CYFROWA GMINA

Szanowni Państwo,

W ramach programu Cyfrowa Gmina obowiązkowe jest przeprowadzenia audytu cyberbezpieczeństwa, zgodnie z zakresem wskazanym w dokumentacji konkursowej. 

Osoba przeprowadzająca audyt musi posiadać uprawnienia wykazane w Rozporządzeniu Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu. W przeciwnym wypadku audyt cyberbezpieczeństwa będzie nieważny.

Jeśli są Państwo zainteresowani ofertą w zakresie przeprowadzenia audytu cyberbezpieczeństwa zgodnie z wymaganiami wskazanymi w regulaminie programu Cyfrowa Gmina to prosimy o kontakt. 

Audyty przeprowadzamy w siedzibie zamawiającego (nie online). Czas trwania audytu to minimum dwa dni na miejscu u zamawiającego.

Zakres audytu

Ocena zgodności Audytowanego z ustawą z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2020 r. poz. 1369).  W szczególności:

  • wyznaczenie osoby do kontaktu – Art. 21 UoKSC;
  • przekazanie danych osoby wyznaczonej – Art. 22 pkt 5) UoKSC;
  • zapewnienie zarządzania incydentem – Art. 22 pkt 1) UoKSC;
  • zgłaszanie incydentu – Art. 22 pkt 2) Art. 23 UoKSC;
  • zapewnienie obsługi incydentu – Art. 22 pkt 3) UoKSC;
  • zapewnienie dostępu do wiedzy – Art. 22 pkt 4) UoKSC.

Ocena zgodności Audytowanego z rozporządzeniem Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. z 2017 r. poz. 2247 t.j.). W szczególności:

  • opracowanie, ustanowienie i wdrożenie SZBI – Par. 20 KRI;
  • monitorowanie i przegląd SZBI – Par. 20 KRI;
  • doskonalenie SZBI – Par. 20 KRI;
  • aktualizowanie regulacji wewnętrznych – Par. 20 pkt 1) KRI;
  • inwentaryzacja sprzętu i oprogramowania – Par. 20 pkt 2) KRI;
  • przeprowadzanie okresowych analiz ryzyka – Par. 20 pkt 3) KRI;
  • postępowanie z ryzykiem – Par. 20 pkt 3) KRI;
  • zarządzanie uprawnieniami – Par. 20 pkt 4), 5) KRI;
  • szkolenia i uświadamianie – Par. 20 pkt 6) KRI;
  • monitorowanie dostępu do informacji – Par. 20 pkt 7) a), b) KRI;
  • monitorowanie nieautoryzowanych zmian – Par. 20 pkt 7) b) KRI;
  • zabezpieczenie nieautoryzowanego dostępu – Par. 20 pkt 7) c) KRI;
  • ustanowienie zasad bezpiecznej pracy mobilnej – Par. 20 pkt 8) KRI;
  • zabezpieczenie informacji przed nieuprawnionym ujawnieniem – Par. 20 pkt 9) KRI;
  • zabezpieczenie informacji przed nieuprawnioną modyfikacją – Par. 20 pkt 9) KRI;
  • zabezpieczenie informacji przed nieuprawnionym usunięciem lub zniszczeniem – Par. 20 pkt 9) KRI;
  • zawieranie w umowach serwisowych zapisów o bezpieczeństwie – Par. 20 pkt 10) KRI;
  • ustalenie zasad postępowania z informacjami w celu minimalizacji kradzieży informacji i środków przetwarzania – Par. 20 pkt 11) KRI;
  • aktualizowanie oprogramowania – Par. 20 pkt 12) a) KRI;
  • minimalizowanie ryzyka utraty informacji w wyniku awarii systemu – Par. 20 pkt 12) b) KRI;
  • ochrona systemu przed błędami – Par. 20 pkt 12) c) KRI,\;
  • stosowanie mechanizmów kryptograficznych w systemach – Par. 20 pkt 12) d) KRI;
  • zapewnienie bezpieczeństwa plików systemowych – Par. 20 pkt 12) e) KRI;
  • zarządzanie podatnościami systemów – Par. 20 pkt 12) f), g) KRI;
  • kontrola zgodności systemów z regulacjami – Par. 20 pkt 12) h) KRI;
  • zapewnienie audytu bezpieczeństwa informacji nie rzadziej niż raz na rok – Par. 20 pkt 14) KRI.

Ocena wybranych aspektów bezpieczeństwa systemów informatycznych. W szczególności zagadnienia takie jak:

  • dokumentacja potwierdzająca wykonane działania wskazanego w UoKSC;
  • opis identyfikacji systemu informacyjnego wspierającego zadanie publiczne;
  • dokumentacja Systemu Informacyjnego wspierającego zadanie publiczne;
  • dokumentacja procesu zarządzania incydentami;
  • aspekty techniczne do weryfikacji;
  • aspekty organizacyjne do weryfikacji.