1. Przedmiotem zamówienia jest opracowanie i wdrożenie przez Wykonawcę dla Zamawiającego systemu zarządzania bezpieczeństwem informacji (SZBI) spełniającego wymagania norm rodziny ISO 27000 w zakresie bezpieczeństwa informacji i w zakresie zarządzania ryzykiem oraz Systemu Zarządzania Ciągłością Działania wg ISO 22301. Opracowywana dokumentacja musi zawierać elementy wymagane przez dyrektywę Unii Europejskiej NIS2, a także regulacje zawarte w projektowanej Ustawie o Krajowym Systemie Cyberbezpieczeństw.

2. Przedmiot realizacji zadania będzie realizowany w trzech etapach:

1) Etap I – analiza działalności Zamawiającego pod kątem wprowadzenia SZBI, w tym analiza ryzyka związanego z bezpieczeństwem informacji, identyfikacja potencjalnych zagrożeń i słabości w systemach.

2) Etap II – opracowanie nowego SZBI;

3) Etap III – wdrożenie opracowanego SZBI i szkolenia pracowników Zamawiającego z nowego SZBI

3. Zakres prac obejmuje:

ETAP I

1) W ramach etapu I Wykonawca powinien przeprowadzić analizę, zwanej dalej „Analizą”, której celem jest identyfikacja kontekstu SZBIu Zamawiającego oraz we wszystkich jednostkach podległych, obejmującą w szczególności:

a) obszary działalności Zamawiającego i realizowanych zadań,

b) strukturę organizacyjną Zamawiającego,

c) specyfikę pracy poszczególnych komórek organizacyjnych Zamawiającego,

d) systemy informatyczne użytkowane przez Zamawiającego,

e) rejestry publiczne pozostające we właściwości Zamawiającego,

f) elementy SZBI aktualnie funkcjonujące u Zamawiającego,

g) wstępną identyfikację informacji przetwarzanych u Zamawiającego,

h) wstępną identyfikację ryzyk związanych z utratą poufności, integralności i dostępności informacji przetwarzanych u Zamawiającego – w ramach której Wykonawca dokona oceny ryzyk i szans niezbędnych do zaprojektowania nowego SZBI – również poprzez weryfikację działalności Zamawiającego,

2) W celu przeprowadzenia Analizy Zamawiający udostępni lokalnie Wykonawcy niezbędne, posiadane dokumenty.

3) Celem opracowania przez Wykonawcę wstępnej koncepcji nowego SZBI, Zamawiający wskazuje poniżej ogólny ramowy zarys nowego SZBI. Określenie struktury dokumentacji nowego SZBI, która powinna mieć układ hierarchiczny, tj. opisywać nowy SZBI na różnych poziomach szczegółowości oraz określać zagadnienia, które muszą zostać obligatoryjnie uregulowane:

a) poziom jednostki (Zamawiający) – nadrzędny dokument „Polityka Bezpieczeństwa Informacji” Zamawiającego, który określa wymagania i zasady bezpieczeństwa informacji obowiązujące u Zamawiającego oraz sposób organizacji nowego SZBI – z tym dokumentem powinny być spójne pozostałe dokumenty składające się na dokumentację nowego SZBI,

b) poziom systemów teleinformatycznych – polityka bezpieczeństwa systemów teleinformatycznych, na którą składają się:

· dokument „Polityka Bezpieczeństwa Systemów Teleinformatycznych”, który opisuje wymagania i zasady bezpieczeństwa dla systemów teleinformatycznych,

· odniesienia co do wymagań dotyczących zakresu dokumentacji poszczególnych systemów teleinformatycznych – np. dokumenty: polityki bezpieczeństwa poszczególnych systemów teleinformatycznych, które opisują w jaki sposób zasady i wymagania bezpieczeństwa zawarte w „Polityce Bezpieczeństwa Informacji” i „Polityce Bezpieczeństwa Systemów Teleinformatycznych” są realizowane w danym systemie teleinformatycznym,

c) poziom procedur, instrukcji i regulaminów – procedury, instrukcje, regulaminy i inne dokumenty SZBI tworzone w celu uszczegółowienia zasad opisanych w ww. politykach, dotyczące w szczególności zagadnień:

· bezpieczeństwo zasobów ludzkich,

· bezpieczeństwo fizyczne i środowiskowe,

· bezpieczeństwo cyberprzestrzeni,

· bezpieczeństwo danych osobowych,

· bezpieczeństwo informacji niejawnych,

· obsługa incydentów,

· zarządzanie ryzykiem,

· użytkowanie systemów teleinformatycznych,

· użytkowanie urządzeń mobilnych.

4) Ramowy zarys nowego SZBI, o którym mowa powyżej, nie ma charakteru bezwzględnie wiążącego i stanowi jedynie propozycję Zamawiającego. W przypadku nieuwzględnienia przez Wykonawcę we wstępnej koncepcji nowego SZBI ramowego zarysu lub jego poszczególnych elementów, Wykonawca uzasadni powyższe Zamawiającemu.

ETAP II

1) W ramach Etapu II Wykonawca, na podstawie wyników Analizy, opracuje nowy SZBI, dostosowany do potrzeb Zamawiającego oraz wszystkich jednostek podległych.

2) Nowy SZBI, który opracuje Wykonawca, będzie stanowił system zarządzania bezpieczeństwem informacji, o którym mowa w § 20 ust. 1 Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2021 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2017 r. poz. 2247), bądź w zastępujących go, odpowiednich przepisach wykonawczych do ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2021 r. poz. 2070, z późn. zm.), w przypadku ich nowelizacji, zwany „SZBI”. Rozporządzenie, o którym mowa w zdaniu poprzedzającym, zwane jest dalej „rozporządzeniem KRI”.

3) Nowy SZBI powinien być zgodny z rozporządzeniem KRI i spełniać wymagania normy PN-ISO/IEC 27001, w tym obejmować czternaście następujących obszarów mających wpływ na bezpieczeństwo w organizacji Zamawiającego:

4) Nowy SZBI musi być zgodny z aktualnymi przepisami powszechnie obowiązującego prawa, w tym w szczególności z przepisami:

a) rozporządzenia KRI;

b) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych
i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1);

c) ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781);

d) dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r.
w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2)

e) ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne;

f) ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. z 2020 r. poz. 2176, z późn. zm.);

g) ustawy z dnia 3 października 2008 r. o udostępnianiu informacji o środowisku i jego ochronie, udziale społeczeństwa w ochronie środowiska oraz o ocenach oddziaływania na środowiska(Dz. U. z 2021 r. poz. 2373, z późn. zm.);

h) ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2019 r. poz. 742);

i) ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2020 r. poz. 1369, z późn. zm.); oraz uwzględniać wewnętrzne akty prawne obowiązujące u Zamawiającego.

j) Projektowaną ustawą o Krajowym Systemie Cyberbezpieczeństwa z implementacją wymagań dyrektywy Unii Europejskiej NIS2.

5) W ramach opracowania nowego SZBI Wykonawca między innymi:

a) zaproponuje obszary funkcjonalne, które powinny zostać objęte nowym SZBI,

b) uwzględni w szczególności następujące zagadnienia:

· określenie organizacji bezpieczeństwa informacji,

· identyfikacja aktywów informacyjnych i klasyfikacji informacji przetwarzanych
u Zamawiającego,

· szacowanie ryzyka oraz postępowanie z ryzykiem, związanych z utratą poufności, integralności i dostępności informacji przetwarzanych u Zamawiającego,

· bezpieczeństwo w procesach zarządzania zasobami ludzkimi,

· szkolenia z zakresu bezpieczeństwa informacji,

· kontrola dostępu,

· bezpieczeństwo fizyczne i środowiskowe,

· klasyfikacja informacji,

· odpowiedzialność za zasoby,

· postępowanie z nośnikami informacji,

· użytkowanie urządzeń mobilnych i praca zdalna,

· zarządzanie sprzętem informatycznym,

· instalacja oprogramowania,

· ochrona przed oprogramowaniem złośliwym,

· kopie zapasowe,

· zarządzanie zmianami, w szczególności w systemach informatycznych oraz infrastrukturze informatycznej,

· zarządzanie dokumentacją infrastruktury informatycznej,

· monitorowanie systemów informatycznych,

· zarządzanie pojemnością,

· serwis i konserwacja infrastruktury informatycznej,

· zarządzanie podatnościami technicznymi,

· zarządzanie incydentami bezpieczeństwa,

· zabezpieczenia kryptograficzne,

· bezpieczeństwo sieci i transmisji danych,

· ochrona własności intelektualnej,

· bezpieczeństwo informacji w relacjach z dostawcami,

· ciągłość działania,

· zasady bezpieczeństwa informacji w procesach pozyskiwania, rozwoju i utrzymania systemów informacyjnych,

· weryfikacja zgodności z wymaganiami prawnymi,

· korzystanie z poczty elektronicznej i Internetu,

· zarządzanie usługami informatycznymi,

· utrzymanie i doskonalenie SZBI,

· przeprowadzanie audytów SZBI

c) Opracuje w ramach SZBI następujące polityki/procedury i instrukcje:

· Pomiar efektywności zarządzania bezpieczeństwem informacji,

· Deklaracja stosowania zabezpieczeń według normy iso/iec 27001,

· Zabezpieczenie systemu informatycznego przed działalnością nieuprawnionego oprogramowania,

· Procedury rozpoczęcia, zawieszenia i zakończenia pracy w systemie informatycznym,

· Instrukcja przydzielania i odbierania dostępów użytkownikom,

· Instrukcja przydzielania dostępów administracyjnych ,

· Polityka haseł,

· Polityka czystego biurka i ekranu,

· Polityka bezpieczeństwa danych osobowych,

· Instrukcja postepowania z incydentem bezpieczeństwa,

· Procedura postępowania w sytuacji naruszenia ochrony danych osobowych,

· Instrukcja przydzielania i odbierania dostępów użytkownikom,

· Instrukcja przydzielania dostępów administracyjnych,

d) Opracuje wzory następujących dokumentów w ramach SZBI:

· rejestr zmian SZBI,

· Karta przeglądu dokumentacji SZBI,

· Program audytów wewnętrznych SZBI,

· Harmonogram audytów wewnętrznych SZBI,

· Karta audytu wewnętrznego SZBI,

· Ewidencja wydanych aktywów,

· Powołanie audytora wewnętrznego,

· Powołanie ASI,

· Plan audytu wewnętrznego dla stacji roboczej,

· Informacja o zarejestrowanych incydentach,

· Szkolenie - listy obecności, oświadczenia pracowników,

· Pomiar efektywności zarządzania bezpieczeństwem informacji,

· Rejestr incydentów,

· Rejestr umów powierzania danych,

· Rejestr udostępnionych danych osobowych,

· Upoważnienie do przetwarzania danych osobowych,

· Oświadczenie o zachowaniu tajemnicy,

· Ewidencja osób upoważnionych do przetwarzania danych osobowych,

· Wykaz miejsc przetwarzania danych osobowych,

· Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do ich przetwarzania,

· Opis struktury zbiorów danych osobowych,

Etap III

1) W ramach etapu III Wykonawca przygotuje dokumentacje niezbędne do wdrożenie SZBI
w Urzędzie oraz jednostkach podległych.

2) Przygotuje materiał informacyjny o nowym SZBI (miniprzewodnik), w celu jego rozesłania do wszystkich pracowników Zamawiającego oraz jednostek podległych.

3) Opracuje – we współpracy z Zamawiającym – harmonogram szkoleń stacjonarnych
z opracowanego SZBI dla wszystkich pracowników Zamawiającego.

4. Ogólna charakterystyka Zamawiającego:

1) Urząd Gminy Celestynów,

Adres: 05-430 Celestynów ul. Regucka 3

Pracowników 50

Pozostałe informacje dotyczące Zamawiającego dostępne są pod adresemug@celestynow.pl lub telefonicznie +48 22 789 70 60

2) Gminny Ośrodek Pomocy Społecznej,

Adres:05-430 Celestynów ul. Regucka 3

Pracowników 20

Pozostałe informacje dotyczące Zamawiającego dostępne są pod adresemgops@celestynow.pl lub telefonicznie +48 22 789 70 54

3) Zakład Obsługi Szkół w Celestynowie,

Adres: 05-430 Celestynów ul. Regucka 3

Pracowników 5

Pozostałe informacje dotyczące Zamawiającego dostępne są pod adresemoswiata@celestynow.pl lub telefonicznie +48 22 789 89 64 wew. 133

