Szczegółowy opis przedmiotu zamówienia:

Podobne dokumenty
Bringing privacy back

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

7. zainstalowane oprogramowanie zarządzane stacje robocze

JAK ZAPEWNIĆ BEZPIECZEŃSTWO INFORMACYJNE?

Audytowane obszary IT

Authenticated Encryption

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

OGÓLNE ZASADY POSTĘPOWANIA OFERTOWEGO 1. W szczególnie uzasadnionych przypadkach Zamawiający może w każdym czasie, przed upływem terminu składania

Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

SZCZEGÓŁOWY HARMONOGRAM KURSU

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Powiatowy Urząd Pracy Rybnik ul. Jankowicka 1 tel. 32/ , , fax

Promotor: dr inż. Krzysztof Różanowski

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

Zapytanie ofertowe nr OR

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Luki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej

Oprogramowanie antywirusowe musi spełniać następujące wymagania minimalne:

AGENDA DZIEŃ I 9: PANEL I WPROWADZENIE DO ZMIAN W OCHRONIE DANYCH OSOBOWYCH 1. ŚRODOWISKO BEZPIECZEŃSTWA DANYCH OSOBOWYCH.

PR P E R Z E E Z N E T N A T C A JA C JA KO K RP R O P RA R C A Y C JN Y A JN ACTINA DATA MANAGER

OFERTA Usług audytowych i doradczych w zakresie ochrony danych osobowych dla jednostek administracji publicznej

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

risk AB ZARZĄDZANIE RYZYKIEM OPERACYJNYM Dodatkowe możliwości programu: RYZYKO BRAKU ZGODNOŚCI PRALNIA

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

OCHRONA PRZED RANSOMWARE. Konfiguracja ustawień

Powiatowy Urząd Pracy Rybnik ul. Jankowicka 1 tel. 32/ , , fax

KAMELEON.CRT OPIS. Funkcjonalność szyfrowanie bazy danych. Wtyczka kryptograficzna do KAMELEON.ERP. Wymagania : KAMELEON.ERP wersja

Audyt w zakresie bezpieczeństwa informacji w Wojewódzkim Urzędzie Pracy w Lublinie

Szczegółowy opis przedmiotu umowy. 1. Środowisko SharePoint UWMD (wewnętrzne) składa się z następujących grup serwerów:

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

Jak bezpieczne są Twoje dane w Internecie?

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

HARMONOGRAM SZKOLENIA

OFERTA NA SYSTEM LIVE STREAMING

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Zabezpieczenia zgodnie z Załącznikiem A normy ISO/IEC 27001

Księgarnia PWN: Kevin Kenan - Kryptografia w bazach danych. Spis treści. Podziękowania O autorze Wprowadzenie... 15

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

Kompleksowe Przygotowanie do Egzaminu CISMP

Umowa nr. Wzór umowy o postępowaniu z danymi osobowymi i stosowanych środkach bezpieczeństwa w związku z zawarciem umowy nr... z dnia...

DOKUMENTACJA BEZPIECZEŃSTWA <NAZWA SYSTEMU/USŁUGI>

PLATFORMA COMARCH SECURITY. Rozwiązania Comarch dla bezpiecznego urzędu

ZAŁĄCZNIK NR 1.8 do PFU Serwery wraz z system do tworzenia kopii zapasowych i archiwizacji danych - wyposażenie serwerowni

POLITYKA E-BEZPIECZEŃSTWA

Opis przedmiotu zamówienia

Informacja o zasadach świadczenia usług zaufania w systemie DOCert Wersja 1.0

USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI

Szczegółowy harmonogram rzeczowy realizacji prac systemu B2B

Bezpieczeństwo informacji w systemach komputerowych

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Urzędzie Miasta Lublin

UMOWA NR... zawarta w dniu... pomiędzy ANNĘ TREPKA

Profesjonalne Zarządzanie Drukiem

UMOWY CYWILNOPRAWNE Instalacja, rejestracja i konfiguracja programu

Zalecenia standaryzacyjne dotyczące bezpieczeństwa wymiany danych osobowych drogą elektroniczną. Andrzej Kaczmarek Biuro GIODO

OCHRONA PRZED RANSOMWARE

Win Admin Replikator Instrukcja Obsługi

DESlock+ szybki start

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Nr sprawy: ST Poznań, Zapytanie ofertowe

Odpowiedzi na pytania do postępowania na zakupu oprogramowania antywirusowego (NR BFI 1S/01/10/05/2019) z dnia

