Zakup usług audytu bezpieczeństwa, testów penetracyjnych, testów socjotechnicznych przygotowania i wdrożenia SZBI oraz szkoleń dedykowanych dla Urzędu Gminy Łubniany i jednostek podległych

Zakres prac

4.1.) Informacje ogólne odnoszące się do przedmiotu zamówienia. 4.1.1.) Przed wszczęciem postępowania przeprowadzono konsultacje rynkowe: Nie 4.1.2.) Numer referencyjny: RO.271.4.2026 4.1.3.) Rodzaj zamówienia: Usługi 4.1.4.) Zamawiający udziela zamówienia w częściach, z których każda stanowi przedmiot odrębnego postępowania: Nie 4.1.8.) Możliwe jest składanie ofert częściowych: Nie 4.1.13.) Zamawiający uwzględnia aspekty społeczne, środowiskowe lub etykiety w opisie przedmiotu zamówienia: Nie 4.2. Informacje szczegółowe odnoszące się do przedmiotu zamówienia: 4.2.2.) Krótki opis przedmiotu zamówienia 1. Postępowanie prowadzone jest pod nazwą „Zakup usług audytu bezpieczeństwa, testów penetracyjnych, testów socjotechnicznych, SZBI oraz szkoleń dedykowanych dla Urzędu Gminy Łubniany i jednostek podległych.” w ramach projektu Fundusze Europejskie na Rozwój Cyfrowy (FERC) Priorytet II Zaawansowane usługi cyfrowe Działanie 2.2. Wzmocnienie krajowego systemu cyberbezpieczeństwa Fundusz Europejski Fundusz Rozwoju Regionalnego (EFRR) Numer naboru FERC.02.02-CS.01-001/23. 2. Szczegółowy opis przedmiotu zamówienia oraz sposób realizacji zamówienia zawiera OPZ stanowiący załącznik nr 1 do SWZ. 4.2.6.) Główny kod CPV: 72810000-1 - Usługi audytu komputerowego 4.2.7.) Dodatkowy kod CPV: 72000000-5 - Usługi informatyczne: konsultacyjne, opracowywania oprogramowania, internetowe i wsparcia 72150000-1 - Usługi doradztwa w zakresie audytu komputerowego oraz sprzętu komputerowego 4.2.8.) Zamówienie obejmuje opcje: Nie 4.2.10.) Okres realizacji zamówienia albo umowy ramowej: 90 dni 4.2.11.) Zamawiający przewiduje wznowienia: Nie 4.2.13.) Zamawiający przewiduje udzielenie dotychczasowemu wykonawcy zamówień na podobne usługi lub roboty budowlane: Nie 4.3.) Kryteria oceny ofert 4.3.2.) Sposób określania wagi kryteriów oceny ofert: Punktowo 4.3.3.) Stosowane kryteria oceny ofert: Kryterium ceny oraz kryteria jakościowe Kryterium 1 4.3.5.) Nazwa kryterium: Cena 4.3.6.) Waga: 60,00 Kryterium 2 4.3.4.) Rodzaj kryterium: organizacja, kwalifikacje zawodowe i doświadczenie osób wyznaczonych do realizacji zamówienia 4.3.5.) Nazwa kryterium: Pięć dodatkowych szkoleń 4.3.6.) Waga: 15,00 Kryterium 3 4.3.4.) Rodzaj kryterium: organizacja, kwalifikacje zawodowe i doświadczenie osób wyznaczonych do realizacji zamówienia 4.3.5.) Nazwa kryterium: Pięć dodatkowych dokumentacji SZBI 4.3.6.) Waga: 15,00 Kryterium 4 4.3.4.) Rodzaj kryterium: organizacja, kwalifikacje zawodowe i doświadczenie osób wyznaczonych do realizacji zamówienia 4.3.5.) Nazwa kryterium: Pięć dodatkowych audytów bezpieczeństwa 4.3.6.) Waga: 10,00 4.3.10.) Zamawiający określa aspekty społeczne, środowiskowe lub innowacyjne, żąda etykiet lub stosuje rachunek kosztów cyklu życia w odniesieniu do kryterium oceny ofert: Nie

Warunki udziału

