Audyt cyberbezpieczeństwa IT/OT, analiza ryzyka oraz opracowanie dokumentacji systemowej na potrzeby PGKiM Sp. z o.o. w Turku
Notice description
Powstaje w kontekście projektu:
KPOD.05.10-CW.01-0001/25 - Zwiększenie odporności działalności wodociągowo-kanalizacyjnej PGKiM w Turku na zagrożenia cybernetyczne
1. W ramach zadania Wykonawca wykona:
1) Audyt początkowy cyberbezpieczeństwa IT/OT, obejmujący analizę ryzyka oraz ocenę obecnych procedur i zabezpieczeń. Zidentyfikowane zostaną luki
organizacyjne, techniczne oraz obszary wymagające aktualizacji. Weryfikacji podlegać będzie również zgodność z KRI.
2) Przygotowanie dokumentacji:
a) Opracowanie, wdrożenie, przegląd, aktualizacja Systemu Zarządzania Bezpieczeństwem Informacji (SZBI).
b) Opracowanie planów ciągłości działania (BCP) i odtwarzania po awarii (DRP) dla STI.
c) Opracowanie, wdrożenie, przegląd, aktualizacja Systemu Zarządzania Ciągłością Działania STI (SZCD).
3) Audyt końcowy obejmujący:
a) Audyt Systemu Zarządzania Bezpieczeństwem Informacji (SZBI).
b) Audyt Systemu Zarządzania Ciągłością Działania STI.
c) Audyt zgodności KRI/uoKSC przez wykwalifikowanych audytorów.
d) Audyt (re)certyfikacji Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), Systemu Zarządzania Ciągłością Działania (SZCD) na zgodność z normami IT/OT/ICS – Usługa doradcza przygotowująca do certyfikacji.
e) Audyt cyberbezpieczeństwa sieci IT/OT/ICS/IIoT, obejmujący analizę ryzyka oraz ocenę obecnych procedur i zabezpieczeń.
2. Charakterystyka infrastruktury i architektury systemów
1) Lokalizacje i łączność sieciowa:
a) 5 lokalizacji połączonych sieciowo: Jednostki skomunikowane za pośrednictwem zewnętrznej usługi transmisji danych. W ramach tej grupy:
• 2 lokalizacje posiadają infrastrukturę mieszaną (IT oraz OT),
• 3 lokalizacje posiadają wyłącznie infrastrukturę biurową (IT).
b) 1 lokalizacja autonomiczna: Obiekt działający bez połączenia sieciowego z pozostałymi lokalizacjami, posiadający infrastrukturę mieszaną (IT oraz OT).
2) Warstwa Technologiczna (OT):
a) Systemy SCADA (Nadzór i Wizualizacja):
• jeden rozbudowany system nadzorujący procesy technologiczne (oczyszczalnia),
• jeden mniejszy system obsługujący wydzielony obszar technologiczny (lokalizacja autonomiczna).
b) Infrastruktura rozproszona: Sieć punktów technologicznych (np. przepompownie) skomunikowanych z systemami SCADA lub węzłami centralnymi, realizujących funkcje monitoringu oraz zdalnego sterowania.
c) Automatyka pomocnicza (Sieć Ciepłownicza): Autonomiczne instalacje technologiczne (OT) funkcjonujące w lokalizacjach biurowych. Zakres prac w tym obszarze ogranicza się wyłącznie do weryfikacji skuteczności separacji i segmentacji ruchu pomiędzy siecią ciepłowniczą a infrastrukturą IT.
3) Zasoby IT/OT i użytkownicy (szacunkowo +/- 15%):
a) Urządzenia końcowe: ok. 80 jednostek (komputery stacjonarne, laptopy, tablety).
b) Infrastruktura serwerowa: 3 serwery fizyczne (w tym jeden jako host dla 2 serwerów wirtualnych).
c) Użytkownicy: Łącznie ok. 90 osób we wszystkich lokalizacjach.
d) Skala OT: Systemy automatyki procesowej obejmujące główne centra nadzoru (SCADA) oraz infrastrukturę rozproszoną (punkty technologiczne). Wykonawca w ramach audytu dokona precyzyjnej inwentaryzacji wszystkich obszarów technologicznych podlegających audytowi.
3. Potwierdzeniem wykonania zadania będzie przekazanie Zamawiającemu:
1) Etap I – Audyt początkowy
a) Raportu z audytu początkowego obejmującego: opis stanu obecnego cyberbezpieczeństwa IT/OT, inwentaryzację aktywów IT/OT, analizę ryzyka, identyfikację niezgodności (KRI, KSC, NIS2, ISO/IEC 27001, ISA/IEC 62443), analizę architektury sieci IT/OT, ocenę segmentacji i plan działań naprawczych.
