SIWZ Krajowe Ramy Interoperacyjności

Przykładowa specyfikacja dla zadania:

Wdrożenie systemu zarządzania bezpieczeństwem informacji zgodnego z rozporządzeniem o Krajowych Ramach Interoperacyjności (KRI) oraz normą ISO/IEC 27001 (SZBI)

 

I. Opis przedmiotu zamówienia

Usługa opracowania i wdrożenia systemu zarządzania bezpieczeństwem informacji zgodnego z wymaganiami Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych oraz normy ISO/IEC 27001 zgodnej ze specyfikacją określoną w Szczegółowym zakresie prac dla wdrożenia wymagań Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych i normy ISO/IEC 27001.

Poprzez opracowanie dokumentacji systemu należy rozumieć: przygotowanie przez Wykonawcę dokumentów od strony merytorycznej i formalnej do stanu, który pozwala przekazać dokumenty do jednostki certyfikującej przez Zamawiającego, bez podejmowania działań redakcyjnych lub innych ingerencji w treść dokumentu ze strony Zamawiającego. Po stronie Zamawiającego leży jedynie uzgodnienie treści dokumentów z Wykonawcą. Wykonawca gwarantuje, że dokumentacja systemu zarządzania bezpieczeństwem informacji jest zgodna z wymaganiami normy ISO/IEC 27001 oraz wymagania certyfikacyjnymi jednostki certyfikującej systemy zarządzania na zgodność z normą ISO/IEC 27001, akredytowanej przez dowolną jednostką akredytującą wymienioną na stronie http://www.iaf.nu//articles/IAF_MEMBERS_SIGNATORIES/4 .

 

Gwarancja pozytywnej certyfikacji: Wykonawca udziela Zamawiającemu pisemnej gwarancji na pozytywne przejście procesu certyfikacji za pierwszym razem o następującej treści:
Wykonawca udziela Zamawiającemu gwarancji na System zarządzania zgodny z normą ISO/IEC 27001, zwany dalej systemem. Gwarancja obejmuje pozytywne przejście procesu certyfikacji systemu, w jednostce certyfikującej systemy zarzadzania na zgodność z normą ISO/IEC 27001, akredytowanej przez dowolną jednostkę akredytującą wymienioną na stronie http://www.iaf.nu//articles/IAF_MEMBERS_SIGNATORIES/4. W przypadku, gdy Zamawiający, mimo zastosowania się do pisemnych zaleceń zawartych ze strony Wykonawcy, nie przejdzie pomyślnie procesu certyfikacji w w/w jednostce certyfikującej, Wykonawca zobowiązuje się do pokrycia kosztów powtórnego procesu certyfikacji w jednostce certyfikującej w tym samym zakresie Systemu.

Zobacz podobne  Co powinno zawierać raportowanie ESG?

II. Przygotowanie oferty

Ofertę cenową należy złożyć w formie pisemnej: pocztą na adres ………,

faxem na nr ……….. lub pocztą elektroniczną na adres ……………….

na Formularzu Oferty do dnia ………..

