Przykładowa specyfikacja dla zadania:

Wdrożenie systemu zarządzania bezpieczeństwem informacji zgodnego z rozporządzeniem o Krajowych Ramach Interoperacyjności (KRI) oraz normą ISO/IEC 27001 (SZBI)

I. Opis przedmiotu zamówienia

Usługa opracowania i wdrożenia systemu zarządzania bezpieczeństwem informacji zgodnego z wymaganiami Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych oraz normy ISO/IEC 27001 zgodnej ze specyfikacją określoną w Szczegółowym zakresie prac dla wdrożenia wymagań Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych i normy ISO/IEC 27001.

Poprzez opracowanie dokumentacji systemu należy rozumieć: przygotowanie przez Wykonawcę dokumentów od strony merytorycznej i formalnej do stanu, który pozwala przekazać dokumenty do jednostki certyfikującej przez Zamawiającego, bez podejmowania działań redakcyjnych lub innych ingerencji w treść dokumentu ze strony Zamawiającego. Po stronie Zamawiającego leży jedynie uzgodnienie treści dokumentów z Wykonawcą. Wykonawca gwarantuje, że dokumentacja systemu zarządzania bezpieczeństwem informacji jest zgodna z wymaganiami normy ISO/IEC 27001 oraz wymagania certyfikacyjnymi jednostki certyfikującej systemy zarządzania na zgodność z normą ISO/IEC 27001, akredytowanej przez dowolną jednostką akredytującą wymienioną na stronie http://www.iaf.nu//articles/IAF_MEMBERS_SIGNATORIES/4 .

Gwarancja pozytywnej certyfikacji: Wykonawca udziela Zamawiającemu pisemnej gwarancji na pozytywne przejście procesu certyfikacji za pierwszym razem o następującej treści:
Wykonawca udziela Zamawiającemu gwarancji na System zarządzania zgodny z normą ISO/IEC 27001, zwany dalej systemem. Gwarancja obejmuje pozytywne przejście procesu certyfikacji systemu, w jednostce certyfikującej systemy zarzadzania na zgodność z normą ISO/IEC 27001, akredytowanej przez dowolną jednostkę akredytującą wymienioną na stronie http://www.iaf.nu//articles/IAF_MEMBERS_SIGNATORIES/4. W przypadku, gdy Zamawiający, mimo zastosowania się do pisemnych zaleceń zawartych ze strony Wykonawcy, nie przejdzie pomyślnie procesu certyfikacji w w/w jednostce certyfikującej, Wykonawca zobowiązuje się do pokrycia kosztów powtórnego procesu certyfikacji w jednostce certyfikującej w tym samym zakresie Systemu.

Zobacz podobne Luki w zabezpieczeniach oraz ich ujawnienie. Przegląd norm ISO/IEC 29147 oraz ISO 30111. część 1

II. Przygotowanie oferty

Ofertę cenową należy złożyć w formie pisemnej: pocztą na adres ………,

faxem na nr ……….. lub pocztą elektroniczną na adres ……………….

na Formularzu Oferty do dnia ………..

III. Szczegółowy zakres prac dla wdrożenia rozporządzenia KRI i ISO/IEC 27001

Opracowanie przez Zleceniobiorcę niżej wymienionych dokumentów: przygotowanie przez Wykonawcę dokumentów od strony merytorycznej i formalnej do stanu, który pozwala przekazać dokumenty do jednostki certyfikującej przez Zamawiającego, bez podejmowania działań redakcyjnych lub innych ingerencji w treść dokumentu ze strony Zamawiającego. Po stronie Zamawiającego leży jedynie uzgodnienie treści dokumentów z Wykonawcą. Wykonawca gwarantuje, że dokumentacja systemu zarządzania bezpieczeństwem informacji jest zgodna z wymaganiami normy ISO/IEC 27001 oraz wymagania certyfikacyjnymi jednostki certyfikującej systemy zarządzania na zgodność z normą ISO/IEC 27001, akredytowanej przez dowolną jednostką akredytującą wymienioną na stronie http://www.iaf.nu//articles/IAF_MEMBERS_SIGNATORIES/4 .):
- a. Zakres systemu zarządzania bezpieczeństwem informacji
- b. Księga systemu zarządzania bezpieczeństwem informacji
- c. Polityka bezpieczeństwa informacji
- d. Schemat organizacyjny kierowania sprawami bezpieczeństwa informacji
- e. Deklaracja stosowania dla systemu bezpieczeństwa informacji
- f. Plan kontynuacji działania (BCP)
- g. Metodyka szacowania ryzyka
- h. Wszystkie procedury potrzebne do przejścia procesu certyfikacji:
  - h1. Procedura nadzoru nad dokumentami
  - h2. Procedura działań korekcyjnych, korygujących i zapobiegawczych
  - h3. Procedura auditu wewnętrznego
  - h4. Procedura nadzoru nad zapisami
  - h5. Procedura przeglądu zarządzania
  - h6. Procedura zarządzania incydentami
  - h7. Procedura bezpieczeństwa wewnętrznego organizacji
  - h8. Procedura ewakuacji personelu i sprzętu z obiektów
  - h9. Procedura klasyfikacji informacji wewnętrznych i zewnętrznych
  - h10. Procedura oceny ryzyk generowanych przez strony zewnętrzne (klientów, dostawców, kooperantów, innych)
  - h11. Procedura postępowania w przypadku odejścia pracownika z firmy
  - h12. Procedura bezpieczeństwa infrastruktury teleinformatycznej (sieć, serwerownie, urządzenia łączności, inne elementy)
  - h13. Procedura bezpieczeństwa fizycznego
  - h14. Procedura nadzór nad przyrządami pomiarowymi i zapewnienia spójności pomiarowej
  - h15. Inne niezbędne u klienta z punktu widzenia systemu bezpieczeństwa informacji (po ocenie potrzeb)
- i. Dokumenty ustalające status systemu zarządzania bezpieczeństwem informacji zgodnie z wymaganiami normy.
- j. Opracowanie formularzy i rejestrów będących integralną częścią w/w dokumentów w formie i treści odpowiedniej do potrzeb i woli klienta.
- k. Przygotowanie wniosku o certyfikację
Analiza ryzyk u klienta:
- a. Identyfikacja aktywów
- b. Identyfikacja i ocena podatności, które mogą być wykorzystane przez zagrożenia dla aktywów
- c. Identyfikacja i ocena skutków utraty poufności, integralności i dostępności w odniesieniu do aktywów
- d. Ocena ryzyka zgodnie z wybraną metodyką.
Szkolenie klienta z zakresu: (łączny czas trwania szkoleń nie krótszy niż 24 godziny robocze)
- a. Wymagań normy ISO27001
- b. Wymagań załącznika A normy ISO27001
- c. Szacowania ryzyka dla organizacji, dla konkretnych ryzyk, z podaniem wzorów i obliczeń
- d. Metod zapewnienia spójności metrologicznej wg ISO 10012
- e. Przeprowadzania audytów wewnętrznych na zgodność z normą ISO27001, wraz z podaniem sposobu audytowania, przygotowania raportu z audytu, podjęcia działań poaudytowych
- f. Systemu wzajemnego uznawania (IAF, ILAC, EA, CEN, CENELEC, jednostki akredytujące, jednostki certyfikujące, jednostki normalizujące), porozumień międzynarodowych w zakresie systemu wzajemnego uznawania
- g. Podstaw prawnych dla w/w systemu
- h. Przeprowadzenie egzaminów wstępnych i końcowych ze znajomości wymagań normy dla koordynatora bezpieczeństwa i audytorów wewnętrznych
- i. Wydanie świadectw (koordynatora bezpieczeństwa i audytorów wewnętrznych)
Wdrożenie dokumentów do stosowania, a w szczególności:
- a. Przygotowanie i przekazanie wytycznych odnośnie elektronicznego nadzorowania dokumentów i zapisów, jeżeli potrzebne, konfiguracja ustawień
- b. Przeprowadzenia walidacji metod z klientem
- c. Przeprowadzenia szacowania niepewności dla metod
- d. Uzupełnienia zapisów wymaganych normą razem z klientem (po raz pierwszy i kolejne, aż do skutku)
- e. Praktyczne szkolenie w formie konsultacji indywidualnych z zakresu stosowania opracowanej dokumentacji
- f. Udzielenie wszelkiego wsparcia w celu uzyskania biegłego posługiwania się przez klienta systemem
Audyty: (łączny czas trwania audytu nie krótszy niż 16 godzin roboczych)
- a. Audyt Techniczny – wymagań zawartych w załączniku A normy ISO 27001
- b. Audyt Systemowy – wymagań normy zawartych normie ISO 27001
- c. Sporządzenie raportów w formie wymaganej przez jednostkę certyfikującą,
- d. Przekazanie raportów do klienta
- e. Wykonanie, razem z klientem, działań poaudytowych w formie uzgodnionej z klientem. Jeżeli występuje konieczność korekty dokumentacji, wykonuje ją Dostawca
6. Obsługa certyfikacji:
- a. Wykonanie (na powyższych zasadach) działań po przeglądzie dokumentacji i audycie certyfikującym