Pieczęć Wykonawcy Załącznik nr 7 OPIS PRZEDMIOTU ZAMÓWIENIA NA Opracowanie i wdrożenie Zintegrowanego Systemu Bezpieczeństwa Informacji wraz z przygotowaniem do procesu certyfikacji na zgodność z normami PN-ISO/IEC 27001:2007 i PN-EN ISO 9001:2009 Spis treści 1. Informacje ogólne... 37 2. Zakres i sposób realizacji... 37 3. Definicje... 38 4. Minimalne wymagania realizacji zamówienia specyfikacja techniczna... 40 4.1. Zadanie 1 Kontrola legalności oprogramowania oraz przestrzegania praw autorskich40 4.2. Zadanie 2 Wykonanie audytu zerowego stanu zastanego... 40 4.3. Zadanie 3 Opracowanie koncepcji i kompleksowej metodyki prowadzenia prac wdrożeniowych dla obszarów bezpieczeństwa i jakości... 41 4.4. Zadanie 4 Opis metodyki szacowania i zarządzania ryzykiem, przeprowadzenia analizy ryzyka wraz z klasyfikacja informacji... 42 4.5. Zadanie 5 Opracowanie dokumentacji i wdrożenie systemu ZSBI obejmujące wymagania norm PN-EN ISO 9001:2009 i PN-ISO/IEC 27001:2007... 42 4.6. Zadanie 6 Szkolenia... 44 4.7. Zadanie 7 Przeprowadzenie wewnętrznego nadzorowanego audytu systemu na zgodność z wymaganiami norm jako przygotowanie do procesu certyfikacji... 46 4.8. Zadanie 8 Udział i wsparcie w procesie certyfikacji - wskazanie terminu przez SCSI 47 5. Dostawa i wdrożenie aplikacji wparcia informatycznego dla systemu ZSBI... 48 5.1. Moduł- Aplikacja do ewidencji, zarządzania licencjami i infrastrukturą IT... 48 5.2. Moduł -Aplikacja do wspomagania szacowaniem i analizą ryzyka... 48 5.3. Moduł -Aplikacja do publikacji wymagań i dokumentacji wdrożonego ZSBI... 50 6. Gwarancja i asysta techniczna dla wdrożonego systemu ZSBI... 51 Opis przedmiotu zamówienia str. 36
1. Informacje ogólne Opracowanie i wdrożenie Zintegrowanego Systemu Bezpieczeństwa Informacji wraz z przygotowaniem do procesu certyfikacji na zgodność z normami PN-ISO/IEC 27001:2007 i PN-EN ISO 9001:2009. Zamówienie jest realizowane w ramach realizacji projektu Rozbudowa i upowszechnienie Systemu Elektronicznej Komunikacji Administracji Publicznej w Województwie Śląskim - SEKAP2. 2. Zakres i sposób realizacji 1. Przedmiot zamówienia jest realizowany na potrzeby akredytowanej certyfikacji Zamawiającego oraz w ograniczonym, ściśle określonym zakresie dla Partnerów Zamawiającego w obszarze styku z SEKAP wraz ze szczególnym uwzględnieniem współdzielonej infrastruktury serwerowni Urzędu Marszałkowskiego Województwa Śląskiego (UMWŚ). 2. Zamawiający posiada 1 lokalizację swojej siedziby w Katowicach przy ul. Powstańców 34, jedną serwerownię (CPD) z własną infrastrukturą zlokalizowaną w lokalu Urzędu Marszałkowskiego przy ul. Dąbrowskiego 23. 3. W ramach zamówienia będą prowadzone ograniczone działania na rzecz Partnerów Zamawiającego, które są wskazane w Załączniku nr 4, nie więcej jednak niż dla 100 osób. 4. Wykonawca przedstawi w ciągu 14 dni od daty podpisania umowy szczegółowy harmonogram prac do zatwierdzenia przez Zamawiającego uwzględniający wymogi SIWZ w zakresie maksymalnego okresu realizacji określonego zadania oraz wyznaczenia konsultanta prowadzącego, a tym samym odpowiedzialnego za wykonanie określonego zadania. 5. Całość zebranego materiału informacyjnego i opracowanej dokumentacji systemu Wykonawca przekazuje Zamawiającemu w postaci edytowalnych plików zapisanych na płytach CD/DVD, natomiast materiał audytowy (notatki, zdjęcia, wywiady itp.) może przekazać w postaci skanu lub innych rodzajów plików zapisanych na płytach Opis przedmiotu zamówienia str. 37