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

System Kancelaris. Zdalny dostęp do danych

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

Opis Przedmiotu Zamówienia na realizację audytów dla poszczególnych Inicjatyw i infrastruktury IT w ramach projektu euczelnia

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

OPIS PRZEDMIOTU ZAMÓWIENIA w odniesieniu do zadania antywirus - dostawa oprogramowania antywirusowego

KURSY I SZKOLENIA REALIZOWANE W RAMACH PROJEKTU:

Infrastruktura klucza publicznego w sieci PIONIER

Reforma ochrony danych osobowych RODO/GDPR

Mechanizmy dostępu do bazy danych Palladion / Ulisses. I. Uwierzytelnianie i przyznawanie uprawnień dostępu do aplikacji Palladion

1. Zakres modernizacji Active Directory

Dwuwymiarowy sposób na podróbki > 34

Szkolenie otwarte 2016 r.

Internetowe Konto Pacjenta

nas sprawdził czas INFORMATYKA ELEKTRONIKA AUTOMATYKA

Efektywne zarządzanie infrastrukturą IT, inwentaryzacja sprzętu i oprogramowania oraz ochrona danych przed wyciekiem dzięki wdrożeniu Axence nvesion

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Dostawa licencji na oprogramowanie serwerowe dla Małopolskiego Centrum Przedsiębiorczosci.

Sprawa numer: BAK.WZP Warszawa, dnia 16 sierpnia 2016 r.

Win Admin Replikator Instrukcja Obsługi

SYSTEM VILM ZARZĄDZANIE CYKLEM ŻYCIA ŚRODOWISK WIRTUALNYCH. tel: +48 (032)

Kielce, dnia roku. HB Technology Hubert Szczukiewicz. ul. Kujawska 26 / Kielce

SAFETICA 7 OCHRONA PRZED WYCIEKIEM DANYCH (DLP)

Marcin Soczko. Agenda

Usługa: Audyt kodu źródłowego

Opis Przedmiotu Zamówienia

AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

Produkty. MKS Produkty

Bezpieczeństwo aplikacji Czy musi być aż tak źle? OWASP The OWASP Foundation

Polityka Bezpieczeństwa ochrony danych osobowych

ZAPYTANIE OFERTOWE nr 1/2017

Załącznik Nr 4 do Zapytania Ofertowego Szczegółowy opis przedmiotu zamówienia (część jawna) Zapytanie ofertowe nr 1/ /RPPK

Zakup oprogramowania SAS CIS-10/2014 ZAŁĄCZNIK NR 1 DO SIWZ. str. 1. Załącznik nr 1 do SIWZ

Transkrypt:

Załącznik nr 1 do SIWZ Szczegółowy opis przedmiotu zamówienia: I. Opracowanie polityki i procedur bezpieczeństwa danych medycznych. Zamawiający oczekuje opracowania Systemu zarządzania bezpieczeństwem informacji na podstawie Polskiej Normy PN-ISO/IEC 27001:2013 oraz wytycznych dotyczących RODO Etap 1 Audyt bezpieczeństwa oraz zgodności z wymaganiami normy ISO/IEC 27001:2013 Etap ten obejmie uzgodnienie i przygotowanie Planu audytu u Zamawiającego, przeprowadzenie audytu zgodności wraz z oceną skuteczności zabezpieczeń oraz opracowanie spójnego raportu z audytu. Audyt będzie obejmował całą jednostkę. Etap 2 Szkolenia świadomościowe dla Zespołu Projektowego, Dyrekcji oraz kluczowych pracowników Zamawiającego Etap obejmie budowę programu szkoleń, planów szkoleń, przygotowanie materiałów szkoleniowych oraz przeprowadzenie szkoleń dla dedykowanych grup. Szkolenia dla 20 osób, na terenie szpitala. Catering nie jest wymagany. Etap 3 Klasyfikacja informacji i budowa jednolitego Rejestru aktywów Etap obejmie przygotowanie i wykonanie inwentaryzacji zasobów informacyjnych, oraz pozwoli zidentyfikować zasoby informacyjne Zamawiającego, a więc określi co będzie podlegać ochronie i oceni wartość chronionych informacji dla Zamawiającego. Etap ten ma kluczowe znaczenie dla analizy ryzyka. Etap 4 Szacowanie ryzyka bezpieczeństwa informacji Etap obejmie identyfikacje, analizę i ocenę ryzyka. Wynikiem etapu będzie Raport z szacowania ryzyka oraz Plany postępowania z ryzykiem. Etap 5, 6, 7 i 8 Budowa dokumentacji zgodnej z wymaganiami normy ISO/IEC 27001:2013 i dostosowanie zabezpieczeń Etap obejmie budowę procesów, procedur i instrukcji niezbędnych Zamawiającemu do zapewnienia efektywnego zarządzania bezpieczeństwem informacji oraz dostosowanie zabezpieczeń do wymagań normy ISO/IEC 27001. Etap 9 Przeprowadzenie szkoleń z dokumentacji SZBI Etap obejmie budowę programu szkoleń, planów szkoleń, przygotowanie elektronicznych materiałów szkoleniowych oraz przeprowadzenie szkoleń. Szkolenia dla 20 osób. Etap 10 Audyty wewnętrzne SZBI Etap obejmie przeprowadzenie szkolenia dla audytorów wewnętrznych, przygotowanie i zatwierdzenie programu audytów zgodnie z przyjętą dokumentacją w SZBI oraz przeprowadzenie audytów w wytypowanych komórkach organizacyjnych Zamawiającego. Etap 11 Ponowne szacowanie ryzyka bezpieczeństwa informacji Celem etapu jest weryfikacja wdrożenia Planu postępowania z ryzykiem dla ryzyk zidentyfikowanych w etapie 4 projektu zgodnie z przyjętą metodyką w celu uzyskania porównywalnych wyników. 1

