„Usługa wykonania audytu systemu bezpieczeństwa informacji w 5 podmiotach w ramach projektu „Cyberbezpieczny samorząd dla Gminy Stalowa Wola”

Zakres prac

4.1.) Informacje ogólne odnoszące się do przedmiotu zamówienia. 4.1.1.) Przed wszczęciem postępowania przeprowadzono konsultacje rynkowe: Nie 4.1.2.) Numer referencyjny: ZP-III.261.108.2026.MJ 4.1.3.) Rodzaj zamówienia: Usługi 4.1.4.) Zamawiający udziela zamówienia w częściach, z których każda stanowi przedmiot odrębnego postępowania: Tak 4.1.8.) Możliwe jest składanie ofert częściowych: Nie 4.1.13.) Zamawiający uwzględnia aspekty społeczne, środowiskowe lub etykiety w opisie przedmiotu zamówienia: Nie 4.2. Informacje szczegółowe odnoszące się do przedmiotu zamówienia: 4.2.2.) Krótki opis przedmiotu zamówienia 1. Przedmiotem zamówienia jest „Usługa wykonania audytu systemu bezpieczeństwa informacji w 5 podmiotach w ramach projektu „Cyberbezpieczny samorząd dla Gminy Stalowa Wola”: Zaawansowane usługi cyfrowe Działanie 2.2- Wzmocnienie krajowego systemu cyberbezpieczeństwa konkurs grantowy w ramach Projektu grantowego „Cyberbezpieczny Samorząd” Zamówienie obejmuje przeprowadzenie audytów systemu bezpieczeństwa informacji w 5 podmiotach:  Urzędzie Miasta w Stalowej Woli  Żłobku Miejskim Nr 3 w Stalowej Woli,  Przedszkolu Nr 2 im. Jana Brzechwy w Stalowej Woli  Przedszkolu Nr 5 im. Juliana Tuwima w Stalowej Woli  Stalowowolskim Centrum Usług Wspólnych mi.in. w celu oceny skuteczności środków bezpieczeństwa oraz zarządzania ryzykiem; a) audytu wdrożonego w Jednostce systemu bezpieczeństwa informacji SZBI, b) analizę efektywności działań w zakresie monitorowania, pomiarów, analizy i oceny SZBI, w tym przegląd wskaźników ryzyka i zgodności. Zadanie jest dofinansowane w ramach Programu: Fundusze Europejskie na Rozwój Cyfrowy 2021-2027. Priorytet II: Zaawansowane usługi cyfrowe, Działanie 2.2 Wzmocnienie krajowego systemu cyberbezpieczeństwa. 2. AUDYT POWINIEN OBEJMOWAĆ: a) Analiza wstępną i określenie zakresu audytu • Zdefiniowanie obszarów, lokalizacji oraz jednostek organizacyjnych objętych SZBI. • Weryfikacja ewidencji obszaru przetwarzania informacji, w tym dokładność danych dotyczących lokalizacji, kondygnacji i adresów. • Sprawdzenie, czy zakres SZBI jest zgodny z wymaganiami norm ISO/IEC 27001 oraz potrzebami organizacji. b) Weryfikacja dokumentacji systemowej • Wprowadzenie do SZBI: Ocena, czy dokumentacja zawiera podstawowe zasady zarządzania bezpieczeństwem informacji i zgodność z cyklem PDCA (Plan-Do-Check-Act). • Terminy i definicje: Sprawdzenie, czy wszystkie istotne pojęcia są zdefiniowane i zgodne z normami. • Kontekst organizacji: Analiza czynników wewnętrznych i zewnętrznych oraz ich wpływu na SZBI, w tym analiza ryzyk. c) Zarządzanie ryzykiem • Ocena procesu identyfikacji i analizy ryzyk, w tym dokumentacji dotyczącej szacowania ryzyk. • Analiza działań zaradczych i korygujących dla zidentyfikowanych ryzyk. d) Zabezpieczenia i deklaracja stosowania • Weryfikacja, czy deklaracja stosowania zabezpieczeń jest zgodna z Załącznikiem A normy ISO/IEC 27001. • Ocena skuteczności wdrożonych zabezpieczeń oraz uzasadnienia ewentualnych wyłączeń. e) Dokumentacja operacyjna • Polityki i procedury: Sprawdzenie polityk bezpieczeństwa (np. kryptografii, zarządzania dostępem, bezpieczeństwa zasobów ludzkich) i ich zgodności z wymaganiami normatywnymi. • Ewidencje i rejestry: Ocena kompletności i aktualności ewidencji aktywów, obszarów przetwarzania informacji oraz rejestrów incydentów i zgłoszeń • Zarządzanie dostępem: Sprawdzenie procedur przyznawania, zmiany i odbierania dostępu oraz zgodności z