Przeprowadzenie audytu końcowego w obszarze cyberbezpieczeństwa
Notice description
Powstaje w kontekście projektu:
KPOD.07.03-IP.10-0211/25 - Wdrożenie e-usług w Zespole Opieki Zdrowotnej we Włoszczowie - Szpitalu Powiatowym im. Jana Pawła II
Przeprowadzenie audytu końcowego w obszarze cyberbezpieczeństwa.
Przeprowadzenie audytu spełnienia wymagań ustawy o Krajowym Systemie Cyberbezpieczeństwa (dalej „ustawa KSC”) przez operatora usługi kluczowej (Zamawiającego) zgodnie z wymogami ustawy KSC, aktów powiązanych oraz szablonem sprawozdania z audytu zgodnego z ustawą KSC rekomendowanym przez Ministerstwo Cyfryzacji.
Zamówienie realizowane jest w ramach projektu pn. „Wdrożenie e-usług w Zespole Opieki Zdrowotnej we Włoszczowie – Szpitalu Powiatowym im. Jana Pawła II” w ramach Inwestycji D1.1.2 „Przyspieszenie procesów transformacji cyfrowej ochrony zdrowia poprzez dalszy rozwój usług cyfrowych w ochronie zdrowia” będącej elementem komponentu D „Efektywność, dostępność i jakość systemu ochrony zdrowia” KPO. Szczegółowy Opis Przedmiotu Zamówienia stanowi Załącznik nr 1 do ogłoszenia.
Wymagania:
001/Audyt ma charakter końcowy (ex-post) oraz weryfikacyjny, a jego celem jest:
1) potwierdzenie prawidłowości realizacji projektu w zakresie cyberbezpieczeństwa,
2) potwierdzenie zgodności stanu faktycznego z wymaganiami ankiety dojrzałości cyberbezpieczeństwa stanowiącej załącznik nr 3 do dokumentacji projektowej,
3) ocena skuteczności i adekwatności wdrożonych środków technicznych i organizacyjnych,
4) ocena spełnienia wymagań wynikających z ustawy o krajowym systemie cyberbezpieczeństwa,
5) identyfikacja ewentualnych niezgodności.
002/ Audyt powinien być przeprowadzony zgodnie z wymaganiami ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa oraz aktów wykonawczych wydanych na jej podstawie.
003/ Audyt obejmuje ocenę środków technicznych i organizacyjnych funkcjonujących u Zamawiającego w zakresie systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej.
Audyt nie obejmuje projektowania nowych rozwiązań technicznych lub organizacyjnych, opracowywania dokumentacji wdrożeniowej ani przygotowywania szczegółowych specyfikacji sprzętowo-programowych.
004/ Zakres przeprowadzenia audytu końcowego w zakresie sprawdzenia bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej z wymaganiami Ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa:
005/ - Analiza procesów przetwarzania danych wraz z analizą stanu zabezpieczeń systemowych.
006/ - Identyfikacja informacji i jej klasyfikacja.
007/ - Inwentaryzacja zasobów infrastruktury teleinformatycznej, oprogramowania i obszarów bezpiecznych.
008/ - Identyfikacja i analiza podatności systemów wspomagających świadczenie usługi kluczowej.
Wynikiem analizy musi być pełna lista przeskanowanych pod kątem podatności, systemów zawierająca informacje obejmujące: skanowany system operacyjny, uruchomione na nim usługi, otwarte porty komunikacyjne, listę wykrytych podatności oraz rekomendacje dotyczące sposobu usunięcia wykrytych podatności. W celu wykonania powyższych czynności, Wykonawca zobowiązany jest do zapewnienia odpowiedniej licencji na system skanujący.
009/ - Analiza bezpieczeństwa fizycznego i środowiskowego dla zabezpieczenia realizacji usługi kluczowej.
010/ - Zarządzanie: ryzykiem, incydentem, podatnościami, środkami technicznymi i organizacyjnymi, systemem monitorowania w trybie ciągłym.
011/ - Inwentaryzacja procedur.
012/ - Bezpieczeństwo i ciągłość dostaw i usług, od których zależy świadczenie usługi kluczowej.
013/ - Przegląd dokumentacji związanej z cyberbezpieczeństwem.
014/ - Zidentyfikowaniu wszelkich niezgodności oraz przedstawieniu działań naprawczych.
015/ Audyt będzie się opierać na wizji lokalnej przeprowadzonej przez wskazane przez Wykonawcę osoby w siedzibie Zamawiającego oraz z wykorzystaniem zdalnego dostępu.