W ramach prezentacji zgodnie z zapisami nr 2 do SIWZ w zakresie: opracowania polityki i procedur bezpieczeństwa danych medycznych wymagane jest przedstawienie spis treści odpowiadającego zakresem merytorycznym do każdego dokumentu oraz niezbędnych elementów dokumentów. 2

II. Aktualizacja dokumentów organizacyjnych Wykonawca jest zobowiązany do przeprowadzenia analizy dokumentów organizacyjnych w tym Regulaminu Organizacyjnego oraz Schematu Organizacyjnego. Dokumenty organizacyjne muszą być dostosowane do wymagań związanych z rozporządzeniem o ochronie danych osobowych RODO, Produktem końcowym tego etapu jest kompletna i odebrana przez Zamawiającego Dokumentacja, związana z obszarami, które mają być wsparte przez system informatyczny będący przedmiotem projektu e-zdrowie "INFLANCKA" - wdrożenie rozwiązań informatycznych mających na celu udostępnienie przyjaznych pacjentowi usług online z zakresu e-zdrowia w Szpitalu Specjalistycznym "INFLANCKA". Zamawiający szacuje że analizę i aktualizacji zostanie poddanych około 80 rodzajów dokumentów medycznych i organizacyjnych Szpitala. 3

III. Testy bezpieczeństwa, zintegrowanego systemu informatycznego i platormy e-usług, I. Testy aplikacji webowych Testy bezpieczeństwa aplikacji webowych prowadzone będą w oparciu o wytyczne zawarte w metodyce OWASP Testing Guide w wersji 4 oraz w dokumencie OWASP ASVS 3.01 (Application Security Verification Standard) i będą obejmować: 1) Zbieranie informacji o aplikacji 2) Testy konfiguracji 3) Testy mechanizmów uwierzytelniających 4) Testy mechanizmów zarządzania sesją 5) Testy mechanizmów autoryzujących 6) Testy logiki biznesowej 7) Testy walidacji danych i możliwości wstrzykiwania kodu 8) Testy mechanizmów obsługi błędów 9) Testy po stronie klienta (client side testing) 10) Testy z wykorzystaniem Fuzzing-u 11) Weryfikacja mechanizmów kryptograficznych pod kątem możliwości użycia słabych algorytmów II. Testy Infrastruktury Testy bezpieczeństwa infrastruktury wykonywane będą w oparciu wytyczne zawarte w standardzie PTES (Penetration Testing Execution Standard i będą obejmować 1) Identyfikacja i zbieranie informacji 2) Analiza podatności 3) Wykorzystanie podatności 4) Eskalacja i utrzymanie dostępu 5) Przegląd konfiguracji platform systemowych dla 10 wskazanych elementów infrastruktury pod kątem stosowania dobrych praktyk III. Analiza architektury 1. W ramach wykonanych prac zostanie wykonany przegląd zastosowanej infrastruktury systemu pod kątem stosowania dobrych praktyk. 2. Weryfikacji będzie podlegać zastosowanie elementów mających zapewnić bezpieczeństwo przetwarzanych informacji (poufność, integralność i dostępność) 3. Jednym z elementów testujących poufność przekazywanych informacji jest testowanie i czasowe ( w okresie realizacji projektu realizowanego przez Szpital Inflancka do 30. 10.2018 ) użyczenie licencji oprogramowanie służącego do bezpiecznego przesyłania 4

