Przetargi.pl
Przeprowadzenie Audytu Polityki Bezpieczeństwa Informacji w Powiatowym Urzędzie Pracy we Włodawie.

Powiatowy Urząd Pracy we Włodawie ogłasza przetarg

  • Adres: 22-200 Włodawa, ul. Niecała 2
  • Województwo: lubelskie
  • Telefon/fax: tel. 0-82 5725240, 5725094 , fax. 0-82 5724043
  • Data zamieszczenia: 2012-09-26
  • Zamieszczanie ogłoszenia: obowiązkowe

Sekcja I - Zamawiający

  • I.1. Nazwa i adres: Powiatowy Urząd Pracy we Włodawie
    ul. Niecała 2 2
    22-200 Włodawa, woj. lubelskie
    tel. 0-82 5725240, 5725094, fax. 0-82 5724043
    REGON: 11025935900000
  • Adres strony internetowej zamawiającego: www.pup.wlodawa.pl
  • I.2. Rodzaj zamawiającego: Administracja samorządowa

Sekcja II - Przedmiot zamówienia, przetargu

  • II.1. Określenie przedmiotu zamówienia
  • II.1.1. Nazwa nadana zamówieniu przez zamawiającego:
    Przeprowadzenie Audytu Polityki Bezpieczeństwa Informacji w Powiatowym Urzędzie Pracy we Włodawie.
  • II.1.2. Rodzaj zamówienia: usługi
  • II.1.3. Określenie przedmiotu oraz wielkości lub zakresu zamówienia:
    Określenie stanu faktycznego zabezpieczeń danych w systemach informatycznych urzędu poprzez audyt sprawdzający spełnienie zaleceń normy PN ISO 27001:2007, praktyki inżynierskiej oraz wymagań prawnych nałożonych na jednostkę. Na tej podstawie utworzenie dopasowanej do wymagań i specyfiki działalności jednostki Polityki Bezpieczeństwa wraz z Instrukcją Zarządzania Systemem Informatycznym z wymaganiami do procedur nadawania uprawnień do potwierdzania Profili Zaufanych ePUAP w taki sposób aby spełniała zalecenia normy PN ISO 27001:2007. Dokonanie analizy systemów IT pod kątem bezpieczeństwa dostępu do danych przechowywanych w formie elektronicznej i opracowania raportu wraz z zaleceniami dotyczącymi procedur ochrony informacji elektronicznej w oparciu o: -Zalecenia normy PN ISO IEC 27001:2007, - Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiada urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, - Ustawę o ochronie danych osobowych z dnia 29 sierpnia 1997r. (tekst jednolity z 2002r. Dz. U. nr 101, poz. 926 z późniejszymi zmianami), - Ustawę o informatyzacji działalności podmiotów realizujących zadania publiczne z 17 lutego 2005r. (Dz. U. 2005 nr 64, poz. 565 z późniejszymi zmianami) - Rozporządzenie Rady Ministrów w sprawie minimalnych wymagań dla systemów teleinformatycznych z dnia 11 października 2005r. (Dz. U. 2005 nr 212 poz. 1766). - Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 27 kwietnia 2011 w sprawie zasad potwierdzania, przedłużania ważności, wykorzystania i unieważniania profilu zaufanego elektronicznej platformy usług administracji publicznej (Dz.U. nr 93, poz. 547). - Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 21 kwietnia 2011 r. w sprawie szczegółowych warunków organizacyjnych i technicznych, które powinien spełniać system teleinformatyczny służący do identyfikacji użytkowników (Dz.U. nr 93, poz. 545) oraz przepisów rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 27 kwietnia 2011 r. w sprawie zakresu i warunków korzystania z elektronicznej platformy usług administracji publicznej (Dz.U. nr 93, poz. 546). Audyt ochrony danych osobowych Cel: Weryfikacja zgodności dokumentacji PUP z wytycznymi GIODO wraz z wymaganiami prawnymi. - Weryfikacja obszarów przetwarzania danych osobowych; - Rozpoznanie zbiorów danych przetwarzanych w Urzędzie; - Określenie wrażliwości danych przetwarzanych w Urzędzie; - Weryfikacja rejestracji zbiorów danych osobowych do GIODO; Audyt socjotechniczny Cel: Weryfikacja zagrożeń spowodowanych