Przygotowanie i opracowanie dokumentu strategiczno-operacyjnego pn. Podstrategia informatyzacji obszaru funkcjonalnego powiatu mikołowskiego wraz z przygotowaniem Planu Operacyjnego na lata 2016-2025- w ramach projektu pod nazwą J-ednolita S-trategia T-erytorialna = spójny obszar funkcjonalny powiatu mikołowskiego poprzez wzmocnienie mechanizmów efektywnej współpracy JST w ramach programu Rozwój miast poprzez wzmocnienie kompetencji jednostek samorządu terytorialnego, dialog społeczny oraz współpracę z przedstawicielami społeczeństwa obywatelskiego finansowanego ze środków EOG

Opis przedmiotu przetargu: 1.Przedmiotem i zakresem zamówienia jest: przygotowanie i opracowanie dokumentu strategiczno-operacyjnego pn. Podstrategia informatyzacji obszaru funkcjonalnego powiatu mikołowskiego wraz z przygotowaniem Planu Operacyjnego na lata 2016-2025- w ramach projektu pod nazwą J-ednolita S-trategia T-erytorialna = spójny obszar funkcjonalny powiatu mikołowskiego poprzez wzmocnienie mechanizmów efektywnej współpracy JST w ramach programu Rozwój miast poprzez wzmocnienie kompetencji jednostek samorządu terytorialnego, dialog społeczny oraz współpracę z przedstawicielami społeczeństwa obywatelskiego finansowanego ze środków Mechanizmu Finansowego EOG 2009-2014. 1a.Terytorium realizacji zamówienia: Zamówienie obejmuje terytorium obszaru funkcjonalnego powiatu mikołowskiego tj. Powiat Mikołowski Gminy Powiatu Mikołowskiego: Mikołów, Orzesze, Łaziska Górne, Ornontowice, Wyry; 1.b.Cel realizacji zamówienia: Opracowanie i przyjęcie przez Partnerów Projektu dokumentu strategiczno-operacyjnego pn. Podstrategia informatyzacji obszaru funkcjonalnego powiatu mikołowskiego wraz z przygotowaniem Planu Operacyjnego a przez to zwiększenie spójności społeczno-gospodarczej powiatu mikołowskiego poprzez wypracowanie mechanizmów współpracy pomiędzy jednostkami samorządu terytorialnego w powiecie mikołowskim. II.2 Zakres przedmiotu zamówienia obejmuje następujace części, które Wykonawca jest zobowiązany wykonać z należytą starannością, zgodnie z posiadaną wiedzą fachową, starannie, uczciwie i odpowiedzialnie : 2.1 Część 1 - Opracowanie Podstrategii: 2.1.1 Kontekst Działania w zakresie rozwoju e-usług publicznych mają docelowo doprowadzić do integracji systemów informatycznych wszystkich urzędów, dzięki temu powstanie e-administracja umożliwiająca klientowi kompleksową obsługę on line. W tym celu konieczny jest audyt informatyczny oraz przyjęcie wspólnej strategii informatyzacji na terenie obszaru funkcjonalnego. Podstrategia Informatyzacji będzie podstawą organizacji sfery teleinformatyki w Powiecie mikołowskim.Obecnie na kluczową inwestycję w obszarze Informatyzacji dla obszaru funkcjonalnego typowana jest najbardziej innowacyjna inwestycja w ramach obszaru funkcjonalnego pn. Centrum Przetwarzania Danych. Wynika to z wniosków wyciągniętych podczas realizacji dwóch projektów realizowanych przez Partnerstwo dla całego obszaru funkcjonalnego SilesiaNet i GIS. Jednakże jego kluczowy charakter powinien być potwierdzony w Podstrategii informatyzacji obszaru funkcjonalnego powiatu mikołowskiego. 2.1.2 Minimalny zakres Podstrategii: 1. Analiza sytuacji w jednostkach samorządu terytorialnego obszaru funkcjonalnego - inwentaryzacja istniejącej infrastruktury i sprzętu teleinformatycznego, inwentaryzacja systemów komunikacji elektronicznej pod kątem udostępnianych e-usług publicznych oraz audyt zachowania obowiązujących wymagań prawnych w obszarach zabezpieczenia danych i informacji w poszczególnych urzędach (co najmniej: Starostwo Powiatowe w Mikołowie, Urząd Miejski w Mikołowie, Urząd Miasta Łaziska Górne, Urząd Miejski w Orzeszu, Urząd Gminy Ornontowice, Urząd Gminy Wyry); 2. Identyfikacja problemów - analiza potencjału rozwojowego infrastruktury teleinformatycznej i systemów komunikacji elektronicznej w jednostkach obszaru funkcjonalnego; 3. Misja i wizja (cen generalny) - opracowanie kompleksowej i efektywnej wizji rozwoju informatycznego powiatu, ze wskazaniem obszarów wymagających zmian bądź udoskonaleń. 