Opis przedmiotu zamówienia



Podobne dokumenty
Specyfikacja audytu informatycznego Urzędu Miasta Lubań

Powiatowy Urząd Pracy Rybnik ul. Jankowicka 1 tel. 32/ , , fax

Powiatowy Urząd Pracy Rybnik ul. Jankowicka 1 tel. 32/ , , fax

Załącznik nr 1 Istotne dla Zamawiającego postanowienia, które zostaną wprowadzone w treści umowy. UMOWA. zawarta w dniu w Rybniku pomiędzy:

ZAŁĄCZNIK NR 1 Istotne dla Zamawiającego postanowienia, które zostaną wprowadzone w treści umowy UMOWA. zawarta w dniu w Rybniku pomiędzy:

Audytowane obszary IT

Zapytanie ofertowe nr OR

Audyt w zakresie bezpieczeństwa informacji w Wojewódzkim Urzędzie Pracy w Lublinie

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

INSTRUKCJA zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

SZCZEGÓŁOWY HARMONOGRAM KURSU

Umowa Nr. Zawarta w dniu.. roku w..., pomiędzy... zwanym w dalszej części umowy Zamawiającym reprezentowanym przez:

Polityka bezpieczeństwa. przetwarzania danych osobowych. w Urzędzie Miejskim w Węgorzewie

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

POLITYKA E-BEZPIECZEŃSTWA

Z a r z ą d z e n i e Nr 126 /2015 W ó j t a G m i n y K o b y l n i c a z dnia 17 czerwca 2015 roku

Opis Przedmiotu Zamówienia na realizację audytów dla poszczególnych Inicjatyw i infrastruktury IT w ramach projektu euczelnia

Moduł 6. Dokumentacja techniczna stanowiska komputerowego

Szczegółowy opis przedmiotu zamówienia:

Wymagania w zakresie bezpieczeństwa informacji dla Wykonawców świadczących usługi na rzecz i terenie PSG sp. z o.o. Załącznik Nr 3 do Księgi ZSZ

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

Szczegółowe informacje o kursach

Szkolenie otwarte 2016 r.

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

Wymagania w zakresie bezpieczeństwa informacji dla Wykonawców świadczących usługi na rzecz i terenie PSG sp. z o.o. Załącznik Nr 3 do Księgi ZSZ

USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Umowa dotycząca przeprowadzenia audytu bezpieczeństwa informatycznego

Procedura Alarmowa. Administrator Danych... Zapisy tego dokumentu wchodzą w życie z dniem...

OGÓLNE ZASADY POSTĘPOWANIA OFERTOWEGO 1. W szczególnie uzasadnionych przypadkach Zamawiający może w każdym czasie, przed upływem terminu składania

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

Procedura Alarmowa. Administrator Danych Dyrektor Ewa Żbikowska

Polityka Bezpieczeństwa Informacji. Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o.

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

Instrukcja zarządzania RODO. w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa

Instrukcja Zarządzania Systemem Informatycznym. załącznik nr 13 do Polityki. Bezpieczeństwa Informacji Ośrodka Pomocy Społecznej w Starym Sączu

Powiatowy Urząd Pracy w Wieruszowie Wieruszów ul. L. Waryńskiego 15, tel. (062) , fax lowe@praca.gov.

ZARZĄDZENIE NR 4/17. Dyrektora Gminnego Ośrodka Kultury w Kwidzynie z dnia 10 lutego 2017 roku

POLITYKA BEZPIECZEŃSTWA INFORMACJI

7. zainstalowane oprogramowanie zarządzane stacje robocze

Marcin Soczko. Agenda

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

Praktyczne aspekty zarządzania oprogramowaniem. Seminarium Zrób to SAMo Warszawa

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

administratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE

Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Bezpieczeństwo danych (kradzież, nieautoryzowana edycja) Bezpieczeństwo IT (sniffing, spoofing, proxy anonimizujące, tunelowanie i przekierowanie

2. Wykaz zbiorów danych osobowych oraz programy zastosowane do przetwarzania tych danych.

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Załącznik nr 7 do SIWZ OP-IV PID POROZUMIENIE. w sprawie powierzenia przetwarzania danych osobowych

ZAPROSZENIE DO SKŁADANIA OFERT

Zarządzenie Nr 224/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 6 kwietnia 2016 r.

Zarządzenie Nr 623/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 16 sierpnia 2016 r.

