Poszukujemy wykonawcy audytu w ramach cyberbezpieczeństwa
Szanowni Państwo;
Wojewódzki Ośrodek Terapii Uzależnień i Współuzależnienia w Toruniu poszukuje wykonawcy audytu bezpieczeństwa systemów IT
Przedmiotem zapytania jest przeprowadzenie audytu bezpieczeństwa, którego celem jest wykazanie podniesienia poziomu bezpieczeństwa teleinformatycznego po zrealizowaniu czynności w odniesieniu do stanu na dzień przeprowadzenia badania poziomu dojrzałości cyberbezpieczeństwa i oceny podniesienia poziomu bezpieczeństwa teleinformatycznego, zgodnie z Zarządzeniem nr 8/2023/BBIICD Prezesa Narodowego Funduszu Zdrowia z dnia 16 stycznia 2023 r. w sprawie finansowania działań w celu podniesienia poziomu bezpieczeństwa teleinformatycznego u świadczeniodawców z późniejszymi zmianami.
Obszary Audytu (raportu) – zgodnie z treścią w/w Zarządzenia :
- Ocena skuteczności działania infrastruktury w zakresie urządzeń i konfiguracji w zakresie: ochrony poczty, ochrony sieci, systemów serwerowych, stacji roboczych, systemów bezpieczeństwa,
- Zarządzanie bezpieczeństwem informacji:
- nośniki wymienne - udokumentowany sposób postępowania,
- zarządzanie tożsamością/dostęp do systemów w zakresie: przydzielanie dostępu, odbieranie dostępu,
- Monitorowanie i reagowanie na incydenty bezpieczeństwa:
- procedury zarządzania incydentami,
- raportowanie poziomów pokrycia scenariuszami znanych incydentów,
- dokumentacja dotycząca przekazywania informacji do właściwego zespołu CSIRT poziomu krajowego/ sektorowego zespołu cyberbezpieczeństwa,
- monitorowanie i wykrycie incydentów bezpieczeństwa,
- Identyfikacja i dokumentowanie przyczyn wystąpienia incydentów.
- Zarządzanie ciągłością działania:
- konfiguracja oraz polityki systemów do wykonywania kopii bezpieczeństwa,
- raport z przeglądów i testów odtwarzania kopii bezpieczeństwa,
- procedury wykonywania i przechowywania kopii zapasowych,
- strategia i polityka ciągłości działania, awaryjne oraz odtwarzania po katastrofie (DRP),
- procedury utrzymaniowe.
- Utrzymanie systemów informacyjnych:
- harmonogramy skanowania podatności,
- aktualny status realizacji postępowania z podatnościami,
- procedury związane ze z identyfikowaniem (wykryciem) podatności,
- współpraca z osobami odpowiedzialnymi za procesy zarządzania incydentami.
- Zarządzanie bezpieczeństwem i ciągłością działania łańcucha usług:
- polityka bezpieczeństwa w relacjach z dostawcami,
- standardy i wymagania nakładane na dostawców w umowach w zakresie cyberbezpieczeństwa,
- dostęp zdalny,
- metody uwierzytelnienia.
Kryteria Audytu Bezpieczeństwa oparte będą o:
- Ankietę weryfikacji pod kątem dojrzałości cyberbezpieczeństwa.
- Wymagania normatywne PN-EN ISO/IEC 27001:2017-06.
- Wymagania normatywne PN-EN ISO 22301:2020-04.
- Wewnętrzną dokumentację Zamawiającego.
- Przepisy o Krajowym Systemie Cyberbezpieczeństwa.
- Standardy Krajowych Ram Interoperacyjności (KRI).
- Zakresem Audytu objęta będzie cała działalność świadczeniodawcy.
Wymagania dla jednostki przeprowadzającej audyt określone zostały w Załączniku nr 2 do zarządzenia nr 8/2023/BBIICD Prezesa NFZ z 16 stycznia 2023 r..
Działania podjęte w celu zapewnienia poprawy cyberbezpieczeństwa zakończone będą 24.10.2023 r
Audyt musi zakończyć się raportem do 24.10.2023 roku
Ze względu na termin wykonania ofertę proszę przesłać na adres do 04.10.2023 r. do godz. 12.00