CD/DVD. Dokumentację systemowa przeznaczoną do certyfikacji umieszcza w dedykowanej aplikacji do publikacji systemu ZSBI oraz w 3 egzemplarzach wydrukowanych. 6. Akredytowana certyfikacja na zgodność z wymogami norm PN-ISO/IEC 27001:2007 oraz PN-EN ISO 9001:2009 będzie prowadzona wyłącznie dla Śląskiego Centrum Społeczeństwa Informacyjnego przez jednostkę certyfikacyjną wyłoniona w odrębnym postępowaniu zamówienia publicznego. 3. Definicje SEKAP Projekt SEKAP Projekt SEKAP2 oznacza System Elektronicznej Komunikacji Administracji Publicznej w Województwie Śląskim (SEKAP) oznacza realizowany w latach 2006-2008 projekt System Elektronicznej Komunikacji Administracji Publicznej (SEKAP) - dostawa oprogramowania i sprzętu teleinformatycznego wraz z pracami programistycznymi, wdrożeniowymi i instalacyjnymi dla 54 jednostek samorządu terytorialnego oraz dla Centrum Przetwarzania Danych", współfinansowany przez Unię Europejską z środków Europejskiego Funduszu Rozwoju Regionalnego w ramach Zintegrowanego Programu Operacyjnego Rozwoju Regionalnego (ZPORR). Wartość projektu ok. 22 mln. zł. oznacza projekt Rozbudowa i upowszechnienie Systemu Elektronicznej Komunikacji Administracji Publicznej w Województwie Śląskim - SEKAP2, który stanowi kontynuację projektu SEKAP Zamawiający oznacza Śląskie Centrum Społeczeństwa Informacyjnego (ŚCSI) - jednostkę budżetową która w imieniu Województwa Śląskiego ma zarządzać, monitorować i rozliczać projekt SEKAP2 Partnerzy - jednostki samorządu terytorialnego województwa śląskiego uczestniczące w realizacji projektu SEKAP (7 powiatów ziemskich, 10 miast na prawach powiatu, 36 gmin, Urząd Marszałkowski) oraz podmioty realizujące zadania publiczne posiadające siedzibę na obszarze województwa Opis przedmiotu zamówienia str. 38
śląskiego, które podpiszą umowę o przyłączeniu do projektu SEKAP, SEKAP2 (w tym inne jednostki samorządu terytorialnego i ich jednostki organizacyjne, samorządowe kolegia odwoławcze, szkoły. Doradca Technologiczny Centrum Przetwarzania Danych (CPD) System Obiegu Dokumentów (SOD) oznacza osobę fizyczną osobę prawną wyłonioną na podstawie postępowania o udzielenie zamówienia publicznego, sprawującą nadzór oraz świadczącą kompleksowe usługi doradcze dla Zamawiającego przy realizacji projektu SEKAP2 zbudowany w ramach projektu, zabezpieczony ośrodek komputerowy (urządzenia teleinformatyczne), wyposażony w serwery z oprogramowaniem, środki archiwizacji danych i szerokopasmowy dostęp do Internetu, stanowiący element regionalnej infrastruktury teleinformatycznej, a zlokalizowany w Śląskim Centrum Społeczeństwa Informacyjnego. przez system obiegu dokumentów rozumie się aplikację, która: realizuje wewnętrzne procedury biznesowe i urzędowe (a co najmniej przyjmowanie, dekretowanie, procedowanie, archiwizację dokumentów oraz spraw), automatycznie realizuje przepływ danych i dokumentów (korespondencji oraz spraw) pomiędzy stanowiskami komputerowymi użytkowników systemu według wcześniej zaplanowanej kolejności i zgodnie z narzuconymi wcześniej ograniczeniami czasowymi. umożliwia składowanie na nośnikach elektronicznych w sposób zorganizowany wszelkiego rodzaju dokumentów wpływających, wychodzących i wytwarzanych w ramach biznesowych i urzędowych procedur (repozytorium dokumentowe systemu). umożliwia elektroniczną wymianę informacji (dokumentów, pism) z klientem, przez co stanowi narzędzie pracy dla pracowników oraz narzędzie do komunikacji z klientem Opis przedmiotu zamówienia str. 39