SZCZEGÓŁOWA INSTRUKCJA ZARZADZANIA SYSTEMEM INFORMATYCZNYM W ZESPOLE SZKÓŁ PONADGIMNAZJALNYCH W DRAWSKU POMORSKIM

Zał. nr 2 do Zarządzenia nr 48/2010 r.

ŚRODOWISKO KOMPUTEROWYCH SYSTEMÓW INFORMATYCZNYCH TEST PEŁNY Status obszaru: Jeszcze nie edytowany (otwarty) Opracowano 0 z 55

PROGRAM NAUCZANIA KURS ABI

PROCEDURA ALARMOWA GMINNEJ BIBLIOTEKI PUBLICZNEJ W ZAKRZÓWKU ORAZ FILII W STUDZIANKACH, SULOWIE I RUDNIKU DRUGIM

Polityka Bezpieczeństwa ochrony danych osobowych

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych w Starostwie Powiatowym w Toruniu. Identyfikacja zasobów systemu informatycznego

ZARZĄDZENIE Nr 10 DYREKTORA GENERALNEGO SŁUŻBY ZAGRANICZNEJ. z dnia 9 maja 2011 r.

KURS ABI. Dzień 1 Podstawy pełnienia funkcji ABI SZCZEGÓŁOWY HARMONOGRAM SZKOLENIA MODUŁ I

Zapytanie ofertowe. Łódź, dnia 5 listopada 2018 r.

JAK ZAPEWNIĆ BEZPIECZEŃSTWO INFORMACYJNE?

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Na podstawie 6 ust. 1 oraz 10 ust. 1 Regulaminu Organizacyjnego ACK Cyfronet AGH z dnia 28 kwietnia 2005 roku zarządzam co następuje:

Amatorski Klub Sportowy Wybiegani Polkowice

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

2. Cele i polityka zabezpieczania systemów informatycznych, w których przetwarzane są dane osobowe

Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

Zakres wymagań dotyczących Dokumentacji Systemu

Deklaracja stosowania

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

Załącznik do zarządzenia nr 29/2005/2006 Obowiązuje od r. POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA

nas sprawdził czas INFORMATYKA ELEKTRONIKA AUTOMATYKA

POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH W RAMACH UMOWY nr.z dnia

OFERTA Usług audytowych i doradczych w zakresie ochrony danych osobowych dla jednostek administracji publicznej

Instrukcja Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych

Polityka Bezpieczeństwa Danych Osobowych wraz z Instrukcją zarządzania systemem informatycznym przetwarzającym dane osobowe

POLITYKA BEZPIECZEŃSTWA DANYCH

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH

SYSTEM OCHRONY DANYCH OSOBOWYCH W PRZEDSIĘBIORSTWIE INFORMACJE OGÓLNE

ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA. z dnia 16 czerwca 2015 r.

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W STOWARZYSZENIU PRACOWNIA ROZWOJU OSOBISTEGO

Opis przedmiotu zamówienia

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

Zarządzanie oprogramowaniem możliwe problemy. Auditoria tel

SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA

Transkrypt:

Załącznik nr 1 do zaproszenia Opis przedmiotu zamówienia I. 1. 2. 3. AUDYT BEZPIECZEŃSTWA PRZETWARZANIA INFORMACJI, AUDYT BEZPIECZEŃSTWA TELEINFORMATYCZNEGO, AUDYT LEGALNOŚCI OPROGRAMOWANIA W POWIATOWYM URZĘDZIE PRACY W ZĄBKOWICACH ŚLĄSKICH ORAZ FILII URZĘDU W ZIĘBICACH. Audyt bezpieczeństwa przetwarzania informacji, ze szczególnym uwzględnieniem przewarzania danych osobowych oraz aktualizacja i wdrożenie polityki bezpieczeństwa informacji. Zakres usługi: Przedmiotem zamówienia jest kompleksowa usługa z zakresu bezpieczeństwa informacji składająca się z: I. Audytu bezpieczeństwa przetwarzania informacji wraz z aktualizacją i wdrożeniem Polityki Bezpieczeństwa Informacji. II. Audytu systemów teleinformatycznych. III. Audyt legalności oprogramowania. IV. Szkoleń z zakresu bezpieczeństwa przetwarzania informacji dla pracowników urzędu. Cel przeprowadzenia audytu: Audyt ma na celu ustalenie aktualnego stanu bezpieczeństwa przetwarzania danych, ze szczególnym uwzględnieniem przetwarzania danych osobowych, u Zamawiającego oraz jego zgodności z niżej wymienionymi aktami prawnymi i dokumentami: Ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm). Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024). Wytycznymi w zakresie opracowania i wdrożenia polityki bezpieczeństwa opublikowanymi przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Zakres usługi: 1) Rozpoznanie wszystkich obszarów przetwarzania danych. 2) Rozpoznanie wszystkich przetwarzanych zbiorów danych. 3) Rozpoznanie wszystkich systemów przetwarzających dane i ich konfiguracji. 4) Przeprowadzenie analizy ochrony punktów krytycznych w obszarach przetwarzania danych. 5) Przeprowadzenie testów socjotechnicznych, w celu ustalenia poziomu świadomości pracowników Zamawiającego z zakresu możliwości utraty informacji na skutek manipulacji i/lub celowego, złośliwego działania osób trzecich. Ze względu na wiarygodność i wrażliwość tego testu jego szczegóły zostaną uzgodnione bezpośrednio między Wykonawcą a upoważnionym przedstawicielem Zamawiającego tuż przed jego wykonaniem. Zamawiający rezerwuje sobie prawo do niewyrażenia zgody na proponowane przez Wykonawcę, w ramach testu, działania oraz do wskazania obszaru i rodzaju działania, który będzie objęty proponowanym przez Wykonawcę testem. Wynik testu nie będzie miał żadnego wpływu na politykę kadrową Zamawiającego oraz nie może upoważniać Wykonawcy do żadnych wniosków w tym zakresie. 1) Analiza bezpieczeństwa fizycznego: 2) Kontrola zabezpieczeń obszaru przetwarzania danych osobowych. 3) Kontrola zabezpieczeń pomieszczeń. 4) Kontrola zabezpieczeń zbiorów tradycyjnych. 5) Kontrola zabezpieczeń zbiorów archiwalnych. 6) Kontrola ochrony przed zdarzeniami losowymi. 7) Kontrola bezpieczeństwa okablowania strukturalnego. 8) Kontrola systemów wspomagających. 9) Kontrola ochrony sprzętu przed kradzieżą. 10) Kontrola działania polityki czystego biurka i czystego ekranu. 11) Weryfikacja dokumentów wewnętrznych Zamawiającego regulujących przetwarzanie danych osobowych.

4. 12) Przeprowadzenie analizy wytycznych w zakresie dostępu osób upoważnionych do przetwarzania danych osobowych. 13) Weryfikacja ewidencji osób upoważnionych do przetwarzania danych osobowych. 14) Przeprowadzenie analizy możliwości dostępu do danych przez osoby nieupoważnione. 15) Weryfikacja pracy użytkowników w obszarach, w których przetwarzane są dane osobowe. 16) Weryfikacja sposobu przetwarzania danych osobowych. 17) Weryfikacja kontroli nad przepływem danych osobowych. 18) Weryfikacja przechowywania danych osobowych. 19) Weryfikacja poufności, dostępności i udostępniania danych osobowych. 20) Identyfikacja zagrożeń, słabych stron i oszacowanie ryzyka przetwarzania danych osobowych. 21) Weryfikacja dostępu osób nieupoważnionych do miejsc, gdzie przetwarzane są dane osobowe. 22) Weryfikacja poprawności magazynowania i bieżącej pracy z dokumentacją papierową. Wymagane rezultaty audytu Sporządzenie przez Wykonawcę raportu pokontrolnego zawierającego: 1) Opis aktualnego stanu bezpieczeństwa danych, ze szczególnym uwzględnieniem danych osobowych. 2) Wskazanie stwierdzonych uchybień i zagrożeń. 3) Zalecenia dotyczących sposobów, metod i środków usunięcia stwierdzonych uchybień i zagrożeń związanych z bezpieczeństwem przetwarzania danych, ze szczególnym uwzględnieniem danych osobowych, dla osiągnięcia zgodności z wymienionymi wyżej aktami prawnymi i dokumentami. 4) Sporządzeniem przez Wykonawcę dokumentu zawierającego sugerowaną Politykę Bezpieczeństwa Informacji, zgodną z wymienionymi wyżej aktami prawnymi, na którą składać się będą: Polityka ochrony danych osobowych. Instrukcja zarządzania systemem informatycznym Sporządzenie instrukcji użytkowania sytemu informatycznego. Przygotowanie przez Wykonawcę informacji o zbiorach danych osobowych niezbędnych do zarejestrowania zbiorów w rejestrze zbiorów danych osobowych prowadzonym przez GIODO lub do wprowadzenia zmian dotyczących zbiorów zarejestrowanych w rejestrze. Dokumenty te Wykonawca sporządzi w porozumieniu z Zamawiającym, uwzględniając specyfikę działania i organizację pracy Zamawiającego. 5. Wszystkie dokumenty związane z przeprowadzonym audytem Wykonawca dostarczy Zamawiającemu w postaci wydruku w dwóch egzemplarzach i w postaci elektronicznej. Wykonawca pisemnie zobowiąże się, że dokumenty te będzie traktował jako poufne i nie przekaże ani nie udostępni ich nikomu bez pisemnej zgody Zamawiającego, z wyłączeniem organów występujących o to z mocy prawa po uprzednim powiadomieniu o tym wystąpieniu Zamawiającego. II 6. AUDYT BEZPIECZEŃSTWA TELEINFORMATYCZNEGO Cel audytu: Audyt bezpieczeństwa teleinformatycznego, którego celem jest wykrycie potencjalnych zagrożeń związanych z utratą informacji w systemach informatycznych, powinien być przeprowadzony najnowocześniejszymi narzędziami i zgodnie z metodologią, które gwarantują rzetelność oceny bieżącego stanu bezpieczeństwa systemów informatycznych organizacji. 7. Weryfikacja lub opracowanie procedur w zakresach: 1) Procedury zarządzania systemami teleinformatycznymi. 2) Procedury planowania aktualizacji systemów teleinformatycznych. 3) Ochrona przed oprogramowaniem szkodliwym, w tym weryfikacja zabezpieczeń przed możliwością nieautoryzowanych instalacji oprogramowania. 4) Procedury zarządzania kopiami zapasowymi.

8. 9. 5) Procedury zabezpieczania nośników. 6) Polityki kontroli dostępu do systemów. 7) Zasady odpowiedzialności użytkowników. 8) Procedury dostępu do systemów operacyjnych. 9) Procedury dostępu i kontroli do usług internetowych. 10) Zasady zarządzania hasłami. 11) Weryfikacja zabezpieczeń kryptograficznych. 12) Weryfikacja kontroli eksploatowanego oprogramowania. 13) Procedury kontroli zabezpieczeń komputerów przenośnych. 14) Bezpieczeństwo sieci LAN, WAN, WiFi. 15) Zasady użytkowania Internetu. 16) Procedury rejestracji błędów. 17) Weryfikacja metod autoryzacji na stacjach roboczych. 18) Analiza stopnia zabezpieczenia stacji roboczych i nośników danych w szczególności tych, na których przetwarzane są dane osobowe. 19) Kontrola postępowania z urządzeniami przenośnymi w szczególności tymi, na których przetwarzane są dane osobowe. 20) Kontrola wytycznych związanych z użytkowaniem sprzętu poza siedzibą. 21) Bezpieczne przekazywanie sprzętu. 22) Niszczenie niepotrzebnych nośników. 23) Weryfikacja poprawności składowania danych elektronicznych. 24) Analiza konfiguracji aplikacji i serwerów powinna obejmować m.in.: Techniczną ocenę rozwiązania. Politykę zarządzania. Proces i metody autoryzacji. Zarządzanie uprawnieniami i logowanie zdarzeń. Zarządzanie zmianami konfiguracyjnymi i aktualizacjami. Dostępność i ciągłość działania. Analizę systemu zarządzania kopiami zapasowymi. Analizę bezpieczeństwa funkcji i protokołów specyficznych dla aplikacji /serwera. 25) Analizę konfiguracji urządzeń sieciowych (routerów, firewall), powinna obejmować m.in.: Ogólną ocenę rozwiązania. Politykę zarządzania. Ocenę mechanizmów bezpieczeństwa (firewall). Analizę dostępów do urządzenia. Routing. Analizę i filtrowanie połączeń. Testy penetracyjne: 1) Przeprowadzenie testów penetracyjnych przeprowadzonych ze stacji roboczej podłączonej do systemu informatycznego z zewnątrz (poprzez urządzenie łączące system informatyczny urzędu z Internetem) mających na celu zidentyfikowanie możliwości przeprowadzenia włamania z zewnątrz. 2) Przeprowadzenie testów penetracyjnych przeprowadzonych ze stacji roboczej podłączonej do systemu informatycznego z wewnątrz w celu zidentyfikowania możliwości przeprowadzenia włamania z wewnątrz urzędu. Testy powinny obejmować m.in.: 1) Badanie luk systemów informatycznych (aplikacji). 2) Badanie luk urządzeń sieciowych. 3) Badanie luk baz danych. 4) Badanie luk komputerów i notebooków. 5) Badanie luk serwerów. Przeprowadzone testy powinny umożliwiać m.in.: 1) Inwentaryzację otwartych portów. 2) Analizę bezpieczeństwa stosowanych protokołów. 3) Identyfikację podatności systemów i sieci na ataki typu: DoS, DDoS, SQL, Injection, Sniffing, Spoffing, XSS, Hijacking, Backdoor, Flooding, Password, Guessing i inne. Rezultaty audytu: 1) Wykryte zostaną podatności i błędy w konfiguracji systemów będących w posiadaniu urzędu,

