Szczegóły aktualności - PFRON

I. Nazwa i adres Zamawiającego

PFRON Al. Jana Pawła II 13, 00-828 Warszawa

Adres strony internetowej: www.pfron.org.pl

II. Przedmiot zapytania

Przedmiotem zapytania jest ustalenie wartości szacunkowej zamówienia dotyczącego opracowania dokumentu pn. „Polityka Bezpieczeństwa PFRON”.

PFRON rozumie pod pojęciem dokumentu strategiczny wewnętrzny dokument organizacji, zawierający szereg charakterystyk, opisów, reguł oraz praktyk zarządczych dotyczących szeroko rozumianego bezpieczeństwa.

W szczególności, dokument powinien ustalać zasady przetwarzania informacji w trzech głównych obszarach:

1. poufności – obszar odpowiadający za to, że informacja może być dostępna wyłącznie dla uwierzytelnionych uczestników posiadających odpowiednią autoryzację;
2. integralności – w tym reguły dbania o to, aby dane nie zostały przypadkowo zniszczone albo celowo zmienione w sposób niezgodny z przyjętymi regułami;
3. dostępności – w tym reguły mające na celu spowodowanie, aby informacja i zgromadzone zasoby były dostępne - zgodnie z przyjętymi wymaganiami.

PFRON zakłada, że informacje chronione to: informacje wrażliwe, dane osobowe, informacje niejawne oraz inne tajemnice przedsiębiorstwa.

Typy informacji chronionych wynikają ze specyfiki pracy PFRON, środowiska pracy oraz wymogów formalno-prawnych dotyczących organizacji i do nich powinien odwoływać się dokument Polityki Bezpieczeństwa w kontekście wymienionych wyżej obszarów.

PFRON zakłada, że Polityka Bezpieczeństwa określi reguły postępowania wynikające ze związków pomiędzy typami informacji, obszarami bezpieczeństwa a nośnikami informacji (np.: papier, nośnik magnetyczny, pendrive itp.), które są używane w procesie przetwarzania informacji w systemach informatycznych PFRON, przy jednoczesnym uwzględnieniu specyfiki zadań organizacji oraz przetwarzania danych osobowych.

PFRON zakłada, że Polityka Bezpieczeństwa PFRON będzie zgodna z obowiązującym prawem i wewnętrznymi regulacjami PFRON.

III. Informacje o systemie bezpieczeństwa PFRON

Obecnie PFRON realizuje swoje działania opierając się na dokumentach:

1. Strategia informatyzacji PFRON.
2. Polityka bezpieczeństwa danych osobowych PFRON.
3. Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych PFRON.

IV. Wymagania i zakres prac na dokumentem.

1. Dokument „Polityka Bezpieczeństwa PFRON” musi zostać opracowany w terminie do dnia 31.06.2016 r. Dokument musi być zgodny z obowiązującym prawem i wewnętrznymi regulacjami PFRON, w tym z:
   1. ustawą o ochronie danych osobowych (Dz. U. z 2014 r. poz.1182);
   2. ustawą o ochronie informacji niejawnych (Dz. U. z 2015 r. poz.21);
   3. rozporządzeniem Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2012 r. poz. 526);
   4. opracowanymi przez PFRON politykami dotyczącymi ochrony danych osobowych;
   5. zaleceniami i rekomendacjami wynikającymi z audytów.
2. Dokument ”Polityka bezpieczeństwa PFRON” musi zawierać:
   1. listę celów, których realizację ma zapewnić opisywana polityka; wśród podstawowych celów muszą się znajdować:
      1. wdrożenie w PFRON Systemu Zarządzania Bezpieczeństwem Informacji (SZBI);
      2. wdrożenie Planów Zapewnienia Ciągłości Działania;
   2. definicje obszarów bezpieczeństwa, typów informacji oraz nośników informacji opisanych w rozdziale II, a także aspektów bezpieczeństwa związanych z bezpieczeństwem fizycznym i środowiskowym; po zapoznaniu się ze specyfiką PFRON, Wykonawca zaproponuje odpowiednie elementy systemu bezpieczeństwa, które powinny być objęte regulacjami Polityki;
   3. opis SZBI, jego cele, strukturę oraz dokumenty regulujące jego działanie; w opisie SZBI należy zwłaszcza ująć:
      1. opisy zależności pomiędzy obszarami bezpieczeństwa, typami informacji a także nośnikami informacji wraz regułami postępowania dla każdej opisanej zależności; jeśli takie zależności zostały już określone w PFRON w formie regulacji wewnętrznych, procedur czy instrukcji, należy powołać się na określony dokument, jeśli natomiast brakuje dokumentu, który reguluje zależność - należy stworzyć opis takiej zależności;
      2. odwołania do całej struktury organizacyjnej PFRON (Biuro i Oddziały); dokument powinien wykazać konieczność zaangażowania i odpowiedzialność poszczególnych jednostek organizacyjnych i osób funkcyjnych w realizacji celów opisanych w Polityce;
   4. rozdział opisujący zasady wdrożenia Planów Zapewnienia Ciągłości Działania, z kompletem związanych z nimi regulaminów; dla każdego regulaminu należy stworzyć co najmniej opis oraz szczegółowy spis treści, zgodnie z wymaganiami §20 Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności (z rozszerzeniem o wymagania określone w tym zakresie w Normie PN-ISO/IEC 27001-2013); każdy regulamin należy powiązać z niezbędną strukturą organizacyjno-kadrową i rezerwami sprzętowymi;
   5. dokument „Polityka Bezpieczeństwa PFRON” musi kłaść szczególny nacisk na zapewnienie bezpieczeństwa systemów teleinformatycznych PFRON;
   6. dokument musi uwzględniać analizę i monitoring zagrożeń dla przetwarzanych informacji w systemach informatycznych, definiowanie ryzyka dla systemów informatycznych, analizę zgodności z normami międzynarodowymi dot. bezpieczeństwa informacji, budowa i nadzór nad systemem zarządzania bezpieczeństwem informacji oraz wymogami dla takiego systemu na bazie normy ISO/IEC 27001:2005 która służy do certyfikacji systemów informatycznych oraz nadzór nad technologią zabezpieczeń.
3. Dokument – zgodnie ze standardami normy 17799 oraz 27001 - powinien uwzględniać kompleksowe podejście do ochrony informacji przetwarzanych w organizacji, wymagając odpowiedniego poziomu ich bezpieczeństwa w czasie poprzez nakaz stosowania adekwatnych zabezpieczeń. „Polityka (…)” ma za zadanie regulować ochronę dóbr informacyjnych w każdym punkcie ich przetwarzania i dostępu w organizacji, w tym uwzględniać zgodność postępowania z informacjami chronionymi wg obowiązującego prawa, obejmować swym zakresem wymagalności, ludzi, procesy, infrastrukturę oraz systemy informatyczne.
4. Dokument powinien uwzględniać sytuacje awaryjne, w szczególności problematykę odbudowy zasobów w przypadku zaistnienia nieprzewidzianych zdarzeń mających wpływ na ciągłość działania biznesowego kompleksowo traktując ryzyko biznesowe tj.: zagrożenia i podatności na te zagrożenia, tak aby organizacja mogła zadeklarować posiadanie, wdrożenie i przestrzeganie zasad określonych w obowiązujących w Polsce standardach. Dokument ma spełniać także rolę w zarządzaniu firmą, dając gotowe narzędzia, procedury i zasady działania w przypadku różnych możliwych scenariuszy, jakie mogą wystąpić podczas zwykłego działania firmy lub organizacji.

V. Warunki udziału w zapytaniu ofertowym

PFRON oczekuje, że Wykonawca składający ofertę:

1. posiada niezbędną wiedzę i doświadczenie w tworzeniu podobnych dokumentów;
2. wykaże się wdrożeniem dokumentów wchodzących w skład Polityki Bezpieczeństwa dla organu władzy publicznej, agencji wykonawczej, państwowego funduszu celowego, ZUS, NFZ lub KRUS potwierdzonym odpowiednim poświadczeniem;
3. dysponuje zasobami ludzkimi zdolnymi do wykonania zamówienia, posiadającymi doświadczenie w branży bezpieczeństwa, w szczególności bezpieczeństwa systemów informatycznych, potwierdzonych odpowiednimi certyfikatami - pod uwagę będą brane następujące certyfikaty:
   1. Certified Information System Security Professional (CISSP);
   2. Certified Information System Security Auditor (CISSA);
   3. Check Point Certified professional (CPCP);
   4. Certified in Risk and Information Systems Control (CRISC).

VI. Sposób przygotowania oferty

Składana oferta powinna zawierać:

1. opis proponowanego zakresu dokumentu Polityka Bezpieczeństwa;
2. harmonogram prac uwzględniający następujące wymagania:
   1. po upływie 3 tygodni od dnia zawarcia umowy Wykonawca zaprezentuje kierownictwu PFRON dojrzałą wizję dokumentu wraz ze szczegółowym spisem treści;
   2. ostateczny termin opracowania dokumentu to - nie później niż 31.06.2016 r.;
3. szacunkowy koszt wykonania opracowania - wartość szacunkową zamówienia należy podać w kwocie netto; kwota musi zawierać wszystkie koszty związane z realizacją zamówienia;
4. termin związania ofertą;
5. dokumenty potwierdzające wymagane referencje (punkt V 2);
6. opis kompetencji zespołu wraz z potwierdzonymi kopiami posiadanych certyfikatów (punkt V 3).

VII. Procedura składania ofert:

Ofertę należy przesłać do dnia 12.02.2016 r. do godziny 14.00 na adres e-mail: Izabela_Gromadzka@pfron.org.pl

VIII. Inne

Zapytanie ofertowe nie stanowi podstaw do roszczeń dotyczących zawarcia umowy.

PFRON może unieważnić zapytanie na każdym etapie bez podania przyczyny.

W przypadku unieważnienia postępowania PFRON nie ponosi kosztów postępowania.