Audyt w zakresie bezpieczeństwa informacji w Wojewódzkim Urzędzie Pracy w Lublinie

Podobne dokumenty
2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Powiatowy Urząd Pracy Rybnik ul. Jankowicka 1 tel. 32/ , , fax

Specyfikacja audytu informatycznego Urzędu Miasta Lubań

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Opis przedmiotu zamówienia

Powiatowy Urząd Pracy Rybnik ul. Jankowicka 1 tel. 32/ , , fax

OGÓLNE ZASADY POSTĘPOWANIA OFERTOWEGO 1. W szczególnie uzasadnionych przypadkach Zamawiający może w każdym czasie, przed upływem terminu składania

Zabezpieczenia zgodnie z Załącznikiem A normy ISO/IEC 27001

Szkolenie otwarte 2016 r.

Audytowane obszary IT

Polityka Bezpieczeństwa Informacji. Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o.

Zapytanie ofertowe nr OR

SZCZEGÓŁOWY HARMONOGRAM KURSU

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Szczegółowy opis przedmiotu zamówienia:

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

Centrum Unijnych Projektów Transportowych zaprasza Państwa do złożenia oferty cenowej na wykonanie ekspertyzy w zakresie bezpieczeństwa informacji.

Załącznik nr 1 Istotne dla Zamawiającego postanowienia, które zostaną wprowadzone w treści umowy. UMOWA. zawarta w dniu w Rybniku pomiędzy:

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Promotor: dr inż. Krzysztof Różanowski

PARTNER.

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Deklaracja stosowania

DOKUMENTACJA BEZPIECZEŃSTWA <NAZWA SYSTEMU/USŁUGI>

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa

Nr sprawy: ST Poznań, Zapytanie ofertowe

Opis Przedmiotu Zamówienia na realizację audytów dla poszczególnych Inicjatyw i infrastruktury IT w ramach projektu euczelnia

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Kraków, Centrum miasta. Koszt szkolenia: zł

PROCEDURY BEZPIECZNEJ EKSPLOATACJI NAZWA SYSTEMU WERSJA.(NUMER WERSJI DOKUMENTU, NP. 1.0)

Reforma ochrony danych osobowych RODO/GDPR

Certified IT Manager Training (CITM ) Dni: 3. Opis:

Deklaracja stosowania

Marcin Soczko. Agenda

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

Załącznik 1 - Deklaracja stosowania w Urzędzie Gminy i Miasta w Dobczycach

ZAŁĄCZNIK NR 1 Istotne dla Zamawiającego postanowienia, które zostaną wprowadzone w treści umowy UMOWA. zawarta w dniu w Rybniku pomiędzy:

Opis przedmiotu zamówienia

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

Uchwała wchodzi w życie z dniem uchwalenia.

Bezpieczeństwo danych przechowywanych przez 16E sp. z o.o. nazywanej dalej Archivodata.

01. Bezpieczne korzystanie z urządzeń i systemów teleinformatycznych przez pracowników instytucji finansowych

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

Wymagania w zakresie bezpieczeństwa informacji dla Wykonawców świadczących usługi na rzecz i terenie PSG sp. z o.o. Załącznik Nr 3 do Księgi ZSZ

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych (cz. 4)

Usprawnienie procesu zarządzania konfiguracją. Marcin Piebiak Solution Architect Linux Polska Sp. z o.o.

