„Przeprowadzenie kompleksowego audytu cyberbezpieczeństwa w SP ZOZ CSK UM w Łodzi” realizowanego w ramach projektu pn.: „Wdrożenie e-usług w CSK UM w Łodzi”

Zakres prac

4.1.) Informacje ogólne odnoszące się do przedmiotu zamówienia. 4.1.1.) Przed wszczęciem postępowania przeprowadzono konsultacje rynkowe: Nie 4.1.2.) Numer referencyjny: ZP/37/2026 4.1.3.) Rodzaj zamówienia: Usługi 4.1.4.) Zamawiający udziela zamówienia w częściach, z których każda stanowi przedmiot odrębnego postępowania: Nie 4.1.8.) Możliwe jest składanie ofert częściowych: Nie 4.1.13.) Zamawiający uwzględnia aspekty społeczne, środowiskowe lub etykiety w opisie przedmiotu zamówienia: Nie 4.2. Informacje szczegółowe odnoszące się do przedmiotu zamówienia: 4.2.2.) Krótki opis przedmiotu zamówienia 3.1. Przedmiotem zamówienia jest realizacja zdania pn.: „Przeprowadzenie kompleksowego audytu cyberbezpieczeństwa w SP ZOZ Centralnego Szpitala Klinicznego Uniwersytetu Medycznego w Łodzi” realizowanego w ramach projektu pn.: „Wdrożenie e-usług w CSK UM w Łodzi”. 3.2. Zadanie jest realizowane w ramach Projektu pn.: „Wdrożenie e-usług w CSK UM w Łodzi” finansowany ze środków Instrumentu na rzecz Odbudowy i Zwiększania Odporności dla przedsięwzięć realizowanych w ramach inwestycji D.1.1.2 „Przyspieszenie procesów transformacji cyfrowej ochrony zdrowia poprzez dalszy rozwój usług cyfrowych w ochronie zdrowia” będącej elementem komponentu D „Efektywność, dostępność i jakość systemu ochrony zdrowia” (KPOD.07.03-IP.10-0221/25) 3.3. Przedmiotem zamówienia jest przeprowadzenie audytu cyberbezpieczeństwa systemów teleinformatycznych Zamawiającego w szczególności w siedzibie Zamawiającego, mającego na celu ocenę poziomu zabezpieczeń, identyfikację podatności oraz określenie ryzyk związanych z przetwarzaniem informacji i ciągłością działania systemów IT. 1. Cel zamówienia Celem realizacji zamówienia jest: • ocena aktualnego stanu cyberbezpieczeństwa Zamawiającego, • identyfikacja zagrożeń i podatności technicznych oraz organizacyjnych, • ocena poziomu ryzyka dla kluczowych zasobów informacyjnych, • przedstawienie rekomendacji działań naprawczych i usprawniających. 2. Zakres zamówienia Zakres audytu obejmuje w szczególności: 1. analizę architektury oraz konfiguracji infrastruktury teleinformatycznej (sieci, serwery, urządzenia końcowe, środowiska chmurowe – o ile występują), 2. ocenę zabezpieczeń systemów operacyjnych, aplikacji oraz usług sieciowych, 3. weryfikację mechanizmów zarządzania tożsamością i kontrolą dostępu, 4. analizę polityk bezpieczeństwa informacji, procedur oraz dokumentacji, 5. ocenę zabezpieczeń w zakresie ochrony danych, w tym danych osobowych, 6. ocenę odporności organizacji na zagrożenia socjotechniczne (jeżeli dotyczy), 7. weryfikację zgodności z obowiązującymi przepisami prawa oraz normami i standardami, w szczególności: o RODO, o Krajowe Ramy Interoperacyjności (KRI), o ISO/IEC 27001 (o ile mają zastosowanie). 3. Metodyka realizacji Audyt zostanie przeprowadzony zgodnie z uznanymi metodykami oraz dobrymi praktykami branżowymi, z zastosowaniem następujących działań: • analiza dokumentacji przekazanej przez Zamawiającego, • wywiady i konsultacje z wyznaczonymi pracownikami Zamawiającego, • analizy techniczne i konfiguracyjne systemów IT, • ocena ryzyka z uwzględnieniem prawdopodobieństwa wystąpienia zagrożeń oraz ich wpływu. Realizacja audytu nie może powodować zakłóceń w pracy systemów Zamawiającego. 