4. Minimalne wymagania realizacji zamówienia specyfikacja techniczna Realizacja zamówienia prowadzona ma być w ramach opisanych poniżej 9 zadaniach: 4.1. Zadanie 1 Kontrola legalności oprogramowania oraz przestrzegania praw autorskich 1. Zadanie obejmuje: a) dokonania skanowania zasobów jednostek komputerowych; b) wykonania przeglądu posiadanych licencji na podstawie atrybutów; c) legalności (faktura, licencje oraz nośniki); d) ewidencji oprogramowania użytkowanego przez Zamawiającego; e) implementacji ewidencji oprogramowania do aplikacji zarządzającej licencjami oraz infrastrukturą; f) przygotowania Procedury programu naprawczego; g) przygotowania Procedury Zarządzania Oprogramowaniem; h) opracowanie planu wdrożenia programu naprawczego. 2. Zadanie realizowane będzie tylko dla zasobów Zamawiającego, z wykluczeniem Partnerów Zamawiającego. 3. Wynikiem realizacji zadania ma być Raport Audytowy wraz z odpowiednio opisanymi wzorcowymi procedurami i planami. 4. Odbiór: protokół zdawczo-odbiorczy nr 1 4.2. Zadanie 2 Wykonanie audytu zerowego stanu zastanego 1. Zadanie obejmuje zbadanie i opisanie: a) infrastruktury i organizacji Zamawiającego wraz przeprowadzeniem inwentaryzacji zasobów; b) infrastruktury Partnerów wyłącznie w obszarze punktu styku z platformą SEKAP i zasad bezpieczeństwa danych oraz przetwarzania informacji w tym obszarze; c) dokumentacji systemowej Zamawiającego w obszarze posiadanej Polityki Bezpieczeństwa, ochrony danych w tym osobowych; Opis przedmiotu zamówienia str. 40
d) wymagań prawnych w obszarze działania Zamawiającego; e) stanu zabezpieczeń i realizacji wymagań prawnych w zakresie bezpieczeństwa informacji. 2. Zadanie realizowane będzie w pełnym zakresie w siedzibie SCSI oraz w ograniczonym do badania punktu styku z internetem oraz infrastrukturą SEKAP, w Lokalizacjach Partnerów zgodnie z zatwierdzonym harmonogramem szczegółowym. Wizyty on-site w siedzibach Partnerów są wyznaczone wstępnymi datami w harmonogramie szczegółowym, a następnie są uzgadniane i potwierdzane z Partnerem na min. 10 dni przed datą audytu. Wykonawca przestawia Partnerowi zatwierdzoną przez SCSI check listę oraz plan audytu. Zamawiający przedkłada Wykonawcy upoważnienie do przeprowadzenia audytu u Partnera. Czas trwania audytu Partnera określa Wykonawca. 3. Wynikiem realizacji zadania jest Raport Audytowy opisujący wyniki badań dla podanego zakresu czynności wraz z załączonym materiałem dowodowym. 4. Odbiór: protokół zdawczo-odbiorczy nr 2 4.3. Zadanie 3 Opracowanie koncepcji i kompleksowej metodyki prowadzenia prac wdrożeniowych dla obszarów bezpieczeństwa i jakości 1. Zadanie obejmuje: a) Opracowanie na podstawie przeprowadzonych audytów, inwentaryzacji KONCEPCJI Zintegrowanego Systemu Bezpieczeństwa Informacji (ZSBI) zgodnego z wymogami norm PN-ISO/IEC 27001:2007 i PN-EN ISO 9001:2009, wraz z metodyką prac wdrożeniowych uwzględniającej wdrożenie specjalistycznej aplikacji do publikacji, nadzoru i tworzenia dokumentacji systemowej SZBI wraz z wsparciem informatycznym dla procesu szacowania i analizy ryzyka. Koncepcja uwzględniać musi wymaganie dotyczącej zasad zasilenia materiałem szkoleniowym i dydaktycznym do systemu e-learning implementowanego dla SCSI w ramach realizacji projektu oraz opracowanej metodyki szkoleń indywidualnych i grupowych kadry SCSI oraz jego Partnerów. Opis przedmiotu zamówienia str. 41
2. Wynikiem realizacji zadania jest dokument KONCEPCJA wdrożenia Zintegrowanego Systemu Bezpieczeństwa Informacji (ZSBI) zgodnego z wymogami norm PN-ISO/IEC 27001:2007 i PN-EN ISO 9001:2009. 3. Odbiór: protokół zdawczo-odbiorczy nr 3 4.4. Zadanie 4 Opis metodyki szacowania i zarządzania ryzykiem, przeprowadzenia analizy ryzyka wraz z klasyfikacja informacji 1. Zadanie obejmuje opracowanie klasyfikacji informacji, inwentaryzacje i opis aktywów Zamawiającego wraz z przypisaniem ich właścicieli, opracowanie metodyki szacowania ryzyka i zasad zarządzania ryzykiem wraz z odpowiednimi procedurami. Przeprowadzenie pełnej analizy ryzyka zgodnie z opracowana metodyką dla SCSI z uwzględnieniem punktu styku infrastruktury IT Zamawiającego z Partnerami oraz UMWŚ projektu SEKAP z zastosowaniem dedykowanych aplikacji. 2. Wynikiem realizacji zadania jest dokumentacja analizy i szacowania ryzyka z wyznaczeniem poziomu ryzyka akceptowalnego i planu zarządzania ryzykiem. 