Na podstawie 6 ust. 1 oraz 10 ust. 1 Regulaminu Organizacyjnego ACK Cyfronet AGH z dnia 28 kwietnia 2005 roku zarządzam co następuje:

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

POLITYKA E-BEZPIECZEŃSTWA

Wymagania w zakresie bezpieczeństwa informacji dla Wykonawców świadczących usługi na rzecz i terenie PSG sp. z o.o. Załącznik Nr 3 do Księgi ZSZ

Szczegółowe informacje o kursach

Wymiana doświadczeń Jarosław Pudzianowski - Pełnomocnik do Spraw Zarządzania Bezpieczeństwem

Informatyka Śledcza jako narzędzie zabezpieczania i analizy wrażliwych danych

Bezpieczeństwo danych (kradzież, nieautoryzowana edycja) Bezpieczeństwo IT (sniffing, spoofing, proxy anonimizujące, tunelowanie i przekierowanie

Opis Przedmiotu Zamówienia

1. Zakres modernizacji Active Directory

Maciej Byczkowski ENSI 2017 ENSI 2017

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC dokumentacja ISO/IEC 27003:2010

Zakres wymagań dotyczących Dokumentacji Systemu

ISO/IEC 27001:2014 w Urzędzie Miasta Płocka Kategoria informacji: informacja jawna. Bezpieczeństwo informacji w Urzędzie Miasta Płocka

Czy wszystko jest jasne??? Janusz Czauderna Tel

ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA. z dnia 16 czerwca 2015 r.

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

ZINTEGROWANY SYSTEM ZARZĄDZANIA DOKUMENT NADZOROWANY W WERSJI ELEKTRONICZNEJ

ZESPÓŁ SZKÓŁ TECHNICZNYCH we Włocławku, ul. Ogniowa 2 PROCEDURA ALARMOWA PROCEDURA POSTĘPOWANIA W PRZYPADKU NARUSZENIA DANYCH OSOBOWYCH

dr hab. prof. UO DARIUSZ SZOSTEK Kancelaria Szostek-Bar i Partnerzy RODO a cyberbezpieczeństwo

Polityka Bezpieczeństwa dla Dostawców

AGENDA DZIEŃ I 9: PANEL I WPROWADZENIE DO ZMIAN W OCHRONIE DANYCH OSOBOWYCH 1. ŚRODOWISKO BEZPIECZEŃSTWA DANYCH OSOBOWYCH.

Kwestionariusz samooceny kontroli zarządczej

ZAPROSZENIE DO SKŁADANIA OFERT

ŚRODOWISKO KOMPUTEROWYCH SYSTEMÓW INFORMATYCZNYCH TEST PEŁNY Status obszaru: Jeszcze nie edytowany (otwarty) Opracowano 0 z 55

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

POLITYKA BEZPIECZEŃSTWA INFORMACJI W BANKU SPÓŁDZIELCZYM W KSIĘŻPOLU. (Zawarta w planie ekonomiczno-finansowym

Kompleksowe Przygotowanie do Egzaminu CISMP

Ochrona Informacji i innych aktywów Zamawiającego

OFERTA Usług audytowych i doradczych w zakresie ochrony danych osobowych dla jednostek administracji publicznej

BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Warszawa, dnia 21 lipca 2016 r. Poz. 1076

ROZPORZĄDZENIE PREZESA RADY MINISTRÓW. z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego

SZCZEGÓŁOWA INSTRUKCJA ZARZADZANIA SYSTEMEM INFORMATYCZNYM W ZESPOLE SZKÓŁ PONADGIMNAZJALNYCH W DRAWSKU POMORSKIM

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Sprawa numer: BAK.WZP Warszawa, dnia 16 sierpnia 2016 r.

Szczegółowy opis przedmiotu umowy. 1. Środowisko SharePoint UWMD (wewnętrzne) składa się z następujących grup serwerów:

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

Amatorski Klub Sportowy Wybiegani Polkowice

Transkrypt:

