Załóż konto wykonawcy
Zaloguj się

Podaj adres e-mail

Podaj hasło

Nie pamiętasz hasła?
09:54:02
- PL
- EN

Twoja oferta nie została złożona. Nie udało się poprawnie zaszyfrować oferty, spróbuj ponownie.

Wadium

Wadium w 2 minuty

Uzyskaj wadium bez dokumentów i odchodzenia od komputera, w 3 krokach:

kliknij podaj dane opłać online

Uzyskaj wadium

Sprawdź, jak to zrobić - Film

Postępowanie ID: 1116111 : Cyberbezpieczny samorząd w gminie Mogilno. Przygotowanie i wdrożenie systemu zarządzania bezpieczeństwem informacji SZBI wraz z ujednoliceniem istniejącej dokumentacji.

Wystawiający

Użytkownik

Ewa Januchowska
Organizacja

Gmina Mogilno
Wiadomość do zamawiającego

Terminy

Zamieszczenia

2025-05-26 13:59:00
Składania

2025-06-06 13:20:00
Otwarcie ofert

2025-06-06 13:25:00
Tryb

Szacowanie wartości zamówienia
Rodzaj

Usługa

Wymagania i specyfikacja

Szanowni Państwo,

informujemy, że poniższe postępowanie ma charakter szacowania wartości zamówienia w zakresie usługi:

· usługa opracowania i wdrożenie dokumentacji SZBI dla 4 jednostek organizacyjnych Urzędu Miejskiego w Mogilnie

· usługa aktualizacji dokumentacji SZBI dla Urzędu Miejskiego

Usługa obejmuje kompleksowe wsparcie w opracowaniu i ustanowieniu SZBI, wdrożeniu i eksploatacji systemu, a także jego monitorowaniu, przeglądzie oraz dalszym utrzymaniu i doskonaleniu. Realizacja ma na celu zapewnienie poufności, dostępności i integralności informacji w organizacji, uwzględniając takie atrybuty, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność.

Etap I: Weryfikacja stopnia wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), w tym m.in.:

Weryfikacja procesów funkcjonujących

1. Weryfikacja obszarów oraz systemów przetwarzania danych;

2. Inwentaryzacja i klasyfikacja wykorzystywanych zasobów oraz aktywów informacyjnych;

3. Przegląd dokumentacji Systemu Zarządzania Bezpieczeństwem Informacji zgodnie z normą ISO/IEC 27001:2023;

4. Przegląd polityk, procedur, regulaminów, innych wewnętrznych regulacji w kontekście wymagań, określonych w normie ISO/IEC 27001:2023;

5. Analiza czynników zewnętrznych i wewnętrznych, które mogą wpływać na SZBI;

6. Ocena zaangażowania kierownictwa w kwestie bezpieczeństwa informacji;

7. Sprawdzenie procesu identyfikacji, oceny i zarządzania ryzykiem;

8. Ocena zasobów ludzkich, technicznych i finansowych dostępnych dla SZBI;

9. Weryfikacja monitorowania skuteczność SZBI

10. Sprawdzenie realizacji planów doskonalenia systemu zarządzania bezpieczeństwem informacji;

11. Ocena procedur nadawania, modyfikowania i usuwania uprawnień dostępu;

12. Ocena procedur zgłaszania i reagowania na incydenty bezpieczeństwa;

13. Ocena fizycznych zabezpieczeń dostępu do systemów informatycznych.

Etap II: Analiza ryzyka na podstawie normy ISO 27005:

1. Opracowanie metodyki przeprowadzonej analizy ryzyka;

2. Określenie ról, odpowiedzialności i uprawnień związanych z bezpieczeństwem informacji;

3. Oszacowanie ryzyka utraty bezpieczeństwa informacji i propozycja wdrożenia adekwatnych środków ochrony;

4. Identyfikacja słabych punktów systemu bezpieczeństwa informacji;

5. Określenie zagrożeń dla bezpieczeństwa informacji i ich klasyfikacja pod kątem:

a. prawdopodobieństwa ich występowania,

b. rozmiaru strat i powstałych szkód w wyniku ich pojawienia;

