AUDIT INFORMATIC PE SECURITATE CIBERNETICA PENTRU APASERV SATU MARE SA
SEAPIDStare
DA31242884
Data25 August 2022
Valoare38.500 RON
Oferta acceptata
Autoritatea contractantaLocalitateSatu Mare, Satu Mare
FurnizorTipul contractuluiServicii
Cod CPVDescriere:Abordarea generala a auditului de securitate a retelelor si sistemelor informatice Proiectul de audit al securității informațiilor este alcătuit dintr-un set complet de elemente de evaluare utilizate pentru a confirma existența și a verifica eficacitatea mediului de control intern, cu scopul final ca, după evaluare, organizația să aibă o înțelegere mai profundă a punctelor forte și oportunităților in ceea ce privește practica de securitate a informației care pot fi utilizate pentru a facilita conformitatea cu cerințele legale, pentru a diminua riscurile și pentru a-și îmbunătăți rezultatele. Auditul este realizat printr-o prezentare cuprinzătoare a cerințelor impuse în normele tehnice în domenii precum guvernarea securității, protecția rețelelor și sistemelor informatice, apărare cibernetică și reziliență. Pentru a avea o opinie cu privire la existența, adecvarea și eficacitatea mediului de control, echipa de audit va desfășura următoarele activități: - Planificare și management de proiect - Colectarea de informații - Interviuri cu toate părțile interesate - Analiza peisajului tehnic și a relației acestuia cu organizația - Evaluarea controalelor tehnice, organizaționale și fizice existente în companie sau a lipsei acestora în raport cu cerințele de conformitate. - Documentarea constatărilor și, acolo unde este cazul, a riscurilor și recomandărilor pentru abordarea acestora. Activitațile de audit de securitate (fara a se limita la acestea) vor fi: - Auditul arhitecturii - veri
Achizitii38.500 RON
Cantitate: 1
Unitate masura: bucata
AUDIT INFORMATIC PE SECURITATE CIBERNETICA PENTRU APASERV SATU MARE SA
Abordarea generala a auditului de securitate a retelelor si sistemelor informatice
Proiectul de audit al securității informațiilor este alcătuit dintr-un set complet de elemente de evaluare utilizate pentru a confirma existența și a verifica eficacitatea mediului de control intern, cu scopul final ca, după evaluare, organizația să aibă o înțelegere mai profundă a punctelor forte și oportunităților in ceea ce privește practica de securitate a informației care pot fi utilizate pentru a facilita conformitatea cu cerințele legale, pentru a diminua riscurile și pentru a-și îmbunătăți rezultatele.
Auditul este realizat printr-o prezentare cuprinzătoare a cerințelor impuse în normele tehnice în domenii precum guvernarea securității, protecția rețelelor și sistemelor informatice, apărare cibernetică și reziliență.
Pentru a avea o opinie cu privire la existența, adecvarea și eficacitatea mediului de control, echipa de audit va desfășura următoarele activități:
- Planificare și management de proiect
- Colectarea de informații
- Interviuri cu toate părțile interesate
- Analiza peisajului tehnic și a relației acestuia cu organizația
- Evaluarea controalelor tehnice, organizaționale și fizice existente în companie sau a lipsei acestora în raport cu cerințele de conformitate.
- Documentarea constatărilor și, acolo unde este cazul, a riscurilor și recomandărilor pentru abordarea acestora.
Activitațile de audit de securitate (fara a se limita la acestea) vor fi:
- Auditul arhitecturii - verificarea conformitații masurilor de securitate legate de alegerea, poziționarea și implementarea dispozitivelor hardware/software în rețelele și sistemele informatice, cerințele minime de securitate și politicile interne.
- Auditul de configurare - verificarea implementarii masurilor de securitate în conformitate cu stadiul tehnicii, cerințele minime de securitate și politicile de securitate în ceea ce privește configurația dispozitivelor hardware/software componente ale rețelelor și sistemelor informatice. Aceste dispozitive pot fi în special echipamente de rețea, sisteme de operare (server sau stație de lucru), aplicații sau produse de securitate.
- Auditul de penetrare (testul de penetrare) - identificarea vulnerabilitaților din rețelele și sistemele informatice și verificarea posibilitaților de exploatare a acestora, precum și a impactului exploatarii acestora asupra rețelei, în condițiile reale ale unui atac cibernetic asupra rețelelor și sistemelor informatice.
- Auditul securitații organizației - auditul cu privire la securitatea logica și fizica și urmarește sa se asigure ca politicile și procedurile de securitate definite de operatorul de servicii esențiale:
o sunt conforme cu nevoile de securitate, nivelul tehnologic și standardele în vigoare;
o completeaza corect masurile tehnice implementate;
o sunt puse efectiv în practica.
Etape:
1. Inițierea proiectului de audit
2. Planificarea activităților de audit
3. Executarea activităților de audit
Verificarea politicilor și procedurilor de securitate definite, cat si a conformitații acestora cu legislația și reglementarile în vigoare (Legea 362/2018, legislația secundara ce decurge din aceasta)
Verificarea conformitații masurilor de securitate implementate cu cerințele minime de securitate și politicile interne
Verificarea nivelului de securitate al sistemului informatic ce susține livrarea serviciilor esențiale.
Evaluarea controalelor din cadrul domeniului Guvernanta
Evaluarea controalelor din cadrul domeniului Protectia sistemelor informatice
Evaluarea controalelor din cadrul domeniului Apararea cibernetica
Evaluarea controalelor din cadrul domeniului Rezilienta
4. Elaborarea raportului de audit
Documentarea practicilor actuale de securitate a informațiilor care evidențiază ceea ce este deja acoperit de practica curentă de securitate a informațiilor cu privire la Legea nr.362/2018 (Legea NIS)
5. Livrarea raportului de audit
Raportarea constatărilor și, după caz, a riscurilor și recomandărilor pentru abordarea acestora.
Obiective:
Serviciile de Audit au ca obiectiv asigurarea conformitații cu Legea 362/2018 și a „Normelor tehnice privind cerinţele minime de asigurare a securitaţii reţelelor şi sistemelor informatice aplicabile operatorilor de servicii esenţiale” (Ordinul SGG Nr. 1323/9.11.2020). In acest sens, Safetech Innovations, Auditor înscris pe Lista auditorilor de securitate cibernetica valabil atestați (LASC), se angajeaza sa emita catre Achizitor un raport de audit care sa poata fi retransmis catre Directoratul Național de Securitate Cibernetica (DNSC).