Załącznik nr 1 do zapytania ofertowego z dn. 19.07.2017 r. SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA Audyt w zakresie bezpieczeństwa informacji w Wojewódzkim Urzędzie Pracy w Lublinie 1. Dokonanie oceny zgodności funkcjonujących zasad i procedur dotyczących zarządzania bezpieczeństwem informacji, w tym przetwarzania danych osobowych, z obowiązującymi aktami prawnymi, w szczególności: a) 20 Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2016 r. poz. 113 i 1744), b) ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922) i wydanymi do niej rozporządzeniami wykonawczymi, c) normami bezpieczeństwa: - Norma PN-ISO/IEC 27001 Technika informatyczna - Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji Wymagania, - Norma PN-ISO/IEC 20000 Technika informatyczna - Zarządzanie usługami, d) wymaganiami technologicznymi w systemach informatycznych zapewniającymi bezpieczeństwo zasobów sprzętowych i informacyjnych; e) wytycznymi Ministerstwa Cyfryzacji oraz Ministerstwa Rodziny, Pracy i Polityki Społecznej dotyczące dokumentacji z zakresu bezpieczeństwa informacji dla Wojewódzkich Urzędów Pracy i Powiatowych Urzędów Pracy. 2. Przeprowadzenie audytu bezpieczeństwa informacji we wszystkich obszarach funkcjonowania Wojewódzkiego Urzędu Pracy w Lublinie, w szczególności w zakresie: a) organizacyjnym, obejmującym m.in.: - regulacje w obszarze zarządzania bezpieczeństwem informacji, - dokumentacje, w tym z zakresu ochrony danych osobowych, - odpowiedzialność za bezpieczeństwo informacji i koordynację prac związanych z zarządzaniem bezpieczeństwem informacji, b) fizycznym i środowiskowym, w tym: - weryfikacja granic obszaru bezpiecznego, - weryfikacja zabezpieczeń wejścia/wyjścia, - weryfikacja systemów zabezpieczeń pomieszczeń i urządzeń, - weryfikacja bezpieczeństwa okablowania strukturalnego, - weryfikacja systemów chłodzenia, - weryfikacja systemów alarmowych; c) teleinformatycznym, z uwzględnieniem: - weryfikacja i analiza bezpieczeństwa dostępu do wewnętrznej infrastruktury sieciowej IT, - weryfikacja i analiza jakościowa odporności infrastruktury IT na bezautoryzacyjne rozpoznanie jego składowych, w tym weryfikacja podatności serwisów DNS, Strona 1 z 8

- weryfikacja systemów oraz protokołów zarządzania i monitorowania infrastruktury IT, - weryfikacja jakościowa ochrony przed oprogramowaniem szkodliwym poprzez próby propagacji testowego oprogramowania szkodliwego (zarówno z zewnątrz jak i od wewnątrz infrastruktury IT), - weryfikacja środków technicznych kontroli dostępu do systemów operacyjnych, w tym zabezpieczeń przed możliwością nieautoryzowanych instalacji oprogramowania, - weryfikacja i analiza danych przetwarzanych przez systemy logowania, - weryfikacja podatności logicznych środków kontroli dostępu wewnątrz infrastruktury IT, - weryfikacja poufności i integralności przetwarzania danych w systemach bazodanowych, w szczególności danych osobowych, - weryfikacja identyfikacji oraz autentykacji stosowanych w mechanizmach autoryzacji dostępu do zasobów IT, - weryfikacja podatności systemów i sieci na ataki takie jak sniffing, spoofing, man-inthe-middle, - weryfikacja na podstawie otwartości portów, podatności związanych z autoryzacją dostępu zdalnego do zasobów IT i ocena związanych z tym ryzyk, - weryfikacja bezautoryzacyjnego dostępu do informacji o rodzaju i wersji wykorzystywanego oprogramowania systemowego i usługowego, - weryfikacja arbitralnego i bezautoryzacyjnego zarządzania cyklem zmian systemów operacyjnych na urządzeniach infrastruktury IT, - rozpoznanie i ocena mechanizmów zarządzania aktualizacjami - w tym obecność systemów automatyzujących propagację poprawek bezpieczeństwa, - weryfikacja podatności na bezautoryzacyjne połączenia systemów VoIP, - weryfikacja podatności hostów na ataki w warstwie systemowej (przy wykorzystaniu exploitów), - weryfikacja podatności hostów na możliwość uzyskania nieautoryzowanego dostępu do zasobów plikowych, - weryfikacja poufności przesyłu danych przetwarzanych na udostępnionych zasobach plikowych, - weryfikacja podatności ustawień hostów na możliwość uzyskania nieautoryzowanego zdalnego dostępu do kontroli treści przesyłanych przez przeglądarki www, - weryfikacja bezautoryzacyjnej dostępności do danych o czasie pracy, krytycznych systemów, - weryfikacja obecności domyślnych kont użytkowników oraz haseł, - weryfikacja bezpieczeństwa informacji zawartych w komunikatach systemów, - weryfikacja obecności podatnych algorytmów szyfrowania, - weryfikacja wycieku danych z plików graficznych, archiwów, plików edytowalnych, - weryfikacja podatności systemów i aplikacji www w wewnętrznej infrastrukturze IT, - weryfikacja poufności przesyłania danych do wydruku, - analiza i ocena dodatkowych systemów bezpieczeństwa tj. dodatkowego oprogramowania antywirusowego, oprogramowania weryfikującego integralność systemów i gwarantującego audytowalność infrastruktury IT, Strona 2 z 8

