GMINA MIEJSKA LUBAŃ

Transkrypt

GMINA MIEJSKA LUBAŃ

___________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Specyfikacja audytu informatycznego Urzędu Miasta Lubań
I. Informacje wstępne
Przedmiotem zamówienia jest wykonanie audytu informatycznego dla Urzędu Miasta Lubań składającego się z:
1. Audytu bezpieczeństwa przetwarzania informacji wraz z aktualizacją i wdrożeniem Polityki Bezpieczeństwa Informacji.
2. Audytu systemów teleinformatycznych.
3. Szkoleń z zakresu bezpieczeństwa danych osobowych.
4. Audytu stanu infrastruktury sieciowej.
5. Audytu usługi zdalnej poczty elektronicznej.
6. Audyt zasadności wdrożenia elektronicznego zarządzania dokumentami.
II. Audyt bezpieczeństwa przetwarzania informacji, ze szczególnym
uwzględnieniem przetwarzania danych osobowych oraz aktualizacja i
wdrożenie Polityki Bezpieczeństwa Informacji
1. Audyt ma na celu ustalenie aktualnego stanu bezpieczeństwa przetwarzanych danych danych, ze
szczególnym uwzględnieniem przetwarzania danych osobowych, u Zamawiającego oraz zdolność z
niżej wymienionym aktami prawnymi i dokumentami:
1) Ustawą z dnia 29 sierpnia 1997 r . o ochronie danych osobowych (Dz. U. z 2002 r . Nr 101,
poz. 926 z późn. zm).
2) Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004
roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024).
3) Wytycznymi w zakresie opracowania i wdrożenia polityki bezpieczeństwa opublikowanymi
przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO).
2. Na audyt składać się będą wyszczególnione poniżej działania i czynności:
1) Rozpoznanie wszystkich obszarów przetwarzania danych.
2) Rozpoznanie wszystkich przetwarzanych zbiorów danych.
3) Rozpoznanie wszystkich systemów przetwarzających dane i ich konfiguracji.
4) Przeprowadzenie analizy ochrony punktów krytycznych w obszarach przetwarzania danych.
Strona 1 z 10
_____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________ ______________________________________________________________-
ul. 7 Dywizji 14, 59-800 Lubań
e-mail : [email protected], tel. 75 646 44 00, fax 75 646 44 99
NIP 613-10-01-032, REGON 000526067
___________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
5) Przeprowadzenie testów socjotechnicznych, w celu ustalenia poziomu świadomości pracowników Zamawiającego z zakresu możliwości utraty informacji na skutek manipulacji i/lub
celowego, złośliwego działania osób trzecich. Ze względu na wiarygodność i wrażliwość
tego testu jego szczegóły zostaną uzgodnione bezpośrednio między Wykonawcą a upoważnionym przedstawicielem Zamawiającego tuż przed jego wykonaniem. Zamawiający rezerwuje sobie prawo do niewyrażenia zgody na proponowane przez Wykonawcę, w ramach
testu, działania oraz do wskazania obszaru i rodzaju działania, który będzie objęty proponowanym przez Wykonawcę testem. Wynik testu nie będzie miał żadnego wpływu na politykę
kadrową Zamawiającego.
6) Analiza bezpieczeństwa fizycznego:
a) Kontrola zabezpieczeń obszaru przetwarzania danych osobowych.
b) Kontrola zabezpieczeń pomieszczeń.
c) Kontrola zabezpieczeń zbiorów tradycyjnych.
d) Kontrola zabezpieczeń zbiorów archiwalnych.
e) Kontrola ochrony przed zdarzeniami losowymi.
f) Kontrola bezpieczeństwa okablowania strukturalnego.
g) Kontrola systemów wspomagających.
h) Kontrola ochrony sprzętu przed kradzieżą.
i) Kontrola działania sytemu monitoringu.
j) Kontrola działania systemu alarmowego.
k) Kontrola działania polityki czystego biurka i czystego ekranu.
7) Weryfikacja dokumentów wewnętrznych Zamawiającego regulujących przetwarzanie danych osobowych.
