORIES/4. W przypadku, gdy Zamawiający, mimo zastosowania się do pisemnych zaleceń zawartych ze strony Wykonawcy, nie przejdzie pomyślnie procesu certyfikacji w w/w jednostce certyfikującej, Wykonawca zobowiązuje się do pokrycia kosztów powtórnego procesu certyfikacji w jednostce certyfikującej w tym samym zakresie Systemu.
II. Przygotowanie oferty
Ofertę cenową należy złożyć w formie pisemnej: pocztą na adres ………, faxem na nr ……….. lub pocztą elektroniczną na adres …………. na Formularzu Oferty do dnia …….
III. Szczegółowy zakres prac dla wdrożenia ISO/IEC 27001
- Opracowanie przez Zleceniobiorcę niżej wymienionych dokumentów ( przygotowanie przez Wykonawcę dokumentów od strony merytorycznej i formalnej do stanu, który pozwala przekazać dokumenty jednostce certyfikującej przez Zamawiającego, bez podejmowania działań redakcyjnych lub innych ingerencji w treść dokumentu ze strony Zamawiającego. Po stronie Zamawiającego leży jedynie uzgodnienie treści dokumentów z Wykonawcą. Wykonawca gwarantuje, że dokumentacja systemu zarządzania bezpieczeństwem informacji jest zgodna z wymaganiami normy ISO/IEC 27001 oraz wymaganiami certyfikacyjnymi jednostki certyfikującej systemy zarządzania na zgodność z normą ISO/IEC 27001, akredytowanej przez dowolną jednostką akredytującą wymienioną na stronie http://www.iaf.nu//articles/IAF_MEMBERS_SIGNATORIES/4:
- a. Zakres systemu zarządzania bezpieczeństwem informacji
- b. Księga systemu zarządzania bezpieczeństwem informacji
- c. Polityka bezpieczeństwa informacji
- d. Schemat organizacyjny kierowania sprawami bezpieczeństwa informacji
- e. Deklaracja stosowania dla systemu bezpieczeństwa informacji
- f. Plan kontynuacji działania (BCP)
- g. Metodyka szacowania ryzyka
- h. Wszystkie procedury potrzebne do przejścia procesu certyfikacji:
- h1. Procedura nadzoru nad dokumentami
- h2. Procedura działań korekcyjnych, korygujących i zapobiegawczych
- h3. Procedura auditu wewnętrznego
- h4. Procedura nadzoru nad zapisami
- h5. Procedura przeglądu zarządzania
- h6. Procedura zarządzania incydentami
- h7. Procedura bezpieczeństwa wewnętrznego organizacji
- h8. Procedura ewakuacji personelu i sprzętu z obiektów
- h9. Procedura klasyfikacji informacji wewnętrznych i zewnętrznych
- h10. Procedura oceny ryzyk generowanych przez strony zewnętrzne (klientów, dostawców, kooperantów, innych)
- h11. Procedura postępowania w przypadku odejścia pracownika z firmy
- h12. Procedura bezpieczeństwa infrastruktury teleinformatycznej (sieć, serwerownie, urządzenia łączności, inne elementy)
- h13. Procedura bezpieczeństwa fizycznego
- h14. Procedura nadzór nad przyrządami pomiarowymi i zapewnienia spójności pomiarowej
- h15. Inne niezbędne u klienta z punktu widzenia systemu bezpieczeństwa informacji (po ocenie potrzeb)
- i. Dokumenty ustalające status systemu zarządzania bezpieczeństwem informacji zgodnie z wymaganiami normy.
- j. Opracowanie formularzy i rejestrów będących integralną częścią w/w dokumentów w formie i treści odpowiedniej do potrzeb i woli klienta.
- k. Przygotowanie wniosku o certyfikację
- Analiza ryzyk u klienta:
- a. Identyfikacja aktywów
- b. Identyfikacja i ocena podatności, które mogą być wykorzystane przez zagrożenia dla aktywów
- c. Identyfikacja i ocena skutków utraty poufności, integralności i dostępności w odniesieniu do aktywów
- d. Ocena ryzyka zgodnie z wybraną metodyką.
- Szkolenie klienta z zakresu: (łączny czas trwania szkoleń nie krótszy niż 24 godziny robocze)
- a. Wymagań normy ISO/IEC 27001
- b. Wymagań załącznika A normy ISO/IEC 27001
- c. Szacowania ryzyka dla organizacji, dla konkretnych ryzyk, z podaniem wzorów i obliczeń
- d. Metody zapewnienia spójności metrologicznej wg ISO 10012
- e. Przeprowadzenia audytów wewnętrznych na zgodność z normą ISO/IEC 27001 wraz z podaniem sposobu audytowania, przygotowania raportu z audytu, podjęcia działań poaudytowych
- f. Systemu wzajemnego uznawania (IAF, ILAC, EA, CEN, CENELEC, jednostki akredytujące, jednostki certyfikujące, jednostki normalizujące), porozumień międzynarodowych w zakresie systemu wzajemnego uznawania
- g. Podstaw prawnych dla w/w systemu
- h. Przeprowadzenie egzaminów wstępnych i końcowych ze znajomości wymagań normy dla koordynatora bezpieczeństwa i audytorów wewnętrznych
- i. Wydanie świadectw (koordynatora bezpieczeństwa i audytorów wewnętrznych)
- Wdrożenie dokumentów do stosowania, a w szczególności:
- a. Przygotowanie i przekazanie wytycznych odnośnie elektronicznego nadzorowania dokumentów i zapisów, jeżeli potrzebne, konfiguracja ustawień
- b. Przeprowadzenia walidacji metod z klientem
- c. Przeprowadzenia szacowania niepewności dla metod
- d. Uzupełnienia zapisów wymaganych normą razem z klientem (po raz pierwszy i kolejne, aż do skutku)
- e. Praktyczne szkolenie w formie konsultacji indywidualnych z zakresu stosowania opracowanej dokumentacji
- f. Udzielenie wszelkiego wsparcia w celu uzyskania biegłego posługiwania się przez klienta systemem
- Audyty: (łączny czas trwania audytu nie krótszy niż 16 godziny robocze)
- a. Audyt Techniczny – wymagań zawartych w załączniku A normy ISO/IEC 27001
- b. Audyt Systemowy – wymagań normy zawartych normie ISO/IEC 27001
- c. Sporządzenie raportów w formie wymaganej przez jednostkę certyfikującą,
- d. Przekazanie raportów do klienta
- e. Wykonanie, razem z klientem, działań poaudytowych w formie uzgodnionej z klientem. Jeżeli występuje konieczność korekty dokumentacji, wykonuje ją Dostawca
- Obsługa certyfikacji:
- a. Wykonanie (na powyższych zasadach) działań po przeglądzie dokumentacji i audycie certyfikującym
IV. Kontakt z wykonawcą
Osoba upoważniona do kontaktu z Wykonawcą:
………………………………………
FORMULARZ OFERTY
pobierz Formularz oferty w pliku: pdf, docx
Licencja artykułu– open IKMJ
- Zezwolenie na wykorzystywanie we własnych celach
- Zezwolenie na kopiowanie
- Zezwolenie na przekazywanie dalej
- Zezwolenie na modyfikacje