czynnikiem ludzkim. - Próba uzyskania dostępu do komputera; - Próba uzyskania informacji o danych osobowych; - Próba umieszczenia szkodliwego oprogramowania na komputerze użytkownika; - Sprawdzenie (odporności) użytkownika na: e-mail, PenDrive, Telefon; Audyt fizyczny i środowiskowy Cel: Weryfikacja skutecznej ochrony fizycznej i środowiskowej zasobów. - Weryfikacja granic obszaru bezpiecznego - Weryfikacja zabezpieczeń wejścia - wyjścia - Weryfikacja systemów zabezpieczeń pomieszczeń i urządzeń - Weryfikacja bezpieczeństwa okablowania strukturalnego - Weryfikacja systemów chłodzenia - Weryfikacja systemów alarmowych - Weryfikacja monitoringu - Analiza planów budynku w celu rozpoznania stref Audyt teleinformatyczny Cel: Wykrycie potencjalnych zagrożeń związanych z utratą informacji w systemach informatycznych. - Weryfikacja istniejących procedur zarządzania systemami teleinformatycznymi - Weryfikacja ochrony przed oprogramowaniem szkodliwym; - Weryfikacja procedur zarządzania kopiami zapasowymi; - Weryfikacja procedur związanych z rejestracją błędów; - Weryfikacja procedur dostępu do systemów operacyjnych , w tym weryfikacja zabezpieczeń przed możliwością nieautoryzowanych instalacji oprogramowania; - Przeprowadzenie testów penetracyjnych przeprowadzonych ze stacji roboczej podłączonej do systemu informatycznego z zewnątrz (poprzez urządzenie łączące system informatyczny urzędu z Internetem) mających na celu zidentyfikowanie możliwości przeprowadzenia włamania z zewnątrz; - Przeprowadzenie testów penetracyjnych przeprowadzonych ze stacji roboczej podłączonej do systemu informatycznego z wewnątrz w celu zidentyfikowania możliwości przeprowadzenia włamania z wewnątrz urzędu, - Wykonanie testów penetracyjnych zarówno wewnętrznych jak i zewnętrznych; - Weryfikacja aktualizacji oprogramowania; - Weryfikacja zabezpieczeń stacji roboczych i nośników danych w szczególności tych, na których przetwarzane są dane osobowe; - Weryfikacja haseł; - Identyfikację podatności systemów i sieci na ataki typu: DoS, DDoS, SQL, Injection, Sniffing, Spoffing, XSS, Hijacking, Backdoor, Flooding, Password, Guessing i inne, Raport z audytu - Opis zakresu przeprowadzonych prac audytowych; - Analiza informacji zebranych podczas audytów; - Wnioski i zalecenia związane z rozwiązaniem występujących problemów. Stworzenie dokumentu Polityki Bezpieczeństwa Informacji z przystosowaniem do procedur nadawania uprawnień do potwierdzania Profili Zaufanych ePUAP: Cel: Weryfikacja istniejącej dokumentacji (PBI) w oparciu o przepisy, ustawę o ochronie danych osobowych oraz wymagania GIODO. Aktualizacja ma na celu przygotowanie dokumentów dostosowanych do charakteru urzędu oraz wprowadzenie dokumentów ułatwiających nadzór nad systemem bezpieczeństwa informacji. Przegląd dokumentacji (PBI, Regulaminy, Procedury, Instrukcje) dotyczącej: - Danych osobowych. - Zasobów ludzkich.. - Zabezpieczeń systemów informacyjnych. - Regulacji prawnych. Opracowanie Polityki Bezpieczeństwa Informacji z przystosowaniem do procedur nadawania uprawnień do potwierdzania Profili Zaufanych ePUAP: - Zapoznanie zespołu roboczego z wymaganiami PBI; - Określenie celów i zakresu działania PBI; - Określenie wymagań prawnych; - Przygotowanie dokumentu PBI - Przygotowanie materiałów dla pracowników dotyczących nowej polityki; Polityka Bezpieczeństwa powinna być zgodna z następującymi dokumentami: - z wytycznymi w zakresie opracowania i wdrożenia polityki bezpieczeństwa opublikowanymi przez Głównego Inspektora Danych Osobowych; - z rozporządzeniem MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych , jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) ; - Ustawą z dnia 29 sierpnia 1997 roku o Ochronie Danych Osobowych (tj. Dz. 1997 nr 133 poz. 883 z późn. zmianami). Opracowanie instrukcji zarządzania systemami informatycznymi z wymaganiami do procedur nadawania uprawnień do potwierdzania Profili Zaufanych ePUAP i polityką Bezpieczeństwa Informacji zawierającą: - procedurę nadawania uprawnień do potwierdzania Profili Zaufanych ePUAP, - procedurę zarządzania kopiami zapasowymi, - procedury zabezpieczania nośników, - procedurę polityki kontroli dostępu do systemów, - procedurę zasady odpowiedzialności użytkowników, - procedurę dostępu i kontroli do usług internetowych, - procedurę zabezpieczeń komputerów przenośnych, - procedurę zabezpieczenia stacji roboczych i nośników danych w szczególności tych, na których przetwarzane są dane osobowe, - procedurę zarządzania hasłami, - procedurę bezpieczne przekazywania - utylizacji sprzętu, - procedurę niszczenia niepotrzebnych nośników, - procedurę użytkowania sprzętu poza siedzibą - procedurę backupu (sposób wykonywania kopii bezpieczeństwa, zakres kopiowanych danych, przechowywanie kopii bezpieczeństwa), oraz procesu administracji, - procedurę nadawaniem cofaniem modyfikowaniem uprawnieniami, - procedurę instalacji oprogramowań - polityka zarządzania oprogramowaniem w oparciu o najlepsze praktyki (ITIL, ISO 20000, ISO 27001) - procedurę nieautoryzowanych logowań/włamań do systemu, - inne zaproponowane procedury przez Wykonawcę audytu. Instrukcja zarządzania systemami informatyczna powinna być zgodna z następującymi dokumentami: - Rozporządzenie Rady Ministrów w sprawie minimalnych wymagań dla systemów teleinformatycznych z dnia 11 października 2005r. (Dz. U. 2005 nr 212 poz. 1766). - Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 27 kwietnia 2011 w sprawie zasad potwierdzania, przedłużania ważności, wykorzystania i unieważniania profilu zaufanego elektronicznej platformy usług administracji publicznej (Dz.U. nr 93, poz. 547). - Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 21 kwietnia 2011 r. w sprawie szczegółowych warunków organizacyjnych i technicznych, które powinien spełniać system teleinformatyczny służący do identyfikacji użytkowników (Dz.U. nr 93, poz. 545) oraz przepisów rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 27 kwietnia 2011 r. w sprawie zakresu i warunków korzystania z elektronicznej platformy usług administracji publicznej (Dz.U. nr 93, poz. 546). Szkolenie dla pracowników z zakresu Polityki Bezpieczeństwa Informacji. Szkolenie ABI, ASI - zakończone imiennymi certyfikatami.
  • II.1.4. Wspólny Słownik Zamówień (CPV): 792100003
  • II.1.5. Czy dopuszcza się złożenie oferty częściowej: nie
  • II.1.6. Czy dopuszcza się złożenie oferty wariantowej: nie
  • II.1.7. Czy przewiduje się udzielenie zamówień uzupełniających: nie
  • II.2. Czas trwania zamówienia lub termin wykonania: 30 dni

Sekcja IV - Procedura przetargowa

  • IV.1. Tryb udzielenia zamówienia
  • IV.1.1. Tryb udzielenia zamówienia: przetarg nieograniczony
  • IV.2. Kryteria oceny ofert
  • IV.2.1. Kryteria oceny ofert: Kwalifikacje
  • IV.2.2. Wykorzystana będzie aukcja elektroniczna: nie
  • IV.3. Informacje administracyjne
  • IV.3.1. Adres strony internetowej, na której dostępna jest specyfikacja istotnych warunków zamówienia: www.pup.wlodawa.pl
  • IV.3.5. Termin związania ofertą, okres w dniach: 30 (od ostatecznego terminu składania ofert)

Zobacz następny przetargZobacz poprzedni przetargPobierz ofertę w pliku pdfPowrót na stronę główną