(Rekomendacje wynikające z audytu powinny być formułowane w sposób funkcjonalny i technologicznie neutralny, poprzez określenie wymaganych funkcji, poziomu bezpieczeństwa, parametrów technicznych oraz oczekiwanych efektów organizacyjnych i technicznych, bez wskazywania konkretnych producentów, marek, modeli urządzeń lub rozwiązań handlowych, chyba że jest to obiektywnie uzasadnione specyfiką istniejącej infrastruktury lub wymogami interoperacyjności.)
2) Etap II – Dokumentacja i wdrożenie
a) Kompletnej dokumentacji SZBI (m.in. Polityka Bezpieczeństwa, metodykę i wyniki analizy ryzyka, deklarację stosowania (SoA), zasady klasyfikacji informacji, procedury zarządzania incydentami, dostępem, kopiami zapasowymi, podatnościami, zmianą oraz nadzoru nad systemami OT).
b) Kompletnej dokumentacji SZCD (m.in. analiza BIA, plany BCP i DRP, scenariusze awarii, określenie RTO/RPO oraz procedury testowania).
c) Przekazanie całości dokumentacji (SZBI oraz SZCD) w formie elektronicznej, w pełni edytowalnej (np. format .docx, .xlsx), umożliwiającej Zamawiającemu samodzielną aktualizację treści bez udziału osób trzecich.
3) Etap III – Audyt końcowy
a) Raportu z audytu końcowego obejmującego: ocenę skuteczności działań, weryfikację zgodności (KRI, KSC, NIS2, ISO 27001, ISO 22301, ISA/IEC 62443) oraz rekomendacje końcowe.
Okres gwarancji: 12 miesięcy
Miejsce realizacji
Kraj: Polska, Województwo: wielkopolskie, Powiat: turecki, Gmina: Turek, Miejscowość: Turek
KPOD.05.10-CW.01-0001/25 - Zwiększenie odporności działalności wodociągowo-kanalizacyjnej PGKiM w Turku na zagrożenia cybernetyczne
1. W ramach zadania Wykonawca wykona:
1) Audyt początkowy cyberbezpieczeństwa IT/OT, obejmujący analizę ryzyka oraz ocenę obecnych procedur i zabezpieczeń. Zidentyfikowane zostaną luki
organizacyjne, techniczne oraz obszary wymagające aktualizacji. Weryfikacji podlegać będzie również zgodność z KRI.
2) Przygotowanie dokumentacji:
a) Opracowanie, wdrożenie, przegląd, aktualizacja Systemu Zarządzania Bezpieczeństwem Informacji (SZBI).
b) Opracowanie planów ciągłości działania (BCP) i odtwarzania po awarii (DRP) dla STI.
c) Opracowanie, wdrożenie, przegląd, aktualizacja Systemu Zarządzania Ciągłością Działania STI (SZCD).
3) Audyt końcowy obejmujący:
a) Audyt Systemu Zarządzania Bezpieczeństwem Informacji (SZBI).
b) Audyt Systemu Zarządzania Ciągłością Działania STI.
c) Audyt zgodności KRI/uoKSC przez wykwalifikowanych audytorów.
d) Audyt (re)certyfikacji Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), Systemu Zarządzania Ciągłością Działania (SZCD) na zgodność z normami IT/OT/ICS – Usługa doradcza przygotowująca do certyfikacji.
e) Audyt cyberbezpieczeństwa sieci IT/OT/ICS/IIoT, obejmujący analizę ryzyka oraz ocenę obecnych procedur i zabezpieczeń.
2. Charakterystyka infrastruktury i architektury systemów
1) Lokalizacje i łączność sieciowa:
a) 5 lokalizacji połączonych sieciowo: Jednostki skomunikowane za pośrednictwem zewnętrznej usługi transmisji danych. W ramach tej grupy:
• 2 lokalizacje posiadają infrastrukturę mieszaną (IT oraz OT),
• 3 lokalizacje posiadają wyłącznie infrastrukturę biurową (IT).
b) 1 lokalizacja autonomiczna: Obiekt działający bez połączenia sieciowego z pozostałymi lokalizacjami, posiadający infrastrukturę mieszaną (IT oraz OT).