- weryfikacja podatności systemu sieci wewnętrznej na zakłócenie/zablokowanie dostępności do usług i określenie zasięgu oraz zlokalizowanie fizycznego źródła ataku, - weryfikacja systemów AV na podatność DOS (zasada fail-secure), - weryfikacja poufności i czasu podtrzymania danych autoryzacyjnych aplikacji www. 3. Przeprowadzenie testów penetracyjnych przeprowadzonych ze stacji roboczej podłączonej do systemu informatycznego z zewnątrz (testy black box) mających na celu zidentyfikowanie jego podatności na włamanie oraz kompromitacje, w zakresie: a) zebranie dostępnych wiadomości o obiekcie metodą pasywną poprzez: - wykorzystanie baz danych i narzędzi on-line: whois, dns, robtex,etc., - wykorzystanie serwisu indeksującego Google, Bing, - wyszukiwanie informacji o ostrzeżeniach błędach, - wyszukiwanie informacji o dostępnych zasobach i plikach, - pozyskiwanie danych z pamięci cache serwisu Google (w tym pasywne pozyskiwanie metadanych), b) przeskanowanie wszystkich portów i dostępnych usług na testowanych adresach systemu: - identyfikacja aktywnych hostów i otwartych portów, - podjęcie próby identyfikacji dostępnych usług i ich wersji (weryfikacja wyników skanowania, co najmniej dwoma innymi jeszcze metodami), c) próba identyfikacji testowanego systemu i jego struktury: - próba określenia typu i wersji systemu operacyjnego, - analiza informacji zawartych w banerach usług, - analiza możliwych typów zapytań www, - analiza informacji zawartych w nagłówkach odpowiedzi aplikacji www, - analiza informacji zawartych w odpowiedziach aplikacji www, d) próba wykrycia luk i podatności konfiguracyjnych: - analiza metadanych plików, - próba enumeracji zasobów danych, - próba przeprowadzenia ataku słownikowego na hasła użytkowników, - próba ujawnienia wycieków danych (obecność popularnych plików, analiza, informacje o błędach, niewłaściwe nazewnictwo zasobów, wycieki kodu aplikacji), - próby wywołania błędów aplikacji (manipulacja przesyłanymi danymi, w tym:) o przesyłanie niepoprawnych danych o przesyłanie nadmiarowych danych o manipulacja parametrami oraz danymi nagłówkowymi zapytań e) praktyczne sprawdzenie wykrytych podatności: - próba exploitacji z użyciem bazy posiadanych exploitów, - próba przeprowadzenia ataku DOS, - weryfikacja nieautoryzowanego dostępu do testowanego systemu, - weryfikacja informacji wrażliwych, uzyskanych w odpowiedziach systemu, - weryfikacja reakcji zabezpieczeń testowanego systemu, na przeprowadzane próby ataku, - socjotechnicznych wpływ czynnika ludzkiego, polegającym na: Strona 3 z 8