8) Przeprowadzenie analizy wytycznych w zakresie dostępu osób upoważnionych do przetwarzania danych osobowych.
9) Weryfikacja ewidencji osób upoważnionych do przetwarzania danych osobowych.
10) Przeprowadzenie analizy możliwości dostępu fizycznego do danych przez osoby nieupoważnione.
11) Weryfikacja pracy użytkowników w obszarach, w których przetwarzane są dane osobowe.
12) Weryfikacja sposobu przetwarzania danych osobowych.
13) Weryfikacja kontroli nad przepływem danych osobowych.
14) Weryfikacja przechowywania danych osobowych.
15) Weryfikacja poufności, dostępności i udostępniania danych osobowych.
16) Identyfikacja zagrożeń, słabych stron związanych z przetwarzania danych osobowych.
17) Weryfikacja dostępu osób nieupoważnionych do miejsc, gdzie przetwarzane są dane osobowe.
Strona 2 z 10
_____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________ ______________________________________________________________-
NIP 613-10-01-032, REGON 000526067
___________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
18) Weryfikacja poprawności magazynowania i bieżącej pracy z dokumentacją papierową.
3. Audyt zakończy się:
1) Sporządzeniem przez Wykonawcę raportu pokontrolnego zawierającego:
a) Opis aktualnego stanu bezpieczeństwa danych, ze szczególnym uwzględnieniem danych
osobowych.
b) Wskazanie stwierdzonych uchybień i zagrożeń.
c) Zalecenia dotyczących sposobów, metod i środków usunięcia stwierdzonych uchybień i
zagrożeń związanych z bezpieczeństwem przetwarzania danych, ze szczególnym uwzględnieniem danych osobowych, dla osiągnięcia zgodności z wymienionymi wyżej aktami prawnymi i dokumentami.
2) Sporządzeniem przez Wykonawcę dokumentu zawierającego sugerowaną Politykę Bezpieczeństwa Informacji, zgodną z wymienionymi wyżej aktami prawnymi, na którą składać się
będą:
a) Polityka ochrony danych osobowych.
b) Instrukcja zarządzania systemem informatycznym.
c) Instrukcja użytkowania sytemu informatycznego.
3) Dokumenty te Wykonawca sporządzi w porozumieniu z Zamawiającym, uwzględniając specyfikę działania i organizacji pracy Zamawiającego.
4) Przygotowaniem przez Wykonawcę informacji o zbiorach danych osobowych niezbędnych
do zarejestrowania zbiorów w rejestrze zbiorów danych osobowych prowadzonym przez
GIODO lub do wprowadzenia zmian dotyczących zbiorów zarejestrowanych w rejestrze.
4. Wszystkie dokumenty związane z przeprowadzonym audytem Wykonawca dostarczy Zamawiającemu w postaci wydruku w dwóch egzemplarzach i w postaci elektronicznej. Wykonawca pisemnie
zobowiąże się, że dokumenty te będzie traktował jako poufne i nie przekaże ani nie udostępni ich
nikomu bez pisemnej zgody Zamawiającego, z wyłączeniem organów występujących o to z mocy
prawa po uprzednim powiadomieniu o tym wystąpieniu Zamawiającego.
III. Audyt bezpieczeństwa teleinformatycznego
Audyt bezpieczeństwa teleinformatycznego, którego celem jest wykrycie potencjalnych zagrożeń
związanych z utratą informacji w systemach informatycznych, powinien być przeprowadzony najnowocześniejszymi narzędziami i zgodnie z metodologią, które gwarantują rzetelność oceny bieżącego stanu bezpieczeństwa systemów informatycznych organizacji.
1. Weryfikacja w zakresach:
1) Procedury zarządzani systemami teleinformatycznymi.
Strona 3 z 10
_____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________ ______________________________________________________________-
NIP 613-10-01-032, REGON 000526067
___________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
2) Procedury planowania aktualizacji systemów teleinformatycznych.
3) Ochrona przed oprogramowaniem szkodliwym, w tym weryfikacja zabezpieczeń przed możliwością nieautoryzowanych instalacji oprogramowania.