3. Odbiór: protokół zdawczo-odbiorczy nr 4 4.5. Zadanie 5 Opracowanie dokumentacji i wdrożenie systemu ZSBI obejmujące wymagania norm PN-ISO/IEC 27001:2007 i PN-EN ISO 9001:2009 1. Zadanie obejmuje opracowanie kompletnej dokumentacji systemu ZSBI całkowicie zgodnej z wymogami ujętymi w normach PN-ISO/IEC 27001:2007 i PN-EN ISO 9001:2009 i będącej podstawą do wdrożenia systemu ZSBI w SCSI, a następnie jego akredytowanej certyfikacji. Opracowana dokumentacja musi zawierać co najmniej dokumenty, instrukcje, procedury, wzory druków: a) księgę ZSBI; b) mapę procesów; c) Polityki Bezpieczeństwa i Jakości; d) Politykę Bezpieczeństwa Informacji w tym Politykę Bezpieczeństwa danych osobowych. Opis przedmiotu zamówienia str. 42
Plany, instrukcje, regulaminy: a) Instrukcji Zarządzania Systemem Informatycznym; b) Instrukcje postępowania w przypadkach awaryjnych i kryzysowych; c) Instrukcję Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych; d) Instrukcje i procedury prowadzenia badania i pomiarów satysfakcji; e) Instrukcje i procedury prowadzenia badania i pomiarów bezpieczeństwa; f) Regulamin Ochrony i Klasyfikacji Informacji; g) Regulamin Użytkownika Systemu; h) Regulaminów wymaganych prawem w tym aktualizacja Regulaminu Kontroli Zarządczej w pełnym zakresie wymagań; i) Regulamin Administratora Bezpieczeństwa Informacji; j) Plany Ciągłości Działania dla zidentyfikowanych obszarów; k) programy audytów; l) przykładowe listy pytań audytowych; m) wykaz informacji chronionych. Procedury: a) procedurę nadawania / odbioru uprawnień do SI (systemów informatycznych); b) procedurę postępowania w przypadkach naruszenia bezpieczeństwa SI dla zidentyfikowanej listy potencjalnych incydentów; c) procedurę obsługi awarii systemu informatycznego; d) procedurę tworzenia i przechowywania, niszczenia, odtworzenia kopii zapasowych; e) procedur eksploatacyjnych systemów informatycznych; f) procedurę niszczenia i zabezpieczenia nośników informacji; g) Plany Ciągłości Działania dla zidentyfikowanych obszarów; h) procedura zarządzania licencjami; Opis przedmiotu zamówienia str. 43
i) procedura Zarządzania pozostałymi zasobami IT; j) procedura gromadzenia materiału dowodowego z incydentu bezpieczeństwa; k) procedury testowania i odbioru systemów; l) procedury monitorowania zasobów; m) procedury monitorowania i planowania kosztów; n) procedury zarządzania zmianą; o) procedury zarządzania konfiguracją; p) procedury instalacji systemów; q) procedury zabezpieczenia środowiskiem fizycznym; r) procedury nadzoru nad pracą zdalną; s) procedurę nad dokumentami i zapisami; t) procedurę działań korygujących i zapobiegawczych; u) procedurę nadzoru nad wyrobem niezgodnym; v) procedurę audytu wewnętrznego; w) pozostałe procedury systemowe i zidentyfikowane a niezbędnie wymagane zapisami norm PN-ISO/IEC 27001:2007 PN-EN ISO 9001:2009 i a wskazane przez Wykonawcę i zaakceptowane przez Zamawiającego. 2. Do opracowanej i wdrażanej dokumentacji należy dołączyć wymagane instrukcje, wzory druków, w ilości i zakresie przedstawionym w Koncepcji. Przedstawiony powyżej wykaz jest minimalnym zestawem wymaganych opracowań. 3. Wynikiem realizacji zadania jest kompletna zespolona dokumentacja ZSBI oraz wdrożenie systemu w organizacji Zamawiającego (SCSI) 4. Odbiór: protokół zdawczo-odbiorczy nr 5 4.6. Zadanie 6 Szkolenia 1. Zadanie obejmuje przeprowadzenie szkoleń w siedzibie Zamawiającego dla: a) 3 pełnomocników ds. ZSBI Zamawiającego w jednej grupie z obszarów z obszaru wymagań norm PN-ISO/IEC 27001:2007, PN-EN ISO 9001:2009, zasad prowadzenia audytu, analizy i szacowania ryzyka, budowy dokumentacji ZSBI Opis przedmiotu zamówienia str. 44