o sprawdzeniu sposobu przechowywania haseł przez użytkowników, o weryfikacji ochrony powierzonego sprzętu i dokumentacji, o weryfikacji wiedzy pracowników na temat zasad ochrony danych osobowych oraz bezpieczeństwa teleinformatycznego; f) analizy szacowania ryzyka w oparciu o normę PN-ISO/IEC 27005, uwzględniającego: - inwentaryzację aktywów podlegających szacowaniu ryzyka, - określenie zagrożeń dla wyznaczonych aktywów, - określenie podatności dla wyznaczonych aktywów, - określenie prawdopodobieństw dla wyznaczonych aktywów, - oszacowanie ryzyka pod kątem skutków naruszenia bezpieczeństwa informacji; 4. Przygotowanie polityki systemu zarządzania bezpieczeństwem informacji stanowiącej podstawę dalszych działań związanych z wdrożeniem systemu zarządzania bezpieczeństwem informacji Polityka systemu zarządzania bezpieczeństwem informacji zawierać będzie w szczególności: Określenie podstaw dla systemu zarządzania bezpieczeństwem informacji, w tym podstaw prawnych i normatywnych Określenie celu wdrożenia i eksploatacji systemu zarządzania bezpieczeństwem informacji Deklarację kadry zarządzającej Określenie ogólnej odpowiedzialności w obszarze zarządzania bezpieczeństwem informacji Wskazanie ogólnych zasad i metod zarządzania bezpieczeństwem informacji Zapewnienie alokacji zasobów niezbędnych do wdrożenia i eksploatacji systemu zarządzania bezpieczeństwem informacji Zapewnienie realizacji działań w celu optymalizacji systemu zarządzania bezpieczeństwem informacji. 5. Przygotowanie deklaracji stosowania definiującej sposób realizacji zaleceń normy PN-ISO/IEC 27001:2013 w odniesieniu do wymagań Zamawiającego i określającej dalsze prace związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji. Wskazanie zabezpieczeń podlegających wdrożeniu oraz zabezpieczeń wykluczonych z wdrożenia Odniesienie do planu postępowania z ryzykiem Uzasadnienie zabezpieczeń wykluczonych z wdrożenia Wskazanie dokumentów zawierających opis zabezpieczeń podlegających wdrożeniu 6. Opracowanie dokumentacji dotyczącej zarządzania systemem bezpieczeństwa informacji: Określenie i sformalizowanie zasad zarządzania w szczególności poprzez wskazanie osób odpowiedzialnych oraz wskazanie podejścia do zapewnienia zasobów niezbędnych do efektywnego zarządzania bezpieczeństwem i zarządzania usługami. Strona 4 z 8