4) Procedury zarządzania historią zmian.
5) Procedury zarządzania kopiami zapasowymi.
6) Procedury zabezpieczania nośników.
7) Polityki kontroli dostępu do systemów.
8) Zasady odpowiedzialności użytkowników.
9) Procedury dostępu do systemów operacyjnych.
10) Procedury dostępu i kontroli do usług internetowych.
11) Zasady zarządzania hasłami.
12) Weryfikacja zabezpieczeń kryptograficznych.
13) Weryfikacja kontroli eksploatowanego oprogramowania.
14) Procedury kontroli zabezpieczeń komputerów przenośnych.
15) Bezpieczeństwo sieci LAN, WAN, WiFi.
16) Zasady użytkowania Internetu.
17) Systemy monitorujące.
18) Procedury rejestracji błędów.
19) Weryfikacja metod autoryzacji na stacjach roboczych.
20) Analiza stopnia zabezpieczenia stacji roboczych i nośników danych w szczególności tych, na
których przetwarzane są dane osobowe.
21) Kontrola postępowania z urządzeniami przenośnymi w szczególności tymi, na których przetwarzane są dane osobowe.
22) Kontrola wytycznych związanych z użytkowaniem sprzętu poza siedzibą.
23) Bezpieczne przekazywanie sprzętu.
24) Niszczenie niepotrzebnych nośników.
25) Weryfikacja poprawności składowania danych elektronicznych.
26) Analiza procedur backupu (sposób wykonywania kopii bezpieczeństwa, zakres kopiowanych
danych, przechowywanie kopii bezpieczeństwa), oraz procesu administracji.
27) Analiza konfiguracji aplikacji i serwerów – powinna obejmować m.in.:
a) Techniczną ocenę rozwiązania.
b) Politykę zarządzania.
c) Proces i metody autoryzacji.
d) Zarządzanie uprawnieniami i logowanie zdarzeń.
Strona 4 z 10
_____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________ ______________________________________________________________-
NIP 613-10-01-032, REGON 000526067
___________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
e) Zarządzanie zmianami konfiguracyjnymi i aktualizacjami.
f) Ocenę konfiguracji systemu operacyjnego.
g) Dostępność i ciągłość działania.
h) Analizę systemu zarządzania kopiami zapasowymi.
i) Analizę bezpieczeństwa funkcji i protokołów specyficznych dla aplikacji /serwera.
28) Analizę konfiguracji urządzeń sieciowych (routerów, firewall), powinna obejmować m.in.:
a) Ogólną ocenę rozwiązania.
b) Politykę zarządzania.
c) Ocenę mechanizmów bezpieczeństwa (firewall).
d) Analizę dostępów do urządzenia.
e) Routing.
f) Analizę i filtrowanie połączeń.
g) Redundancję rozwiązania.
29) Testy penetracyjne:
a) Przeprowadzenie testów penetracyjnych przeprowadzonych ze stacji roboczej podłączonej do systemu informatycznego z zewnątrz (poprzez urządzenie łączące system informatyczny urzędu z Internetem) mających na celu zidentyfikowanie możliwości przeprowadzenia włamania z zewnątrz.
b) Przeprowadzenie testów penetracyjnych przeprowadzonych ze stacji roboczej podłączonej do systemu informatycznego z wewnątrz w celu zidentyfikowania możliwości przeprowadzenia włamania z wewnątrz urzędu.
c) Testy powinny obejmować m.in.:
•
Badanie luk systemów informatycznych (aplikacji).
•
Badanie luk urządzeń sieciowych.
•
Badanie luk baz danych.
•
Badanie luk komputerów i notebooków.
•
Badanie luk serwerów.
•
Badanie luk sieci WiFi.
d) Przeprowadzone testy powinny umożliwiać m.in.:
•
Inwentaryzację otwartych portów.
•
Analizę bezpieczeństwa stosowanych protokołów.
•
Identyfikację podatności systemów i sieci na ataki typu: DoS, DDoS, Sniffing,
Spoffing, XSS, Hijacking, Backdoor, Flooding, Password, Guessing i inne.