i współdzielenia plików w ramach struktury organizacyjnej dla 20 komputerów lub terminali. Oprogramowanie użyte do weryfikacji : a. Musi zapewniać moduł bezpiecznego przesyłania, jak również współdzielenia wszystkich rodzajów i wielkości plików w ramach struktur organizacyjnych jednostki oraz możliwość współdzielenia i przesyłania plików z podmiotami zewnętrznymi za pomocą oprogramowana. b. Zaoferowane oprogramowanie, ze względu na konieczność zapewnienia bezpieczeństwa przesyłania i współdzielenia plików wrażliwych, musi być rozwiązaniem bezpiecznym opartym o technologię kryptograficznej ochrony danych, gwarantującej podwyższony poziom ochrony prywatnych kluczy szyfrujących, który realizowany będzie poprzez technologię zapewniającą, że nie będą one nigdy przetrzymywane w całości w jednym miejscu. c. Przesyłanie i współdzielenie plików będzie realizowane na urządzeniu klienckim z wykorzystaniem mocy obliczeniowej jej mikroprocesora, a także częściowo mocy obliczeniowych mikroprocesorów wykorzystywanych przez serwery, które będą wykorzystywane do bezpiecznego przesyłania i współdzielenia plików o których mowa. d. Oprogramowanie będzie gwarantować wysoki poziom ochrony symetrycznych kluczy kryptograficznych przechowywanych na serwerach z wykorzystaniem mechanizmu kapsułkowania klucza (Key Encapsulation Mechanism). e. Oprogramowanie będzie gwarantować, że wszelkie pliki, które klient umieszcza na serwerze przechowywane i wysyłane są w formie zaszyfrowanej. f. Oprogramowanie będzie gwarantować, że serwer nie jest w stanie uzyskać dostępu do plików klienta w postaci jawnej (serwer nie posiada, ani nie może wyznaczyć żadnego z kluczy kryptograficznych klienta usługi). g. Oprogramowanie będzie gwarantować, że klient nie jest w stanie wykonać żadnej operacji kryptograficznej na swoim kluczu prywatnym (podpisu, deszyfrowania) bez udziału serwera. h. Współdzielony dysk z możliwością nadawania uprawnień poszczególnym użytkownikom, do którego będzie możliwe dodawanie i przechowywanie plików w formie zaszyfrowanej. i. Wysyłanie do określonych użytkowników zaszyfrowanych plików, w tym do pojedynczego odbiorcy jak również grupy odbiorców. j. Szyfrowanie lokalne wybranych plików na dyskach twardych i sieciowych stacji roboczej, na nośnikach zewnętrznych USB oraz w pamięci urządzeń mobilnych. k. Szyfrowanie z umieszczeniem na serwerze wybranych plików i folderów z poziomu stacji roboczych i urządzeń mobilnych. 5

l. Współpraca na stacjach roboczych z zainstalowanym systemem operacyjnym Microsoft Windows w Microsoft Windows w wersji 7 SP1 PL (32-bit, 64-bit) i nowszej. m. Interfejs użytkownika w postaci dedykowanej aplikacji na stacjach roboczych i urządzeniach mobilnych. n. Zarządzanie uprawnieniami: i. Centralne zarządzanie Oprogramowaniem i Użytkownikami w nim zdefiniowanymi. ii. Możliwość centralnego zablokowania urządzenia z poziomu administratora. iii. Możliwość lokalnego definiowania uprawnień z poziomu użytkownika do poszczególnych zasobów. o. Wymagania odnośnie metody szyfrowania: i. Szyfrowanie end to end współdzielone pliki muszą być szyfrowane i przekazywane zawsze w postaci zaszyfrowanej ii. Szyfrowanie musi się odbywać na stacjach roboczych użytkownika iii. Klucz prywatny nie może być przetrzymywany w jednym miejscu (na stacji roboczej lub serwerze) z wyjątkiem momentu generowania klucza na stacji roboczej lub urządzeniu mobilnym. iv. Szyfrowanie kanału przesyłu danych na poziomie równym lub wyższym niż technologia Point to Point Tuneling Protocol. W ramach prezentacji zgodnie z zapisami nr 2 do SIWZ w zakresie: Testów bezpieczeństwa należy przedstawić metodyką realizacji testów a w ramach czasowego użyczenie licencji na oprogramowanie służące do bezpiecznego przesyłania i współdzielenia plików wymagane jest przedstawienie opisu funkcjonalnego systemu. 6

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres