OPIS PRZEDMIOTU ZAMÓWIENIA NA

Transkrypt

1 Pieczęć Wykonawcy Załącznik nr 7 OPIS PRZEDMIOTU ZAMÓWIENIA NA Opracowanie i wdrożenie Zintegrowanego Systemu Bezpieczeństwa Informacji wraz z przygotowaniem do procesu certyfikacji na zgodność z normami PN-ISO/IEC 27001:2007 i PN-EN ISO 9001:2009 Spis treści 1. Informacje ogólne Zakres i sposób realizacji Definicje Minimalne wymagania realizacji zamówienia specyfikacja techniczna Zadanie 1 Kontrola legalności oprogramowania oraz przestrzegania praw autorskich Zadanie 2 Wykonanie audytu zerowego stanu zastanego Zadanie 3 Opracowanie koncepcji i kompleksowej metodyki prowadzenia prac wdrożeniowych dla obszarów bezpieczeństwa i jakości Zadanie 4 Opis metodyki szacowania i zarządzania ryzykiem, przeprowadzenia analizy ryzyka wraz z klasyfikacja informacji Zadanie 5 Opracowanie dokumentacji i wdrożenie systemu ZSBI obejmujące wymagania norm PN-EN ISO 9001:2009 i PN-ISO/IEC 27001: Zadanie 6 Szkolenia Zadanie 7 Przeprowadzenie wewnętrznego nadzorowanego audytu systemu na zgodność z wymaganiami norm jako przygotowanie do procesu certyfikacji Zadanie 8 Udział i wsparcie w procesie certyfikacji - wskazanie terminu przez SCSI Dostawa i wdrożenie aplikacji wparcia informatycznego dla systemu ZSBI Moduł- Aplikacja do ewidencji, zarządzania licencjami i infrastrukturą IT Moduł -Aplikacja do wspomagania szacowaniem i analizą ryzyka Moduł -Aplikacja do publikacji wymagań i dokumentacji wdrożonego ZSBI Gwarancja i asysta techniczna dla wdrożonego systemu ZSBI Opis przedmiotu zamówienia str. 36

2 1. Informacje ogólne Opracowanie i wdrożenie Zintegrowanego Systemu Bezpieczeństwa Informacji wraz z przygotowaniem do procesu certyfikacji na zgodność z normami PN-ISO/IEC 27001:2007 i PN-EN ISO 9001:2009. Zamówienie jest realizowane w ramach realizacji projektu Rozbudowa i upowszechnienie Systemu Elektronicznej Komunikacji Administracji Publicznej w Województwie Śląskim - SEKAP2. 2. Zakres i sposób realizacji 1. Przedmiot zamówienia jest realizowany na potrzeby akredytowanej certyfikacji Zamawiającego oraz w ograniczonym, ściśle określonym zakresie dla Partnerów Zamawiającego w obszarze styku z SEKAP wraz ze szczególnym uwzględnieniem współdzielonej infrastruktury serwerowni Urzędu Marszałkowskiego Województwa Śląskiego (UMWŚ). 2. Zamawiający posiada 1 lokalizację swojej siedziby w Katowicach przy ul. Powstańców 34, jedną serwerownię (CPD) z własną infrastrukturą zlokalizowaną w lokalu Urzędu Marszałkowskiego przy ul. Dąbrowskiego W ramach zamówienia będą prowadzone ograniczone działania na rzecz Partnerów Zamawiającego, które są wskazane w Załączniku nr 4, nie więcej jednak niż dla 100 osób. 4. Wykonawca przedstawi w ciągu 14 dni od daty podpisania umowy szczegółowy harmonogram prac do zatwierdzenia przez Zamawiającego uwzględniający wymogi SIWZ w zakresie maksymalnego okresu realizacji określonego zadania oraz wyznaczenia konsultanta prowadzącego, a tym samym odpowiedzialnego za wykonanie określonego zadania. 5. Całość zebranego materiału informacyjnego i opracowanej dokumentacji systemu Wykonawca przekazuje Zamawiającemu w postaci edytowalnych plików zapisanych na płytach CD/DVD, natomiast materiał audytowy (notatki, zdjęcia, wywiady itp.) może przekazać w postaci skanu lub innych rodzajów plików zapisanych na płytach Opis przedmiotu zamówienia str. 37

3 CD/DVD. Dokumentację systemowa przeznaczoną do certyfikacji umieszcza w dedykowanej aplikacji do publikacji systemu ZSBI oraz w 3 egzemplarzach wydrukowanych. 6. Akredytowana certyfikacja na zgodność z wymogami norm PN-ISO/IEC 27001:2007 oraz PN-EN ISO 9001:2009 będzie prowadzona wyłącznie dla Śląskiego Centrum Społeczeństwa Informacyjnego przez jednostkę certyfikacyjną wyłoniona w odrębnym postępowaniu zamówienia publicznego. 3. Definicje SEKAP Projekt SEKAP Projekt SEKAP2 oznacza System Elektronicznej Komunikacji Administracji Publicznej w Województwie Śląskim (SEKAP) oznacza realizowany w latach projekt System Elektronicznej Komunikacji Administracji Publicznej (SEKAP) - dostawa oprogramowania i sprzętu teleinformatycznego wraz z pracami programistycznymi, wdrożeniowymi i instalacyjnymi dla 54 jednostek samorządu terytorialnego oraz dla Centrum Przetwarzania Danych", współfinansowany przez Unię Europejską z środków Europejskiego Funduszu Rozwoju Regionalnego w ramach Zintegrowanego Programu Operacyjnego Rozwoju Regionalnego (ZPORR). Wartość projektu ok. 22 mln. zł. oznacza projekt Rozbudowa i upowszechnienie Systemu Elektronicznej Komunikacji Administracji Publicznej w Województwie Śląskim - SEKAP2, który stanowi kontynuację projektu SEKAP Zamawiający oznacza Śląskie Centrum Społeczeństwa Informacyjnego (ŚCSI) - jednostkę budżetową która w imieniu Województwa Śląskiego ma zarządzać, monitorować i rozliczać projekt SEKAP2 Partnerzy - jednostki samorządu terytorialnego województwa śląskiego uczestniczące w realizacji projektu SEKAP (7 powiatów ziemskich, 10 miast na prawach powiatu, 36 gmin, Urząd Marszałkowski) oraz podmioty realizujące zadania publiczne posiadające siedzibę na obszarze województwa Opis przedmiotu zamówienia str. 38

4 śląskiego, które podpiszą umowę o przyłączeniu do projektu SEKAP, SEKAP2 (w tym inne jednostki samorządu terytorialnego i ich jednostki organizacyjne, samorządowe kolegia odwoławcze, szkoły. Doradca Technologiczny Centrum Przetwarzania Danych (CPD) System Obiegu Dokumentów (SOD) oznacza osobę fizyczną osobę prawną wyłonioną na podstawie postępowania o udzielenie zamówienia publicznego, sprawującą nadzór oraz świadczącą kompleksowe usługi doradcze dla Zamawiającego przy realizacji projektu SEKAP2 zbudowany w ramach projektu, zabezpieczony ośrodek komputerowy (urządzenia teleinformatyczne), wyposażony w serwery z oprogramowaniem, środki archiwizacji danych i szerokopasmowy dostęp do Internetu, stanowiący element regionalnej infrastruktury teleinformatycznej, a zlokalizowany w Śląskim Centrum Społeczeństwa Informacyjnego. przez system obiegu dokumentów rozumie się aplikację, która: realizuje wewnętrzne procedury biznesowe i urzędowe (a co najmniej przyjmowanie, dekretowanie, procedowanie, archiwizację dokumentów oraz spraw), automatycznie realizuje przepływ danych i dokumentów (korespondencji oraz spraw) pomiędzy stanowiskami komputerowymi użytkowników systemu według wcześniej zaplanowanej kolejności i zgodnie z narzuconymi wcześniej ograniczeniami czasowymi. umożliwia składowanie na nośnikach elektronicznych w sposób zorganizowany wszelkiego rodzaju dokumentów wpływających, wychodzących i wytwarzanych w ramach biznesowych i urzędowych procedur (repozytorium dokumentowe systemu). umożliwia elektroniczną wymianę informacji (dokumentów, pism) z klientem, przez co stanowi narzędzie pracy dla pracowników oraz narzędzie do komunikacji z klientem Opis przedmiotu zamówienia str. 39

