Audyt bezpieczeństwa oraz przygotowanie do certyfikacji Platformy Lokalizacyjno-Informacyjnej z Centralną Bazą Danych (PLI CBD) w ramach realizacji Projektu Rozbudowa Platformy Lokalizacyjno-Informacyjnej z Centralną Bazą Danych (PLICBD2) - POIG.07.01.00-00-051/12

Opis przedmiotu przetargu: 1. Przedmiotem zamówienia jest przeprowadzenie przez Wykonawcę na rzecz Zamawiającego audytu bezpieczeństwa systemu informatycznego PLI CBD oraz przygotowanie do certyfikacji na zgodność z normami z zakresu zarządzania usługami informatycznymi oraz z zakresu bezpieczeństwa informacji i przeprowadzenie szkoleń. W ramach przedmiotu zamówienia Wykonawca wykona na rzecz Zamawiającego następujące usługi (zadania): 1) przygotowanie i przeprowadzenie szkoleń: - wprowadzające dla zespołu wdrażającego system w zakresie ochrony informacji, zarządzania usługami informatycznymi, inwentaryzacji aktywów informacyjnych oraz oceny ryzyka teleinformatycznego; - z zakresu projektowania i wdrażania Systemu Zarządzania Bezpieczeństwem Informacji wg powszechnie obowiązujących norm w tym zakresie np. PN-ISO-IEC 27001 lub równoważnej; - z zakresu projektowania i wdrażania Systemu Zarządzania Usługami Informatycznymi wg powszechnie obowiązujących norm w tym zakresie np. PN-ISO-IEC 20000-1 lub równoważnej; 2) wykonanie audytu ochrony danych osobowych w celu zbadania procesów przetwarzania danych osobowych w Systemie PLI CBD. Wykonawca dokona weryfikacji stanu faktycznego z opisanymi procesami w posiadanych przez Zamawiającego dokumentach (Polityka Bezpieczeństwa i Instrukcja Zarządzania Systemem Informatycznym) oraz z powszechnie obowiązującymi przepisami prawa i standardami; 3) opracowanie i przekazanie Zamawiającemu planu wdrożenia oraz wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji i Ciągłością Działania zgodnie z wymaganiami powszechnie obowiązujących norm w tym zakresie np. PN-ISO-IEC 27001 lub równoważnej oraz powszechnie obowiązujących norm: - w odniesieniu do ustanawiania zabezpieczeń np. PN-ISO-IEC 17799 lub równoważnej; - w odniesieniu do zarządzania ryzykiem np. PN-ISO-IEC 27005 lub równoważnej; - w odniesieniu do odtwarzania techniki informatycznej po katastrofie w ramach zarządzania ciągłością działania np. PN-ISO-IEC 24762 lub równoważnej; 4) opracowanie i przekazanie Zamawiającemu planu wdrożenia oraz wdrożenie Systemu Zarządzania Usługami Informatycznymi zgodnie z wymaganiami powszechnie obowiązujących norm w tym zakresie np. PN-ISO-IEC 20000-1 lub równoważnej; 5) wykonanie testów penetracyjnych Systemu PLI CBD w zakresie funkcjonalności aplikacji PLI CBD związanej z przenoszeniem numerów, systemem obsługi użytkowników oraz modułem do administrowania aplikacją PLI CBD; 6) dokonanie przeglądu konfiguracji wybranych urządzeń wchodzących w skład Systemu PLI CBD; 7) przygotowanie i przeprowadzenie szkoleń obejmujących tematykę bezpieczeństwa informacji oraz zarządzania usługami informatycznymi dla audytorów wewnętrznych: - z zakresu Audytor wewnętrzny systemu zarządzania bezpieczeństwem informacji wg powszechnie obowiązujących norm w tym zakresie np. PN- ISO-IEC 27001 lub równoważnej; - z zakresu Audytor wewnętrzny systemu zarządzania usługami informatycznymi wg powszechnie obowiązujących norm w tym zakresie np. PN-ISO-IEC 20000-1 lub równoważnej; 8) przygotowanie do procesu certyfikacji Systemu Zarządzania Bezpieczeństwem Informacji zgodnie z wymaganiami powszechnie obowiązujących norm w tym zakresie np. PN-ISO-IEC 27001 lub równoważnej oraz przygotowanie do procesu certyfikacji Systemu Zarządzania Usługami Informatycznymi zgodnie z wymaganiami powszechnie obowiązujących norm w tym zakresie np. wymaganiami normy PN-ISO-IEC 20000-1 lub równoważnej; 9) wykonywanie asysty powdrożeniowej w okresie 12 miesięcy od daty podpisania protokołu odbioru końcowego. Wszędzie tam, gdzie przedmiot zamówienia jest opisany poprzez wskazanie znaków towarowych, patentów, norm, aprobat, standardów lub pochodzenia, Zamawiający dopuszcza zastosowanie przez Wykonawcę rozwiązań równoważnych w stosunku do opisanych w niniejszym dokumencie, pod warunkiem, że będą one posiadały, co najmniej takie same lub lepsze parametry funkcjonalne i nie obniżą określonych w niniejszej specyfikacji standardów. W rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012 roku w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U z 2012, poz. 526 z późn. zm.) w rozdziale IV Minimalne wymagania dla systemów teleinformatycznych w par. 15 pkt 3 wskazane jest wprost, że wymagania zawarte w tym rozporządzeniu odnoszące się do sposobu projektowania, wdrażania i eksploatowania systemów teleinformatycznych uznaje się za spełnione jeżeli odbywają się z uwzględnieniem Polskich Norm: PN- ISO-IEC 20000-1 i PN-ISO-IEC 20000-2. Natomiast w par. 20 ww. rozporządzenia wskazane jest, że wymagania w zakresie zarządzania bezpieczeństwem informacji uznaje się za spełnione, jeżeli system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO-IEC 27001. 2. Szczegółowo opis przedmiotu zamówienia określony został w projekcie umowy, stanowiącym załącznik nr 7 do niniejszej SIWZ oraz załącznikach do umowy