6. Opracowanie planów ciągłości działania;

7. Opracowanie planu postępowania z ryzykiem i jego omówienie z Klientem.

Etap III: Opracowanie i wdrożenie niezbędnej dokumentacji:

1. Deklaracja stosowania;

2. Polityka bezpieczeństwa informacji;

3. Procedura klasyfikacji informacji;

4. Procedura nadawania, zmiany uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemach informatycznych;

5. Procedura zarządzania bezpieczeństwem fizycznym i dostępem do pomieszczeń;

6. Procedura zarządzania bezpieczeństwem fizycznym sprzętu i nośników;

7. Procedura użytkowania stanowisk komputerowych;

8. Procedura zarządzania incydentami i naruszeniami bezpieczeństwa informacji;

9. Procedura zarządzania zmianami;

10. Zasady dotyczące ochrony danych osobowych;

11. Procedura implementacji i wycofania systemów teleinformatycznych;

12. Procedura zarządzania dostępem do sieci i systemów;

13. Procedura zarządzania i konfiguracji hardware / software;

14. Procedura organizacji środków ochrony fizycznej.

3. Weryfikacja stopnia zgodności z wymogami KRI oraz UoKSC w tym m.in.:

1) Weryfikacja zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia;

2) Ocena utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację oraz zastosowanie środków bezpieczeństwa w systemach IT;

3) Weryfikacja przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy;

4) Weryfikacja podejmowanych działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji;

5) Ocena procesu wprowadzania zmian w infrastrukturze IT oraz rozliczalności;

6) Ocena procedur nadawania, modyfikowania i usuwania uprawnień dostępu, sprawdzenie, czy nadane uprawnienia są zgodne z zasadą najmniejszych przywilejów oraz istnieją procedury audytu dostępu;

7) Weryfikacja realizacji procedury szkoleń osób zaangażowanych w proces przetwarzania informacji;

8) Ocena zapewnienia stopnia ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami;

9) Obowiązywanie podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość;

10) Weryfikacja wdrożenia środków zabezpieczania informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie;

11) Przegląd umów serwisowych podpisanych ze stronami trzecimi w zakresie stosowania zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji;

12) Przegląd zasad postępowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych;

4. RODO:

1) Szacowanie ryzyka dla praw i wolności osób, których dane dotyczą na gruncie RODO:

a. Metodyka analizy ryzyka:

• klasyfikacja zasobów – analiza i identyfikacja zasobów i informacji, rozpoznanie obszarów przetwarzania danych osobowych oraz form przetwarzania danych;

• identyfikacja zagrożeń dla poszczególnych kategorii danych osobowych;

• weryfikacja podatności – ustalenie przyczyn występowania zidentyfikowanych zagrożeń dla przetwarzania poszczególnych kategorii danych osobowych z uwzględnieniem środków zabezpieczenia danych;

• określenie następstw wystąpienia zagrożenia – ocena, jak utrata poszczególnej kategorii danych w określonym procesie przetwarzania wpłynie na prawa i wolności osób, których dane dotyczą;

• identyfikacja adekwatnych zabezpieczeń do zagrożeń.

b. Ocena wskaźników, służących do szacowania prawdopodobieństwa, biorąc pod uwagę:

• zdarzenia historyczne;

• świadomość personelu;

• kontekst zewnętrzny;

• wartość procesu;

• istniejące podatności i źródła zagrożeń.

c. Określenie poziomu skutku wystąpienia ryzyka w kontekście prawa i wolności osób, których dane dotyczą z uwzględnieniem:

• ilości rekordów danych;

• kategorii danych;

• łatwości identyfikacji podmiotu danych;

• postępowania Administratora danych i istniejących w organizacji procedur odnoszących się do szacowania ryzyka.

d. Szacowanie ryzyka dla naruszenia praw i wolności podmiotów danych, z uwzględnieniem:

• prawdopodobieństwa urzeczywistnienia się scenariusza zagrożeń;

• skutku danego zagrożenia w podziale na stratę materialną, niematerialną oraz wpływ na stan zdrowotny podmiotu danych;

• przedstawienie wyników szacowania i oceny ryzyka poszczególnych procesów/zasobów w raporcie po audytowym;

• wydanie rekomendacji dla Administratora danych;

• przygotowanie planu postępowania z ryzykiem.

2) Obowiązki informacyjne:

• określenie roli podmiotów w poszczególnych procesach przetwarzania danych;

• aktualizacja treści klauzul obowiązków informacyjnych.

3) Umowy powierzenia przetwarzania danych osobowych:

• opracowanie arkusza weryfikacyjnego podmiotu przetwarzającego w zakresie stopnia wdrożenia odpowiednich środków technicznych i organizacyjnych dla zapewnienia bezpieczeństwa przetwarzanych danych;

• opracowanie wzoru protokołu potwierdzającego zwrot/usunięcie powierzonych do przetwarzania danych osobowych Administratora.

4) Polityka przetwarzania danych:

• aktualizacja Polityki oraz jej załączników.

5) Instrukcja zarządzania systemem informatycznym:

• aktualizacja Instrukcji oraz jej załączników.

6) Rejestr czynności przetwarzania oraz Rejestr umów powierzenia danych:

• aktualizacja Rejestru czynności przetwarzania;

• opracowanie wzoru Rejestru umów powierzenia.

Dlaczego warto odpowiedzieć na szacowanie wartości zamówienia?

Informujemy, iż niniejsze postępowanie nie stanowi zaproszenia do składania ofert w rozumieniu art. 66 Kodeksu cywilnego, nie zobowiązuje Zamawiającego do zawarcia umowy, czy też udzielenia zamówienia i nie stanowi części procedury udzielania zamówienia publicznego realizowanego na podstawie ustawy Prawo zamówień publicznych.

Jednocześnie Zamawiający zastrzega, że odpowiedź na niniejsze postępowanie o charakterze szacowania ceny może skutkować:

zaproszeniem do złożenia oferty lub/i
zaproszeniem do negocjacji warunków umownych lub
zawarciem umowy, której przedmiot został określony w niniejszym postępowaniu.

W przypadku pytań:

technicznych lub merytorycznych, proszę o kontakt za pośrednictwem przycisku "Wyślij wiadomość do zamawiającego" lub pod nr tel 52 318 55 33, p.Paweł Grycza;
związanych z obsługą platformy, proszę o kontakt z Centrum Wsparcia Klienta platformy zakupowej Open Nexus pod nr 22 101 02 02, czynnym od poniedziałku do piątku w godzinach 8:00 do 17:00.

Oficjalnym potwierdzeniem chęci realizacji zamówienia przez Zamawiającego jest wysłanie zamówienia lub podpisanie umowy. Wiadomości z platformy zakupowej mają charakter informacyjny.

