„Usługa wykonania audytu systemu bezpieczeństwa informacji w 5 podmiotach w ramach projektu „Cyberbezpieczny samorząd dla Gminy Stalowa Wola”
Notice description
1. Przedmiotem zamówienia jest „Usługa wykonania audytu systemu bezpieczeństwa informacji w 5 podmiotach w ramach projektu „Cyberbezpieczny samorząd dla Gminy Stalowa Wola”: Zaawansowane usługi cyfrowe Działanie 2.2- Wzmocnienie krajowego systemu cyberbezpieczeństwa konkurs grantowy w ramach Projektu grantowego „Cyberbezpieczny Samorząd”
Zamówienie obejmuje przeprowadzenie audytów systemu bezpieczeństwa informacji w 5 podmiotach:
Urzędzie Miasta w Stalowej Woli
Żłobku Miejskim Nr 3 w Stalowej Woli,
Przedszkolu Nr 2 im. Jana Brzechwy w Stalowej Woli
Przedszkolu Nr 5 im. Juliana Tuwima w Stalowej Woli
Stalowowolskim Centrum Usług Wspólnych
mi.in. w celu oceny skuteczności środków bezpieczeństwa oraz zarządzania ryzykiem;
a) audytu wdrożonego w Jednostce systemu bezpieczeństwa informacji SZBI,
b) analizę efektywności działań w zakresie monitorowania, pomiarów, analizy i oceny SZBI, w tym przegląd wskaźników ryzyka i zgodności.
Zadanie jest dofinansowane w ramach Programu: Fundusze Europejskie na Rozwój Cyfrowy 2021-2027. Priorytet II: Zaawansowane usługi cyfrowe, Działanie 2.2 Wzmocnienie krajowego systemu cyberbezpieczeństwa.
2. AUDYT POWINIEN OBEJMOWAĆ:
a) Analiza wstępną i określenie zakresu audytu
• Zdefiniowanie obszarów, lokalizacji oraz jednostek organizacyjnych objętych SZBI.
• Weryfikacja ewidencji obszaru przetwarzania informacji, w tym dokładność danych dotyczących lokalizacji, kondygnacji i adresów.
• Sprawdzenie, czy zakres SZBI jest zgodny z wymaganiami norm ISO/IEC 27001 oraz potrzebami organizacji.
b) Weryfikacja dokumentacji systemowej
• Wprowadzenie do SZBI: Ocena, czy dokumentacja zawiera podstawowe zasady zarządzania bezpieczeństwem informacji i zgodność z cyklem PDCA (Plan-Do-Check-Act).
• Terminy i definicje: Sprawdzenie, czy wszystkie istotne pojęcia są zdefiniowane i zgodne z normami.
• Kontekst organizacji: Analiza czynników wewnętrznych i zewnętrznych oraz ich wpływu na SZBI, w tym analiza ryzyk.
c) Zarządzanie ryzykiem
• Ocena procesu identyfikacji i analizy ryzyk, w tym dokumentacji dotyczącej szacowania ryzyk.
• Analiza działań zaradczych i korygujących dla zidentyfikowanych ryzyk.
d) Zabezpieczenia i deklaracja stosowania
• Weryfikacja, czy deklaracja stosowania zabezpieczeń jest zgodna z Załącznikiem A normy ISO/IEC 27001.
• Ocena skuteczności wdrożonych zabezpieczeń oraz uzasadnienia ewentualnych wyłączeń.
e) Dokumentacja operacyjna
• Polityki i procedury: Sprawdzenie polityk bezpieczeństwa (np. kryptografii, zarządzania dostępem, bezpieczeństwa zasobów ludzkich) i ich zgodności z wymaganiami normatywnymi.
• Ewidencje i rejestry: Ocena kompletności i aktualności ewidencji aktywów, obszarów przetwarzania informacji oraz rejestrów incydentów i zgłoszeń
• Zarządzanie dostępem: Sprawdzenie procedur przyznawania, zmiany i odbierania dostępu oraz zgodności z dokumentacją.
f) Monitorowanie i doskonalenie SZBI
• Ocena procesów monitorowania, analizy i oceny systemu w odniesieniu do zgodności z wymaganiami i celami bezpieczeństwa.
• Weryfikacja raportów z monitorowania, przeglądów zarządzania i działań korygujących.
• Analiza działań doskonalących, w tym ocena skuteczności realizowanych zmian.
g) Zarządzanie incydentami i ciągłością działania
• Ocena polityki zarządzania incydentami, w tym procedur zgłaszania, oceny i reagowania na incydenty.
• Sprawdzenie planów zarządzania ciągłością działania i odtwarzania po katastrofie, w tym testów i analiz RTO, RPO, MTPD i MBCO.
h) Audyty wewnętrzne
• Weryfikacja programu i planów audytów wewnętrznych, w tym ocena zgodności z wymaganiami ISO/IEC 27001.
• Sprawdzenie raportów z audytów wewnętrznych pod kątem ustaleń, zgodności i zaleceń.
i) Zgodność z przepisami i ochroną danych osobowych
• Ocena dokumentacji dotyczącej przetwarzania danych osobowych, w tym zgodności z RODO.
• Weryfikacja rejestrów czynności przetwarzania danych, ocen skutków dla ochrony danych oraz testów równowagi.
j) Dokumentacja operacyjna
• Analiza polityk i procedur dotyczących korzystania z systemów, urządzeń i sieci.
• Weryfikacja zasad postępowania z nośnikami informacji, tworzenia haseł i korzystania z Internetu oraz poczty elektronicznej.
k) Zarządzanie dostawcami
• Sprawdzenie polityk i procedur związanych z bezpieczeństwem informacji w relacjach z dostawcami.
• Ocena zgodności działań dostawców z wymaganiami organizacji.
l) Zgodność z wymaganiami prawnymi
• Weryfikacja dokumentacji dotyczącej monitorowania i przestrzegania wymagań prawnych, regulacyjnych i umownych.
• Analiza zgodności z politykami zgodności oraz audytami technicznymi.
Zamówienie obejmuje przeprowadzenie audytów systemu bezpieczeństwa informacji w 5 podmiotach:
Urzędzie Miasta w Stalowej Woli
Żłobku Miejskim Nr 3 w Stalowej Woli,
Przedszkolu Nr 2 im. Jana Brzechwy w Stalowej Woli
Przedszkolu Nr 5 im. Juliana Tuwima w Stalowej Woli
Stalowowolskim Centrum Usług Wspólnych
mi.in. w celu oceny skuteczności środków bezpieczeństwa oraz zarządzania ryzykiem;
a) audytu wdrożonego w Jednostce systemu bezpieczeństwa informacji SZBI,
b) analizę efektywności działań w zakresie monitorowania, pomiarów, analizy i oceny SZBI, w tym przegląd wskaźników ryzyka i zgodności.
Zadanie jest dofinansowane w ramach Programu: Fundusze Europejskie na Rozwój Cyfrowy 2021-2027. Priorytet II: Zaawansowane usługi cyfrowe, Działanie 2.2 Wzmocnienie krajowego systemu cyberbezpieczeństwa.
2. AUDYT POWINIEN OBEJMOWAĆ:
a) Analiza wstępną i określenie zakresu audytu
• Zdefiniowanie obszarów, lokalizacji oraz jednostek organizacyjnych objętych SZBI.
• Weryfikacja ewidencji obszaru przetwarzania informacji, w tym dokładność danych dotyczących lokalizacji, kondygnacji i adresów.
• Sprawdzenie, czy zakres SZBI jest zgodny z wymaganiami norm ISO/IEC 27001 oraz potrzebami organizacji.
b) Weryfikacja dokumentacji systemowej
• Wprowadzenie do SZBI: Ocena, czy dokumentacja zawiera podstawowe zasady zarządzania bezpieczeństwem informacji i zgodność z cyklem PDCA (Plan-Do-Check-Act).