dokumentacją. f) Monitorowanie i doskonalenie SZBI • Ocena procesów monitorowania, analizy i oceny systemu w odniesieniu do zgodności z wymaganiami i celami bezpieczeństwa. • Weryfikacja raportów z monitorowania, przeglądów zarządzania i działań korygujących. • Analiza działań doskonalących, w tym ocena skuteczności realizowanych zmian. g) Zarządzanie incydentami i ciągłością działania • Ocena polityki zarządzania incydentami, w tym procedur zgłaszania, oceny i reagowania na incydenty. • Sprawdzenie planów zarządzania ciągłością działania i odtwarzania po katastrofie, w tym testów i analiz RTO, RPO, MTPD i MBCO. h) Audyty wewnętrzne • Weryfikacja programu i planów audytów wewnętrznych, w tym ocena zgodności z wymaganiami ISO/IEC 27001. • Sprawdzenie raportów z audytów wewnętrznych pod kątem ustaleń, zgodności i zaleceń. i) Zgodność z przepisami i ochroną danych osobowych • Ocena dokumentacji dotyczącej przetwarzania danych osobowych, w tym zgodności z RODO. • Weryfikacja rejestrów czynności przetwarzania danych, ocen skutków dla ochrony danych oraz testów równowagi. j) Dokumentacja operacyjna • Analiza polityk i procedur dotyczących korzystania z systemów, urządzeń i sieci. • Weryfikacja zasad postępowania z nośnikami informacji, tworzenia haseł i korzystania z Internetu oraz poczty elektronicznej. k) Zarządzanie dostawcami • Sprawdzenie polityk i procedur związanych z bezpieczeństwem informacji w relacjach z dostawcami. • Ocena zgodności działań dostawców z wymaganiami organizacji. l) Zgodność z wymaganiami prawnymi • Weryfikacja dokumentacji dotyczącej monitorowania i przestrzegania wymagań prawnych, regulacyjnych i umownych. • Analiza zgodności z politykami zgodności oraz audytami technicznymi. 4.2.6.) Główny kod CPV: 72800000-8 - Usługi audytu komputerowego i testowania komputerów 4.2.7.) Dodatkowy kod CPV: 72810000-1 - Usługi audytu komputerowego 4.2.8.) Zamówienie obejmuje opcje: Nie 4.2.10.) Okres realizacji zamówienia albo umowy ramowej: do 2026-05-31 4.2.11.) Zamawiający przewiduje wznowienia: Nie 4.2.13.) Zamawiający przewiduje udzielenie dotychczasowemu wykonawcy zamówień na podobne usługi lub roboty budowlane: Tak 4.2.14.) Przedmiot, wielkość lub zakres oraz warunki zamówień na podobne usługi lub roboty budowlane: Zamawiający przewiduje udzielenie zamówień o których mowa w art. 214 ust.1 pkt 7 ustawy Pzp. które polegają na powtórzeniu podobnych usług w wysokości do 300 % wartości zamówienia podstawowego w zakresie audytu systemu informacji 4.3.) Kryteria oceny ofert 4.3.1.) Sposób oceny ofert: Stosowanie matematycznych obliczeń przy ocenie ofert, stanowi podstawową zasadę oceny ofert, które oceniane będą w odniesieniu do najkorzystniejszych warunków przedstawionych przez Wykonawców w zakresie każdego kryterium. 5. Wynik – oferta, która przedstawia najkorzystniejszy bilans (maksymalna liczba przyznanych punktów w oparciu o ustalone kryterium) zostanie uznana za najkorzystniejszą, pozostałe oferty zostaną sklasyfikowane zgodnie z ilością uzyskanych punktów. Realizacja zamówienia zostanie powierzona Wykonawcy, którego oferta uzyska najwyższą ilość punktów. 4.3.2.) Sposób określania wagi kryteriów oceny ofert: Punktowo 4.3.3.) Stosowane kryteria oceny ofert: Kryterium ceny oraz kryteria jakościowe Kryterium 1 4.3.5.) Nazwa kryterium: Cena 4.3.6.) Waga: 60 Kryterium 2 4.3.4.) Rodzaj kryterium: inne. 4.3.5.) Nazwa kryterium: Skrócenie terminu realizacji zadania 4.3.6.) Waga: 40 4.3.10.) Zamawiający określa aspekty społeczne, środowiskowe lub innowacyjne, żąda etykiet lub stosuje rachunek kosztów cyklu życia w odniesieniu do kryterium oceny ofert: Nie

