Sekjurity i audyty

Posted maj 28, 2008
Filed under: przetarg | Tags: |

Nie ma to jak dobry audyt. Po ostatnich włamaniach na serwery różnych rządowych organizacji, typu np. biuro bezpieczeństwa narodowego czy też inne podobne, organizacje publiczne ruszyły do boju.

To już drugi audyt z dziedziny bezpieczeństwa, pierwszy był w innym wpisie. Tym razem już na dzień dobry powalają wymagania:

a) Przeprowadzenie co najmniej dwóch audytów bezpieczeństwa systemów informatycznych, w tym przynajmniej jednego systemu o wartości nie mniejszej niż 10 mln zł, w oparciu o wytyczne norm: PN-ISO/IEC 17799:2003 oraz PN-07799-2 (BS7799-2)

LOL. Bez komentarza. Audyt za 10 balonów pln… ciekawe co to za audyt za 10 baniek… Ale następna ciekawa sprawa:

2) Wykonawca jest ubezpieczony od odpowiedzialności cywilnej w zakresie prowadzonej działalności na kwotę min. 100 000 zł.

Ostatnio chcieliśmy ubezpieczyć firmę od OC w zakresie prowadzonej działalności. Otóż proszę Państwa, nie jest to tylko odpowiedzialność deliktowa, tylko OC za akcje, które mogą być efektem wykonywanych działań związanych z czynnością. Czyli tłumacząc tym, którzy nie rozumieją – jeżeli jesteśmy ubezpieczeni w zakresie deliktowym, i ktoś złamie nogę u nas w biurze – to pokazujemy mu palcem ubezpieczalnię i mamy go gdzieś. A jeżeli nasi ludzie przy okazji robienia audytu wysadzą w kosmos serwer pana klienta, którego godzina przestoju kosztuje 200k$ to tego delikt już nie obejmuje.

Czyli tutaj pan zamawiający wymaga tego drugiego wariantu. Ubezpieczenie próbowaliśmy zawrzeć w Alliansie, który po zrobieniu wywiadu powiedział, że taki zakres ubezpieczenia mogą dostać tylko spółki z o.o., a właściwie ich Zarządy, które istnieją na rynku więcej niż 5 lat i mają kapitału zakładowego więcej niż 5mln PLN. Czyli automatycznie kasuje to 90% polskich firm. Zostają giganci.

SIZW do przetargu jest ponoć dostępny na stronie www.csioz.gov.pl ale jakoś nie znalazłem. Może jest tajny? ;-)
Ogłaszający to Centrum Systemów Informacyjnych Ochrony Zdrowia w Warszawie, a ekspertyza bezpieczeństwa dotyczy:

Przeprowadzenie ekspertyzy bezpieczeństwa PLATFORMY UDOSTEPNIANIA ON-LINE PRZEDSIEBIORCOM USŁUG REJESTRU ZAKŁADÓW OPIEKI ZDROWOTNEJ – eRZOZ
Określenie przedmiotu oraz wielkości lub zakresu zamówienia: Przeprowadzenie ekspertyzy bezpieczeństwa PLATFORMY UDOSTEPNIANIA ON-LINE PRZEDSIEBIORCOM USŁUG REJESTRU ZAKŁADÓW OPIEKI ZDROWOTNEJ – eRZOZ

Żadnych komentarzy.

Zostaw odpowiedź