5.1.) Zamawiający przewiduje fakultatywne podstawy wykluczenia: Tak 5.2.) Fakultatywne podstawy wykluczenia: Art. 109 ust. 1 pkt 4 Art. 109 ust. 1 pkt 5 Art. 109 ust. 1 pkt 7 Art. 109 ust. 1 pkt 8 5.3.) Warunki udziału w postępowaniu: Tak 5.4.) Nazwa i opis warunków udziału w postępowaniu. 1. O udzielenie zamówienia mogą ubiegać się Wykonawcy, którzy nie podlegają wykluczeniu oraz spełniają określone przez Zamawiającego warunki udziału w postępowaniu. 2. O udzielenie zamówienia mogą ubiegać się Wykonawcy, którzy spełniają następujące warunki udziału w postępowaniu dotyczące: 2.3 Sytuacji ekonomicznej lub finansowej Zamawiający uzna warunek za spełniony, jeżeli Wykonawca wykaże, że posiada dokument potwierdzający, że wykonawca jest ubezpieczony od odpowiedzialności cywilnej konsultantów IT z limitem co najmniej 200 000,00 tysięcy złotych, ubezpieczenie odpowiedzialności cywilnej i administracyjnej za naruszenie RODO oraz szkód w obszarze cyber z limitem co najmniej 1 mln złotych. Zamawiający nie dopuszcza polisy, która nie będzie przedmiotowo ubezpieczała Wykonawcy od szkód związanych z bezpieczeństwem informacji oraz cyberbezpieczeństwem. . 2.4 Zdolności technicznej lub zawodowej 1. Wykonawca spełni warunek, jeżeli wykaże że w okresie ostatnich 3 ostatnich lat, a jeżeli okres prowadzenia działalności jest krótszy wykonał: : 1) co najmniej jedną usługę audytu bezpieczeństwa systemu informatycznego polegającego na wykonaniu co najmniej testów penetracyjnych systemu, analizie podatności, testów wydajności, o wartości nie mniejszej niż 60 000,00 PLN brutto (słownie: osiemdziesiąt tysięcy) realizowana na rzecz podmiotu administracji publicznej, potwierdzoną co najmniej jedną referencją lub protokołem odbioru, lub innym dokumentem poświadczającym wykonanie usługi 2) co najmniej jedną usługę przygotowania dokumentacji SZBI oraz audytu bezpieczeństwa i wdrożenia o wartości co najmniej 30 000,00 PLN brutto (słownie: czterdzieści tysięcy), który zakończył się wydaniem certyfikatu poświadczającego stosowanie ISO 27001 przez podmiot certyfikowany. Certyfikat musi wydany przez jednostkę certyfikującą, posiadającą akredytację Polskiego Centrum Akredytacji, potwierdzoną co najmniej jedną referencją lub protokołem odbioru, lub innym dokumentem poświadczającym wykonanie usługi, 3) co najmniej dwie usługi poświadczające przygotowanie dokumentacji Systemu Zarządzania Bezpieczeństwem Informacji, potwierdzone referencją lub protokołem odbioru, lub innym dokumentem poświadczającym wykonanie usługi, 4) co najmniej dwie usługi poświadczające przeprowadzenie testów penetracyjnych na kwotę co najmniej 30 000,00 PLN brutto każda, potwierdzone referencją lub protokołem odbioru, lub innym dokumentem poświadczającym wykonanie usługi, 5) co najmniej trzy usługi poświadczające przeprowadzenie szkoleń, których tematyką było cyberbezpieczeństwo, dedykowanych dla jednostek administracji publicznej, potwierdzone jedną referencją lub protokołem odbioru, lub innym dokumentem poświadczającym wykonanie usługi 6) Wykonawca musi posiadać certyfikat poświadczający stosowanie ISO 27001 Bezpieczeństwo Informacji dotyczący świadczenia usług w zakresie cyberbezpieczeństwa wydany przez jednostkę certyfikującą, posiadającą akredytację Polskiego Centrum Akredytacji. Certyfikat, o którym mowa musi być wydany dla podmiotu a nie dla osoby. W odniesieniu do wymogu posiadania certyfikatu ISO 27001 określonego w dokumentacji przetargowej, w przypadku, gdy ofertę składa konsorcjum, Zamawiający informuje, iż warunek ten uznaje się za spełniony, jeżeli każdy z konsorcjantów posiada wskazane certyfikaty, które są pozostają w mocy w dniu składania oferty. 