Strona 5 z 10
_____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________ ______________________________________________________________-
NIP 613-10-01-032, REGON 000526067
___________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
2. W szczególności w ramach audytu przeskanowane zostaną aktywne urządzenia sieci komputerowej, w tym routery, zapory (firewall), przełączniki, serwery i stacje robocze na występowanie
luk/podatności w tych urządzeniach oraz błędów w konfiguracji zmniejszających poziom bezpieczeństwa systemów, zgodnie z następującymi wytycznymi:
1) W pierwszym kroku zostanie sporządzona mapa aktywnych urządzeń sieci zarówno w postaci graficznej jak i listy adresów IP, z przypisanymi do nich systemami operacyjnymi urządzeń.
2) Spośród listy urządzeń aktywnych audytor wyselekcjonuje najważniejsze urządzenia z punktu widzenia bezpieczeństwa całej sieci, które zostaną poddane szczegółowej analizie podatności.
3) Wykryte zostaną podatności i błędy w konfiguracji systemów będących w posiadaniu urzędu, z uwzględnieniem poziomu ważności ze względu na bezpieczeństwo.
4) W celu wykrycia luk w systemach, nie będą przeprowadzane ataki destrukcyjne, które zakłócą pracę systemów.
5) Wykonane zostanie skanowanie z autentykacją w celu potwierdzenia podatności systemu
operacyjnego oraz oprogramowania pakietów biurowych i systemu poczty elektronicznej.
6) W procesie skanowania luk wykorzystywane będą najnowsze bazy podatności publikowane
w serwisach CVE, Bagtraq oraz producentów sprzętu i systemów operacyjnych.
7) Skanowanie podatności na komputerach i serwerach powinno się odbyć bez instalacji jakiegokolwiek oprogramowania na urządzeniach badanych.
8) Po przeskanowaniu sieci zostaną sporządzone szczegółowe raporty dotyczące wykrytych
podatności.
9) Do wszystkich wykrytych podatności lub błędnych konfiguracji zostanie przygotowana lista
poprawek do zainstalowania lub instrukcje w jaki sposób je wyeliminować.
10) Lista poprawek lub instrukcji będzie sporządzona w postaci przejrzystego raportu, w którym urządzenia będą podzielone na grupy zasobów, w zależności od: lokalizacji, przynależności
do komórki organizacyjnej lub rodzaju systemu operacyjnego.
11) Zostanie przygotowany raport poprawek, które należy zaaplikować do poszczególnych systemów, z linkami do stron producentów w celu ich pobrania oraz informacją kiedy dana poprawka powstała; dla każdej z poprawek wylistowane zostaną podatności, które powinny być
załatane po jej aplikacji.
12) Zostanie przygotowana lista urządzeń posiadających przestarzałe oprogramowanie z linkami do stron producentów.
13) Dla wybranych serwerów i stacji roboczych, zostanie zweryfikowana zgodność na poziomie
technologicznym konfiguracji systemów operacyjnych z wytycznymi wynikającymi z polityki
bezpieczeństwa.
14) Dla poszczególnych grup badanych urządzeń zostanie przeprowadzona ocena ryzyka systemów IT na poziomie technologicznym.
15) Dla publicznych adresów IP po skanowaniu audytowym odbędą się jeszcze 3 skanowania
kontrolne w odstępie 3 miesięcy, a po ich wykonaniu zostanie sporządzony raport trendu podatności i poziomu ryzyka systemów.
Strona 6 z 10
_____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________ ______________________________________________________________-
NIP 613-10-01-032, REGON 000526067
___________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
3. Raport audytowy zawierający:
1) Opis zakresu przeprowadzonych prac audytowych.
2) Analizę informacji zebranych podczas audytów.
3) Wnioski i zalecenia audytora.
4) Ocenę poziomu bezpieczeństwa danych osobowych i systemu informatycznego.
5) Analizę wyników testów penetracyjnych pod kątem oceny zagrożenia integralności systemu
oraz możliwości dostępu do danych przez osoby nieupoważnione.