4) Publiczna Szkoła Podstawowa im. Batalionu "Zośka" w Celestynowie

Adres: 05-430 Celestynów ul. Wrzosowa 42

Pracowników 74

Pozostałe informacje dotyczące Zamawiającego dostępne są pod adresem

spcelestynow@celestynow.pl lub telefonicznie +48 22 789 70 10

5) Przedszkole Samorządowe w Celestynowie

Adres: 05-430 Celestynów ul. Szkolna 2

Pracowników 34

Pozostałe informacje dotyczące Zamawiającego dostępne są pod adresemcelestynowprzedszkole@celestynow.pl lub telefonicznie +48 22 789 70 39

6) Zespół Szkolno - Przedszkolny w Starej Wsi

Adres: 05-430 Celestynów, Stara Wieś ul. Fabryczna 6

Pracowników 66

Pozostałe informacje dotyczące Zamawiającego dostępne są pod adresemspstarawies@celestynow.pl lub telefonicznie +48 22 789 70 46

7) Szkoła Podstawowa im. Mikołaja Kopernika w Ostrowie

Adres: 05-430 Celestynów, Ostrów ul. Kościelna 1

Pracowników 26

Pozostałe informacje dotyczące Zamawiającego dostępne są pod adresemspostrow@celestynow.pl lub telefonicznie +48 22 789 7107.

8) Szkoła Podstawowa w Regucie

Adres: 05-430 Celestynów, Regut ul. Wiatraczna 13

Pracowników 25

Pozostałe informacje dotyczące Zamawiającego dostępne są pod adresemspregut@celestynow.pl lub telefonicznie +48 22 789 70 49

I. WARUNKI WYKONANIA PRZEDMIOTU ZAMÓWIENIA

1) Wykonawca zobowiązuje się przy wykonywaniu przedmiotu zamówienia
do odpowiedniej organizacji prac tak, aby zapewnić terminowe jej wykonanie.

2) Wykonawca odpowiedzialny jest za jakość wykonanych prac. Wykonawca zobowiązuje się do delegowania do prac związanych z realizacją przedmiotu zamówienia pracowników posiadających niezbędne doświadczenie, uprawnienia i kwalifikacje.

3) Wady ujawnione w czasie odbioru oraz wszelkie naprawy gwarancyjne będą usunięte
w terminie wyznaczonym przez Zamawiającego.

4) Należności za usługi zlecone przez Zamawiającego innemu Wykonawcy na koszt i ryzyko Wykonawcy będą potrącane z faktur Wykonawcy, na co Wykonawca wyraża zgodę.

5) Wykonawca ponosi całkowitą odpowiedzialność cywilnoprawną za straty i szkody powstałe w związku z wypełnianiem przez Wykonawcę obowiązków wynikających z niniejszego zamówienia, a ponadto za szkody wyrządzone osobom trzecim na skutek lub w trakcie wykonywanych prac.

6) Wykonawca ponosi całkowitą odpowiedzialność cywilnoprawną za straty i szkody powstałe w związku z wypełnianiem przez podwykonawcę obowiązków wynikających z niniejszego zamówienia.

7) Cena określona w ofercie powinna obejmować wszystkie koszty niezbędne
do prawidłowej realizacji przedmiotu zamówienia w tym upusty i rabaty.

8) W przypadku wystąpienia wad w wykonaniu Przedmiotu zamówienia Zamawiający
ma prawo zwrócić się do Wykonawcy o ich usunięcie. Wykonawca usunie wady
na własny koszt w terminie 7 dni od daty zgłoszenia wad przez Zamawiającego.
W przypadku nie usunięcia przez Wykonawcę wskazanych wad, Zamawiający uprawniony będzie do zlecenia ich usunięcia innemu podmiotowi na koszt i ryzyko Wykonawcy.

1. Wykorzystujemy platformę zakupową Logintrade jako narzędzie do kontaktów z wykonawcami.
2. Rejestracja w bazie wykonawców, przeglądanie ogłoszeń oraz składanie ofert handlowych jest bezpłatne.
3. Jeśli nie posiadasz konta na platformie zakupowej Logintrade, zarejestruj się w bazie wykonawców w celu otrzymania loginu i hasła do swojego konta. Jedno konto wykonawcy umożliwia otrzymywanie ogłoszeń od wielu Zamawiających.
4. Regulamin Platformy zakupowej jest dostępny w panelu rejestracyjnym.