2) Warstwa Technologiczna (OT):
a) Systemy SCADA (Nadzór i Wizualizacja):
• jeden rozbudowany system nadzorujący procesy technologiczne (oczyszczalnia),
• jeden mniejszy system obsługujący wydzielony obszar technologiczny (lokalizacja autonomiczna).
b) Infrastruktura rozproszona: Sieć punktów technologicznych (np. przepompownie) skomunikowanych z systemami SCADA lub węzłami centralnymi, realizujących funkcje monitoringu oraz zdalnego sterowania.
c) Automatyka pomocnicza (Sieć Ciepłownicza): Autonomiczne instalacje technologiczne (OT) funkcjonujące w lokalizacjach biurowych. Zakres prac w tym obszarze ogranicza się wyłącznie do weryfikacji skuteczności separacji i segmentacji ruchu pomiędzy siecią ciepłowniczą a infrastrukturą IT.
3) Zasoby IT/OT i użytkownicy (szacunkowo +/- 15%):
a) Urządzenia końcowe: ok. 80 jednostek (komputery stacjonarne, laptopy, tablety).
b) Infrastruktura serwerowa: 3 serwery fizyczne (w tym jeden jako host dla 2 serwerów wirtualnych).
c) Użytkownicy: Łącznie ok. 90 osób we wszystkich lokalizacjach.
d) Skala OT: Systemy automatyki procesowej obejmujące główne centra nadzoru (SCADA) oraz infrastrukturę rozproszoną (punkty technologiczne). Wykonawca w ramach audytu dokona precyzyjnej inwentaryzacji wszystkich obszarów technologicznych podlegających audytowi.
3. Potwierdzeniem wykonania zadania będzie przekazanie Zamawiającemu:
1) Etap I – Audyt początkowy
a) Raportu z audytu początkowego obejmującego: opis stanu obecnego cyberbezpieczeństwa IT/OT, inwentaryzację aktywów IT/OT, analizę ryzyka, identyfikację niezgodności (KRI, KSC, NIS2, ISO/IEC 27001, ISA/IEC 62443), analizę architektury sieci IT/OT, ocenę segmentacji i plan działań naprawczych.
(Rekomendacje wynikające z audytu powinny być formułowane w sposób funkcjonalny i technologicznie neutralny, poprzez określenie wymaganych funkcji, poziomu bezpieczeństwa, parametrów technicznych oraz oczekiwanych efektów organizacyjnych i technicznych, bez wskazywania konkretnych producentów, marek, modeli urządzeń lub rozwiązań handlowych, chyba że jest to obiektywnie uzasadnione specyfiką istniejącej infrastruktury lub wymogami interoperacyjności.)
2) Etap II – Dokumentacja i wdrożenie
a) Kompletnej dokumentacji SZBI (m.in. Polityka Bezpieczeństwa, metodykę i wyniki analizy ryzyka, deklarację stosowania (SoA), zasady klasyfikacji informacji, procedury zarządzania incydentami, dostępem, kopiami zapasowymi, podatnościami, zmianą oraz nadzoru nad systemami OT).
b) Kompletnej dokumentacji SZCD (m.in. analiza BIA, plany BCP i DRP, scenariusze awarii, określenie RTO/RPO oraz procedury testowania).
c) Przekazanie całości dokumentacji (SZBI oraz SZCD) w formie elektronicznej, w pełni edytowalnej (np. format .docx, .xlsx), umożliwiającej Zamawiającemu samodzielną aktualizację treści bez udziału osób trzecich.
3) Etap III – Audyt końcowy
a) Raportu z audytu końcowego obejmującego: ocenę skuteczności działań, weryfikację zgodności (KRI, KSC, NIS2, ISO 27001, ISO 22301, ISA/IEC 62443) oraz rekomendacje końcowe.
Okres gwarancji: 12 miesięcy
Miejsce realizacji
Kraj: Polska, Województwo: wielkopolskie, Powiat: turecki, Gmina: Turek, Miejscowość: Turek
Time limit for receipt of tenders
Fri May 15 11:00:00 GMT 2026
Location
Kraj: Polska, Województwo: wielkopolskie, Powiat: turecki, Gmina: Turek, Miejscowość: Turek
Category assortment
Other
Finishes, paints, floors
Maintenance and support
Consultancy
Finishes, paints, floors
Maintenance and support
Consultancy
Buyer details
Przedsiębiorstwo Gospodarki Komunalnej i Mieszkaniowej Sp. z o.o.
Polna 4
62-700 Turek
Województwo: wielkopolskie
Kraj: Polska
NIP: 6680000082
Polna 4
62-700 Turek
Województwo: wielkopolskie
Kraj: Polska
NIP: 6680000082