4. Cele strategiczne - w tym powiązanie z innymi dokumentami strategicznymi na szczeblu krajowym, regionalnym, lokalnym; 5. Cele operacyjne oraz proponowane kierunki rozwoju, w tym minimum: Określenie potrzeb inwestycyjnych oraz przedsięwzięć integrujących systemy informatyczne w obszarze funkcjonalnym;Analiza SWOT; System wdrażania i monitorowania. 6. Plan Operacyjny dla realizacji Podstrategii informatyzacji obszaru funkcjonalnego - Plan Operacyjny wobec określenia celów programu informatyzacji w powiązaniu z celami strategicznymi tego obszaru będzie wskazywał przedsięwzięcia niezbędne do rozwiązania zidentyfikowanych problemów, wskazywał partycypację poszczególnych partnerów, podział ról, możliwości współfinansowania z środków zewnętrznych, a nadto uzasadniał korzyści dla każdej z jednostek oraz całego obszaru funkcjonalnego. Minimalny zakres ujęty w Planie: lista priorytetowych , strategicznych przedsięwzięć tj. definicje przedsięwzięć i projektów koniecznych do przeprowadzenia w celu osiągnięcia założonych celów; oszacowanie nakładów finansowych do poniesienia w czasie realizacji ww przedsięwzięć; określenie potencjalnych źródeł finansowania (wskazanie możliwości); harmonogram realizacji wskazanych przedsięwzięć i inwestycji; opis przedsięwzięć i inwestycji; określenie wskaźników wraz z systemem wdrażania i monitorowania; uzasadnienie potrzeby realizacji przedsięwzięć i inwestycji; wykonalność prawna i instytucjonalna przedsięwzięć i inwestycji; zachowanie trwałości przedsięwzięć i inwestycji; przeprowadzenie i opis audytów ochrony i bezpieczeństwa danych w systemach informatycznych ze szczególnym uwzględnieniem przetwarzania danych osobowych, oraz spełniania wymagań określonych w niżej wymienionych aktach prawnych i dokumentach:- Ustawie z dnia 29 sierpnia 1997 r . o ochronie danych osobowych (Dz. U. z 2002 r . Nr 101, poz. 926 z późn. zm).Rozporządzeniach: Dz. U. Nr 100, poz. 1024 z 2014 r; Dz.U. poz 719 z 2015r; Dz.U. poz 745 z 2015r;innych obowiązujących przepisach prawa z tego zakresu oraz dokonania w ramach poniższych działań i czynności: Rozpoznania wszystkich obszarów przetwarzania danych.Rozpoznania wszystkich przetwarzanych zbiorów danych.Rozpoznania wszystkich systemów przetwarzających dane i ich konfiguracji.Analizy ochrony punktów krytycznych w obszarach przetwarzania danych.Weryfikacji zapisów z poprzednich audytów bezpieczeństwa przeprowadzenie i opis audytu zabezpieczeń fizycznych systemów informatycznych pod kątem wymagań ustawowych i Krajowych ram Interoperacyjności obejmujący badanie stanu zabezpieczeń poprzez : Kontrolę zabezpieczeń obszaru przetwarzania danych osobowych. Kontrolę zabezpieczeń pomieszczeń. Kontrolę zabezpieczeń zbiorów tradycyjnych. Kontrolę zabezpieczeń zbiorów archiwalnych. Kontrolę ochrony przed zdarzeniami losowymi. Kontrolę ochrony sprzętu przed kradzieżą. Kontrolę działania sytemu monitoringu. Kontrolę działania systemu alarmowego. Weryfikację dokumentów wewnętrznych Zamawiającego regulujących przetwarzanie danych osobowych.Przeprowadzenie analizy wytycznych w zakresie dostępu osób upoważnionych do przetwarzania danych osobowych.Weryfikację ewidencji osób upoważnionych do przetwarzania danych osobowych.Przeprowadzenie analizy możliwości dostępu fizycznego do danych przez osoby nieupoważnione. Weryfikację pracy użytkowników w obszarach, w których przetwarzane są dane osobowe.Weryfikację sposobu przetwarzania danych osobowych. Weryfikację kontroli nad przepływem danych osobowych. Weryfikację przechowywania danych osobowych. Weryfikację poufności, dostępności i udostępniania danych osobowych. Identyfikację zagrożeń, słabych stron związanych z przetwarzania danych osobowych.Weryfikację dostępu osób nieupoważnionych do miejsc, gdzie przetwarzane są dane osobowe.Weryfikację zapisów umów ze stronami trzecimi przeprowadzenie i opis audytu zapisów systemu bezpieczeństwa przetwarzania dla potwierdzenia poziomu Bezpieczeństwa Informacji jako audyt systemów teleinformatycznych, audyt stanu infrastruktury sieciowej i bezpieczeństwa teleinformatycznego obejmujący weryfikację w postaci realizacji zespołu badań dokumentacyjnych w zakresie :Procedur zarządzani systemami teleinformatycznymi.Procedur planowania aktualizacji systemów teleinformatycznych.Ochrony przed oprogramowaniem szkodliwym, w tym weryfikacja zabezpieczeń przed możliwością nieautoryzowanych instalacji