Przygotowanie,wdrożenie polityk zarzadzania bezpieczeństwem informacji. Przeprowadzenie testów bezpieczeństwa, Przeprowadzenie audytu zgodności ISO 27001 dla USK2 UM w Łodzi

Zakres prac

4.1.) Informacje ogólne odnoszące się do przedmiotu zamówienia. 4.1.1.) Przed wszczęciem postępowania przeprowadzono konsultacje rynkowe: Nie 4.1.2.) Numer referencyjny: 48/TP/ZP/U/2026 4.1.3.) Rodzaj zamówienia: Usługi 4.1.4.) Zamawiający udziela zamówienia w częściach, z których każda stanowi przedmiot odrębnego postępowania: Nie 4.1.8.) Możliwe jest składanie ofert częściowych: Tak 4.1.9.) Liczba części: 3 4.1.10.) Ofertę można składać na wszystkie części 4.1.11.) Zamawiający ogranicza liczbę części zamówienia, którą można udzielić jednemu wykonawcy: Nie 4.1.13.) Zamawiający uwzględnia aspekty społeczne, środowiskowe lub etykiety w opisie przedmiotu zamówienia: Nie 4.2. Informacje szczegółowe odnoszące się do przedmiotu zamówienia: Część 1 4.2.2.) Krótki opis przedmiotu zamówienia Przedmiotem zamówienia jest: Pakiet 1: Przygotowanie i wdrożenie 9 polityk zarzadzania bezpieczeństwem informacji. w ramach projektu pn. ,,Rozwój usług cyfrowych w Uniwersyteckim Szpitalu Klinicznym nr 2 Uniwersytetu Medycznego w Łodzi”, zgodnie z warunkami określonymi w dokumentach niniejszego zamówienia, w tym w szczególności „Formularzu cenowym” (załącznik nr 2 do SWZ) i „Opisie Przedmiotu Zamówienia ” (załącznik nr 1a do Formularza Oferty). 4.2.6.) Główny kod CPV: 72800000-8 - Usługi audytu komputerowego i testowania komputerów 4.2.8.) Zamówienie obejmuje opcje: Nie 4.2.10.) Okres realizacji zamówienia albo umowy ramowej: do 2026-06-15 4.2.11.) Zamawiający przewiduje wznowienia: Nie 4.2.13.) Zamawiający przewiduje udzielenie dotychczasowemu wykonawcy zamówień na podobne usługi lub roboty budowlane: Nie 4.3.) Kryteria oceny ofert: 4.3.2.) Sposób określania wagi kryteriów oceny ofert: Procentowo 4.3.3.) Stosowane kryteria oceny ofert: Kryterium ceny oraz kryteria jakościowe Kryterium 1 4.3.5.) Nazwa kryterium: Cena 4.3.6.) Waga: 60 Kryterium 2 4.3.4.) Rodzaj kryterium: inne. 4.3.5.) Nazwa kryterium: Inne niz cena 4.3.6.) Waga: 40 4.3.10.) Zamawiający określa aspekty społeczne, środowiskowe lub innowacyjne, żąda etykiet lub stosuje rachunek kosztów cyklu życia w odniesieniu do kryterium oceny ofert: Nie Część 2 4.2.2.) Krótki opis przedmiotu zamówienia Pakiet 2: Przeprowadzenie testów bezpieczeństwa infrastruktury Zamawiającego. w ramach projektu pn. ,,Rozwój usług cyfrowych w Uniwersyteckim Szpitalu Klinicznym nr 2 Uniwersytetu Medycznego w Łodzi”, zgodnie z warunkami określonymi w dokumentach niniejszego zamówienia, w tym w szczególności „Formularzu cenowym” (załącznik nr 2 do SWZ) i „Opisie Przedmiotu Zamówienia ” (załącznik nr 1a do Formularza Oferty). 4.2.6.) Główny kod CPV: 72800000-8 - Usługi audytu komputerowego i testowania komputerów 4.2.8.) Zamówienie obejmuje opcje: Nie 4.2.10.) Okres realizacji zamówienia albo umowy ramowej: do 2026-06-15 4.2.11.) Zamawiający przewiduje wznowienia: Nie 4.2.13.) Zamawiający przewiduje udzielenie dotychczasowemu wykonawcy zamówień na podobne usługi lub roboty budowlane: Nie 4.3.) Kryteria oceny ofert: 4.3.2.) Sposób określania wagi kryteriów oceny ofert: Procentowo 4.3.3.) Stosowane kryteria oceny ofert: Kryterium ceny oraz kryteria jakościowe Kryterium 1 4.3.5.) Nazwa