Warunki udziału

5.1.) Zamawiający przewiduje fakultatywne podstawy wykluczenia: Tak 5.2.) Fakultatywne podstawy wykluczenia: Art. 109 ust. 1 pkt 1 Art. 109 ust. 1 pkt 4 Art. 109 ust. 1 pkt 9 5.3.) Warunki udziału w postępowaniu: Nie 5.5.) Zamawiający wymaga złożenia oświadczenia, o którym mowa w art.125 ust. 1 ustawy: Tak 5.11.) Wykaz innych wymaganych oświadczeń lub dokumentów: 1. Na ofertę składają się następujące dokumenty i załączniki które pod rygorem nieważności, składa się w formie elektronicznej lub w postaci elektronicznej opatrzonej podpisem zaufanym, podpisem osobistym lub kwalifikowanym podpisem elektronicznym: 1) formularz ofertowy – wypełniony i podpisany przez wykonawcę, dokument wygenerowany i wypełniony na platformie e-zamówienia, 2. Wraz z ofertą wykonawca winien przesłać wyłącznie w formie elektronicznej lub w postaci elektronicznej opatrzonej podpisem zaufanym lub podpisem osobistym lub kwalifikowanym podpisem elektronicznym: 1) Pełnomocnictwo (jeżeli dotyczy). 2) oświadczenie wykonawcy na podstawie art. 125 ust. 1 ustawy Pzp stanowiące wstępne potwierdzenie spełniania warunków udziału w postępowaniu oraz potwierdzenie braku podstaw do wykluczenia – składane odrębnie przez wykonawcę lub każdego z wykonawców konsorcjum – załącznik nr 1 ; 3) oświadczenie na podstawie art. 125 ust. 1 ustawy Pzp stanowiące wstępne potwierdzenie spełniania warunków udziału w postępowaniu oraz potwierdzenie braku podstaw do wykluczenia – podpisane odrębnie przez podmiot udostępniający zasoby - załącznik nr 2; 4) Oświadczenie o którym mowa w art. 117 ust. 4 ustawy (dotyczy tylko wykonawców wspólnie ubiegających się o zamówienie) – podpisane wspólnie przez wykonawców - załącznik nr 3; 5) Zobowiązanie innych podmiotów do oddania do dyspozycji wykonawcy zasobów na okres korzystania z nich przy wykonywaniu zamówienia (jeżeli dotyczy) podpisane odrębnie przez podmiot udostępniający zasoby - załącznik nr 4;

Kontakt z zamawiającym