PKN PBSG ISO 27001

Polski Komitet Normalizacyjny podpisał z PBSG umowę na doradztwo w zakresie opracowania systemu bezpieczeństwa informacji zgodnego z normą ISO 27001.

Przedmiotem umowy jest budowa Systemu Zarządzania Bezpieczeństwem Informacji zgodnego z normą PN-IS/IEC 27001 realizowanego w ramach projektu „Polityka Bezpieczeństwa – wdrożenie infrastruktury technicznej i procedur” w PKN.  PBSG została wybrana na podstawie oferty złożonej w ogłoszonym postępowaniu przetargowym. Zamówienie jest realizowane w na rzecz Projektu „Portal e-Norma w Polskim Komitecie Normalizacyjnym – część I” .

Projekt jest dofinansowany ze środków Unii Europejskiej w ramach Sektorowego Programu Operacyjnego Wzrost Konkurencyjności Przedsiębiorstw, działanie 1.5

W  ramach projektu PBSG wykona doradztwo obejmujące:

  • Przeprowadzenie audytu istniejącej w PKN Polityki Bezpieczeństwa Informacji oraz opracowania raportu dotyczącego jej zgodności z najlepszymi praktykami międzynarodowymi (w szczególności z normą PN-ISO/IEC 27001:20071) w tym w szczególności:
    • opracowanie wniosków dla każdego z obszarów bezpieczeństwa,
    • opracowanie wniosków szczegółowych odnoszące się do poszczególnych wymagań normy,
    • dokona oceny zastosowanych procedur do zapewnienia efektywnego planowania i eksploatacji mechanizmów bezpieczeństwa.
  • Przygotowanie propozycji aktualizacji Polityki Bezpieczeństwa Informacji w PKN uwzględniającej wnioski wynikające z powyższego audytu,
  • Opracowanie Systemu Zarządzania Bezpieczeństwem Informacji zgodnego z normą PN-ISO/IEC 27001:2007 w tym:
    • zasad klasyfikacji informacji,
    • metodyki zarządzania ryzykiem, dostosowanej do wielkości i potrzeb organizacji oraz uwzględniającej integrację z mechanizmami zarządzania usługami IT,
    • planu postępowania z ryzykiem,
  • Opracowanie dokumentacji systemu bezpieczeństwa (polityki, procedury, instrukcje) oraz jego integracja z funkcjonującym w PKN systemem zgodnym z normą PN-EN ISO 9001:2001 – w szczególności dokumentacji związanej z:
    • organizacją systemu bezpieczeństwa w PKN,
    • bezpieczeństwem osobowym,
    • bezpieczeństwem fizycznym,
    • bezpieczeństwem informatycznym,
  • Przygotowanie i przeprowadzenie instruktażu wdrożeniowego oraz dostarczenie szkoleń e-learningowych z zakresu bezpieczeństwa informacji dla pracowników
  • Przygotowanie systemu do certyfikacji na zgodność z normą PN-ISO/IEC 27001:2007 (w tym przypadku Zamawiający nie dopuszcza innych

Projekt będzie przeprowadzony z wykorzystaniem dostarczonego w ramach zamówienia oprogramowania wspierającego funkcjonowanie Polityki Bezpieczeństwa Informacji w następującym obszarze:

  • wykrywania i analizy podatności sieci i systemów (wykrywanie podatności wraz z zarządzaniem poprawkami),
  • analizy dzienników zdarzeń z wybranych serwerów (Event Log) oraz aktywnych urządzeń sieci (firewall),
  • zarządzania współdzielonymi hasłami administracyjnymi.

Dostarczone oprogramowanie pozwoli na:

  • wykrywanie otwartych portów i podatności w dla
  • wybranych systemów operacyjnych Windows 2000/XP/Vista, Windows Server 2000/2003, Linux Debian, Red Hat, CentOS,
  • udostępnianiu wbudowanej bazy wiedzy o lukach w zabezpieczeniach oraz poprawkach do systemów, aktualizowaną automatycznie poprzez sieć Internet,
  • automatyczną instalację poprawek i servicepack’ów na wybranych komputerach w sieci,
  • przeprowadzenie zdalnego audytu oraz instalacji poprawek dla wybranych komputerów zlokalizowanych poza siecią IP przedsiębiorstwa (t.j. przyłączonych do sieci Internet),
  • automatyczne wykrywania środowiska, umożliwiające zbieranie informacji o skanowanych komputerach: nazwa komputera,
    typ systemu operacyjnego,
  • generowanie graficznych raportów wykonanych audytów, w tym raporty otwartych portów, brakujących poprawek i service pack, znalezionych luk w zabezpieczeniach systemów oraz raportów porównawczych audytów dokonanych na pojedynczym systemie,
  • monitorowanie zmian w katalogach, plikach i kluczach rejestru w systemach Windows oraz zapisywanie zmian w trybie rejestrowania zmian w stosunku do zastanych informacji,
  • zdefiniowanie harmonogramu instalacji poprawek i servicepack’ów w systemach informatycznych.

Projekt w Polskim Komitecie Normalizacyjnym zakłada, że doradztwo PBSG w zakresie PBI  pozwoli na zintegrowanie działań z funkcjonującym w organizacji systemem zarządzania jakością zgodnie z normą PN-EN ISO 9001:2001 oraz systemem zarządzania usługami IT zgodnie z normą PN-ISO/IEC 20000-1:2007.