Przetarg 12579482 - Przygotowanie i wdrożenie dokumentacji Systemu Zarządzania...

entacji związanej z bezpieczeństwem informacji obowiązującej u Zamawiającego oraz aktualizacja dokumentacji poprzez wdrożenie systemu zarządzania bezpieczeństwem informacjiW ramach realizowanego przedmiotu zamówienia Wykonawca jest zobowiązany do:1. Wykonania analizy dokumentacji związanej z bezpieczeństwem informacji obowiązującej u Zamawiającego, która pozwoli na określenie potrzeb związanych z koniecznością dostosowania dokumentacji do wymagań nowelizowanej ustawy o krajowym systemie cyberbezpieczeństwa oraz norm ISO 27000 w zakresie bezpieczeństwa informacji (w szczególności zgodnego z wymaganiami aktualnych norm PN-EN ISO/IEC 27001 oraz zaleceniami aktualnych norm PN-ISO/IEC 27002, PN-ISO-27005) i ISO 31000 w zakresie zarządzania ryzykiem oraz zapewnienia zarządzania ciągłością działania w nawiązaniu do normy PN-EN ISO 22301.2. Przedstawienia Zamawiającemu raportu dokumentującego rezultaty wykonanej analizy z zaprezentowaniem zgodności dokumentacji z określonymi wymaganiami oraz zaleceniami w zakresie aktualizacji dokumentacji i potrzeby stworzenia nowych dokumentów w ramach systemu zarządzania bezpieczeństwem informacji.3. Opracowania i wdrożenia dokumentacji Systemu Zarządzania Bezpieczeństwem Informacji wraz z pilotażowym audytem i przeglądem zarządzania z udziałem kierownictwa.Szczegółowy opis realizowanych w ramach zamówienia czynności związanych z wykonaniem analizy dokumentacji związanej z bezpieczeństwem informacji obowiązującej u Zamawiającego, która pozwoli na określenie potrzeb związanych z koniecznością dostosowania dokumentacji (punkt numer 1):1. W ramach wykonywanych prac Wykonawca przeprowadzi kompleksową weryfikację dokumentacji posiadanej przez Zamawiającego w celu stwierdzenia zasadności pozostawienia wybranych elementów dokumentacji i wykonania ich aktualizacji. 2. W ramach wykonanej weryfikacji Wykonawca sporządzi raport dokumentujący rezultaty wykonanej analizy, który będzie zawierał porównanie obecnie posiadanej dokumentacji, zasobów ludzkich procesów i systemów (IT/OT) przez Zamawiającego z oczekiwaniami sformułowanymi w ramach zamówienia.3. Wykonawca w ramach realizacji procesu przeprowadzi kompleksową analizę aktywów posiadanych przez Zamawiającego, które przedstawi do zatwierdzenia Zamawiającemu w raporcie. Aktywa staną się podstawą opracowywania dokumentacji systemu zarządzania bezpieczeństwem informacji.4. Wykonawca zobowiązany jest do przygotowania pełnego systemu szacowania ryzyka związanego z bezpieczeństwem informacji, zgodnego z wymaganiami normy ISO/IEC 27001:2022 oraz – opcjonalnie – z wytycznymi ISO/IEC 27005:2022. W szczególności wykonawca powinien:Opracować i wdrożyć metodykę szacowania ryzyka, zawierającą:- opis etapu identyfikacji, analizy i oceny ryzyka adekwatny do specyfiki urzędu,- zdefiniowane kryteria wpływu, prawdopodobieństwa i poziomu ryzyka,- opis skali ocen i sposobu kwalifikowania ryzyk (akceptowalne / nieakceptowalne),- zgodność i spójność podejścia w całej organizacji.1. Wykonawca opracuje raport zgodnie z wymaganiami określonymi w ramach punktu 1 niniejszego zamówienia, który będzie miał formę pisemną oraz odwoływał się do wybranych punktów norm.2. Raport zostanie omówiony w siedzibie Zamawiającego, przy czym przewiduje się jedynie możliwość zorganizowania spotkania stacjonarnego, w którym ze strony Wykonawcy wezmą udział osoby wskazane w wykazie osób stanowiącym załącznik do zamówienia.3. Wykonawca jest zobowiązany do udokumentowania spotkania oraz zgłaszanych uwag Zamawiającego w formie załącznika do raportu, a następnie wykorzystania w ramach opracowywania dokumentacji systemu zarządzania bezpieczeństwem informacji.Szczegółowy opis realizowanych w ramach zamówienia czynności związanych z wdrożeniem dokumentacji systemu zarządzania bezpieczeństwem informacji (punkt numer 3):