5 4. Minimalne wymagania realizacji zamówienia specyfikacja techniczna Realizacja zamówienia prowadzona ma być w ramach opisanych poniżej 9 zadaniach: 4.1. Zadanie 1 Kontrola legalności oprogramowania oraz przestrzegania praw autorskich 1. Zadanie obejmuje: a) dokonania skanowania zasobów jednostek komputerowych; b) wykonania przeglądu posiadanych licencji na podstawie atrybutów; c) legalności (faktura, licencje oraz nośniki); d) ewidencji oprogramowania użytkowanego przez Zamawiającego; e) implementacji ewidencji oprogramowania do aplikacji zarządzającej licencjami oraz infrastrukturą; f) przygotowania Procedury programu naprawczego; g) przygotowania Procedury Zarządzania Oprogramowaniem; h) opracowanie planu wdrożenia programu naprawczego. 2. Zadanie realizowane będzie tylko dla zasobów Zamawiającego, z wykluczeniem Partnerów Zamawiającego. 3. Wynikiem realizacji zadania ma być Raport Audytowy wraz z odpowiednio opisanymi wzorcowymi procedurami i planami. 4. Odbiór: protokół zdawczo-odbiorczy nr Zadanie 2 Wykonanie audytu zerowego stanu zastanego 1. Zadanie obejmuje zbadanie i opisanie: a) infrastruktury i organizacji Zamawiającego wraz przeprowadzeniem inwentaryzacji zasobów; b) infrastruktury Partnerów wyłącznie w obszarze punktu styku z platformą SEKAP i zasad bezpieczeństwa danych oraz przetwarzania informacji w tym obszarze; c) dokumentacji systemowej Zamawiającego w obszarze posiadanej Polityki Bezpieczeństwa, ochrony danych w tym osobowych; Opis przedmiotu zamówienia str. 40

6 d) wymagań prawnych w obszarze działania Zamawiającego; e) stanu zabezpieczeń i realizacji wymagań prawnych w zakresie bezpieczeństwa informacji. 2. Zadanie realizowane będzie w pełnym zakresie w siedzibie SCSI oraz w ograniczonym do badania punktu styku z internetem oraz infrastrukturą SEKAP, w Lokalizacjach Partnerów zgodnie z zatwierdzonym harmonogramem szczegółowym. Wizyty on-site w siedzibach Partnerów są wyznaczone wstępnymi datami w harmonogramie szczegółowym, a następnie są uzgadniane i potwierdzane z Partnerem na min. 10 dni przed datą audytu. Wykonawca przestawia Partnerowi zatwierdzoną przez SCSI check listę oraz plan audytu. Zamawiający przedkłada Wykonawcy upoważnienie do przeprowadzenia audytu u Partnera. Czas trwania audytu Partnera określa Wykonawca. 3. Wynikiem realizacji zadania jest Raport Audytowy opisujący wyniki badań dla podanego zakresu czynności wraz z załączonym materiałem dowodowym. 4. Odbiór: protokół zdawczo-odbiorczy nr Zadanie 3 Opracowanie koncepcji i kompleksowej metodyki prowadzenia prac wdrożeniowych dla obszarów bezpieczeństwa i jakości 1. Zadanie obejmuje: a) Opracowanie na podstawie przeprowadzonych audytów, inwentaryzacji KONCEPCJI Zintegrowanego Systemu Bezpieczeństwa Informacji (ZSBI) zgodnego z wymogami norm PN-ISO/IEC 27001:2007 i PN-EN ISO 9001:2009, wraz z metodyką prac wdrożeniowych uwzględniającej wdrożenie specjalistycznej aplikacji do publikacji, nadzoru i tworzenia dokumentacji systemowej SZBI wraz z wsparciem informatycznym dla procesu szacowania i analizy ryzyka. Koncepcja uwzględniać musi wymaganie dotyczącej zasad zasilenia materiałem szkoleniowym i dydaktycznym do systemu e-learning implementowanego dla SCSI w ramach realizacji projektu oraz opracowanej metodyki szkoleń indywidualnych i grupowych kadry SCSI oraz jego Partnerów. Opis przedmiotu zamówienia str. 41

