Template Word form (english) / Vorlage Word

Załącznik
Zakres Zamówienia
„Wdrożenie rekomendacji
z analizy ISO 27.000”
Autor:
All printed copies are uncontrolled
Bartłomiej Szymczak
02.04.2015
© RWE GBS Polska.
Page 1 of 4
Załącznik
1
Cel projektu
Celem projektu jest wdrożenie rekomendacji wynikających z analizy wykonanej wg
standardu ISO 27.000. Zakres projektu został pogrupowany w inicjatywy wynikające z
potrzeby poprawy oraz rozszerzenia systemu bezpieczeństwa usług IT.
Celem projektu jest także przygotowanie organizacji do certyfikacji ISO 27.001
2
Zakres projektu
W zakresie tego projektu jest opracowanie i wdrożenie procesów, opracowanie
rekomendacji rozwiązań i narzędzi wspierających, a także wdrożenie rekomendacji
zidentyfikowanych w trakcie analizy ISO 27.000.
Poza zakresem tego projektu jest zakup sprzętu, narzędzi programistycznych czy licencji.
Takie inwestycje będą realizowane na podstawie rekomendacji z tego projektu, jednak z
osobnego budżetu.
Od dostawcy oczekiwane jest wsparcie merytoryczne przy wdrażanych rekomendacjach
oraz opracowywanych procesach związanych z podniesieniem poziomu bezpieczeństwa
usług IT.
Zakres prac dostawcy obejmuje także wsparcie przy koordynacji prac projektowych i
zarządzaniu projektem.
Przewidywany termin realizacji projektu Maj – Grudzień 2015
Lista poszczególnych inicjatyw w zakresie tego projektu:
Zapewnienie zgodności formalnej z wymaganiami normy ISO 27.000
Zapewnienie zgodności dokumentacji systemu zarządzania bezpieczeństwem
Zapewnienie zgodności dokumentacji Ochrony Danych Osobowych
Podniesienie jakości relacji z dostawcami.
Opracowanie polityki tworzenia i utrzymania procedur i standardów
Zapewnienie audytowania systemu zarządzania bezpieczeństwem informacyjnym
Audyt wewnętrzny zgodności z ISO 27.001
Podniesienie jakości procesu projektowego
Zapewnienie zgodności procesu projektowego z wymaganiami normy
Zapewnienie ochrony danych testowych
Zapewnienie bezpieczeństwa repozytorium kodów źródłowych
Zapewnienie bezpieczeństwa dokumentacji projektowej
Opracowanie zasad budowy i eksploatacji środowisk developerskich i testowych u dostawców
Budowa spójnego systemu monitorowania i zasad zarządzania systemem.
Zdefiniowanie wymagań i zasad zarządzania monitorowaniem
Budowa modelu procesowego monitorowania
Wdrożenie procesu i systemu klasy SIEM / Sys Log
All printed copies are uncontrolled
02.04.2015
© RWE GBS Polska.
Page 2 of 4
Załącznik
Podniesienie poziomu bezpieczeństwa
Przeprowadzenie analiza ryzyka wg ISO 27.001
Zdefiniowanie i uruchomienie procesu analiz podatności
Opracowanie planów ciągłości działania dla kluczowych systemów (10)
Opracowanie i wdrożenie procesu testowania kopii bezpieczeństwa
Poprawa bezpieczeństwa technicznego
Przegląd uprawnień administracyjnych i systemowych
Przegląd konfiguracji zasobów technicznych
Przeprowadzenie działań porządkujących na podstawie rekomendacji
Analiza wykonalności wdrożenia "bezpiecznego wydruku"
Doskonalenie działania organizacji
Wdrożenie procesu oraz narzędzia zarządzania portfelem projektów
Opracowanie szkolenia dotyczącego podstaw bezpieczeństwa
Opracowanie i przeprowadzenie specjalistycznych szkoleń dotyczących bezpieczeństwa
Opracowanie i przeprowadzenie szkoleń dla audytorów wewnętrznych.
Lista rekomendacji które
„RWE_27k_z02_Projekty”
3
mają być wdrożone opisana jest w załączniku nr 2
Wymagania względem dostawcy
1. Oferent przedstawi propozycję ramowego planu działania oraz podejście do realizacji
poszczególnych obszarów zakresu projektu.
2. Członkowie zespołu muszą być dostępni w przewidywanym terminie realizacji
projektu.
3. Oferent musi posiadać rekomendacje w zakresie wdrażania norm ISO 27.000.
4. Oferent musi przedstawić skład personalny zespołu realizującego projekt.
5. Członkowie projektu muszą posiadać wiedzę i doświadczanie w zakresie wdrażania
norm ISO 27.000.
6. Członkowie projektu muszą posiadać wiedzę i doświadczanie w zakresie wdrażania
wytycznych ustawy o ochronie danych osobowych.
7. Członkowie projektu muszą posiadać wiedzę i doświadczanie w zakresie zarządzania
projektami. Oferent powinien wykazać się certyfikatami członków zespołu z metodyk
zarządzania projektami (takimi jak Prince2, PMI - PMP, CMMI).
8. Członkowie projektu muszą posiadać wiedzę i doświadczanie w zakresie procesów
IT. Oferent powinien wykazać się certyfikatami członków zespołu z zakresu metodyki
ITIL (Inne certyfikaty w zakresie zarządzania usługami IT jak COBIT, ISO 20.000
będą mile widziane).
9. Członkowie projektu muszą posiadać wiedzę i doświadczanie w zakresie procesów i
narzędzi klasy SIEM (Security information and event management).
10. Członkowie projektu muszą posiadać wiedzę i doświadczanie w zakresie procesów
Zarządzania Ciągłością Działania.
All printed copies are uncontrolled
02.04.2015
© RWE GBS Polska.
Page 3 of 4
Załącznik
11. Członkowie projektu muszą posiadać wiedzę i doświadczanie w zakresie procesów
zarządzania portfelem projektów.
12. Członkowie projektu muszą posiadać doświadczanie w prowadzeniu szkoleń z
zakresu bezpieczeństwa informacji.
13. Członkowie zespołu muszą posiadać doświadczenie w branży energetycznej lub
udział w projektach prowadzonych dla firm z branży energetycznej.
Historia zmian
Wersja/ Status
0.1
in process
Osoba
Uwagi
odpowiedzialna
/ Data
Bartłomiej
Szymczak
16-03-2015
1.0
released
Bartłomiej
Szymczak
02-04-2015
All printed copies are uncontrolled
02.04.2015
© RWE GBS Polska.
Page 4 of 4