z uwzględnieniem poziomu ważności ze względu na bezpieczeństwo. 2) W celu wykrycia luk w systemach, nie będą przeprowadzane ataki destrukcyjne, które zakłócą pracę systemów. 3) Wykonane zostanie skanowanie z autentykacją w celu potwierdzenia podatności systemu operacyjnego oraz oprogramowania pakietów biurowych i systemu poczty elektronicznej. 4) W procesie skanowania luk wykorzystywane będą najnowsze bazy podatności publikowane w serwisach CVE, Bagtraq oraz producentów sprzętu i systemów operacyjnych. 5) Skanowanie podatności na komputerach i serwerach powinno się odbyć bez instalacji jakiegokolwiek oprogramowania na urządzeniach badanych. 6) Po przeskanowaniu sieci zostaną sporządzone szczegółowe raporty dotyczące wykrytych podatności. 7) Do wszystkich wykrytych podatności lub błędnych konfiguracji zostanie przygotowana lista poprawek do zainstalowania lub instrukcje w jaki sposób je wyeliminować. Lista poprawek lub instrukcji będzie sporządzona w postaci przejrzystego raportu, w którym urządzenia będą podzielone na grupy zasobów, w zależności od: lokalizacji, przynależności do komórki organizacyjnej lub rodzaju systemu operacyjnego. Zostanie przygotowany raport poprawek, które należy zaaplikować do poszczególnych systemów, z linkami do stron producentów w celu ich pobrania oraz informacją kiedy dana poprawka powstała; dla każdej z poprawek wylistowane zostaną podatności, które powinny być załatane po jej aplikacji. Zostanie przygotowana lista urządzeń posiadających przestarzałe oprogramowanie z linkami do stron producentów. Dla wybranych serwerów i stacji roboczych, zostanie zweryfikowana zgodność na poziomie technologicznym konfiguracji systemów operacyjnych z wytycznymi wynikającymi z polityki bezpieczeństwa. Dla poszczególnych grup badanych urządzeń zostanie przeprowadzona analiza ryzyka systemów IT na poziomie technologicznym. Dla publicznych adresów IP po skanowaniu audytowym odbędą się jeszcze 3 skanowania kontrolne w odstępie 3 miesięcy, a po ich wykonaniu zostanie sporządzony raport trendu podatności i poziomu ryzyka systemów. 10. III 11. Opis zakresu przeprowadzonych prac audytowych zawierać będzie: 1) Analizę informacji zebranych podczas audytów. 2) Wnioski i zalecenia audytora. 3) Ocenę poziomu bezpieczeństwa danych osobowych i systemu informatycznego. 4) Analizę wyników testów penetracyjnych pod kątem oceny zagrożenia integralności systemu oraz możliwości dostępu do danych przez osoby nieupoważnione. 5) Informacje na temat wykrytych luk w mechanizmach bezpieczeństwa oraz sposobu ich załatania lub obejścia. 6) Zalecenia dotyczące zabezpieczenia systemu informatycznego i wyznaczenie kierunków dalszego rozwoju systemów zabezpieczających. Raport z audytu zgodny będzie z: Ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm). Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024). Wytycznymi w zakresie opracowania i wdrożenia polityki bezpieczeństwa opublikowanymi przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Raport z audytu opracowany zostanie na podstawie praktyk ISO 27001 oraz ISO 20000. AUDYT LEGALNOŚCI OPROGRAMOWANIA Usługa audytu legalności oprogramowania powinna się składać z następujących czynności: 1) Audyt legalności oprogramowania. 2) Pełna inwentaryzacja zainstalowanego oprogramowania (skanowanie wszystkich