i jej nadzoru, zasad obsługi, administracji i konfiguracji dedykowanych aplikacji do wspomagania informatycznego SZBI w ilości min. 80 godzin szkoleniowych w postaci zajęć seminaryjnych oraz 48 godzin zajęć warsztatowych na niezależnych stanowiskach komputerowych (każde zajęcia w 8 godzinnych cyklach zajęć). Szkolenie zakończone jest egzaminem wewnętrznym dla pełnomocników w postaci testu i z wydaniem certyfikatu ukończenia kursu; b) 6 audytorów wewnętrznych Zamawiającego w jednej grupie z obszarów wymagań norm PN-ISO/IEC 27001:2007, PN-EN ISO 9001:2009 zasad prowadzenia audytu, analizy i szacowania ryzyka, budowy dokumentacji ZSBI i jej nadzoru, zasad obsługi dedykowanych aplikacji do wspomagania informatycznego SZBI w ilości min. 48 godzin szkoleniowych w postaci zajęć seminaryjnych oraz 24 godzin zajęć warsztatowych na niezależnych stanowiskach komputerowych (każde zajęcia w 8 godzinnych cyklach zajęć). Szkolenie zakończone jest egzaminem wewnętrznym dla audytorów wewnętrznych w postaci testu i z wydaniem certyfikatu ukończenia szkolenia; c) max. 100 audytorów wewnętrznych Partnerów Zamawiającego wykazanych w aktualizowanym Załączniku nr 4, w grupach max. 15 osobowych, z obszarów wymagań norm PN-ISO/IEC 27001:2007, PN-EN ISO 9001:2009, zasad prowadzenia audytu, analizy i szacowania ryzyka, budowy dokumentacji systemu ZSBI i jej nadzoru, w ilości min. 36 godzin szkoleniowych na grupę w postaci zajęć seminaryjnych oraz 16 godzin zajęć warsztatowych na niezależnych stanowiskach komputerowych (każde zajęcia w 8 godzinnych cyklach zajęć). Szkolenie zakończone jest egzaminem wewnętrznym dla audytorów wewnętrznych w postaci testu i z wydaniem certyfikatu ukończenia szkolenia; d) 4 osób jako administratorów aplikacji dedykowanych w ofercie w ilości 40 godzin zajęć warsztatowych z zakresu instalacji, administrowania, konfiguracji, użytkowania wskazanych w ofercie aplikacji przy zastosowaniu indywidualnych stacji roboczych oraz dedykowanego środowiska szkoleniowego dostarczonego przez Wykonawcę na czas trwania kursu. W ramach cyklów szkoleniowych Wykonawca zapewnia min. 2 przerwy kawowe oraz lunch z uwzględnieniem każdego uczestnika szkolenia. Jednorazowy Opis przedmiotu zamówienia str. 45
cykl szkoleń nie może przekraczać 7 godzin zajęć. Wykonawca zapewnia w ramach realizacji zadania salę wykładową wraz z wymaganą infrastrukturą (projektor, ekran, stanowiska komputerowe) zlokalizowaną na terenie centrum Katowic z zapewnieniem dogodnego dojazdu komunikacją publiczną. 2. Całość materiału szkoleniowego, na każde prowadzone szkolenie, przedstawiana jest w postaci prezentacji multimedialnych (.ppsx), które Wykonawca przekaże, w wersji edytowanej (.pptx) a pozostałe materiały informacyjne w postaci plików.docx, Zamawiającemu. Do celów publikacji w/w materiałów szkoleniowych w systemie e-learnig Wykonawca dodatkowo opracuje powyższe materiały i przekaże Zamawiającemu także w standardach SCORM i AICC. Każdy uczestnik kursu szkoleniowego otrzyma skrypt szkoleniowy zawierający materiał w postaci wydruku prezentacji i dodatkowych materiałów uzupełniających. Materiały szkoleniowe i prezentacje, oraz lekcje e-learning muszą uzyskać akceptację Zamawiającego. 3. Wynikiem realizacji zadania jest: a) zbiór materiałów szkoleniowych do wykorzystania w systemie e-learning; b) listy obecności uczestników szkoleń z każdej grupy i cyklu szkoleniowego; c) ankiety badania efektywności szkolenia; d) wyniki przeprowadzonych egzaminów; e) rejestr wydanych certyfikatów; f) kompleksowe przygotowanie merytoryczne kadry Zamawiającego do procesu uzyskania kwalifikowanego akredytowanego certyfikatu. 4. Odbiór: protokół zdawczo-odbiorczy nr 6 4.7. Zadanie 7 Przeprowadzenie wewnętrznego nadzorowanego audytu systemu na zgodność z wymaganiami norm jako przygotowanie do procesu certyfikacji 1. Zadanie obejmuje: a) wykonanie audytu wewnętrznego organizacji Zamawiającego zgodnie z harmonogramem audytów wdrożonego systemu przez grupę audytorów wewnętrznych Zamawiającego pod nadzorem audytora wiodącego Wykonawcy; Opis przedmiotu zamówienia str. 46
b) przeprowadzenie działań korygujących i zapobiegawczych oraz korekcji w obszarze działania wdrożonego ZSBI Zamawiającego celem jego doskonalenia i eliminacji stwierdzonych niezgodności. 2. Wynikiem realizacji zadania jest: a) raport z audytu wewnętrznego organizacji Zamawiającego (SCSI); b) raport z przeprowadzonych działań korygujących i zapobiegawczych oraz korekcji; c) ostateczna wersja dokumentacji systemu ZSBI jako materiał dla jednostki certyfikującej; d) raport zgodności z wymaganiami norm; e) wniosek o gotowości systemu do rozpoczęcia procesu certyfikacji systemu. 3. Odbiór: protokół zdawczo-odbiorczy nr 7 4.8. Zadanie 8 Udział i wsparcie w procesie certyfikacji - wskazanie terminu przez SCSI 1. Zadanie obejmuje udział wyznaczonego konsultanta wiodącego w procesie certyfikacji systemu w terminie wskazanym przez Zamawiającego. 2. Wynikiem realizacji zadania jest uzyskanie akredytowanego certyfikatu zgodności systemu z wymaganiami norm PN-ISO/IEC 27001:2007 oraz norm PN-EN ISO 9001:2009. 3. W przypadku zaistnienia sytuacji stwierdzenia przez jednostkę certyfikującą niezgodności uniemożliwiających przyznanie certyfikatu Zamawiającemu na zgodność z wymogami norm PN-ISO/IEC 27001:2007 oraz PN-EN ISO 9001:2009. Wykonawca prowadzi nadal wszelkie prace naprawcze i korygujące system ZSBI, bez względu na koszty własne, w terminie określonym przez Zamawiającego i ponownie uczestniczy w kolejnym procesie uzyskania certyfikatu. 4. Odbiór: protokół zdawczo-odbiorczy nr 8 Podstawą zatwierdzenia protokołów zdawczo-odbiorczych dla wszystkich zadań jest wykonanie przedmiotu realizacji zadania stopniu zadawalającym Zamawiającego Opis przedmiotu zamówienia str. 47
w oparciu o zapisy SIWZ, dobre praktyki, należytą staranność i wymogi formalno-prawne oraz wiedzę Wykonawcy i Zamawiającego. 5. Dostawa i wdrożenie aplikacji wparcia informatycznego dla systemu ZSBI Minimalne wymagania techniczno-funkcjonalne dla dedykowanego oprogramowania wspomagającego ZSBI w organizacji Zamawiającego to: 5.1. Moduł- Aplikacja do ewidencji, zarządzania licencjami i infrastrukturą IT Ilość użytkowników 25 Licencja Preferowana baza danych Język interfejsu i dokumentacji Preferowane środowisko systemowe Gwarancja Asysta techniczna Minimalny zakres funkcjonalny Bezterminowa Dowolna Polski Linux 60 miesięcy 60 miesięcy wykrywanie i wizualizacja sieci (skanowanie sieci, wykrywanie serwisów, interaktywne mapy sieci); monitorowanie sieci (serwisy TCP/IP, MRTG, SNMP; wydajność i stabilność aplikacji); inwentaryzacja sprzętu, inwentaryzacja i zarządzanie licencjami; zdarzenia (alarmy i akcje) w przypadku zmian konfiguracji; ochrona portów i nośników - USB, firewire, IrDA, slotów pamięci kart, nagrywarek, pendrive, WiFi, Bluetooth; dystrybucja plików; zarządzanie prawami dostępów do portów, audyt operacji na urządzeniach, ochrona agenta przed usunięciem; kompilator plików MIB; monitoring pracowników, integracja z Active Directory, praca sieciowa i desktopowa, help desk. 5.2. Moduł -Aplikacja do wspomagania budowy i zarządzania dokumentacją ZSBI wraz z szacowaniem i analizą ryzyka Ilość użytkowników 50 Opis przedmiotu zamówienia str. 48