kryterium: Cena 4.3.6.) Waga: 60 Kryterium 2 4.3.4.) Rodzaj kryterium: inne. 4.3.5.) Nazwa kryterium: Inne niz cena 4.3.6.) Waga: 40 4.3.10.) Zamawiający określa aspekty społeczne, środowiskowe lub innowacyjne, żąda etykiet lub stosuje rachunek kosztów cyklu życia w odniesieniu do kryterium oceny ofert: Nie Część 3 4.2.2.) Krótki opis przedmiotu zamówienia Pakiet 3: Przeprowadzenie audytu zgodności ISO 27001 z testami bezpieczeństwa.w ramach projektu pn. ,,Rozwój usług cyfrowych w Uniwersyteckim Szpitalu Klinicznym nr 2 Uniwersytetu Medycznego w Łodzi”, zgodnie z warunkami określonymi w dokumentach niniejszego zamówienia, w tym w szczególności „Formularzu cenowym” (załącznik nr 2 do SWZ) i „Opisie Przedmiotu Zamówienia ” (załącznik nr 1a do Formularza Oferty). 4.2.6.) Główny kod CPV: 72800000-8 - Usługi audytu komputerowego i testowania komputerów 4.2.8.) Zamówienie obejmuje opcje: Nie 4.2.10.) Okres realizacji zamówienia albo umowy ramowej: do 2026-06-26 4.2.11.) Zamawiający przewiduje wznowienia: Nie 4.2.13.) Zamawiający przewiduje udzielenie dotychczasowemu wykonawcy zamówień na podobne usługi lub roboty budowlane: Nie 4.3.) Kryteria oceny ofert: 4.3.2.) Sposób określania wagi kryteriów oceny ofert: Procentowo 4.3.3.) Stosowane kryteria oceny ofert: Kryterium ceny oraz kryteria jakościowe Kryterium 1 4.3.5.) Nazwa kryterium: Cena 4.3.6.) Waga: 60 Kryterium 2 4.3.4.) Rodzaj kryterium: inne. 4.3.5.) Nazwa kryterium: Inne niz cena 4.3.6.) Waga: 40 4.3.10.) Zamawiający określa aspekty społeczne, środowiskowe lub innowacyjne, żąda etykiet lub stosuje rachunek kosztów cyklu życia w odniesieniu do kryterium oceny ofert: Nie

Warunki udziału

5.1.) Zamawiający przewiduje fakultatywne podstawy wykluczenia: Tak 5.2.) Fakultatywne podstawy wykluczenia: Art. 109 ust. 1 pkt 4 5.3.) Warunki udziału w postępowaniu: Tak 5.4.) Nazwa i opis warunków udziału w postępowaniu. (dotyczy wyłącznie Pakietu 3), zgodnie z art. 15 ust. 2 i 3 ustawy z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2026 r. poz. 20 ze zm.: Zamawiający wymaga, aby Wykonawca wykazał, że audyt końcowy zostanie przeprowadzony przez podmiot spełniający co najmniej jeden z poniższych wariantów: • Wariant A – jednostka oceniająca zgodność (akredytowana): Audyt przeprowadzi jednostka oceniająca zgodność posiadająca ważną akredytację w zakresie właściwym do ocen bezpieczeństwa systemów informacyjnych. lub • Wariant B – zespół audytorów (minimum 2 osoby): Audyt zostanie przeprowadzony przez co najmniej dwóch audytorów, z których każdy spełnia co najmniej jeden z warunków: 1. posiada certyfikat z wykazu certyfikatów uprawniających do prowadzenia audytu bezpieczeństwa systemów informacyjnych (wydany przez uprawniony podmiot i ważny na dzień składania ofert / weryfikacji), lub 2. posiada co najmniej 3-letnią praktykę w zakresie audytu bezpieczeństwa systemów informacyjnych (praktyka rozumiana jako udokumentowana, zgodnie z definicją ustawową), lub 3. posiada co najmniej 2-letnią praktykę w zakresie audytu bezpieczeństwa systemów informacyjnych oraz dyplom ukończenia studiów podyplomowych w zakresie audytu bezpieczeństwa systemów informacyjnych, spełniający wymogi ustawowe. lub • Wariant C – sektorowy zespół cyberbezpieczeństwa: Audyt przeprowadzi sektorowy zespół cyberbezpieczeństwa, przy czym audytorzy spełniają wymagania jak w