2. Z uwagi na szeroki zakres zamówienia oraz ograniczony czas wykonania Wykonawca musi posiadać zespół osób. Osoby o których mowa muszą posiadać wiedzę i doświadczenie poparte odpowiednimi referencjami albo innymi dowodami potwierdzone w ciągu ostatnich 3 lat a jeżeli okres prowadzenia działalności jest krótszy, to w tym okresie 3. Wykonawca musi dysponować osobami posiadającymi wiedzę i doświadczenie zgodnie z wymaganiami opisanymi poniżej: 1) Audytor bezpieczeństwa organizacyjnego (przynajmniej dwie osoby) • co najmniej 3 letnie doświadczenie w zakresie prowadzenia audytów bezpieczeństwa uwzględniających założenia wynikające z normy ISO 27001 i/lub KRI, • doświadczenie w przygotowaniu kompleksowej dokumentacji Systemu Zarządzania Bezpieczeństwem Informacji zgodnie z normą PN-EN ISO/IEC 27001 poparte dwiema referencjami, • certyfikat uprawniający do przeprowadzenia audytu zgodnie z rozporządzeniem Ministra Cyfryzacji 1 z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu, 2) Pentester przynajmniej dwie osoby (nie mogą występować w roli Audytora bezpieczeństwa organizacyjnego) • co najmniej 3 letnie doświadczenie w zakresie pełnienia funkcji audytora bezpieczeństwa technicznego w zakresie stosowania środków ochrony danych przetwarzanych w postaci elektronicznej potwierdzone certyfikatem OSCP (Offensive Security Certified Professional) albo innym certyfikatem inżynierskim potwierdzającym kompetencje techniczne w obszarze cyberbezpieczeństwa, • certyfikat uprawniający do przeprowadzenia audytu zgodnie z rozporządzeniem Ministra Cyfryzacji 1 z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu, • co najmniej 3 letnie doświadczenie w zakresie prowadzenia audytów bezpieczeństwa technicznego uwzględniających założenia OWASP top 10 poparte dwiema referencjami, • wykonywał testy penetracyjne webaplikacji oraz infrastruktury w jednostce administracji publicznej, • wykonywał testy penetracyjne w przynajmniej 3 projektach, • wykonywał testy socjotechniczne w przynajmniej 2 projektach, dedykowanych dla przynajmniej 100 osób w każdym projekcie, stanowiących próbę testową, • posiada doświadczenie w przygotowaniu kompleksowej dokumentacji testów penetracyjnych z przynajmniej 2 testów, • przynajmniej jedna osoba musi posiadać certyfikat uprawniający do przeprowadzenia zgodnie z rozporządzeniem Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu, • przynajmniej jedna osoba musi posiadać certyfikat OSWE (Offensive Security Web Expert), 3) przynajmniej dwie osoby w roli Trenera bezpieczeństwa (mogą występować w roli Audytora bezpieczeństwa organizacyjnego albo Audytora bezpieczeństwa technicznego) • Każda z dedykowanych osób przeprowadziła co najmniej 5 szkoleń z obszaru cyberbezpieczeństwa (szkolenia dla jednego trenera nie mogą powielać się u drugiego) dedykowane dla jednostek administracji publicznej, • Każda z dedykowanych osób przeprowadziła przynajmniej dwa szkolenia w zakresie użytkowania Systemu Zarządzania Bezpieczeństwem Informacji. Zamawiający, w stosunku do Wykonawców wspólnie ubiegających się o udzielenie zamówienia, w odniesieniu do warunku dotyczącego zdolności technicznej lub zawodowej dopuszcza łączne spełnianie warunku przez Wykonawców. 