Template Word form (english) / Vorlage Word
Transkrypt
Template Word form (english) / Vorlage Word
Załącznik Zakres Zamówienia „Wdrożenie rekomendacji z analizy ISO 27.000” Autor: All printed copies are uncontrolled Bartłomiej Szymczak 02.04.2015 © RWE GBS Polska. Page 1 of 4 Załącznik 1 Cel projektu Celem projektu jest wdrożenie rekomendacji wynikających z analizy wykonanej wg standardu ISO 27.000. Zakres projektu został pogrupowany w inicjatywy wynikające z potrzeby poprawy oraz rozszerzenia systemu bezpieczeństwa usług IT. Celem projektu jest także przygotowanie organizacji do certyfikacji ISO 27.001 2 Zakres projektu W zakresie tego projektu jest opracowanie i wdrożenie procesów, opracowanie rekomendacji rozwiązań i narzędzi wspierających, a także wdrożenie rekomendacji zidentyfikowanych w trakcie analizy ISO 27.000. Poza zakresem tego projektu jest zakup sprzętu, narzędzi programistycznych czy licencji. Takie inwestycje będą realizowane na podstawie rekomendacji z tego projektu, jednak z osobnego budżetu. Od dostawcy oczekiwane jest wsparcie merytoryczne przy wdrażanych rekomendacjach oraz opracowywanych procesach związanych z podniesieniem poziomu bezpieczeństwa usług IT. Zakres prac dostawcy obejmuje także wsparcie przy koordynacji prac projektowych i zarządzaniu projektem. Przewidywany termin realizacji projektu Maj – Grudzień 2015 Lista poszczególnych inicjatyw w zakresie tego projektu: Zapewnienie zgodności formalnej z wymaganiami normy ISO 27.000 Zapewnienie zgodności dokumentacji systemu zarządzania bezpieczeństwem Zapewnienie zgodności dokumentacji Ochrony Danych Osobowych Podniesienie jakości relacji z dostawcami. Opracowanie polityki tworzenia i utrzymania procedur i standardów Zapewnienie audytowania systemu zarządzania bezpieczeństwem informacyjnym Audyt wewnętrzny zgodności z ISO 27.001 Podniesienie jakości procesu projektowego Zapewnienie zgodności procesu projektowego z wymaganiami normy Zapewnienie ochrony danych testowych Zapewnienie bezpieczeństwa repozytorium kodów źródłowych Zapewnienie bezpieczeństwa dokumentacji projektowej Opracowanie zasad budowy i eksploatacji środowisk developerskich i testowych u dostawców Budowa spójnego systemu monitorowania i zasad zarządzania systemem. Zdefiniowanie wymagań i zasad zarządzania monitorowaniem Budowa modelu procesowego monitorowania Wdrożenie procesu i systemu klasy SIEM / Sys Log All printed copies are uncontrolled 02.04.2015 © RWE GBS Polska. Page 2 of 4 Załącznik Podniesienie poziomu bezpieczeństwa Przeprowadzenie analiza ryzyka wg ISO 27.001 Zdefiniowanie i uruchomienie procesu analiz podatności Opracowanie planów ciągłości działania dla kluczowych systemów (10) Opracowanie i wdrożenie procesu testowania kopii bezpieczeństwa Poprawa bezpieczeństwa technicznego Przegląd uprawnień administracyjnych i systemowych Przegląd konfiguracji zasobów technicznych Przeprowadzenie działań porządkujących na podstawie rekomendacji Analiza wykonalności wdrożenia "bezpiecznego wydruku" Doskonalenie działania organizacji Wdrożenie procesu oraz narzędzia zarządzania portfelem projektów Opracowanie szkolenia dotyczącego podstaw bezpieczeństwa Opracowanie i przeprowadzenie specjalistycznych szkoleń dotyczących bezpieczeństwa Opracowanie i przeprowadzenie szkoleń dla audytorów wewnętrznych. Lista rekomendacji które „RWE_27k_z02_Projekty” 3 mają być wdrożone opisana jest w załączniku nr 2 Wymagania względem dostawcy 1. Oferent przedstawi propozycję ramowego planu działania oraz podejście do realizacji poszczególnych obszarów zakresu projektu. 2. Członkowie zespołu muszą być dostępni w przewidywanym terminie realizacji projektu. 3. Oferent musi posiadać rekomendacje w zakresie wdrażania norm ISO 27.000. 4. Oferent musi przedstawić skład personalny zespołu realizującego projekt. 5. Członkowie projektu muszą posiadać wiedzę i doświadczanie w zakresie wdrażania norm ISO 27.000. 6. Członkowie projektu muszą posiadać wiedzę i doświadczanie w zakresie wdrażania wytycznych ustawy o ochronie danych osobowych. 7. Członkowie projektu muszą posiadać wiedzę i doświadczanie w zakresie zarządzania projektami. Oferent powinien wykazać się certyfikatami członków zespołu z metodyk zarządzania projektami (takimi jak Prince2, PMI - PMP, CMMI). 8. Członkowie projektu muszą posiadać wiedzę i doświadczanie w zakresie procesów IT. Oferent powinien wykazać się certyfikatami członków zespołu z zakresu metodyki ITIL (Inne certyfikaty w zakresie zarządzania usługami IT jak COBIT, ISO 20.000 będą mile widziane). 9. Członkowie projektu muszą posiadać wiedzę i doświadczanie w zakresie procesów i narzędzi klasy SIEM (Security information and event management). 10. Członkowie projektu muszą posiadać wiedzę i doświadczanie w zakresie procesów Zarządzania Ciągłością Działania. All printed copies are uncontrolled 02.04.2015 © RWE GBS Polska. Page 3 of 4 Załącznik 11. Członkowie projektu muszą posiadać wiedzę i doświadczanie w zakresie procesów zarządzania portfelem projektów. 12. Członkowie projektu muszą posiadać doświadczanie w prowadzeniu szkoleń z zakresu bezpieczeństwa informacji. 13. Członkowie zespołu muszą posiadać doświadczenie w branży energetycznej lub udział w projektach prowadzonych dla firm z branży energetycznej. Historia zmian Wersja/ Status 0.1 in process Osoba Uwagi odpowiedzialna / Data Bartłomiej Szymczak 16-03-2015 1.0 released Bartłomiej Szymczak 02-04-2015 All printed copies are uncontrolled 02.04.2015 © RWE GBS Polska. Page 4 of 4