016/ Ponadto analiza oparta będzie o wywiad i oświadczenia wskazanych przez Zamawiającego osób, a także w oparciu o testy podatności.
017/ Audyt musi obejmować również weryfikację spełnienia wszystkich wymagań określonych w ankiecie dojrzałości cyberbezpieczeństwa stanowiącej załącznik nr 3 do wniosku KPO D 1.1.2 – stanowiący załącznik do Opisu Przedmiotu Zamówienia
018/ Wnioski wypływające z audytu powinny wskazywać na potrzebę podjęcia działań korygujących, naprawczych lub doskonalących, jeżeli ma to zastosowanie.
019/ Wynikiem audytu będzie sporządzenie przez Wykonawcę raportu, w formie papierowej oraz elektronicznej.
020/ Raport powinien zawierać opis zakresu audytu, metodykę, wyniki oceny, zidentyfikowane niezgodności, poziom ryzyka, rekomendacje, podsumowanie zgodności z ustawą KSC, podsumowanie zgodności z wymaganiami projektu KPO.
Raport musi zawierać jednoznaczne odniesienie do wszystkich punktów ankiety dojrzałości cyberbezpieczeństwa, w tym kryterium, ocenę spełnienia (spełnione / częściowo spełnione / niespełnione), uzasadnienie, dowody audytowe.
Raport powinien umożliwiać wykorzystanie go jako dokumentu potwierdzającego realizację projektu KPO oraz spełnienie obowiązku audytu wynikającego z art. 15 ustawy KSC.
Obszary audytu:
021/ Ocena skuteczności działania infrastruktury w zakresie urządzeń i konfiguracji w zakresie: ochrony poczty, ochrony sieci, systemów serwerowych, stacji roboczych, systemów bezpieczeństwa,
022/ Zarządzanie bezpieczeństwem informacji:
a) nośniki wymienne - udokumentowany sposób postępowania,
b) zarządzanie tożsamością/dostęp do systemów w zakresie: przydzielanie dostępu, odbieranie dostępu,
c) pomieszczenie/pomieszczenia w dyspozycji struktur zespołu odpowiedzialnego za cyberbezpieczeństwo zgodnie z wymogami dla Operatora Usługi Kluczowej, o którym mowa w art. 5 ustawy z dnia 5 lipca 2018 r. o Krajowym Systemie Cyberbezpieczeństwa
023/ Monitorowanie i reagowanie na incydenty bezpieczeństwa:
a) procedury zarządzania incydentami,
b) raportowanie poziomów pokrycia scenariuszami znanych incydentów,
c) dokumentacja dotycząca przekazywania informacji do właściwego zespołu CSIRT poziomu krajowego/ sektorowego zespołu cyberbezpieczeństwa,
d) monitorowanie i wykrycie incydentów bezpieczeństwa,
e) Identyfikacja i dokumentowanie przyczyn wystąpienia incydentów.
024/ Zarządzanie ciągłością działania:
a) konfiguracja oraz polityki systemów do wykonywania kopii bezpieczeństwa,
b) raport z przeglądów i testów odtwarzania kopii bezpieczeństwa,
c) procedury wykonywania i przechowywania kopii zapasowych,
d) strategia i polityka ciągłości działania, awaryjne oraz odtwarzania po katastrofie (DRP),
e) procedury utrzymaniowe.
025/ Utrzymanie systemów informacyjnych:
a) harmonogramy skanowania podatności,
b) aktualny status realizacji postępowania z podatnościami,
c) procedury związane ze z identyfikowaniem (wykryciem) podatności,
d) współpraca z osobami odpowiedzialnymi za procesy zarządzania incydentami.
026/ Zarządzanie bezpieczeństwem i ciągłością działania łańcucha usług:
a) polityka bezpieczeństwa w relacjach z dostawcami,
b) standardy i wymagania nakładane na dostawców w umowach w zakresie cyberbezpieczeństwa,
c) dostęp zdalny,
d) metody uwierzytelnienia.
Okres gwarancji: nie dotyczy
Miejsce realizacji
Kraj: Polska, Województwo: świętokrzyskie, Powiat: włoszczowski, Gmina: Włoszczowa, Miejscowość: Włoszczowa
KPOD.07.03-IP.10-0211/25 - Wdrożenie e-usług w Zespole Opieki Zdrowotnej we Włoszczowie - Szpitalu Powiatowym im. Jana Pawła II
Przeprowadzenie audytu końcowego w obszarze cyberbezpieczeństwa.