12. IV 13. komputerów i serwerów). 3) Inwentaryzacja dokumentacji licencyjnej. 4) Kontrola antypiracka licencji na oprogramowanie. 5) Weryfikacja zgodności zainstalowanego oprogramowania z posiadanymi licencjami. 6) Przygotowanie i przekazanie poufnego raportu audytowego o stanie legalności oprogramowania po pierwszym skanowaniu w formie dokumentu oraz w wersji elektronicznej na nośniku CD zawierającego informacje o zainstalowanym oprogramowaniu i innych plikach (mp3, gry, filmy itp. kontrola antypiracka) znajdujących się na poszczególnych stacjach roboczych. 7) Wykaz zainstalowanego w Urzędzie oprogramowania, sporządzenie zestawień braków i nadmiarów w liczbie oprogramowania. 8) Omówienie rozbieżności między zainstalowanym na komputerach oprogramowaniem, a posiadanymi licencjami, wykazanie ewentualnych braków w dokumentacji licencyjnej oraz wskazanie sposobów ich eliminacji. 9) Wskazanie najkorzystniejszych możliwości uzupełnienia brakujących licencji. 10) Opracowanie właściwych zasad zarządzania oprogramowaniem (wzory dokumentów porozumienie z pracownikami, tworzenie metryk komputerowych, zarządzenie). Wdrożenie programu naprawczego 1) Usunięcie z dysków twardych użytkowników zbędnego oprogramowania. 2) Usunięcie z dysków twardych użytkowników zbędnych plików multimedialnych. 3) Propozycja standaryzacji oprogramowania. 4) Propozycja wprowadzenia mechanizmów zabezpieczeń. 5) Certyfikacja. 6) Ponowne skanowanie komputerów, weryfikacja dokumentacji i wdrożonych zasad zarządzania oprogramowaniem (jeżeli zaistnieje taka konieczność). 7) Opracowanie i przekazanie końcowego raportu audytowego. 8) Wydanie certyfikatu Software Assets Management dla Powiatowego Urzędu Pracy w Ząbkowicach Śląskich. 9) Wydanie certyfikatu legalności firmy audytującej. 10) Wydanie certyfikatu firmy Adobe. 11) Wydanie certyfikatu firmy Autodesk. 12) Wsparcie i pomoc merytoryczna w okresie ważności certyfikatów (12 miesięcy) w zakresie przedmiotu zamówienia. SZKOLENIA Z ZAKRESU BEZPIECZEŃSTWA PRZETWARZANIA INFORMACJI Po zakończeniu audytów i przygotowaniu Polityki Bezpieczeństwa informacji Wykonawca: 1) Przeprowadzi szkolenie Administratora Bezpieczeństwa Informacji z zakresu zarządzania dokumentacją "Polityki bezpieczeństwa informacji", zakończone uzyskaniem stosownego dokumentu poświadczającego ukończenie tego szkolenia. 2) Przeprowadzi szkolenie Administratora Systemu Informatycznego z zakresu zarządzania dokumentami: "Instrukcja zarządzania systemem informatycznym" i "Instrukcja użytkowania sytemu informatycznego", zakończone uzyskaniem stosownego dokumentu poświadczającego ukończenie tego szkolenia. 3) Przeprowadzi szkolenie pracowników z zakresu bezpieczeństwa przetwarzania informacji, zakończone uzyskaniem stosownego dokumentu poświadczającego ukończenie tego szkolenia. 4) Zapewni wsparcie poprzez konsultacje podczas wdrażania zmienionej polityki bezpieczeństwa informacji, w okresie do 3 miesięcy po zakończeniu audytu. 5) W terminie między 2 a 3 miesiącem od zakończenia audytu przeprowadzi kontrolę powdrożeniową, obejmującą zagadnienia wskazane jako uchybienia i zagrożenia w raporcie pokontrolnym. 6) W terminie między 2 a 3 miesiącem od zakończenia audytu przeprowadzi szkolenie pracowników z zakresu wdrożonej Polityki Bezpieczeństwa Informacji. 7) W terminie 12 miesięcy od zakończenia audytu przeprowadzi kontrolny audyt teletechniczny wraz z weryfikacją i aktualizacją Polityki Bezpieczeństwa Informacji. 14. Ilość jednostek komputerowych objętych audytem Stacje robocze stacjonarne: 66 Stacje robocze mobilne (komputery przenośne): 5 Serwery: 5

Lokalizacje: Powiatowy Urząd Pracy w Ząbkowicach Śl. ul. Powstańców Warszawy 7, 57-200 Ząbkowice Śl. Filia Powiatowego Urzędu Pracy, ul. Wojska Polskiego 3a, 57-220 Ziębice.

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres