Ankieta – Relacje z dostawcami usług IT

1. Instrukcja wypełniania

Zakres:
formularz obejmuje relacje z dostawcami IT, w tym umowy, SLA, wsparcie, backup, bezpieczeństwo, RODO, dostęp zdalny i incydenty.

Jak wypełnić:
dla każdego kluczowego dostawcy należy uzupełnić osobną sekcję. Jeżeli dana pozycja nie dotyczy dostawcy, wpisać „nie dotyczy”.

Nazwa pliku:
po wypełnieniu pobrany plik TXT należy nazwać według daty: ROK-MIESIĄC-DZIEŃ_relacje_dostawcy_IT_nazwa-podmiotu.txt, np. 2026-04-25_relacje_dostawcy_IT_gmina-piecki.txt.

Ważne:
nie należy wpisywać haseł, tokenów API, kluczy prywatnych ani danych logowania. Wskazujemy tylko, kto posiada dostęp i w jakim trybie.

Załączniki zalecane: rejestr dostawców, kopie umów, aneksy, SLA, umowy powierzenia danych, wykaz kont dostawców, procedury zgłoszeń, raporty z awarii/incydentów, potwierdzenia testów backupu i odtwarzania.

2. Dane podstawowe

Nazwa jednostki

Osoba wypełniająca

Stanowisko

Data

Czy prowadzony jest rejestr dostawców IT?

TAK NIE Częściowo / do aktualizacji

Uwagi organizacyjne

3. Wykaz dostawców usług IT

Należy wypełnić dla każdego dostawcy osobno. Rekomendowane minimum: dostawca systemu dziedzinowego, hosting, poczta elektroniczna, EZD lub inna usługa krytyczna.

Dostawca nr 1

Rekomendowane: system dziedzinowy lub najważniejszy system krytyczny.

3.1 Informacje ogólne

Nazwa dostawcy

Nazwa systemu / usługi

Inny typ usługi – opis

Krytyczność usługi

3.2 Umowa

Numer umowy

Data zawarcia

Data obowiązywania

Czy umowa jest aktualna?

Tryb zawarcia

Inny tryb – opis

3.3 SLA

Czy obowiązuje SLA?

Dostępność

Maks. czas reakcji

Maks. czas usunięcia awarii

Maks. utrata danych

Godziny wsparcia

Inne godziny wsparcia

Czy SLA zawiera kary umowne?

3.4 Wsparcie i utrzymanie

Model wsparcia

helpdesk dedykowany opiekun brak formalnego wsparcia

Kanały zgłoszeń

e-mail telefon portal

Czy prowadzone są zgłoszenia ticketing?

Uwagi dot. wsparcia

3.5 Bezpieczeństwo

3.6 Dostęp i kontrola

Czy dostawca posiada dostęp do systemów JST?

Czy dostęp jest rejestrowany?

Zakres dostępu

Sposób dostępu

VPN zdalny pulpit panel web

3.7 Backup i ciągłość działania

Backup realizuje

dostawca JST wspólnie

Częstotliwość backupów

Czy testowane jest odtworzenie?

3.8 Ryzyka i problemy

Czy występowały incydenty bezpieczeństwa?

Czy występowały przerwy w dostępności?

Opis ryzyk, problemów, przerw, incydentów

Dostawca nr 2

Rekomendowane: hosting, strona WWW, BIP lub infrastruktura zewnętrzna.

Informacje ogólne

Nazwa dostawcy

Nazwa systemu / usługi

Inny typ usługi – opis

Krytyczność usługi

Umowa i SLA

Numer umowy

Data zawarcia

Data obowiązywania

Czy umowa jest aktualna?

Tryb zawarcia

Czy obowiązuje SLA?

Dostępność

Czas reakcji

RTO / usunięcie awarii

RPO

Godziny wsparcia

Kary umowne?

Wsparcie, bezpieczeństwo, dostęp, backup

Model wsparcia

Kanały zgłoszeń

Ticketing?

Zapisy bezpieczeństwa / RODO / NDA / incydenty

Certyfikaty / zgodność KRI, NIS2, UoKSC

Dostęp dostawcy do systemów JST

Backup i testy odtworzeniowe

Ryzyka / incydenty / przerwy

Dostawca nr 3

Rekomendowane: poczta elektroniczna, usługa chmurowa, bezpieczeństwo lub backup.

Nazwa dostawcy

Typ usługi

Nazwa systemu / usługi

Krytyczność

Numer i data umowy

Okres obowiązywania

Tryb zawarcia

Czy umowa zawiera SLA?

Parametry SLA

Wsparcie i kanały zgłoszeń

Bezpieczeństwo, RODO, incydenty, BCP/DR

Dostęp dostawcy i kontrola

Backup i ciągłość działania

Ryzyka i problemy

Dostawca nr 4

Rekomendowane: EZD, obsługa systemu obiegu dokumentów, usługa krytyczna lub dostawca uzupełniający.

Nazwa dostawcy

Typ usługi

Nazwa systemu / usługi

Krytyczność

Numer i data umowy

Okres obowiązywania

Tryb zawarcia

Czy umowa zawiera SLA?

Parametry SLA

Wsparcie i kanały zgłoszeń

Bezpieczeństwo, RODO, incydenty, BCP/DR

Dostęp dostawcy i kontrola

Backup i ciągłość działania

Ryzyka i problemy

4. Podsumowanie zbiorcze

4.1 Kluczowi dostawcy TOP

Dostawca 1 – system dziedzinowy

Dostawca 2 – hosting

Dostawca 3 – poczta

Dostawca 4 – EZD

4.2 Ocena formalna

Obszar	TAK	NIE	Uwagi
Wszystkie usługi mają umowy
Wszystkie umowy zawierają SLA
Wszystkie umowy mają zapisy bezpieczeństwa
Jest rejestr dostawców
Jest nadzór nad dostępami

4.3 Najczęstsze luki

4.4 Rekomendacje dla IK / audytora

Uzupełnić zapisy SLA, w tym RTO/RPO i dostępność Wprowadzić obowiązek zgłaszania incydentów Uregulować dostęp dostawców, np. VPN + logowanie Wymusić zapisy o backupie i testach odtworzeniowych Dodać zapisy o zgodności z KRI / NIS2

Dodatkowe rekomendacje / komentarz audytora

5. Oświadczenia i uwagi końcowe

Dane przekazane w formularzu są zgodne z najlepszą wiedzą osoby wypełniającej.

Formularz nie zawiera haseł, kluczy prywatnych, tokenów ani danych dostępowych.

Wyrażam zgodę na kontakt ENTRAST w celu doprecyzowania informacji.

Imię i nazwisko osoby wypełniającej

Stanowisko

Uwagi końcowe

Informacja: formularz ma charakter audytowo-inwentaryzacyjny. Dane należy przekazywać wyłącznie przez osoby upoważnione. Dokumenty zawierające dane osobowe, informacje poufne lub szczegóły techniczne należy przekazywać uzgodnionym kanałem komunikacji.