Opracowanie procedur przeprowadzania audytów, zawierających wskazanie częstotliwości audytów, sposobu przygotowywania i zatwierdzania ich planów, sposobu ich przeprowadzania oraz dokumentowania i raportowania ich wyników. Opracowanie procedury działań korygujących w przypadku niezgodności z wymaganiami systemu zarządzania. Opracowanie procedury wprowadzania działań zapobiegawczych w przypadku wystąpienia sytuacji mogącej prowadzić do niezgodności z wymaganiami systemu zarządzania. Opracowanie procedury przeglądu systemu zarządzania, w szczególności określającej częstotliwość przeglądów, zakres i sposób ich przeprowadzania, materiały źródłowe niezbędne do przeprowadzenia przeglądu, tryb wdrażania wniosków. Opracowanie procedury nadzoru nad dokumentami wchodzącymi w skład systemu zarządzania. W szczególności zostaną określone zasady wersjonowania, zatwierdzania, dystrybucji, przechowywania, archiwizowania i niszczenia dokumentów. Opracowanie procedury nadzoru nad zapisami, określającej zasady przechowywania, archiwizowania oraz niszczenia zapisów. 7. Opracowanie dokumentacji dotyczącej zabezpieczeń systemu zarządzania bezpieczeństwem informacji: Optymalizacja posiadanych przez Zamawiającego dokumentów określających zasady zarządzania bezpieczeństwem informacji, o ile wyniki analizy ryzyka wykażą potrzebę takiej optymalizacji; Opracowanie dokumentów określających zasady zarządzania bezpieczeństwem informacji, których brak stwierdzono po przeprowadzeniu analizy ryzyka. 8. W opracowaniu winny być wzięte pod uwagę następujące zagadnienia: Wymagania w zakresie zabezpieczeń teleinformatycznych, Zasady bezpiecznego przetwarzania informacji przez pracowników Zamawiającego, Stosowanie zasady czystego biura i czystego ekranu, Zabezpieczenie stacji roboczych, Zasady klasyfikacji informacji i postępowania z informacjami klasyfikowanymi, Zasady zarządzania dostępem do informacji, w tym nadawania, modyfikacji, odbierania uprawnień oraz przeglądu uprawnień, Zasady zarządzania dostępem do usług informatycznych, w tym usług sieciowych, Zarządzanie mechanizmami uwierzytelniającymi, w tym hasłami, Zasady publikacji informacji, Zasady wymiany danych z podmiotami zewnętrznymi, Zasady wewnętrznej wymiany danych, Zasady postępowania z nośnikami informacji, w tym składowanie i wymiana nośników oraz niszczenie informacji zapisanych na nośnikach, Zasady wprowadzania zmian w przetwarzaniu informacji, w szczególności z wykorzystaniem systemów informatycznych, z uwzględnieniem testowania bezpieczeństwa wprowadzanych rozwiązań, Strona 5 z 8

Wytyczne w zakresie utrzymania dokumentacji zabezpieczeń i systemów informatycznych, Zasady zgłaszania podatności w mechanizmach przetwarzających informacje, Zasady postępowania w przypadku incydentu naruszenia bezpieczeństwa informacji, Zasady kontroli bezpieczeństwa informacji, Zasady zarządzania oprogramowaniem, Zasady zarządzania kopiami zapasowymi, Zasady zarządzania kopiami archiwalnymi, Zasady konserwacji i serwisu zabezpieczeń technicznych i systemów informatycznych Zasady monitorowania bezpieczeństwa infrastruktury informatycznej, Zasady przygotowania urządzeń IT do ponownego użycia, Zasady wycofywania urządzeń IT z użycia, Zasady bezpiecznego korzystania z urządzeń mobilnych, Zasady bezpiecznej pracy zdalnej, Zasady ochrony przed złośliwym oprogramowaniem, Zasady zarządzania mechanizmami kryptograficznymi, Zasady monitorowania przepisów prawnych związanych z zabezpieczeniem przetwarzanych informacji oraz wprowadzania zmian wynikających z obowiązków prawnych, Wytyczne w zakresie ochrony fizycznej i technicznej, Wytyczne w zakresie monitorowania przepisów prawnych związanych z ochroną informacji, Wytyczne w zakresie bezpiecznej współpracy z podmiotami zewnętrznymi, Wytyczne w zakresie bezpiecznego świadczenia usług związanych z przetwarzaniem informacji, Wytyczne w zakresie bezpieczeństwa osobowego w procesach rekrutacji i zarządzania personelem, Dokumenty w zakresie ciągłości działania: o Strategia ciągłości przetwarzania informacji, o Plan ciągłości działania dla sytuacji uniemożliwienia przetwarzania informacji, o Plan komunikacji kryzysowej na wypadek braku możliwości przetwarzania informacji, o Zasady przeglądu i aktualizacji planu, o Zasady testowania planu ciągłości działania; 9. Opracowanie procedur zarządzania usługami Procedury zarządzania usługami obejmować będą: Projektowania i wdrażania nowych lub zmodyfikowanych usług, Zarządzania poziomem usług, Raportowania usług, Zarządzania dostępnością usług, Zapewnienia ciągłości świadczenia usług, Budżetowania i rozliczania usług, Strona 6 z 8