• Terminy i definicje: Sprawdzenie, czy wszystkie istotne pojęcia są zdefiniowane i zgodne z normami.
• Kontekst organizacji: Analiza czynników wewnętrznych i zewnętrznych oraz ich wpływu na SZBI, w tym analiza ryzyk.
c) Zarządzanie ryzykiem
• Ocena procesu identyfikacji i analizy ryzyk, w tym dokumentacji dotyczącej szacowania ryzyk.
• Analiza działań zaradczych i korygujących dla zidentyfikowanych ryzyk.
d) Zabezpieczenia i deklaracja stosowania
• Weryfikacja, czy deklaracja stosowania zabezpieczeń jest zgodna z Załącznikiem A normy ISO/IEC 27001.
• Ocena skuteczności wdrożonych zabezpieczeń oraz uzasadnienia ewentualnych wyłączeń.
e) Dokumentacja operacyjna
• Polityki i procedury: Sprawdzenie polityk bezpieczeństwa (np. kryptografii, zarządzania dostępem, bezpieczeństwa zasobów ludzkich) i ich zgodności z wymaganiami normatywnymi.
• Ewidencje i rejestry: Ocena kompletności i aktualności ewidencji aktywów, obszarów przetwarzania informacji oraz rejestrów incydentów i zgłoszeń
• Zarządzanie dostępem: Sprawdzenie procedur przyznawania, zmiany i odbierania dostępu oraz zgodności z dokumentacją.
f) Monitorowanie i doskonalenie SZBI
• Ocena procesów monitorowania, analizy i oceny systemu w odniesieniu do zgodności z wymaganiami i celami bezpieczeństwa.
• Weryfikacja raportów z monitorowania, przeglądów zarządzania i działań korygujących.
• Analiza działań doskonalących, w tym ocena skuteczności realizowanych zmian.
g) Zarządzanie incydentami i ciągłością działania
• Ocena polityki zarządzania incydentami, w tym procedur zgłaszania, oceny i reagowania na incydenty.
• Sprawdzenie planów zarządzania ciągłością działania i odtwarzania po katastrofie, w tym testów i analiz RTO, RPO, MTPD i MBCO.
h) Audyty wewnętrzne
• Weryfikacja programu i planów audytów wewnętrznych, w tym ocena zgodności z wymaganiami ISO/IEC 27001.
• Sprawdzenie raportów z audytów wewnętrznych pod kątem ustaleń, zgodności i zaleceń.
i) Zgodność z przepisami i ochroną danych osobowych
• Ocena dokumentacji dotyczącej przetwarzania danych osobowych, w tym zgodności z RODO.
• Weryfikacja rejestrów czynności przetwarzania danych, ocen skutków dla ochrony danych oraz testów równowagi.
j) Dokumentacja operacyjna
• Analiza polityk i procedur dotyczących korzystania z systemów, urządzeń i sieci.
• Weryfikacja zasad postępowania z nośnikami informacji, tworzenia haseł i korzystania z Internetu oraz poczty elektronicznej.
k) Zarządzanie dostawcami
• Sprawdzenie polityk i procedur związanych z bezpieczeństwem informacji w relacjach z dostawcami.
• Ocena zgodności działań dostawców z wymaganiami organizacji.
l) Zgodność z wymaganiami prawnymi
• Weryfikacja dokumentacji dotyczącej monitorowania i przestrzegania wymagań prawnych, regulacyjnych i umownych.
• Analiza zgodności z politykami zgodności oraz audytami technicznymi.
Time limit for receipt of tenders
2026-04-29 10:00:00.0
Location
Al. Jana Pawła II 25A
37-450 Stalowa Wola
Województwo: podkarpackie
Polska
37-450 Stalowa Wola
Województwo: podkarpackie
Polska
Category assortment
Maintenance and support
Buyer details
Stalowowolskie Centrum Usług Wspólnych
Al. Jana Pawła II 25A
37-450 Stalowa Wola
Województwo: podkarpackie
Polska
Al. Jana Pawła II 25A
37-450 Stalowa Wola
Województwo: podkarpackie
Polska
