„Audyt zgodności z dyrektywą NIS2 oraz ustawą o krajowym systemie cyberbezpieczeństwa (KSC)”
Notice description
1. Opis przedmiotu zamówienia:
Przedmiotem zamówienia jest przeprowadzenie audytu i kompleksowej analizy ryzyka dotyczącego cyberbezpieczeństwa organizacji, w szczególności systemów i sieci teleinformatycznych.
Celem zamówienia jest identyfikacja zagrożeń, ocena podatności i rekomendacja działań zmierzających do zwiększenia poziomu bezpieczeństwa.
W ramach realizacji zamówienia przewiduje się m.in. następujące działania:
1) Analiza danych i przepływu informacji – identyfikacja rodzaju przetwarzanych danych, ich wrażliwości oraz wartości biznesowej; mapowanie ich przepływu w systemach organizacji oraz w interakcji z podmiotami zewnętrznymi.
2) Identyfikacja zagrożeń i ocena ryzyka – wykrywanie potencjalnych zagrożeń dla systemów informatycznych, w tym ryzyka związanego z nieautoryzowanym dostępem, wyciekiem danych, przerwami w świadczeniu usług, zakłóceniami operacyjnymi itp.
3) Ocena zarządzania ciągłością działania – weryfikacja planów awaryjnych i procedur odtwarzania po awarii; ocena skuteczności tworzenia i przechowywania kopii zapasowych oraz testowania ich odtwarzania.
4) Ocena zabezpieczeń technicznych – analiza stosowanych rozwiązań w zakresie ochrony systemów IT, takich jak zapory sieciowe, systemy detekcji i zapobiegania włamaniom, systemy antywirusowe i antymalware, szyfrowanie danych, rozwiązania do zarządzania dostępem i tożsamością (IAM).
5) Weryfikacja dokumentacji, polityk i procedur – ocena aktualności i adekwatności dokumentacji z zakresu cyberbezpieczeństwa, w tym polityk dostępu, procedur zarządzania incydentami, cyklu życia aplikacji (SDLC), bezpieczeństwa infrastruktury i danych.
6) Ocena organizacyjnych i operacyjnych mechanizmów bezpieczeństwa – przegląd obecnych praktyk w zakresie zarządzania incydentami bezpieczeństwa, monitorowania systemów, testowania podatności oraz prowadzenia działań prewencyjnych.
7) Ocena zgodności z przepisami prawa i dobrymi praktykami – weryfikacja zgodności z aktualnymi wymaganiami regulacyjnymi, w tym przeprowadzenie analizy luk (gap analysis) względem wymagań Dyrektywy NIS 2.
8) Ocena zarządzania relacjami z dostawcami i partnerami zewnętrznymi – sprawdzenie zabezpieczeń i warunków umownych w kontekście przekazywania i przetwarzania informacji przez strony trzecie.
9) Ocena programów szkoleniowych i świadomości pracowników – analiza istniejących działań edukacyjnych w zakresie bezpieczeństwa informacji, w tym ich skuteczności oraz stopnia zaangażowania pracowników.
10) Rezultatem przeprowadzonej analizy powinien być raport zawierający szczegółowe wnioski, identyfikację obszarów wymagających poprawy oraz rekomendacje dotyczące niezbędnych działań naprawczych i usprawniających.
11) W przypadku zmiany wynikającej z wejścia w życie ustawy o krajowym systemie cyberbezpieczeństwa (KSC), jeżeli nastąpi to do końca 2025 roku, Wykonawca zobowiązuje się do dokonania aktualizacji przygotowanej dokumentacji, uwzględniającej wytyczne określone w ww. ustawie, w terminie 30 dni od dnia jej wejścia w życie.
12) Audyt zostanie przeprowadzony zdalnie oraz na terenie siedziby Zamawiającego.
Przedmiotem zamówienia jest przeprowadzenie audytu i kompleksowej analizy ryzyka dotyczącego cyberbezpieczeństwa organizacji, w szczególności systemów i sieci teleinformatycznych.