Część 2: Wykonanie analizy dokumentacji związanej z bezpieczeństwem informacji obowiązującej u Zamawiającego oraz aktualizacja dokumentacji poprzez wdrożenie systemu zarządzania bezpieczeństwem informacjiW ramach realizowanego przedmiotu zamówienia Wykonawca jest zobowiązany do:1. Wykonania analizy dokumentacji związanej z bezpieczeństwem informacji obowiązującej u Zamawiającego, która pozwoli na określenie potrzeb związanych z koniecznością dostosowania dokumentacji do wymagań nowelizowanej ustawy o krajowym systemie cyberbezpieczeństwa oraz norm ISO 27000 w zakresie bezpieczeństwa informacji (w szczególności zgodnego z wymaganiami aktualnych norm PN-EN ISO/IEC 27001 oraz zaleceniami aktualnych norm PN-ISO/IEC 27002, PN-ISO-27005) i ISO 31000 w zakresie zarządzania ryzykiem oraz zapewnienia zarządzania ciągłością działania w nawiązaniu do normy PN-EN ISO 22301.2. Przedstawienia Zamawiającemu raportu dokumentującego rezultaty wykonanej analizy z zaprezentowaniem zgodności dokumentacji z określonymi wymaganiami oraz zaleceniami w zakresie aktualizacji dokumentacji i potrzeby stworzenia nowych dokumentów w ramach systemu zarządzania bezpieczeństwem informacji.3. Opracowania i wdrożenia dokumentacji Systemu Zarządzania Bezpieczeństwem Informacji wraz z pilotażowym audytem i przeglądem zarządzania z udziałem kierownictwaSzczegółowy opis realizowanych w ramach zamówienia czynności związanych z wykonaniem analizy dokumentacji związanej z bezpieczeństwem informacji obowiązującej u Zamawiającego, która pozwoli na określenie potrzeb związanych z koniecznością dostosowania dokumentacji (punkt numer 1):1. W ramach wykonywanych prac Wykonawca przeprowadzi kompleksową weryfikację dokumentacji, zasobów ludzkich procesów i systemów (IT/OT) posiadanej przez Zamawiającego w celu stwierdzenia zasadności pozostawienia wybranych elementów dokumentacji i wykonania ich aktualizacji. 2. W ramach wykonanej weryfikacji Wykonawca sporządzi raport dokumentujący rezultaty wykonanej analizy, który będzie zawierał porównanie obecnie posiadanej dokumentacji przez Zamawiającego z oczekiwaniami sformułowanymi w ramach zamówienia.3. Wykonawca w ramach realizacji procesu przeprowadzi kompleksową analizę aktywów posiadanych przez Zamawiającego, które przedstawi do zatwierdzenia Zamawiającemu w raporcie. Aktywa staną się podstawą opracowywania dokumentacji systemu zarządzania bezpieczeństwem informacji.4. Wykonawca zobowiązany jest do przygotowania pełnego systemu szacowania ryzyka związanego z bezpieczeństwem informacji, zgodnego z wymaganiami normy ISO/IEC 27001:2022 oraz – opcjonalnie – z wytycznymi ISO/IEC 27005:2022. W szczególności wykonawca powinien:Opracować i wdrożyć metodykę szacowania ryzyka, zawierającą:- opis etapu identyfikacji, analizy i oceny ryzyka adekwatny do specyfiki urzędu,- zdefiniowane kryteria wpływu, prawdopodobieństwa i poziomu ryzyka,- opis skali ocen i sposobu kwalifikowania ryzyk (akceptowalne / nieakceptowalne),- zgodność i spójność podejścia w całej organizacji.Przygotować komplet formularzy i narzędzi, w tym:- arkusze oceny ryzyka,- szablony rejestrów ryzyk,- wzór raportu z oceny ryzyka,- instrukcję dla właścicieli ryzyk.Przeprowadzić nadzorowaną ocenę ryzyka, obejmującą:- wsparcie w identyfikacji zasobów i zagrożeń,- nadzorowanie analizy ryzyka przeprowadzanej przez wyznaczone osoby (z udziałem Zamawiającego),- pomoc w dokumentowaniu wyników i zatwierdzeniu oceny ryzyka.Przygotować harmonogramy i warunki ponownych ocen ryzyka, w tym:- określenie częstotliwości ocen (np. corocznie lub po zmianach),- wskazanie sytuacji wyzwalających (np. zmiany systemowe, incydenty, nowe usługi).Wskazać osoby odpowiedzialne za proces, w tym:- pełnomocnika SZBI,- właścicieli ryzyk,- zapewnienie jasnych wytycznych co do ich ról i odpowiedzialności.Stworzyć rejestr ocen ryzyka, zawierający:- identyfikatory aktywów i zagrożeń,- daty ocen i osób przeprowadzających,- poziomy ryzyka i decyzje (zaakceptowano / zredukowano / uniknięto),- historię działań wynikających z ryzyka,- status aktualności i przeglądów.Wskazać i opisać środki ochronne wynikające z oceny ryzyka, w tym:- działania techniczne (np. szyfrowanie, backupy),- działania organizacyjne (np. aktualizacja procedur, zmiana uprawnień),- formułowanie planu postępowania z ryzykiem (z klauzuli 6.1.3),- ustalenie środków ochronnych we współpracy z Zamawiającym

ON-ZP.2710.23.2026