oprogramowania.Procedur zarządzania historią zmian.Procedur zarządzania kopiami zapasowymi.Procedur zabezpieczania nośników.Polityki kontroli dostępu do systemów.Zasad odpowiedzialności użytkowników.Procedur dostępu do systemów operacyjnych.Procedur dostępu i kontroli do usług internetowych.Zasad zarządzania hasłami.Weryfikacji zabezpieczeń kryptograficznych.Weryfikacji kontroli eksploatowanego oprogramowania. Procedur kontroli zabezpieczeń komputerów przenośnych.Bezpieczeństwa sieci LAN, WAN, WiFi.Zasad użytkowania Internetu.Systemów monitorujących. Procedur rejestracji błędów.Weryfikacji metod autoryzacji na stacjach roboczych.Analizy stopnia zabezpieczenia stacji roboczych i nośników danych w szczególności tych, na których przetwarzane są dane osobowe.Kontroli postępowania z urządzeniami przenośnymi w szczególności tymi, na których przetwarzane są dane osobowe.Kontroli wytycznych związanych z użytkowaniem sprzętu poza siedzibą.Bezpiecznego przekazywania sprzętu.Niszczenia niepotrzebnych nośników.Weryfikacji poprawności składowania danych elektronicznych.Analizy procedur backupu (sposób wykonywania kopii bezpieczeństwa, zakresu kopiowanych danych, przechowywania kopii bezpieczeństwa), oraz procesu administracji.Analizy konfiguracji aplikacji i serwerów - obejmującej m.in.: Technicznej oceny rozwiązania.Polityki zarządzania.Procesu i metod autoryzacji. Zarządzania uprawnieniami i logowanie zdarzeń.Zarządzania zmianami konfiguracyjnymi i aktualizacjami.Oceny konfiguracji systemu operacyjnego.Dostępności i ciągłości działania.Analizy systemu zarządzania kopiami zapasowymi. Analizy bezpieczeństwa funkcji i protokołów specyficznych dla aplikacji serwera. Analizy konfiguracji urządzeń sieciowych (routerów, firewall), obejmującej m.in Ogólnej oceny rozwiązania.Polityki zarządzania.Oceny mechanizmów bezpieczeństwa (firewall).Analizy dostępów do urządzenia.Routingu.Analizy i filtrowania połączeń.Redundancji rozwiązań.Przeprowadzenie i opis testów penetracyjnych zewnętrznych i wewnętrznych. Wymagane jest przeprowadzenia testów penetracyjnych przeprowadzonych ze stacji roboczej podłączonej do systemu informatycznego z zewnątrz (poprzez urządzenie łączące system informatyczny), mających na celu zidentyfikowanie możliwości przeprowadzenia włamania z zewnątrz oraz wewnątrz organizacji w celu zidentyfikowania możliwości powstania incydentów:. Testy winny obejmować m.in.:Badanie luk systemów informatycznych (aplikacji).Badanie luk urządzeń sieciowych.Badanie luk baz danych. Badanie luk komputerów i notebooków.Badanie luk serwerów.Badanie luk sieci WiFi.Inwentaryzację otwartych portów. Analizę bezpieczeństwa stosowanych protokołów.Identyfikację podatności systemów i sieci na ataki typu: DoS, DDoS, Sniffing, Spoffing, XSS, Hijacking, Backdoor, Flooding, Password, Guessing i inne.W szczególności wymagane jest zgodnie z następującymi wytycznymi:skanowanie aktywnych urządzeń sieci komputerowej, w tym routery, zapory (firewall), przełączniki, serwery i stacje robocze na występowanie lukpodatności w tych urządzeniach oraz błędów w konfiguracji zmniejszających poziom bezpieczeństwa systemów analizy podatności i błędów w konfiguracji systemów będących w posiadaniu urzędu, z uwzględnieniem poziomu ważności ze względu na bezpieczeństwo. testy wykrycia luk w systemach, nie będą przeprowadzane ataki destrukcyjne, które zakłócą pracę systemów. skanowanie z autentykacją w celu potwierdzenia podatności systemu operacyjnego oraz oprogramowania pakietów biurowych i systemu poczty elektronicznej. skanowanie luk w oparciu o najnowsze bazy podatności publikowane w serwisach CVE, Bagtraq oraz producentów sprzętu i systemów operacyjnych. skanowanie podatności na komputerach i serwerach odbywające się bez instalacji jakiegokolwiek oprogramowania na urządzeniach badanych. badanie legalności oprogramowania - scaning próby badanie stacji roboczych - scannig próby kadrowej 7. Wnioski i rekomendacje. W wyniku przeprowadzonych analiz związanych z realizacją zadań wymienionych w punktach j-m należy w tym punkcie zawrzeć dla każdej z badanych jednostek:opis stanu prawnego i organizacyjnego (obejmujący obszary:, bezpieczeństwo informacji, ciągłość działania systemu IT, stosowanych regulaminów i