Licencja Preferowana baza danych Język interfejsu i dokumentacji Preferowane środowisko systemowe Gwarancja Asysta techniczna Minimalny zakres funkcjonalny Bezterminowa Dowolna Polski Linux 60 miesięcy 60 miesięcy praca sieciowa, dostęp przez przeglądarkę, panel administracyjny umożliwiający konfiguracje i parametryzację zakresu uprawnień i dostępu, identyfikacja pracy użytkowników i redaktorów, walidacje plików, możliwość podłączania załączników w dowolnym formacie, wydruki dokumentacji, raportowanie użytkowania systemu, integracja z modułem do analizy ryzyka, słowniki, interaktywny help, kontekstowe wyszukiwanie wyrażeń, możliwość budowy interaktywnych formularzy i tabel, definiowanie kryteriów analitycznych, system interaktywnej budowy schematów i grafów, autoryzowany dostęp do poszczególnych procesów - zabezpieczanie przed nieuprawnionymi modyfikacjami, definiowania informacji o procesach takich jak: dane wejściowe i wyjściowe, właściwości procesu, uczestników, dokumenty i formularze itd., możliwość definiowania i prezentacji wskaźników i mierników procesów, rozbudowany edytor graficzny pozwalający na rozrysowanie procesu wg wcześniej obranych założeń, system musi automatycznie rejestrować zmiany merytoryczne i pozwalać na ich późniejsze analizowanie, użytkownik może w dowolnym momencie przeglądać archiwum, możliwość zdalnej pracy wielu użytkowników - rysowanie map procesów przez właścicieli/liderów procesów przy jednoczesnej zdalnej pracy z konsultantem lub liderem projektu, możliwość planowania auditów z wykorzystaniem bazy wiedzy powstałej podczas przeprowadzania auditów wcześniejszych (cel, obszar, pytania, niezgodności, skuteczność działań), możliwość załączania dowodów do procesu auditu w formie dowolnych plików, możliwość Opis przedmiotu zamówienia str. 49
skorzystania z kreatora raportów umożliwiającego użytkownikowi samodzielne tworzenie rejestrów i raportów oraz przeprowadzenie analizy z wyników przeprowadzonych auditów, możliwość bezpośredniego przekazywania informacji i danych o audicie do aplikacji z dowolnego komputera w sieci wewnętrznej lub zewnętrznej, możliwość automatycznego generowania monitów przypominających pracownikom o realizacji poszczególnych etapów działań, możliwość kontaktu audytowany (odpowiedzialny za usunięcie np. niezgodności) z audytującym on-line, możliwość automatycznego generowania i aktualizacji rejestrów oraz raportów związanych z niezgodnościami oraz podjętymi działaniami, możliwe tworzenie i modyfikacja list: ryzyk, aktywów mających ściśle określoną wartość dla danego przedsiębiorstwa, zagrożeń, podatności, możliwość eksportu danych z aplikacji do plików zewnętrznych, konfiguracja kategorii ryzyka, zapis w formacie np. RPT, HTML, XLS, RTF, TTX, TXT, XML, BMP, JPEG, TIFF, GIF, CSV, e-mail, możliwość automatycznego definiowania użytkowników na podstawie struktury organizacyjnej lub Active Directory. 5.3. Moduł -Aplikacja do publikacji wymagań i dokumentacji wdrożonego ZSBI Ilość użytkowników 50 Licencja Preferowana baza danych Język interfejsu i dokumentacji Preferowane środowisko systemowe Gwarancja Asysta techniczna Minimalny zakres funkcjonalny Bezterminowa Dowolna Polski Linux 60 miesięcy 60 miesięcy praca sieciowa, dostęp przez przeglądarkę, panel administracyjny umożliwiający konfiguracje i parametryzację zakresu uprawnień i dostępu, identyfikacja pracy użytkowników i redaktorów, walidacje Opis przedmiotu zamówienia str. 50
plików, możliwość podłączania załączników w dowolnym formacie, wydruki dokumentacji, raportowanie użytkowania systemu, integracja z modułem do analizy ryzyka, słowniki, interaktywny help, kontekstowe wyszukiwanie wyrażeń, możliwość budowy interaktywnych formularzy, system nadawania uprawnień dostępu do danych, możliwość integracji dostępu z domeną, wizualizację diagramów procesów, możliwość przeglądania diagramów według określonych elementów czynności/dokumentów/odpowiedzialności, wyszukiwarka danych dostęp do pożądanego elementu (dokumentu, diagramu, stanowiska, czynności, itp.). 