7 2. Wynikiem realizacji zadania jest dokument KONCEPCJA wdrożenia Zintegrowanego Systemu Bezpieczeństwa Informacji (ZSBI) zgodnego z wymogami norm PN-ISO/IEC 27001:2007 i PN-EN ISO 9001: Odbiór: protokół zdawczo-odbiorczy nr Zadanie 4 Opis metodyki szacowania i zarządzania ryzykiem, przeprowadzenia analizy ryzyka wraz z klasyfikacja informacji 1. Zadanie obejmuje opracowanie klasyfikacji informacji, inwentaryzacje i opis aktywów Zamawiającego wraz z przypisaniem ich właścicieli, opracowanie metodyki szacowania ryzyka i zasad zarządzania ryzykiem wraz z odpowiednimi procedurami. Przeprowadzenie pełnej analizy ryzyka zgodnie z opracowana metodyką dla SCSI z uwzględnieniem punktu styku infrastruktury IT Zamawiającego z Partnerami oraz UMWŚ projektu SEKAP z zastosowaniem dedykowanych aplikacji. 2. Wynikiem realizacji zadania jest dokumentacja analizy i szacowania ryzyka z wyznaczeniem poziomu ryzyka akceptowalnego i planu zarządzania ryzykiem. 3. Odbiór: protokół zdawczo-odbiorczy nr Zadanie 5 Opracowanie dokumentacji i wdrożenie systemu ZSBI obejmujące wymagania norm PN-ISO/IEC 27001:2007 i PN-EN ISO 9001: Zadanie obejmuje opracowanie kompletnej dokumentacji systemu ZSBI całkowicie zgodnej z wymogami ujętymi w normach PN-ISO/IEC 27001:2007 i PN-EN ISO 9001:2009 i będącej podstawą do wdrożenia systemu ZSBI w SCSI, a następnie jego akredytowanej certyfikacji. Opracowana dokumentacja musi zawierać co najmniej dokumenty, instrukcje, procedury, wzory druków: a) księgę ZSBI; b) mapę procesów; c) Polityki Bezpieczeństwa i Jakości; d) Politykę Bezpieczeństwa Informacji w tym Politykę Bezpieczeństwa danych osobowych. Opis przedmiotu zamówienia str. 42

8 Plany, instrukcje, regulaminy: a) Instrukcji Zarządzania Systemem Informatycznym; b) Instrukcje postępowania w przypadkach awaryjnych i kryzysowych; c) Instrukcję Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych; d) Instrukcje i procedury prowadzenia badania i pomiarów satysfakcji; e) Instrukcje i procedury prowadzenia badania i pomiarów bezpieczeństwa; f) Regulamin Ochrony i Klasyfikacji Informacji; g) Regulamin Użytkownika Systemu; h) Regulaminów wymaganych prawem w tym aktualizacja Regulaminu Kontroli Zarządczej w pełnym zakresie wymagań; i) Regulamin Administratora Bezpieczeństwa Informacji; j) Plany Ciągłości Działania dla zidentyfikowanych obszarów; k) programy audytów; l) przykładowe listy pytań audytowych; m) wykaz informacji chronionych. Procedury: a) procedurę nadawania / odbioru uprawnień do SI (systemów informatycznych); b) procedurę postępowania w przypadkach naruszenia bezpieczeństwa SI dla zidentyfikowanej listy potencjalnych incydentów; c) procedurę obsługi awarii systemu informatycznego; d) procedurę tworzenia i przechowywania, niszczenia, odtworzenia kopii zapasowych; e) procedur eksploatacyjnych systemów informatycznych; f) procedurę niszczenia i zabezpieczenia nośników informacji; g) Plany Ciągłości Działania dla zidentyfikowanych obszarów; h) procedura zarządzania licencjami; Opis przedmiotu zamówienia str. 43

9 i) procedura Zarządzania pozostałymi zasobami IT; j) procedura gromadzenia materiału dowodowego z incydentu bezpieczeństwa; k) procedury testowania i odbioru systemów; l) procedury monitorowania zasobów; m) procedury monitorowania i planowania kosztów; n) procedury zarządzania zmianą; o) procedury zarządzania konfiguracją; p) procedury instalacji systemów; q) procedury zabezpieczenia środowiskiem fizycznym; r) procedury nadzoru nad pracą zdalną; s) procedurę nad dokumentami i zapisami; t) procedurę działań korygujących i zapobiegawczych; u) procedurę nadzoru nad wyrobem niezgodnym; v) procedurę audytu wewnętrznego; w) pozostałe procedury systemowe i zidentyfikowane a niezbędnie wymagane zapisami norm PN-ISO/IEC 27001:2007 PN-EN ISO 9001:2009 i a wskazane przez Wykonawcę i zaakceptowane przez Zamawiającego. 2. Do opracowanej i wdrażanej dokumentacji należy dołączyć wymagane instrukcje, wzory druków, w ilości i zakresie przedstawionym w Koncepcji. Przedstawiony powyżej wykaz jest minimalnym zestawem wymaganych opracowań. 3. Wynikiem realizacji zadania jest kompletna zespolona dokumentacja ZSBI oraz wdrożenie systemu w organizacji Zamawiającego (SCSI) 4. Odbiór: protokół zdawczo-odbiorczy nr Zadanie 6 Szkolenia 1. Zadanie obejmuje przeprowadzenie szkoleń w siedzibie Zamawiającego dla: a) 3 pełnomocników ds. ZSBI Zamawiającego w jednej grupie z obszarów z obszaru wymagań norm PN-ISO/IEC 27001:2007, PN-EN ISO 9001:2009, zasad prowadzenia audytu, analizy i szacowania ryzyka, budowy dokumentacji ZSBI Opis przedmiotu zamówienia str. 44

10 i jej nadzoru, zasad obsługi, administracji i konfiguracji dedykowanych aplikacji do wspomagania informatycznego SZBI w ilości min. 80 godzin szkoleniowych w postaci zajęć seminaryjnych oraz 48 godzin zajęć warsztatowych na niezależnych stanowiskach komputerowych (każde zajęcia w 8 godzinnych cyklach zajęć). Szkolenie zakończone jest egzaminem wewnętrznym dla pełnomocników w postaci testu i z wydaniem certyfikatu ukończenia kursu; b) 6 audytorów wewnętrznych Zamawiającego w jednej grupie z obszarów wymagań norm PN-ISO/IEC 27001:2007, PN-EN ISO 9001:2009 zasad prowadzenia audytu, analizy i szacowania ryzyka, budowy dokumentacji ZSBI i jej nadzoru, zasad obsługi dedykowanych aplikacji do wspomagania informatycznego SZBI w ilości min. 48 godzin szkoleniowych w postaci zajęć seminaryjnych oraz 24 godzin zajęć warsztatowych na niezależnych stanowiskach komputerowych (każde zajęcia w 8 godzinnych cyklach zajęć). Szkolenie zakończone jest egzaminem wewnętrznym dla audytorów wewnętrznych w postaci testu i z wydaniem certyfikatu ukończenia szkolenia; c) max. 100 audytorów wewnętrznych Partnerów Zamawiającego wykazanych w aktualizowanym Załączniku nr 4, w grupach max. 15 osobowych, z obszarów wymagań norm PN-ISO/IEC 27001:2007, PN-EN ISO 9001:2009, zasad prowadzenia audytu, analizy i szacowania ryzyka, budowy dokumentacji systemu ZSBI i jej nadzoru, w ilości min. 36 godzin szkoleniowych na grupę w postaci zajęć seminaryjnych oraz 16 godzin zajęć warsztatowych na niezależnych stanowiskach komputerowych (każde zajęcia w 8 godzinnych cyklach zajęć). Szkolenie zakończone jest egzaminem wewnętrznym dla audytorów wewnętrznych w postaci testu i z wydaniem certyfikatu ukończenia szkolenia; d) 4 osób jako administratorów aplikacji dedykowanych w ofercie w ilości 40 godzin zajęć warsztatowych z zakresu instalacji, administrowania, konfiguracji, użytkowania wskazanych w ofercie aplikacji przy zastosowaniu indywidualnych stacji roboczych oraz dedykowanego środowiska szkoleniowego dostarczonego przez Wykonawcę na czas trwania kursu. W ramach cyklów szkoleniowych Wykonawca zapewnia min. 2 przerwy kawowe oraz lunch z uwzględnieniem każdego uczestnika szkolenia. Jednorazowy Opis przedmiotu zamówienia str. 45

11 cykl szkoleń nie może przekraczać 7 godzin zajęć. Wykonawca zapewnia w ramach realizacji zadania salę wykładową wraz z wymaganą infrastrukturą (projektor, ekran, stanowiska komputerowe) zlokalizowaną na terenie centrum Katowic z zapewnieniem dogodnego dojazdu komunikacją publiczną. 2. Całość materiału szkoleniowego, na każde prowadzone szkolenie, przedstawiana jest w postaci prezentacji multimedialnych (.ppsx), które Wykonawca przekaże, w wersji edytowanej (.pptx) a pozostałe materiały informacyjne w postaci plików.docx, Zamawiającemu. Do celów publikacji w/w materiałów szkoleniowych w systemie e-learnig Wykonawca dodatkowo opracuje powyższe materiały i przekaże Zamawiającemu także w standardach SCORM i AICC. Każdy uczestnik kursu szkoleniowego otrzyma skrypt szkoleniowy zawierający materiał w postaci wydruku prezentacji i dodatkowych materiałów uzupełniających. Materiały szkoleniowe i prezentacje, oraz lekcje e-learning muszą uzyskać akceptację Zamawiającego. 3. Wynikiem realizacji zadania jest: a) zbiór materiałów szkoleniowych do wykorzystania w systemie e-learning; b) listy obecności uczestników szkoleń z każdej grupy i cyklu szkoleniowego; c) ankiety badania efektywności szkolenia; d) wyniki przeprowadzonych egzaminów; e) rejestr wydanych certyfikatów; f) kompleksowe przygotowanie merytoryczne kadry Zamawiającego do procesu uzyskania kwalifikowanego akredytowanego certyfikatu. 4. Odbiór: protokół zdawczo-odbiorczy nr Zadanie 7 Przeprowadzenie wewnętrznego nadzorowanego audytu systemu na zgodność z wymaganiami norm jako przygotowanie do procesu certyfikacji 1. Zadanie obejmuje: a) wykonanie audytu wewnętrznego organizacji Zamawiającego zgodnie z harmonogramem audytów wdrożonego systemu przez grupę audytorów wewnętrznych Zamawiającego pod nadzorem audytora wiodącego Wykonawcy; Opis przedmiotu zamówienia str. 46