Zarządzania pojemnością, Zarządzania relacjami, Zarządzania incydentami, Zarządzania problemami, Zarządzania konfiguracją, Zarządzania wydaniami; 10. Sporządzenie i dostarczenie raportu z audytu w wersji elektronicznej edytowalnej oraz 3 egzemplarzy w wersji papierowej; opracowany raport audytu wraz z opisem dowodów, zawierać ma m.in.: a) ocenę stopnia spełnienia wymogów wymienionych w 20 Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2016 r. poz. 113 i 1744), b) ocenę stopnia spełnienia wymogów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922) i wydanych do niej rozporządzeń wykonawczych, c) ocenę spełnienia skuteczności stosowanych zabezpieczeń, d) wskazanie obszarów wymagających doskonalenia, e) dowody na obecność wykrytych podatności oraz popierające zawarte w raporcie z audytu teleinformatycznego analizy i stwierdzenia, f) określenie zakresu i priorytetu działań naprawczych. Raport z audytu zostanie omówiony z kadrą kierowniczą Urzędu w dniu podpisania protokołu odbioru zamówienia, lub w innym uzgodnionym terminie poprzedzającym podpisanie protokołu odbioru, nie wcześniej jednak niż przed zakończeniem prac. 11. Opracowanie dokumentacji wymienionej w 1 pkt 1 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), tj. : a) Polityki Bezpieczeństwa, b) Instrukcji Zarządzania Systemem Informatycznym, - wraz z wymaganymi procedurami i instrukcjami, takimi jak np. Instrukcja alarmowa, stanowiącymi załączniki do dokumentów wymienionych w lit. a) i b), bądź odrębne dokumenty; c) dostosowanie dokumentacji określonej w lit. a) i b) do potrzeb Wojewódzkiego Urzędu Pracy w Lublinie z uwzględnieniem rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, 12. Opracowanie dokumentacji dla Wojewódzkiego Urzędu Pracy w Lublinie w związku z wdrożeniem rozporządzenia Parlamentu Europejskiego i Rady (UE) Strona 7 z 8

2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, z uwzględnieniem zwłaszcza: a) działań niezbędnych do płynnego wdrożenia przepisów rozporządzenia, wraz z ich uzasadnieniem, b) nowych dokumentów, które muszą zostać opracowane, c) wskazanie dokumentów, które należy dostosować i zakresu ich dostosowania, d) wskazanie niezbędnych i pożądanych regulacji wewnętrznych, które winny być podjęte, e) sporządzenie harmonogramu wdrożenia nowych przepisów obejmującego okres od 1.09.2017r. do 30.06.2018r.; 13. Szkolenie pracowników z zakresu bezpieczeństwa informacji i ochrony danych osobowych, obejmujące: a) omówienie zasad bezpieczeństwa informacji, wynikających z Polityki Bezpieczeństwa i Instrukcji Zarządzania Systemem Informatycznym, b) omówienie zagrożeń bezpieczeństwa informacji, c) zapoznanie ze skutkami naruszeń zasad bezpieczeństwa informacji, d) przedstawienie stosowania środków zapewniających bezpieczeństwo informacji, e) przedstawienie zasad zgłaszania i reagowania na incydenty. 14. Warunki realizacji zamówienia: 1. Szczegółowe parametry zamówienia: ilość pracowników: 217, ilość lokalizacji: 4, ilość serwerów: 14 ilość stacji komputerowych: 330, ilość stacji komputerowych bez dostępu do sieci wewnętrznej urzędu: 27; 2. Zadania opisane w pkt. 1, 2, 5 należy przeprowadzić w siedzibie Zamawiającego. Strona 8 z 8

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres