Szanowni Państwo,
W ramach programu Cyfrowa Gmina obowiązkowe jest przeprowadzenia audytu cyberbezpieczeństwa, zgodnie z zakresem wskazanym w dokumentacji konkursowej.
Osoba przeprowadzająca audyt musi posiadać uprawnienia wykazane w Rozporządzeniu Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu. W przeciwnym wypadku audyt cyberbezpieczeństwa będzie nieważny.
Jeśli są Państwo zainteresowani ofertą w zakresie przeprowadzenia audytu cyberbezpieczeństwa zgodnie z wymaganiami wskazanymi w regulaminie programu Cyfrowa Gmina to prosimy o kontakt.
Audyty przeprowadzamy w siedzibie zamawiającego (nie online). Czas trwania audytu to minimum dwa dni na miejscu u zamawiającego.
Zakres audytu
Ocena zgodności Audytowanego z ustawą z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2020 r. poz. 1369). W szczególności:
- wyznaczenie osoby do kontaktu – Art. 21 UoKSC;
- przekazanie danych osoby wyznaczonej – Art. 22 pkt 5) UoKSC;
- zapewnienie zarządzania incydentem – Art. 22 pkt 1) UoKSC;
- zgłaszanie incydentu – Art. 22 pkt 2) Art. 23 UoKSC;
- zapewnienie obsługi incydentu – Art. 22 pkt 3) UoKSC;
- zapewnienie dostępu do wiedzy – Art. 22 pkt 4) UoKSC.
Ocena zgodności Audytowanego z rozporządzeniem Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. z 2017 r. poz. 2247 t.j.). W szczególności:
- opracowanie, ustanowienie i wdrożenie SZBI – Par. 20 KRI;
- monitorowanie i przegląd SZBI – Par. 20 KRI;
- doskonalenie SZBI – Par. 20 KRI;
- aktualizowanie regulacji wewnętrznych – Par. 20 pkt 1) KRI;
- inwentaryzacja sprzętu i oprogramowania – Par. 20 pkt 2) KRI;
- przeprowadzanie okresowych analiz ryzyka – Par. 20 pkt 3) KRI;
- postępowanie z ryzykiem – Par. 20 pkt 3) KRI;
- zarządzanie uprawnieniami – Par. 20 pkt 4), 5) KRI;
- szkolenia i uświadamianie – Par. 20 pkt 6) KRI;
- monitorowanie dostępu do informacji – Par. 20 pkt 7) a), b) KRI;
- monitorowanie nieautoryzowanych zmian – Par. 20 pkt 7) b) KRI;
- zabezpieczenie nieautoryzowanego dostępu – Par. 20 pkt 7) c) KRI;
- ustanowienie zasad bezpiecznej pracy mobilnej – Par. 20 pkt 8) KRI;
- zabezpieczenie informacji przed nieuprawnionym ujawnieniem – Par. 20 pkt 9) KRI;
- zabezpieczenie informacji przed nieuprawnioną modyfikacją – Par. 20 pkt 9) KRI;
- zabezpieczenie informacji przed nieuprawnionym usunięciem lub zniszczeniem – Par. 20 pkt 9) KRI;
- zawieranie w umowach serwisowych zapisów o bezpieczeństwie – Par. 20 pkt 10) KRI;
- ustalenie zasad postępowania z informacjami w celu minimalizacji kradzieży informacji i środków przetwarzania – Par. 20 pkt 11) KRI;
- aktualizowanie oprogramowania – Par. 20 pkt 12) a) KRI;
- minimalizowanie ryzyka utraty informacji w wyniku awarii systemu – Par. 20 pkt 12) b) KRI;
- ochrona systemu przed błędami – Par. 20 pkt 12) c) KRI,\;
- stosowanie mechanizmów kryptograficznych w systemach – Par. 20 pkt 12) d) KRI;
- zapewnienie bezpieczeństwa plików systemowych – Par. 20 pkt 12) e) KRI;
- zarządzanie podatnościami systemów – Par. 20 pkt 12) f), g) KRI;
- kontrola zgodności systemów z regulacjami – Par. 20 pkt 12) h) KRI;
- zapewnienie audytu bezpieczeństwa informacji nie rzadziej niż raz na rok – Par. 20 pkt 14) KRI.
Ocena wybranych aspektów bezpieczeństwa systemów informatycznych. W szczególności zagadnienia takie jak:
- dokumentacja potwierdzająca wykonane działania wskazanego w UoKSC;
- opis identyfikacji systemu informacyjnego wspierającego zadanie publiczne;
- dokumentacja Systemu Informacyjnego wspierającego zadanie publiczne;
- dokumentacja procesu zarządzania incydentami;
- aspekty techniczne do weryfikacji;
- aspekty organizacyjne do weryfikacji.