Załączniki do postępowania

Postępowanie nie posiada załączników

Komunikaty Wyślij wiadomość do zamawiającego

2025-05-29 14:19:47

Ewa Januchowska

Dzień dobry. Informuje się, że do Zamawiającego wpłynęły zapytania o wyjaśnienie treści opisu przedmiotu zamówienia. Zamawiający udostępnia, bez ujawniania źródła zapytania treść zapytań wraz z wyjaśnieniami:
Pytanie 1
Proszę podać jaka jest ilość lokalizacji (adresy, pod które należy fizycznie podjechać z audytem oraz co znajduje się pod danym adresem – jakie Wydziały, Referaty, Filie itp.) oraz nazwy jednostek.
Odpowiedź:
4 lokalizacje:
a) Zespół Obsługi Szkół i Przedszkoli w Mogilnie, ul. Narutowicza 1, Mogilno.
b) Mogileńskie Domy, ul. Marszałka Piłsudskiego 1, Mogilno
c) Środowiskowy Dom Samopomocy w Mogilnie im. Teresy Kujawy, ul. Łąkowa 3, Mogilno.
d) Miejsko-Gminny Ośrodek Pomocy Społecznej, ul. Rynek 10, Mogilno.
Pytanie 2
Proszę podać ilość pracowników/użytkowników
Odpowiedź:
a) ZOSiP 10 pracowników.
b) Mogileńskie Domy 13 pracowników.
c) Środowiskowy Dom Samopomocy 6 pracowników.
d) Miejsko-Gminny Ośrodek Pomocy Społecznej 29 pracowników.
Pytanie 3
Jaką dokumentację bezpieczeństwa aktualnie posiada każdy podmiot (np. polityka bezpieczeństwa
informacji, polityka zarządzania incydentami, polityka szacowania ryzyka, instrukcja zarządzania
incydentami, polityka ciągłości działania itp. dokumenty, proszę wymienić). Kiedy była ostatni raz
aktualizowana?
Odpowiedź:
Urząd Miejski posiada politykę bezpieczeństwa informacji, politykę zarządzania incydentami, politykę szacowania ryzyka, instrukcje zarządzania incydentami, politykę ciągłości działania z 2013 roku. Pozostałe jednostki nie posiadają żadnej dokumentacji.
Pytanie 4
Jakim budżetem brutto dysponują Państwo na realizację zadań opisanych w niniejszym postępowaniu
(jaki budżet został przewidziany we wniosku grantowym)?
Odpowiedź:
We wniosku grantowym przewidziano budżet na realizacje przedmiotowego zadania w kwocie 50 000,00 zł brutto.
Pytanie 5
Czy przygotowanie dokumentacji SZBI ma być NA ZGODNOŚĆ z normą ISO27001 literalnie punkt po
punkcie, celem późniejszej certyfikacji Urzędu lub jednostek? Czy ma to być W OPARCIU o dobre praktyki
zaczerpnięte z normy, a które dla Urzędu mogą być wykorzystane? Ponieważ w zakresie dokumentacji
wymienione są wszystkie dokumenty ZGODNE z normą.
Odpowiedź:
Przygotowanie dokumentacji SZBI ma być w oparciu o dobre praktyki zaczerpnięte z normy.
Ewa Januchowska

Przedmiot zamówienia Importuj dane z XLS

Lp	Nazwa	Opis i załączniki	Ilość / Jm	Cena netto / Jm	Vat	Cena brutto / Jm	Waluta	Adres dostawy	Dołącz Plik
1	Opracowanie i wdrożenie dokumentacji SZBI dla Urzędu Miejskiego i 4 jednostek podległych	-	1 usługa					-	0 Załączniki Instrukcja pakowania i podziału plików

Kursy walut NBP

EUR: 4.2507 PLN

Kryteria i warunki formalne

Lp	Nazwa	Waga kryterium	Opis i załączniki	Twoja propozycja lub komentarz	Dołącz Plik
1	Cena	-	Wartość oferty	0,00 PLN netto 0,00 PLN brutto	0 Załączniki Instrukcja pakowania i podziału plików

Miejsce na twój opcjonalny, dodatkowy komentarz do całości oferty

Potwierdzenie oznacza złożenie oferty/wniosku zgodnie z regulaminem Open Nexus Sp. z o.o oraz akceptację warunków postępowania

Twój adres e-mail ^*

NIP ^*

Nazwa firmy ^*

Numer telefonu ^*

Imię

Nazwisko

Ulica i numer lokalu

Kod pocztowy

Miejscowość^*

Województwo ^*

Rodzaj wykonawcy ^*

Liczba odsłon strony:

212