III. Szczegółowy zakres prac dla wdrożenia rozporządzenia KRI i ISO/IEC 27001

  1. Opracowanie przez Zleceniobiorcę niżej wymienionych dokumentów: przygotowanie przez Wykonawcę dokumentów od strony merytorycznej i formalnej do stanu, który pozwala przekazać dokumenty do jednostki certyfikującej przez Zamawiającego, bez podejmowania działań redakcyjnych lub innych ingerencji w treść dokumentu ze strony Zamawiającego. Po stronie Zamawiającego leży jedynie uzgodnienie treści dokumentów z Wykonawcą. Wykonawca gwarantuje, że dokumentacja systemu zarządzania bezpieczeństwem informacji jest zgodna z wymaganiami normy ISO/IEC 27001 oraz wymagania certyfikacyjnymi jednostki certyfikującej systemy zarządzania na zgodność z normą ISO/IEC 27001, akredytowanej przez dowolną jednostką akredytującą wymienioną na stronie http://www.iaf.nu//articles/IAF_MEMBERS_SIGNATORIES/4 .):
    • a. Zakres systemu zarządzania bezpieczeństwem informacji
    • b. Księga systemu zarządzania bezpieczeństwem informacji
    • c. Polityka bezpieczeństwa informacji
    • d. Schemat organizacyjny kierowania sprawami bezpieczeństwa informacji
    • e. Deklaracja stosowania dla systemu bezpieczeństwa informacji
    • f. Plan kontynuacji działania (BCP)
    • g. Metodyka szacowania ryzyka
    • h. Wszystkie procedury potrzebne do przejścia procesu certyfikacji:
      • h1. Procedura nadzoru nad dokumentami
      • h2. Procedura działań korekcyjnych, korygujących i zapobiegawczych
      • h3. Procedura auditu wewnętrznego
      • h4. Procedura nadzoru nad zapisami
      • h5. Procedura przeglądu zarządzania
      • h6. Procedura zarządzania incydentami
      • h7. Procedura bezpieczeństwa wewnętrznego organizacji
      • h8. Procedura ewakuacji personelu i sprzętu z obiektów
      • h9. Procedura klasyfikacji informacji wewnętrznych i zewnętrznych
      • h10. Procedura oceny ryzyk generowanych przez strony zewnętrzne (klientów, dostawców, kooperantów, innych)
      • h11. Procedura postępowania w przypadku odejścia pracownika z firmy
      • h12. Procedura bezpieczeństwa infrastruktury teleinformatycznej (sieć, serwerownie, urządzenia łączności, inne elementy)
      • h13. Procedura bezpieczeństwa fizycznego
      • h14. Procedura nadzór nad przyrządami pomiarowymi i zapewnienia spójności pomiarowej
      • h15. Inne niezbędne u klienta z punktu widzenia systemu bezpieczeństwa informacji (po ocenie potrzeb)
    • i. Dokumenty ustalające status systemu zarządzania bezpieczeństwem informacji zgodnie z wymaganiami normy.
    • j. Opracowanie formularzy i rejestrów będących integralną częścią w/w dokumentów w formie i treści odpowiedniej do potrzeb i woli klienta.
    • k. Przygotowanie wniosku o certyfikację
  2. Analiza ryzyk u klienta:
    • a. Identyfikacja aktywów
    • b. Identyfikacja i ocena podatności, które mogą być wykorzystane przez zagrożenia dla aktywów
    • c. Identyfikacja i ocena skutków utraty poufności, integralności i dostępności w odniesieniu do aktywów
    • d. Ocena ryzyka zgodnie z wybraną metodyką.
  3. Szkolenie klienta z zakresu: (łączny czas trwania szkoleń nie krótszy niż 24 godziny robocze)
    • a. Wymagań normy ISO27001
    • b. Wymagań załącznika A normy ISO27001
    • c. Szacowania ryzyka dla organizacji, dla konkretnych ryzyk, z podaniem wzorów i obliczeń
    • d. Metod zapewnienia spójności metrologicznej wg ISO 10012
    • e. Przeprowadzania audytów wewnętrznych na zgodność z normą ISO27001, wraz z podaniem sposobu audytowania, przygotowania raportu z audytu, podjęcia działań poaudytowych
    • f. Systemu wzajemnego uznawania (IAF, ILAC, EA, CEN, CENELEC, jednostki akredytujące, jednostki certyfikujące, jednostki normalizujące), porozumień międzynarodowych w zakresie systemu wzajemnego uznawania
    • g. Podstaw prawnych dla w/w systemu
    • h. Przeprowadzenie egzaminów wstępnych i końcowych ze znajomości wymagań normy dla koordynatora bezpieczeństwa i audytorów wewnętrznych
    • i. Wydanie świadectw (koordynatora bezpieczeństwa i audytorów wewnętrznych)
  4. Wdrożenie dokumentów do stosowania, a w szczególności:
    • a. Przygotowanie i przekazanie wytycznych odnośnie elektronicznego nadzorowania dokumentów i zapisów, jeżeli potrzebne, konfiguracja ustawień
    • b. Przeprowadzenia walidacji metod z klientem
    • c. Przeprowadzenia szacowania niepewności dla metod
    • d. Uzupełnienia zapisów wymaganych normą razem z klientem (po raz pierwszy i kolejne, aż do skutku)
    • e. Praktyczne szkolenie w formie konsultacji indywidualnych z zakresu stosowania opracowanej dokumentacji
    • f. Udzielenie wszelkiego wsparcia w celu uzyskania biegłego posługiwania się przez klienta systemem
  5. Audyty: (łączny czas trwania audytu nie krótszy niż 16 godzin roboczych)
    • a. Audyt Techniczny – wymagań zawartych w załączniku A normy ISO 27001
    • b. Audyt Systemowy – wymagań normy zawartych normie ISO 27001
    • c. Sporządzenie raportów w formie wymaganej przez jednostkę certyfikującą,
    • d. Przekazanie raportów do klienta
    • e. Wykonanie, razem z klientem, działań poaudytowych w formie uzgodnionej z klientem. Jeżeli występuje konieczność korekty dokumentacji, wykonuje ją Dostawca
  6. 6. Obsługa certyfikacji:
    • a. Wykonanie (na powyższych zasadach) działań po przeglądzie dokumentacji i audycie certyfikującym
Zobacz podobne  NIS vs NIS2

 

IV. Kontakt z wykonawcą

Osoba upoważniona do kontaktu z Wykonawcą:………………………………………………

FORMULARZ OFERTY

Przykładowy formularz oferty SIWZ KRI ISO 27001

pobierz Formularz oferty w pliku: pdf, docx

 

 

Licencja artykułu– open IKMJ

  • Zezwolenie na wykorzystywanie we własnych celach
  • Zezwolenie na kopiowanie
  • Zezwolenie na przekazywanie dalej
  • Zezwolenie na modyfikacje

 

Scroll to Top