6) Informacje na temat wykrytych luk w mechanizmach bezpieczeństwa oraz sposobu ich załatania lub obejścia.
7) Zalecenia dotyczące zabezpieczenia systemu informatycznego i wyznaczenie kierunków dalszego rozwoju systemów zabezpieczających.
8) Zalecenia w przypadku wymiany infrastruktury sprzętowej oraz systemów operacyjnych na
okres 5 lat od dnia wykoania audytu.
9) Raport z audytu przygotowany będzie zgodny z:
a) Ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101,
poz. 926 z późn. zm).
b) Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004
roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024).
c) Wytycznymi w zakresie opracowania i wdrożenia polityki bezpieczeństwa opublikowanymi przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO).
d) Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w
postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.
U. z 2012 poz. 526).
10)
Raport z audytu opracowany zostanie na podstawie dobrych praktyk ISO 27001 oraz
ISO 20000.
11) Wszystkie dokumenty związane z przeprowadzonym audytem Wykonawca dostarczy Zamawiającemu w postaci wydruku w dwóch egzemplarzach i w postaci elektronicznej. Wykonawca pisemnie zobowiąże się, że dokumenty te będzie traktował jako poufne i nie
przekaże ani nie udostępni ich nikomu bez pisemnej zgody Zamawiającego, z wyłączeniem
organów występujących o to z mocy prawa po uprzednim powiadomieniu o tym wystąpieniu Zamawiającego.
Strona 7 z 10
_____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________ ______________________________________________________________-
NIP 613-10-01-032, REGON 000526067
___________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
IV. Szkolenia z zakresu bezpieczeństwa przetwarzania informacji
1. Po zakończeniu audytów Wykonawca przeprowadzi szkolenie dla pracowników urzędu zakończone dokumentem potwierdzającym wiedzę dotyczącą zagrożeń przy przetwarzaniu danych osobowych. Tematyka szkolenia musi omawiać przynajmniej niżej wymienione zagadnienia:
1) Czym są dane osobowe.
2) Zagrożenia bezpieczeństwa danych osobowych.
3) Możliwości e-kradzieży danych.
4) Sposoby wyłudzenia informacji.
5) Sposoby wycieku informacji.
6) Utrata danych na skutek sytuacji losowych.
7) Sposoby utraty poufności, dostępności i integralności danych.
8) Zasady stosowania zabezpieczeń ochrony fizycznej.
9) Zasady korzystania z bezpiecznego hasła.
10) Zasady bezpiecznego użytkowania komputera.
11) Zasady czystego ekranu i czystego biurka.
12) Zasady bezpiecznego transportu informacji.
13) Zasady obiegu informacji w organizacji.
14) Odpowiedzialność karna, cywilna i administracyjna przy przetwarzaniu danych osobowych.
15) Zagadnienia z nowo wprowadzonej polityki bezpieczeństwa informacji.
2. W trakcie trwania audytu przeprowadzone zostanie szkolenie w formie warsztatów z zarządzanie bezpieczeństwem informacji i systemów IT oraz ochrona danych osobowych dla administratora
bezpieczeństwa informacji potwierdzone dokumentem ukończenia szkolenia. Tematyka szkolenia
musi omawiać przynajmniej niżej wymienione zagadnienia:
1) Wymagania Ustawy z dnia 29 sierpnia 1997 o ochronie danych osobowych,
a) identyfikacja zbiorów danych osobowych,
b) zasady przetwarzania danych osobowych,
c) zasady powierzenia zbioru danych osobowych,
d) zasady przekazywania danych osobowych,
e) rejestracja i aktualizacja zbiorów.
2) Wymagania rozporządzenia ministra spraw wewnętrznych i administracji z dnia 29 kwietnia
2004 r. określenie warunków technicznych i organizacyjnych, którym powinny odpowiadać
urządzenia i systemy informatyczne służące do przetwarzana danych osobowych.