Przeprowadzenie audytu spełnienia wymagań ustawy o Krajowym Systemie Cyberbezpieczeństwa (dalej „ustawa KSC”) przez operatora usługi kluczowej (Zamawiającego) zgodnie z wymogami ustawy KSC, aktów powiązanych oraz szablonem sprawozdania z audytu zgodnego z ustawą KSC rekomendowanym przez Ministerstwo Cyfryzacji.
Zamówienie realizowane jest w ramach projektu pn. „Wdrożenie e-usług w Zespole Opieki Zdrowotnej we Włoszczowie – Szpitalu Powiatowym im. Jana Pawła II” w ramach Inwestycji D1.1.2 „Przyspieszenie procesów transformacji cyfrowej ochrony zdrowia poprzez dalszy rozwój usług cyfrowych w ochronie zdrowia” będącej elementem komponentu D „Efektywność, dostępność i jakość systemu ochrony zdrowia” KPO. Szczegółowy Opis Przedmiotu Zamówienia stanowi Załącznik nr 1 do ogłoszenia.
Wymagania:
001/Audyt ma charakter końcowy (ex-post) oraz weryfikacyjny, a jego celem jest:
1) potwierdzenie prawidłowości realizacji projektu w zakresie cyberbezpieczeństwa,
2) potwierdzenie zgodności stanu faktycznego z wymaganiami ankiety dojrzałości cyberbezpieczeństwa stanowiącej załącznik nr 3 do dokumentacji projektowej,
3) ocena skuteczności i adekwatności wdrożonych środków technicznych i organizacyjnych,
4) ocena spełnienia wymagań wynikających z ustawy o krajowym systemie cyberbezpieczeństwa,
5) identyfikacja ewentualnych niezgodności.
002/ Audyt powinien być przeprowadzony zgodnie z wymaganiami ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa oraz aktów wykonawczych wydanych na jej podstawie.
003/ Audyt obejmuje ocenę środków technicznych i organizacyjnych funkcjonujących u Zamawiającego w zakresie systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej.
Audyt nie obejmuje projektowania nowych rozwiązań technicznych lub organizacyjnych, opracowywania dokumentacji wdrożeniowej ani przygotowywania szczegółowych specyfikacji sprzętowo-programowych.
004/ Zakres przeprowadzenia audytu końcowego w zakresie sprawdzenia bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej z wymaganiami Ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa:
005/ - Analiza procesów przetwarzania danych wraz z analizą stanu zabezpieczeń systemowych.
006/ - Identyfikacja informacji i jej klasyfikacja.
007/ - Inwentaryzacja zasobów infrastruktury teleinformatycznej, oprogramowania i obszarów bezpiecznych.
008/ - Identyfikacja i analiza podatności systemów wspomagających świadczenie usługi kluczowej.
Wynikiem analizy musi być pełna lista przeskanowanych pod kątem podatności, systemów zawierająca informacje obejmujące: skanowany system operacyjny, uruchomione na nim usługi, otwarte porty komunikacyjne, listę wykrytych podatności oraz rekomendacje dotyczące sposobu usunięcia wykrytych podatności. W celu wykonania powyższych czynności, Wykonawca zobowiązany jest do zapewnienia odpowiedniej licencji na system skanujący.
009/ - Analiza bezpieczeństwa fizycznego i środowiskowego dla zabezpieczenia realizacji usługi kluczowej.
010/ - Zarządzanie: ryzykiem, incydentem, podatnościami, środkami technicznymi i organizacyjnymi, systemem monitorowania w trybie ciągłym.
011/ - Inwentaryzacja procedur.
012/ - Bezpieczeństwo i ciągłość dostaw i usług, od których zależy świadczenie usługi kluczowej.
013/ - Przegląd dokumentacji związanej z cyberbezpieczeństwem.
014/ - Zidentyfikowaniu wszelkich niezgodności oraz przedstawieniu działań naprawczych.
015/ Audyt będzie się opierać na wizji lokalnej przeprowadzonej przez wskazane przez Wykonawcę osoby w siedzibie Zamawiającego oraz z wykorzystaniem zdalnego dostępu.
016/ Ponadto analiza oparta będzie o wywiad i oświadczenia wskazanych przez Zamawiającego osób, a także w oparciu o testy podatności.
017/ Audyt musi obejmować również weryfikację spełnienia wszystkich wymagań określonych w ankiecie dojrzałości cyberbezpieczeństwa stanowiącej załącznik nr 3 do wniosku KPO D 1.1.2 – stanowiący załącznik do Opisu Przedmiotu Zamówienia
018/ Wnioski wypływające z audytu powinny wskazywać na potrzebę podjęcia działań korygujących, naprawczych lub doskonalących, jeżeli ma to zastosowanie.