4. Rezultaty realizacji zamówienia W ramach realizacji zamówienia Wykonawca dostarczy raport końcowy zawierający: • opis stanu obecnego cyberbezpieczeństwa, • wykaz zidentyfikowanych podatności i niezgodności, • ocenę poziomu ryzyka, • rekomendacje działań naprawczych wraz z priorytetyzacją, • podsumowanie i wnioski końcowe. Raport zostanie przekazany w formie elektronicznej (format PDF oraz edytowalny) oraz, na żądanie Zamawiającego, w formie papierowej. 5. Wymagania dotyczące realizacji 1. Audyt zostanie przeprowadzony przez osoby posiadające odpowiednie kwalifikacje i doświadczenie w zakresie cyberbezpieczeństwa. 2. Wykonawca zobowiązany jest do zachowania poufności wszelkich informacji uzyskanych w trakcie realizacji zamówienia. 3. Wszelkie działania realizowane będą w uzgodnieniu z Zamawiającym. 6. Warunki odbioru Podstawą odbioru przedmiotu zamówienia będzie: • przekazanie raportu końcowego, • akceptacja raportu przez Zamawiającego. KOD CPV: 7921000-3 – Usługi audytu, 72800000-8 Usługi audytu komputerowego i testowania komputerów 4.2.6.) Główny kod CPV: 79212000-3 - Usługi audytu 4.2.8.) Zamówienie obejmuje opcje: Nie 4.2.10.) Okres realizacji zamówienia albo umowy ramowej: 14 dni 4.2.11.) Zamawiający przewiduje wznowienia: Nie 4.2.13.) Zamawiający przewiduje udzielenie dotychczasowemu wykonawcy zamówień na podobne usługi lub roboty budowlane: Nie 4.3.) Kryteria oceny ofert 4.3.1.) Sposób oceny ofert: 16.1. Przy dokonywaniu wyboru najkorzystniejszej oferty Zamawiający stosować będzie następujące kryteria (Zamawiający przyjął, że w zakresie każdego kryterium oceny ofert: 1% stanowi 1 punkt): 16.1.1. Cena „C” – 70% (70 pkt), 16.1.2. Metodyka realizacji audytu cyberbezpieczeństwa „M” – 10% (10 pkt) 16.1.3. Organizacja realizacji i harmonogram „H” – 10% (10 pkt) 16.1.4. Ocena zakresu funkcjonalnego „F”– 10% (10 pkt) 4.3.2.) Sposób określania wagi kryteriów oceny ofert: Punktowo 4.3.3.) Stosowane kryteria oceny ofert: Kryterium ceny oraz kryteria jakościowe Kryterium 1 4.3.5.) Nazwa kryterium: Cena 4.3.6.) Waga: 70,00 Kryterium 2 4.3.4.) Rodzaj kryterium: inne. 4.3.5.) Nazwa kryterium: Metodyka realizacji audytu cyberbezpieczeństwa 4.3.6.) Waga: 10 Kryterium 3 4.3.4.) Rodzaj kryterium: inne. 4.3.5.) Nazwa kryterium: Organizacja realizacji i harmonogram 4.3.6.) Waga: 10 Kryterium 4 4.3.4.) Rodzaj kryterium: inne. 4.3.5.) Nazwa kryterium: Ocena zakresu funkcjonalnego 4.3.6.) Waga: 10 4.3.10.) Zamawiający określa aspekty społeczne, środowiskowe lub innowacyjne, żąda etykiet lub stosuje rachunek kosztów cyklu życia w odniesieniu do kryterium oceny ofert: Nie

Warunki udziału

5.1.) Zamawiający przewiduje fakultatywne podstawy wykluczenia: Nie 5.3.) Warunki udziału w postępowaniu: Tak 5.4.) Nazwa i opis warunków udziału w postępowaniu. 6.2. O udzielenie zamówienia mogą ubiegać się wykonawcy, którzy spełniają warunki udziału w postepowaniu opisane w SWZ. 6.2.1. Zamawiający w zakresie zdolności do występowania w obrocie gospodarczym nie precyzuje żadnych wymagań, których spełnienie Wykonawca zobowiązany jest wykazać w sposób szczególny. 6.2.2. Zamawiający nie stawia wymagań w zakresie uprawnień do prowadzenia określonej działalności gospodarczej lub zawodowej, o ile wynika to z odrębnych przepisów. 6.2.3. Zamawiający w zakresie sytuacji ekonomicznej lub finansowej: nie precyzuje żadnych wymagań, których spełnienie Wykonawca zobowiązany jest wykazać w sposób szczególny. 6.2.4. Zamawiający w zakresie zdolności technicznej lub zawodowej precyzuje następujące wymagania: Wykonawca wykaże spełnienie warunku jeżeli w okresie ostatnich 3 lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy – w tym okresie, wykonał należycie co najmniej jedną usługę polegającą na przeprowadzeniu audytu cyberbezpieczeństwa lub audytu bezpieczeństwa systemów teleinformatycznych. Wyjaśnienia: • dopuszcza się audyt w sektorze publicznym lub prywatnym, • nie wymaga się identycznego zakresu jak w OPZ. Ocena spełniania warunków udziału w postępowaniu zostanie dokonana według formuły spełnia/nie spełnia. 5.5.) Zamawiający wymaga złożenia oświadczenia, o którym mowa w art.125 ust. 1 ustawy: Tak 5.6.) Wykaz podmiotowych środków dowodowych na potwierdzenie niepodlegania wykluczeniu: 7.1. W celu wykazania braku podstaw wykluczenia Wykonawcy z postępowania o udzielenie zamówienia w okolicznościach, o których mowa w pkt 6.1. SWZ, Zamawiający żąda dokumentów i oświadczeń wskazanych poniżej: 7.1.1. Wykonawca zobowiązany jest złożyć wraz z ofertą: 7.1.1.1. aktualne na dzień składania ofert oświadczenie o braku podstaw wykluczenia wykonawcy z postępowania – zgodnie ze wzorem stanowiącym Załącznik nr 2 do SWZ. W przypadku wspólnego ubiegania się o zamówienie przez wykonawców, oświadczenie składa każdy z wykonawców wspólnie ubiegających się o udzielenie zamówienia. 7.1.2. Wykonawca, którego oferta została najwyżej oceniona zobowiązany jest złożyć na wezwanie Zamawiającego, w terminie wskazanym w wezwaniu, nie krótszym niż 5 dni, następujące aktualne na dzień złożenia dokumenty: 7.1.2.1. oświadczenie Wykonawcy o aktualności informacji zawartych w oświadczeniu, o którym mowa w art. 125 ust. 1 ustawy Pzp, w zakresie podstaw wykluczenia z postępowania wskazanych przez Zamawiającego, o których mowa w art. 108 ust. 1 ustawy Pzp - zgodnie z załącznikiem nr 3a do SWZ, 7.1.2.2. oświadczenie dotyczące przepisów sankcyjnych związanych z wojną w Ukrainie - Załącznik nr 3B do SWZ. W przypadku wspólnego ubiegania się o zamówienie przez wykonawców oświadczenie składa każdy z wykonawców wspólnie ubiegających się o udzielenie zamówienia. 5.7.) Wykaz podmiotowych środków dowodowych na potwierdzenie spełniania warunków udziału w postępowaniu: 7.2. W celu oceny spełniania przez Wykonawcę warunków udziału w postępowaniu, o których mowa w pkt 6.2. SWZ Zamawiający żąda następujących oświadczeń i dokumentów: 7.2.1. Wykonawca zobowiązany jest złożyć wraz z ofertą: 7.2.1.1. aktualne na dzień składania ofert wstępne oświadczenie o spełnianiu warunków udziału w postępowaniu – zgodnie ze wzorem stanowiącym Załącznik nr 3 do SWZ. 7.2.2. Wykonawca, którego oferta została najwyżej oceniona zobowiązany jest złożyć na wezwanie Zamawiającego, w terminie wskazanym w wezwaniu, nie krótszym niż 5 dni, następujące aktualne na dzień złożenia dokumenty: 7.2.2.1. wykazu usług wykonanych, a w przypadku świadczeń powtarzających się lub ciągłych również wykonywanych, w okresie ostatnich 3 lat, a jeżeli okres prowadzenia działalności jest krótszy - w tym okresie, wraz z podaniem ich wartości, przedmiotu, dat wykonania i podmiotów, na rzecz których usługi zostały wykonane lub są wykonywane, oraz załączeniem dowodów określających, czy te usługi zostały wykonane lub są wykonywane należycie, przy czym dowodami, o których mowa, są referencje bądź inne dokumenty sporządzone przez podmiot, na rzecz którego usługi zostały wykonane, a w przypadku świadczeń powtarzających się lub ciągłych są wykonywane, a jeżeli wykonawca z przyczyn niezależnych od niego nie jest w stanie uzyskać tych dokumentów - oświadczenie wykonawcy; w przypadku świadczeń powtarzających się lub ciągłych nadal wykonywanych referencje bądź inne dokumenty potwierdzające ich należyte wykonywanie powinny być wystawione w okresie ostatnich 3 miesięcy– załącznik nr 7 do SWZ. 5.8.) Wykaz przedmiotowych środków dowodowych: 7.5.1. W celu potwierdzenia zgodności oferowanych dostaw z wymaganiami, cechami określonymi w opisie przedmiotu zamówienia, zgodnie z art. 104-106 ustawy Pzp - Zamawiający żąda złożenia wraz z ofertą: 1.1. Opis metodyki realizacji audytu cyberbezpieczeństwa, obejmujący w szczególności: o etapy realizacji audytu, o zakres analiz technicznych i organizacyjnych, o sposób identyfikacji i oceny ryzyka, o sposób raportowania wyników audytu. 