Celem zamówienia jest identyfikacja zagrożeń, ocena podatności i rekomendacja działań zmierzających do zwiększenia poziomu bezpieczeństwa.
W ramach realizacji zamówienia przewiduje się m.in. następujące działania:
1) Analiza danych i przepływu informacji – identyfikacja rodzaju przetwarzanych danych, ich wrażliwości oraz wartości biznesowej; mapowanie ich przepływu w systemach organizacji oraz w interakcji z podmiotami zewnętrznymi.
2) Identyfikacja zagrożeń i ocena ryzyka – wykrywanie potencjalnych zagrożeń dla systemów informatycznych, w tym ryzyka związanego z nieautoryzowanym dostępem, wyciekiem danych, przerwami w świadczeniu usług, zakłóceniami operacyjnymi itp.
3) Ocena zarządzania ciągłością działania – weryfikacja planów awaryjnych i procedur odtwarzania po awarii; ocena skuteczności tworzenia i przechowywania kopii zapasowych oraz testowania ich odtwarzania.
4) Ocena zabezpieczeń technicznych – analiza stosowanych rozwiązań w zakresie ochrony systemów IT, takich jak zapory sieciowe, systemy detekcji i zapobiegania włamaniom, systemy antywirusowe i antymalware, szyfrowanie danych, rozwiązania do zarządzania dostępem i tożsamością (IAM).
5) Weryfikacja dokumentacji, polityk i procedur – ocena aktualności i adekwatności dokumentacji z zakresu cyberbezpieczeństwa, w tym polityk dostępu, procedur zarządzania incydentami, cyklu życia aplikacji (SDLC), bezpieczeństwa infrastruktury i danych.
6) Ocena organizacyjnych i operacyjnych mechanizmów bezpieczeństwa – przegląd obecnych praktyk w zakresie zarządzania incydentami bezpieczeństwa, monitorowania systemów, testowania podatności oraz prowadzenia działań prewencyjnych.
7) Ocena zgodności z przepisami prawa i dobrymi praktykami – weryfikacja zgodności z aktualnymi wymaganiami regulacyjnymi, w tym przeprowadzenie analizy luk (gap analysis) względem wymagań Dyrektywy NIS 2.
8) Ocena zarządzania relacjami z dostawcami i partnerami zewnętrznymi – sprawdzenie zabezpieczeń i warunków umownych w kontekście przekazywania i przetwarzania informacji przez strony trzecie.
9) Ocena programów szkoleniowych i świadomości pracowników – analiza istniejących działań edukacyjnych w zakresie bezpieczeństwa informacji, w tym ich skuteczności oraz stopnia zaangażowania pracowników.
10) Rezultatem przeprowadzonej analizy powinien być raport zawierający szczegółowe wnioski, identyfikację obszarów wymagających poprawy oraz rekomendacje dotyczące niezbędnych działań naprawczych i usprawniających.
11) W przypadku zmiany wynikającej z wejścia w życie ustawy o krajowym systemie cyberbezpieczeństwa (KSC), jeżeli nastąpi to do końca 2025 roku, Wykonawca zobowiązuje się do dokonania aktualizacji przygotowanej dokumentacji, uwzględniającej wytyczne określone w ww. ustawie, w terminie 30 dni od dnia jej wejścia w życie.
12) Audyt zostanie przeprowadzony zdalnie oraz na terenie siedziby Zamawiającego.
Time limit for receipt of tenders
2025-05-05 08:00:00.0
Location
16-400 Suwałki
Category assortment
Maintenance and support
Audit and controlling
Audit and controlling
Buyer details
Przedsiębiorstwo Wodociągów i Kanalizacji w Suwałkach Spółka z ograniczoną odpowiedzialnością
ul. gen. W. Sikorskiego 14
16-400 Suwałki
telefon: null
email: przetargi@pwik.suwalki.pl
nip: 8440004199
ul. gen. W. Sikorskiego 14
16-400 Suwałki
telefon: null
email: przetargi@pwik.suwalki.pl
nip: 8440004199
