Rövid leírás
A KAK információbiztonsági irányítási rendszerének testre szabása az Ajánlatkérő jelenlegi információbiztonsági tevékenységének, gyakorlatának, folyamatainak és szabályozási környezetének figyelembevételével.
A beszerzés tárgya az alábbi szolgáltatásokat foglalja magába a következők szerint:
- az Ajánlatkérőnél alkalmazott módszertan - beleértve a tevékenységeket, folyamatokat és szabályozási környezetet - felülvizsgálatát, az azokkal kapcsolatos javító intézkedések megfogalmazását;
- az Ajánlatkérő gyakorlatában nem szereplő, de az IBIR teljes értékű működéséhez szükséges módszertanok kifejlesztését, az Ajánlatkérő szervezeti adottságaihoz igazított bevezetését és oktatását oly módon, hogy a szerződés befejezését követően az IBIR rendszert és a támogató eszközt (GRC rendszer) az Ajánlatkérő belső emberi erőforrásainak felhasználásával lehessen zavartalanul működtetni;
- az Ajánlattevő által biztosított használati esetek implementálását az Ajánlatkérő által alkalmazott szoftver infrastruktúrán,
- a támogató eszköz (GRC rendszer) hatékony működéséhez szükséges adatforrások (pl.: szolgáltatáskatalógus, kockázat-felmérési törzsadatok, organizációs adatok, stb.) és azok információtartalmának, egységes, közös adatbázisba történő integrációját;
- a támogató eszköz (GRC rendszer) ősfeltöltését a KAK-ba migrálandó szakrendszerre vonatkozóan és demonstrációját az Ajánlatkérő által megnevezett rendszerkörnyezetre;
- a kialakított irányítási rendszer életciklus alapú működési feltételeinek támogatását.
A fenti adminisztrativ és logikai folyamatok fejlesztése során az ajánlatérő részére biztosítani szükséges a releváns szabványoknak, iparági sztenderdeknek és a jogszabályi megfelelőségek biztosítása érdekében olyan információbiztonsági auditori (CISA) megközelítést, amely hatékonyan, a PDCA ciklus szerinti auditálható irányítási rendszer működtetését lehetővé teszi az ajánlatkérő részére.
A fenti ajánlatkérés követelményeit a NISZ Zrt. által korábban beszerzett és feltelepített RSA Archer GRC és KÜRT SeCube rendszereire kell kiterjeszteni.
1 Oktatás
A támogató eszköz (GRC rendszer) felhasználóinak, üzemeltetőinek és adminisztrátorainak a rendszerben beállított szerepkörüknek és jogosultságuknak megfelelően differenciált oktatást kell biztosítani. Az oktatással kapcsolatos ütemezést és az azon való részvételt dokumentálni kell.
Az oktatási tervet, amely tartalmazza a képzés tematikáját, valamint a javasolt ütemezést előzetesen be kell mutatni az Ajánlatkérőnek elfogadásra.
Az oktatások során jegyzőkönyvet kell vezetni, melyet az oktatónak is alá kell írnia.
1.1 Üzemeltetői oktatás
Budapesti, Ajánlattevő által biztosított helyszínen, Ajánlatkérő max. 10 szakembere részére megtartott, 1 napos (6 óra/nap) magyar nyelven tartandó képzés szükséges, mely során az ajánlott eszközök telepítéséhez, karbantartáshoz, napi üzemeltetéséhez, továbbá a támogató eszköz (GRC rendszer) üzemeltetés támogatásban való használatához (hibajelzések, eseménykövetés, elemzés előkészítés) szükséges szaktudást adja át.
Az oktatáson résztvevők az Ajánlatkérő üzemeltetési, illetve üzemeltetést támogató operátorai.
1.2 Felhasználói oktatás
Budapesti, Ajánlattevő által biztosított helyszínen, Ajánlatkérő max. 10 szakembere részére megtartott, 3 napos (6 óra/nap) magyar nyelven tartandó képzés szükséges, mely során a támogató eszköz (GRC rendszer) rendeltetésszerű használatához szükséges szaktudást adja át.
Az oktatáson résztvevők az Ajánlatkérő IBIR működtetésében részt vevő szakemberei.
1.3 Adminisztrátori oktatás
Budapesti, Ajánlattevő által biztosított helyszínen, Ajánlatkérő max. 10 szakembere részére megtartott, 3 napos (6 óra/nap) magyar nyelven tartandó képzés szükséges, mely során a támogató eszköz (GRC rendszer) adminisztrálásához szükséges szaktudást adja át.
Az oktatáson résztvevők az Ajánlatkérő biztonsági szakértői, illetve üzemeltetést támogató operátorai.
A részletes elvárásokat a műszaki leírás tartalmazza.