3) Wprowadzenie do tworzenia nowej i adaptacji istniejącej dokumentacji.
a) aktualizacja Polityki Bezpieczeństwa Informacji,
Strona 8 z 10
_____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________ ______________________________________________________________-
NIP 613-10-01-032, REGON 000526067
___________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
b) ustalenie zasad bezpiecznej pracy,
c) integracja dokumentacji Polityki Bezpieczeństwa Informacji z istniejącymi dokumentami
w organizacji,
d) aktualizacja Instrukcji Zarządzania Systemem Informatycznym
e) aktualizacja upoważnienia i oświadczenia,
f) określenie procesu zarządzania uprawnieniami,
g) prowadzenie rejestru upoważnień.
4) Kontrola wewnętrzna przetwarzania danych osobowych,
a) przygotowanie rocznego planu kontroli,
b) omówienie technik przeprowadzania kontroli systemów informatycznych przez ABI.
5) Raportowanie najwyższemu kierownictwu stanu przetwarzania danych osobowych:
a) zasady dotyczące raportowania stanu bezpieczeństwa.
V. Audyt stanu infrastruktury sieciowej
Audyt stanu infrastruktury sieciowej, którego celem jest analiza topologii sieci oraz weryfikacja istniejącej infrastruktury sieciowej i sprawdzenie czy jest zgodna z normą dla danego okablowania.
Sprawdzenie poprawności konfiguracji urządzeń aktywnych.
1. Weryfikacja w zakresie:
1) Klasy D okablowania dla budynku przy ul 7 Dywizji 14 i klasy E okablowania dla budynków
przy ul. Mickiewicz 6, pl. Lompy 1 i Rynek – Ratusz.
2) Poprawności doboru topologii sieci.
2. Raport audytowy zawierający:
1) Opis zakresu przeprowadzonych prac audytowych.
2) Analizę informacji zebranych podczas audytów.
3) Wnioski i zalecenia audytora.
4) Zalecenia dotyczące poprawy stanu infrastruktury sieciowej w oparciu o normy z ww. zakresu.
5) Wszystkie dokumenty związane z przeprowadzonym audytem Wykonawca dostarczy Zamawiającemu w postaci wydruku w dwóch egzemplarzach i w postaci elektronicznej. Wykonawca pisemnie zobowiąże się, że dokumenty te będzie traktował jako poufne i nie przekaże ani nie udostępni ich nikomu bez pisemnej zgody Zamawiającego, z wyłączeniem organów występujących o to z mocy prawa po uprzednim powiadomieniu o tym wystąpieniu Zamawiającego.
Strona 9 z 10
_____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________ ______________________________________________________________-
NIP 613-10-01-032, REGON 000526067
___________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
VI. Audyt usługi zdalnej poczty elektronicznej
Audyt usługi zdalnej poczty elektronicznej ma na celu zweryfikowanie potrzeb urzędu odnośnie
usługi poczty elektronicznej oraz sprawdzenie ciągłości działania i awaryjności obecnej usługi poczty elektronicznej dostarczanej urzędowi.
W raporcie muszą być zawarte, co najmniej dwa rozwiązania: komercyjne i open source.
VII. Audyt zasadności wdrożenia elektronicznego zarządzania dokumentami
Audyt zasadności wdrożenia elektronicznego zarządzania dokumentami ma za zadanie zweryfikowanie stanu przygotowania urzędu i niezbędnych wymagań sprzętowych do wdrożenia elektronicznego zarządzania dokumentami na podstawie rekomendowanych wymagań oraz przepisów
prawnych.
Raport sporządzony zgodnie z:
a) Ustawą z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania
publiczne (t.j. Dz. U. z 2013 poz. 235)
b) Przepisami wykonawczymi do ww. Ustawy
W raporcie zawarta jest opinia audytora odnośnie zasadności wdrożenia elektronicznego zarządzania dokumentami.
Strona 10 z 10
_____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________ ______________________________________________________________-
NIP 613-10-01-032, REGON 000526067

GMINA MIEJSKA LUBAŃ

Transkrypt

Podobne dokumenty

Uchwała Nr …………… Rady Miasta Lubań z dnia

pobierz formularz zamówienia

Projekt uchwały w sprawie wyrażenia zgody na zbycie