6. Gwarancja i asysta techniczna dla wdrożonego systemu ZSBI 1. Wykonawca udziela 60 miesięcznej gwarancji na dostarczony systemy informatyczne wraz z prawem do uzyskania wszelkich dostępnych u producenta systemowych aktualizacji dostarczonych aplikacji w zakresie wdrożonego oprogramowania dziedzinowego wsparcia ZSBI. Okres gwarancji rozpoczyna się z dniem podpisania końcowego protokołu zakończenia wdrożenia. 2. Koszt udzielania gwarancji wliczony jest do wynagrodzenia jakie otrzyma Wykonawca za realizację umowy. 3. W okresie gwarancji wszelkie koszty usuwania wad i awarii, których przyczyna nie leży po stronie Zamawiającego, a przez niego wskazanych i będącymi zasadnymi, ponosi Wykonawca. 4. W ramach gwarancji opracowanego i wdrożonego ZSBI Wykonawca zobowiązuje się uczestnictwa w procesie certyfikacji systemu na zgodność z wymogami norm w terminie wskazanym przez Zamawiającego, nie dłuższym jednak niż okres trwania gwarancji. 5. Wykonawca zobowiązuje się świadczyć bezpłatną asystę techniczną przez okres 60 miesięcy. Okres i zakres asysty technicznej rozpoczyna się z dniem podpisania protokołu zakończenia wykonania poszczególnych elementów zadania. 6. Na świadczenie wszelkich usług konsultacyjnych Zamawiający ma do dyspozycji w max. łącznym wymiarze 460 godz. do wykorzystania w okresie trwania asysty technicznej. Opis przedmiotu zamówienia str. 51
7. Przedmiotem usługi asysty technicznej świadczonej przez Wykonawcę na rzecz Zamawiającego jest: a) dostawa aktualizacji wersji oprogramowania, uwzględniających zmiany obowiązujących przepisach prawnych zgodnie z Dziennikiem Ustaw i Monitorem Polskim. Dostawa oprogramowania nastąpi przed wejściem przepisów w życie; b) uaktualnienie na życzenie Zamawiającego wdrożonego sytemu; c) gotowość świadczenia pomocy telefonicznej pod numerami: tel... fax... przez dostarczenie odpowiednich informacji w wypadku, gdy użytkownicy oprogramowania lub aplikacji, nie mogą osiągnąć zamierzonych efektów pracy, co jest wyłączne z warunków asysty technicznej. d) gotowość do świadczenia zdalnej pomocy użytkownikom systemu poprzez szyfrowane połączenia do komputera użytkownika za zgodą i pod nadzorem Zamawiającego; e) gotowość do wizyty zespołu konsultantów, na życzenie Zamawiającego w jego siedzibie w ramach asysty technicznej w maksymalnym łącznym wymiarze 120 godz. w ramach 460 godzin będących do jego dyspozycji; f) gotowość do ewentualnego uruchomienia niezbędnej i koniecznej obsługi danych poprzez szyfrowane kanały dostępowe pomiędzy Wykonawcą a Zamawiającym; g) uczestnictwa w procesach audytu nadzoru i recertyfikacji w okresie trwania asysty technicznej. 8. Wszelkie usługi asysty technicznej, o których mowa w umowie odnosić się będą do funkcjonowania oprogramowania, oraz do jego parametryzacji. 9. Usługi asysty technicznej świadczone są przez Wykonawcę na następujących zasadach: a) konsultacje telefoniczne, wizyty i asysta jest świadczona będą przez Wykonawcę w godzinach od 8:00 do 16:00 od poniedziałku do piątku, z wyjątkiem dni ustawowo wolnych od pracy z wykluczeniem uzgodnionych prac świadczonych zdalnie; Opis przedmiotu zamówienia str. 52
b) po stwierdzeniu problemu w funkcjonowaniu oprogramowania Zamawiający, poinformuje Wykonawcę drogą poczty elektronicznej o usterce definiując podejrzewane pole lub przyczynę błędu oraz dane wejściowe i wyjściowe; c) w przypadku gdy aplikacja zakończy pracę z komunikatem o błędzie, ostateczny termin usunięcia błędu nie może być dłuższy niż 3 dni roboczych od chwili zgłoszenia (do reakcji nie wlicza się sobót, i dni ustawowo wolnych od pracy); d) każdorazowa usługa realizacji asysty technicznej prowadzona jest na podstawie zlecenia usługi oraz zakończona protokołem zdawczo-odbiorczym opisującym czas trwania usługi i jej zakres. Opis przedmiotu zamówienia str. 53