1.2. Plan realizacji (harmonogram) audytu, uwzględniający co najmniej: o etapy realizacji zamówienia, o przewidywane terminy realizacji poszczególnych etapów, o termin przekazania raportu końcowego. 1.3. Proponowaną strukturę raportu końcowego z audytu cyberbezpieczeństwa (np. spis treści), zawierającą co najmniej: o opis stanu obecnego, o wykaz zidentyfikowanych podatności, o ocenę poziomu ryzyka, o rekomendacje działań naprawczych, o podsumowanie i wnioski końcowe. 1.4. Oświadczenie Wykonawcy, że realizacja audytu cyberbezpieczeństwa będzie prowadzona zgodnie z: o obowiązującymi przepisami prawa, w tym w szczególności RODO, o wymaganiami Krajowych Ram Interoperacyjności (o ile mają zastosowanie). 1.5. Oświadczenie Wykonawcy o zachowaniu poufności informacji uzyskanych w trakcie realizacji zamówienia. 7.5.2. Jeżeli wykonawca nie złoży przedmiotowych środków dowodowych lub złożone przedmiotowe środki dowodowe okażą się niekompletne, zamawiający NIE WEZWIE do ich złożenia lub uzupełnienia w wyznaczonym terminie. 5.9.) Zamawiający przewiduje uzupełnienie przedmiotowych środków dowodowych: Nie 5.11.) Wykaz innych wymaganych oświadczeń lub dokumentów: 11.5. Ofertę stanowi: 11.5.1. wypełniony i podpisany formularz „Oferta”, zgodny z Załącznikiem nr 1 do SWZ. 11.6. Do oferty należy załączyć: 11.6.1. oświadczenia wymagane postanowieniami SWZ tj.: 11.6.2. aktualne na dzień składania ofert oświadczenie o braku podstaw wykluczenia Wykonawcy z postępowania – zgodnie ze wzorem stanowiącym Załącznik nr 2 do SWZ. 11.6.3. aktualne na dzień składania ofert wstępne oświadczenie o spełnianiu warunków udziału w postępowaniu – zgodnie ze wzorem stanowiącym Załącznik nr 3 do SWZ. 11.6.4. pełnomocnictwo do podpisania oferty oraz do podpisania innych dokumentów i oświadczeń składanych wraz z ofertą, o ile zostały podpisane przez pełnomocnika. Treść pełnomocnictwa musi jednoznacznie wskazywać czynności, do wykonywania, których pełnomocnik jest upoważniony, 11.6.5. zobowiązanie podmiotu udostepniającego Wykonawcy zasoby - do oddania do dyspozycji Wykonawcy niezbędnych zasobów na potrzeby realizacji zamówienia lub inny podmiotowy środek dowodowy potwierdzający, że Wykonawca realizując zamówienie, będzie dysponował niezbędnymi zasobami tych podmiotów - o ile Wykonawca korzysta ze zdolności innych podmiotów na zasadach określonych w art. 118 ustawy. Zobowiązanie lub inny podmiotowy środek dowodowy w opisywanym zakresie, przekazuje się w postaci elektronicznej, i opatruje kwalifikowanym podpisem elektronicznym, podpisem zaufanym lub podpisem osobistym. W przypadku, gdy zobowiązanie (inny podmiotowy środek dowodowy) zostało wystawione w postaci papierowej i opatrzone własnoręcznym podpisem, przekazuje się cyfrowe odwzorowanie tego dokumentu, opatrzone kwalifikowanym podpisem elektronicznym, podpisem zaufanym lub podpisem osobistym, poświadczającym zgodność cyfrowego odwzorowania z dokumentem w postaci papierowej – o ile dotyczy, 11.6.6. przedmiotowe środki dowodowe.

Kryteria oceny ofert

Kontakt z zamawiającym