3. W toku badania ofert Zamawiający może żądać od Wykonawcy dodatkowego potwierdzenia kompetencji osób oraz potwierdzenia ich doświadczenia poprzez wskazanie odpowiednich dokumentów oraz zaświadczeń. 4. W ramach powyższego, Zamawiający może żądać: • certyfikatów potwierdzających kwalifikacje zawodowe (OSCP, Audytor wiodący ISO/IEC 27001, OSWE), • dokumentów potwierdzających doświadczenie zawodowe (np. referencje, wykaz wykonanych usług), • oświadczeń wykonawcy dotyczących przypisania konkretnych osób do realizacji zamówienia. 5. Brak przedstawienia wymaganych dokumentów lub ich niewystarczająca treść może skutkować uznaniem, że Wykonawca nie spełnia warunków udziału w postępowaniu. 6. Zamawiający może na każdym etapie postępowania, uznać, że wykonawca nie posiada wymaganych zdolności, jeżeli posiadanie przez wykonawcę sprzecznych interesów, w szczególności zaangażowanie zasobów technicznych lub zawodowych wykonawcy w inne przedsięwzięcia gospodarcze wykonawcy może mieć negatywny wpływ na realizację zamówienia. 5.5.) Zamawiający wymaga złożenia oświadczenia, o którym mowa w art.125 ust. 1 ustawy: Tak 5.6.) Wykaz podmiotowych środków dowodowych na potwierdzenie niepodlegania wykluczeniu: 1) Oświadczenie wykonawcy, w zakresie art. 108 ust. 1 pkt 5 p.z.p., o braku przynależności do tej samej grupy kapitałowej, w rozumieniu ustawy z dnia 16.02.2007 r. o ochronie konkurencji i konsumentów (Dz. U. z 2019 r. poz. 369), z innym wykonawcą, który złożył odrębną ofertę, ofertę częściową lub wniosek o dopuszczenie do udziału w postępowaniu, albo oświadczenia o przynależności do tej samej grupy kapitałowej wraz z dokumentami lub informacjami potwierdzającymi przygotowanie oferty, oferty częściowej lub wniosku o dopuszczenie do udziału w postępowaniu niezależnie od innego wykonawcy należącego do tej samej grupy kapitałowej - załącznik nr 4 do SWZ; 2) Odpis lub informacja z Krajowego Rejestru Sądowego lub z Centralnej Ewidencji i Informacji o Działalności Gospodarczej, w zakresie art. 109 ust. 1 pkt 4 p.z.p., sporządzonych nie wcześniej niż 3 miesiące przed jej złożeniem, jeżeli odrębne przepisy wymagają wpisu do rejestru lub ewidencji; 3) oświadczenie wykonawcy o aktualności informacji zawartych w oświadczeniu, o którym mowa w art. 125 ust. 1 Pzp, w zakresie podstaw wykluczenia z postępowania wskazanych przez zamawiającego, o których mowa w: • art. 108 ust. 1 Ustawy Pzp • art. 109 ust 4,5,7,8 Ustawy Pzp • art. 7 ust. 1 ustawy dnia 13 kwietnia 2022 r. o szczególnych rozwiązaniach w zakresie przeciwdziałania wspieraniu agresji na Ukrainę oraz służących ochronie bezpieczeństwa narodowego 5.7.) Wykaz podmiotowych środków dowodowych na potwierdzenie spełniania warunków udziału w postępowaniu: Wykaz osób – stanowiący załącznik nr 9 do SWZ. Wykaz usług – załącznik nr 10 do SWZ Kopię polisy wraz z potwierdzeniem opłacenia składek.

Kontakt z zamawiającym