019/ Wynikiem audytu będzie sporządzenie przez Wykonawcę raportu, w formie papierowej oraz elektronicznej.
020/ Raport powinien zawierać opis zakresu audytu, metodykę, wyniki oceny, zidentyfikowane niezgodności, poziom ryzyka, rekomendacje, podsumowanie zgodności z ustawą KSC, podsumowanie zgodności z wymaganiami projektu KPO.
Raport musi zawierać jednoznaczne odniesienie do wszystkich punktów ankiety dojrzałości cyberbezpieczeństwa, w tym kryterium, ocenę spełnienia (spełnione / częściowo spełnione / niespełnione), uzasadnienie, dowody audytowe.
Raport powinien umożliwiać wykorzystanie go jako dokumentu potwierdzającego realizację projektu KPO oraz spełnienie obowiązku audytu wynikającego z art. 15 ustawy KSC.
Obszary audytu:
021/ Ocena skuteczności działania infrastruktury w zakresie urządzeń i konfiguracji w zakresie: ochrony poczty, ochrony sieci, systemów serwerowych, stacji roboczych, systemów bezpieczeństwa,
022/ Zarządzanie bezpieczeństwem informacji:
a) nośniki wymienne - udokumentowany sposób postępowania,
b) zarządzanie tożsamością/dostęp do systemów w zakresie: przydzielanie dostępu, odbieranie dostępu,
c) pomieszczenie/pomieszczenia w dyspozycji struktur zespołu odpowiedzialnego za cyberbezpieczeństwo zgodnie z wymogami dla Operatora Usługi Kluczowej, o którym mowa w art. 5 ustawy z dnia 5 lipca 2018 r. o Krajowym Systemie Cyberbezpieczeństwa
023/ Monitorowanie i reagowanie na incydenty bezpieczeństwa:
a) procedury zarządzania incydentami,
b) raportowanie poziomów pokrycia scenariuszami znanych incydentów,
c) dokumentacja dotycząca przekazywania informacji do właściwego zespołu CSIRT poziomu krajowego/ sektorowego zespołu cyberbezpieczeństwa,
d) monitorowanie i wykrycie incydentów bezpieczeństwa,
e) Identyfikacja i dokumentowanie przyczyn wystąpienia incydentów.
024/ Zarządzanie ciągłością działania:
a) konfiguracja oraz polityki systemów do wykonywania kopii bezpieczeństwa,
b) raport z przeglądów i testów odtwarzania kopii bezpieczeństwa,
c) procedury wykonywania i przechowywania kopii zapasowych,
d) strategia i polityka ciągłości działania, awaryjne oraz odtwarzania po katastrofie (DRP),
e) procedury utrzymaniowe.
025/ Utrzymanie systemów informacyjnych:
a) harmonogramy skanowania podatności,
b) aktualny status realizacji postępowania z podatnościami,
c) procedury związane ze z identyfikowaniem (wykryciem) podatności,
d) współpraca z osobami odpowiedzialnymi za procesy zarządzania incydentami.
026/ Zarządzanie bezpieczeństwem i ciągłością działania łańcucha usług:
a) polityka bezpieczeństwa w relacjach z dostawcami,
b) standardy i wymagania nakładane na dostawców w umowach w zakresie cyberbezpieczeństwa,
c) dostęp zdalny,
d) metody uwierzytelnienia.
Okres gwarancji: nie dotyczy
Miejsce realizacji
Kraj: Polska, Województwo: świętokrzyskie, Powiat: włoszczowski, Gmina: Włoszczowa, Miejscowość: Włoszczowa
Time limit for receipt of tenders
2026-05-11 08:00:00.0
Location
Kraj: Polska, Województwo: świętokrzyskie, Powiat: włoszczowski, Gmina: Włoszczowa, Miejscowość: Włoszczowa
Category assortment
Other
Maintenance and support
Audit and controlling
Maintenance and support
Audit and controlling
Buyer details
Zespół Opieki Zdrowotnej we Włoszczowie - Szpital Powiatowy im. Jana Pawła II
Żeromskiego 28
29-100 Włoszczowa
Województwo: świętokrzyskie
Kraj: Polska
NIP: 6561855908
Żeromskiego 28
29-100 Włoszczowa
Województwo: świętokrzyskie
Kraj: Polska
NIP: 6561855908