12 b) przeprowadzenie działań korygujących i zapobiegawczych oraz korekcji w obszarze działania wdrożonego ZSBI Zamawiającego celem jego doskonalenia i eliminacji stwierdzonych niezgodności. 2. Wynikiem realizacji zadania jest: a) raport z audytu wewnętrznego organizacji Zamawiającego (SCSI); b) raport z przeprowadzonych działań korygujących i zapobiegawczych oraz korekcji; c) ostateczna wersja dokumentacji systemu ZSBI jako materiał dla jednostki certyfikującej; d) raport zgodności z wymaganiami norm; e) wniosek o gotowości systemu do rozpoczęcia procesu certyfikacji systemu. 3. Odbiór: protokół zdawczo-odbiorczy nr Zadanie 8 Udział i wsparcie w procesie certyfikacji - wskazanie terminu przez SCSI 1. Zadanie obejmuje udział wyznaczonego konsultanta wiodącego w procesie certyfikacji systemu w terminie wskazanym przez Zamawiającego. 2. Wynikiem realizacji zadania jest uzyskanie akredytowanego certyfikatu zgodności systemu z wymaganiami norm PN-ISO/IEC 27001:2007 oraz norm PN-EN ISO 9001: W przypadku zaistnienia sytuacji stwierdzenia przez jednostkę certyfikującą niezgodności uniemożliwiających przyznanie certyfikatu Zamawiającemu na zgodność z wymogami norm PN-ISO/IEC 27001:2007 oraz PN-EN ISO 9001:2009. Wykonawca prowadzi nadal wszelkie prace naprawcze i korygujące system ZSBI, bez względu na koszty własne, w terminie określonym przez Zamawiającego i ponownie uczestniczy w kolejnym procesie uzyskania certyfikatu. 4. Odbiór: protokół zdawczo-odbiorczy nr 8 Podstawą zatwierdzenia protokołów zdawczo-odbiorczych dla wszystkich zadań jest wykonanie przedmiotu realizacji zadania stopniu zadawalającym Zamawiającego Opis przedmiotu zamówienia str. 47

13 w oparciu o zapisy SIWZ, dobre praktyki, należytą staranność i wymogi formalno-prawne oraz wiedzę Wykonawcy i Zamawiającego. 5. Dostawa i wdrożenie aplikacji wparcia informatycznego dla systemu ZSBI Minimalne wymagania techniczno-funkcjonalne dla dedykowanego oprogramowania wspomagającego ZSBI w organizacji Zamawiającego to: 5.1. Moduł- Aplikacja do ewidencji, zarządzania licencjami i infrastrukturą IT Ilość użytkowników 25 Licencja Preferowana baza danych Język interfejsu i dokumentacji Preferowane środowisko systemowe Gwarancja Asysta techniczna Minimalny zakres funkcjonalny Bezterminowa Dowolna Polski Linux 60 miesięcy 60 miesięcy wykrywanie i wizualizacja sieci (skanowanie sieci, wykrywanie serwisów, interaktywne mapy sieci); monitorowanie sieci (serwisy TCP/IP, MRTG, SNMP; wydajność i stabilność aplikacji); inwentaryzacja sprzętu, inwentaryzacja i zarządzanie licencjami; zdarzenia (alarmy i akcje) w przypadku zmian konfiguracji; ochrona portów i nośników - USB, firewire, IrDA, slotów pamięci kart, nagrywarek, pendrive, WiFi, Bluetooth; dystrybucja plików; zarządzanie prawami dostępów do portów, audyt operacji na urządzeniach, ochrona agenta przed usunięciem; kompilator plików MIB; monitoring pracowników, integracja z Active Directory, praca sieciowa i desktopowa, help desk Moduł -Aplikacja do wspomagania budowy i zarządzania dokumentacją ZSBI wraz z szacowaniem i analizą ryzyka Ilość użytkowników 50 Opis przedmiotu zamówienia str. 48

14 Licencja Preferowana baza danych Język interfejsu i dokumentacji Preferowane środowisko systemowe Gwarancja Asysta techniczna Minimalny zakres funkcjonalny Bezterminowa Dowolna Polski Linux 60 miesięcy 60 miesięcy praca sieciowa, dostęp przez przeglądarkę, panel administracyjny umożliwiający konfiguracje i parametryzację zakresu uprawnień i dostępu, identyfikacja pracy użytkowników i redaktorów, walidacje plików, możliwość podłączania załączników w dowolnym formacie, wydruki dokumentacji, raportowanie użytkowania systemu, integracja z modułem do analizy ryzyka, słowniki, interaktywny help, kontekstowe wyszukiwanie wyrażeń, możliwość budowy interaktywnych formularzy i tabel, definiowanie kryteriów analitycznych, system interaktywnej budowy schematów i grafów, autoryzowany dostęp do poszczególnych procesów - zabezpieczanie przed nieuprawnionymi modyfikacjami, definiowania informacji o procesach takich jak: dane wejściowe i wyjściowe, właściwości procesu, uczestników, dokumenty i formularze itd., możliwość definiowania i prezentacji wskaźników i mierników procesów, rozbudowany edytor graficzny pozwalający na rozrysowanie procesu wg wcześniej obranych założeń, system musi automatycznie rejestrować zmiany merytoryczne i pozwalać na ich późniejsze analizowanie, użytkownik może w dowolnym momencie przeglądać archiwum, możliwość zdalnej pracy wielu użytkowników - rysowanie map procesów przez właścicieli/liderów procesów przy jednoczesnej zdalnej pracy z konsultantem lub liderem projektu, możliwość planowania auditów z wykorzystaniem bazy wiedzy powstałej podczas przeprowadzania auditów wcześniejszych (cel, obszar, pytania, niezgodności, skuteczność działań), możliwość załączania dowodów do procesu auditu w formie dowolnych plików, możliwość Opis przedmiotu zamówienia str. 49

15 skorzystania z kreatora raportów umożliwiającego użytkownikowi samodzielne tworzenie rejestrów i raportów oraz przeprowadzenie analizy z wyników przeprowadzonych auditów, możliwość bezpośredniego przekazywania informacji i danych o audicie do aplikacji z dowolnego komputera w sieci wewnętrznej lub zewnętrznej, możliwość automatycznego generowania monitów przypominających pracownikom o realizacji poszczególnych etapów działań, możliwość kontaktu audytowany (odpowiedzialny za usunięcie np. niezgodności) z audytującym on-line, możliwość automatycznego generowania i aktualizacji rejestrów oraz raportów związanych z niezgodnościami oraz podjętymi działaniami, możliwe tworzenie i modyfikacja list: ryzyk, aktywów mających ściśle określoną wartość dla danego przedsiębiorstwa, zagrożeń, podatności, możliwość eksportu danych z aplikacji do plików zewnętrznych, konfiguracja kategorii ryzyka, zapis w formacie np. RPT, HTML, XLS, RTF, TTX, TXT, XML, BMP, JPEG, TIFF, GIF, CSV, , możliwość automatycznego definiowania użytkowników na podstawie struktury organizacyjnej lub Active Directory Moduł -Aplikacja do publikacji wymagań i dokumentacji wdrożonego ZSBI Ilość użytkowników 50 Licencja Preferowana baza danych Język interfejsu i dokumentacji Preferowane środowisko systemowe Gwarancja Asysta techniczna Minimalny zakres funkcjonalny Bezterminowa Dowolna Polski Linux 60 miesięcy 60 miesięcy praca sieciowa, dostęp przez przeglądarkę, panel administracyjny umożliwiający konfiguracje i parametryzację zakresu uprawnień i dostępu, identyfikacja pracy użytkowników i redaktorów, walidacje Opis przedmiotu zamówienia str. 50

16 plików, możliwość podłączania załączników w dowolnym formacie, wydruki dokumentacji, raportowanie użytkowania systemu, integracja z modułem do analizy ryzyka, słowniki, interaktywny help, kontekstowe wyszukiwanie wyrażeń, możliwość budowy interaktywnych formularzy, system nadawania uprawnień dostępu do danych, możliwość integracji dostępu z domeną, wizualizację diagramów procesów, możliwość przeglądania diagramów według określonych elementów czynności/dokumentów/odpowiedzialności, wyszukiwarka danych dostęp do pożądanego elementu (dokumentu, diagramu, stanowiska, czynności, itp.). 6. Gwarancja i asysta techniczna dla wdrożonego systemu ZSBI 1. Wykonawca udziela 60 miesięcznej gwarancji na dostarczony systemy informatyczne wraz z prawem do uzyskania wszelkich dostępnych u producenta systemowych aktualizacji dostarczonych aplikacji w zakresie wdrożonego oprogramowania dziedzinowego wsparcia ZSBI. Okres gwarancji rozpoczyna się z dniem podpisania końcowego protokołu zakończenia wdrożenia. 2. Koszt udzielania gwarancji wliczony jest do wynagrodzenia jakie otrzyma Wykonawca za realizację umowy. 3. W okresie gwarancji wszelkie koszty usuwania wad i awarii, których przyczyna nie leży po stronie Zamawiającego, a przez niego wskazanych i będącymi zasadnymi, ponosi Wykonawca. 4. W ramach gwarancji opracowanego i wdrożonego ZSBI Wykonawca zobowiązuje się uczestnictwa w procesie certyfikacji systemu na zgodność z wymogami norm w terminie wskazanym przez Zamawiającego, nie dłuższym jednak niż okres trwania gwarancji. 5. Wykonawca zobowiązuje się świadczyć bezpłatną asystę techniczną przez okres 60 miesięcy. Okres i zakres asysty technicznej rozpoczyna się z dniem podpisania protokołu zakończenia wykonania poszczególnych elementów zadania. 6. Na świadczenie wszelkich usług konsultacyjnych Zamawiający ma do dyspozycji w max. łącznym wymiarze 460 godz. do wykorzystania w okresie trwania asysty technicznej. Opis przedmiotu zamówienia str. 51

17 7. Przedmiotem usługi asysty technicznej świadczonej przez Wykonawcę na rzecz Zamawiającego jest: a) dostawa aktualizacji wersji oprogramowania, uwzględniających zmiany obowiązujących przepisach prawnych zgodnie z Dziennikiem Ustaw i Monitorem Polskim. Dostawa oprogramowania nastąpi przed wejściem przepisów w życie; b) uaktualnienie na życzenie Zamawiającego wdrożonego sytemu; c) gotowość świadczenia pomocy telefonicznej pod numerami: tel... fax... przez dostarczenie odpowiednich informacji w wypadku, gdy użytkownicy oprogramowania lub aplikacji, nie mogą osiągnąć zamierzonych efektów pracy, co jest wyłączne z warunków asysty technicznej. d) gotowość do świadczenia zdalnej pomocy użytkownikom systemu poprzez szyfrowane połączenia do komputera użytkownika za zgodą i pod nadzorem Zamawiającego; e) gotowość do wizyty zespołu konsultantów, na życzenie Zamawiającego w jego siedzibie w ramach asysty technicznej w maksymalnym łącznym wymiarze 120 godz. w ramach 460 godzin będących do jego dyspozycji; f) gotowość do ewentualnego uruchomienia niezbędnej i koniecznej obsługi danych poprzez szyfrowane kanały dostępowe pomiędzy Wykonawcą a Zamawiającym; g) uczestnictwa w procesach audytu nadzoru i recertyfikacji w okresie trwania asysty technicznej. 8. Wszelkie usługi asysty technicznej, o których mowa w umowie odnosić się będą do funkcjonowania oprogramowania, oraz do jego parametryzacji. 9. Usługi asysty technicznej świadczone są przez Wykonawcę na następujących zasadach: a) konsultacje telefoniczne, wizyty i asysta jest świadczona będą przez Wykonawcę w godzinach od 8:00 do 16:00 od poniedziałku do piątku, z wyjątkiem dni ustawowo wolnych od pracy z wykluczeniem uzgodnionych prac świadczonych zdalnie; Opis przedmiotu zamówienia str. 52

18 b) po stwierdzeniu problemu w funkcjonowaniu oprogramowania Zamawiający, poinformuje Wykonawcę drogą poczty elektronicznej o usterce definiując podejrzewane pole lub przyczynę błędu oraz dane wejściowe i wyjściowe; c) w przypadku gdy aplikacja zakończy pracę z komunikatem o błędzie, ostateczny termin usunięcia błędu nie może być dłuższy niż 3 dni roboczych od chwili zgłoszenia (do reakcji nie wlicza się sobót, i dni ustawowo wolnych od pracy); d) każdorazowa usługa realizacji asysty technicznej prowadzona jest na podstawie zlecenia usługi oraz zakończona protokołem zdawczo-odbiorczym opisującym czas trwania usługi i jej zakres. Opis przedmiotu zamówienia str. 53