Wzmocnienie systemu cyberbezpieczeństwa w Urzędzie Gminy Przelewice

Fragment tekstu przetargu

Aktualizacja polityki bezpieczeństwa informacji i wdrożenie zarządzania ryzykiem w cyberbezpieczeństwie 1. Przedmiot zamówienia obejmuje przegląd, aktualizację oraz wdrożenie polityki bezpieczeństwa informacji (SZBI) i systemu zarządzania ryzykiem w cyberbezpieczeństwie w Urzędzie Gminy. 2. Zakres prac: 3. Aktualizacja polityki bezpieczeństwa informacji (SZBI) i audyt KRI: 4. przeprowadzenie diagnozy bezpieczeństwa (audyt zero), 5. opracowanie i aktualizacja dokumentacji SZBI, w tym polityki bezpieczeństwa, procedur i zasad bezpieczeństwa IT, 6. audyt KRI oceniający poziom cyberodporności i zgodność z wymaganiami. 7. Wdrożenie zarządzania ryzykiem w cyberbezpieczeństwie: 8. analiza ryzyka i opracowanie systemu zarządzania ryzykiem, 9. wdrożenie polityk bezpieczeństwa zgodnych z PN-EN ISO/IEC 27001:2023, 10. przeprowadzenie oceny ryzyka wg ISO/IEC 27005 i opracowanie Deklaracji Stosowania. 11. Wymagania dla Wykonawcy: 12. Co najmniej jeden specjalista z certyfikatem CISSP lub CISSO, 13. Co najmniej jeden audytor wiodący ISO 27001 i ISO 22301, 14. Minimum 5 referencji w zakresie cyberbezpieczeństwa, 15. Prowadzenie działalności przez co najmniej 5 lat. 16. Termin realizacji zadania – do 30.06.2025 W przypadku odniesień do norm, ocen technicznych, specyfikacji technicznych lub systemów referencji technicznych zawartych w dokumentacji postępowania, Zamawiający dopuszcza możliwość zastosowania rozwiązań równoważnych, które będą miały takie same lub lepsze właściwości, funkcje oraz parametry, które spełnią wymagania określone w Specyfikacji Warunków Zamówienia. Szczegółowy opis zamówienia zawarty jest w załączniku Nr. 1 do SWZTesty podatności, ataki socjotechniczne i szkolenia 1. Przedmiot zamówienia obejmuje kompleksowe działania zwiększające poziom cyberbezpieczeństwa w Urzędzie Gminy poprzez testy podatności, symulacje ataków socjotechnicznych, cykliczne testy oraz szkolenia dla pracowników. 2. Zakres prac: 3. Testy podatności – wykonanie skanowania infrastruktury IT z wykorzystaniem zaawansowanego narzędzia identyfikującego luki w zabezpieczeniach, obejmującego skanowanie serwerów, ocenę ryzyka i raportowanie zgodności z normami (np. PCI DSS, CIS, ISO). 4. Symulacja ataku socjotechnicznego – przeprowadzenie kampanii phishingowej w celu oceny świadomości pracowników w zakresie cyberzagrożeń. Analiza wyników pozwoli określić poziom podatności organizacji na tego typu ataki. 5. Cykliczne testy socjotechniczne (4 kampanie) – regularne testy świadomości użytkowników poprzez symulowane ataki, w tym phishing i inne techniki inżynierii społecznej. 6. Szkolenie pracowników – stacjonarne szkolenia dla dwóch grup pracowników w zakresie cyberbezpieczeństwa, obejmujące zagadnienia takie jak socjotechnika, zarządzanie hasłami, bezpieczeństwo urządzeń oraz dobre praktyki IT. 7. Wymagania dla Wykonawcy: 8. Specjalista z certyfikatem CISSP lub CISSO, 9. Audytor wiodący ISO 27001 i ISO 22301, 10. Minimum 5 referencji w zakresie cyberbezpieczeństwa, 11. Min. 5 lat prowadzenia działalności. 12. Termin realizacji – do 30.12.2025 W przypadku odniesień do norm, ocen technicznych, specyfikacji technicznych lub systemów referencji technicznych zawartych w dokumentacji postępowania, Zamawiający dopuszcza możliwość zastosowania rozwiązań równoważnych, które będą miały takie same lub lepsze właściwości, funkcje oraz parametry, które spełnią wymagania określone w Specyfikacji Warunków Zamówienia. Szczegółowy opis zamówienia zawarty jest w załączniku Nr. 2 do SWZ Urządzenia do backupu i przełączniki zarządzalne 1. Przedmiotem zamówienia jest zakup fabrycznie nowego urządzenia do backupu oraz dwóch przełączników zarządzalnych. 2. Urządzenie do backupu powinno posiadać obudowę rack 1U, 16 GB RAM, przestrzeń na dane 24 TB oraz dyski SSD M.2 NVMe w RAID1 dla systemu operacyjnego. Wymagane są redundantne zasilanie, interfejsy sieciowe 1 Gb i 10 Gb oraz wsparcie techniczne z gwarancją NBD on-premise. System musi umożliwiać tworzenie kopii zapasowych na poziomie plików, folderów, dysków i maszyn wirtualnych oraz obsługiwać replikację do wielu lokalizacji. Oprogramowanie powinno zapewniać deduplikację, szyfrowanie, automatyczne aktualizacje oraz możliwość integracji z systemami chmurowymi. 3. Przełączniki zarządzalne powinny posiadać 48 portów 10/100/1000, 4 porty SFP+, budżet mocy PoE 600W, podział na porty PoE/PoE+/PoE++, przepustowość 88 Gbps oraz certyfikaty CE, FCC i IC. Urządzenia muszą umożliwiać zarządzanie z poziomu oprogramowania w wersji programowej, sprzętowej lub chmurowej. 4. Zamówienie obejmuje również wymagania dotyczące wsparcia technicznego, licencjonowania oraz integracji z infrastrukturą Zamawiającego. 5. Termin realizacji – do 30.06.2026 W przypadku odniesień do norm, ocen technicznych, specyfikacji technicznych lub systemów referencji technicznych zawartych w dokumentacji postępowania, Zamawiający dopuszcza możliwość zastosowania rozwiązań równoważnych, które będą miały takie same lub lepsze właściwości, funkcje oraz parametry, które spełnią wymagania określone w Specyfikacji Warunków Zamówienia. Szczegółowy opis zamówienia zawarty jest w załączniku Nr. 3 do SWZ