Wariancie B. 5.5.) Zamawiający wymaga złożenia oświadczenia, o którym mowa w art.125 ust. 1 ustawy: Tak 5.6.) Wykaz podmiotowych środków dowodowych na potwierdzenie niepodlegania wykluczeniu: W celu potwierdzenia braku podstaw wykluczenia Wykonawcy z udziału w postępowaniu o udzielenie zamówienia: 2.1. Oświadczenia Wykonawcy, w zakresie art. 108 ust. 1 pkt 5 ustawy PZP, o braku przynależności do tej samej grupy kapitałowej, w rozumieniu ustawy z dnia 16 lutego 2007 r. o ochronie konkurencji i konsumentów (Dz. U. z 2024 r poz. 594 t.j., ze zm.), z innym Wykonawcą, który złożył odrębną ofertą, ofertę częściową lub wniosek o dopuszczenie do udziału w postępowaniu, albo oświadczenie o przynależności do tej samej grupy kapitałowej wraz z dokumentami lub informacjami potwierdzającymi przygotowanie oferty, oferty częściowej lub wniosku o dopuszczenie do udziału w postępowaniu niezależnie od innego Wykonawcy należącego do tej samej grupy kapitałowej - załącznik nr 5 do SWZ; 2.2. Odpisu lub informacji z Krajowego Rejestru Sądowego lub z Centralnej Ewidencji i Informacji o Działalności Gospodarczej, w zakresie art. 109 ust. 1 pkt. 4 Ustawy, sporządzonej nie wcześniej niż 3 miesiące przed jej złożeniem, jeżeli odrębne przepisy wymagają wpisu do rejestru lub ewidencji; 2.3. Oświadczenia Wykonawcy o aktualności informacji zawartych w załączonym do oferty oświadczeniu o braku podstaw do wykluczenia, w zakresie podstaw wykluczenia z postępowania wskazanych przez zamawiającego - załącznik nr 6 do SWZ; 2.4. Oświadczenia Podmiotu udostępniającego zasoby o aktualności informacji zawartych w załączonym do oferty oświadczeniu o braku podstaw do wykluczenia, w zakresie podstaw wykluczenia z postępowania wskazanych przez zamawiającego - załącznik nr 6a do SWZ. Wykonawca, który polega na zdolnościach technicznych lub zawodowych podmiotów udostępniających zasoby na zasadach określonych w art. 118 Ustawy, jest zobowiązany do przedstawienia w odniesieniu do tych podmiotów dokumentów wymienionych w ust. 2. w punkcie 2.2., 2.3., 2.4 5.7.) Wykaz podmiotowych środków dowodowych na potwierdzenie spełniania warunków udziału w postępowaniu: Zamawiający wezwie Wykonawcę, którego oferta została najwyżej oceniona (lub na zasadach przewidzianych w SWZ) w zakresie Pakietu 3, do złożenia następujących podmiotowych środków dowodowych potwierdzających spełnienie warunku udziału: 1) Wariant A – jednostka oceniająca zgodność (akredytowana) Wykonawca składa: 1. Oświadczenie/Wykaz osób skierowanych do realizacji zamówienia – wg wzoru z załącznika nr 7 do SWZ 2. Kopię certyfikatu akredytacji jednostki oceniającej zgodność, 3. Zakres akredytacji (załącznik do certyfikatu) potwierdzający, że obejmuje on zakres właściwy do ocen bezpieczeń-stwa systemów informacyjnych, 4. Oświadczenie, że audyt w ramach zamówienia zostanie wykonany przez tę jednostkę (nazwa, nr akredytacji). 2) Wariant B – zespół audytorów (minimum 2 osoby) Wykonawca składa: 1. Oświadczenie/Wykaz osób skierowanych do realizacji zamówienia (minimum 2 audytorów) – według wzoru z za-łącznika 7 do SWZ, 2. dla każdej osoby z wykazu – dokumenty potwierdzające spełnienie jednej z trzech ścieżek: • Ścieżka 1 – certyfikat (dla danego audytora): 1. Oświadczenie/Wykaz osób skierowanych do realizacji zamówienia (minimum 2 audytorów) – według wzoru z za-łącznika 7 do SWZ, 2. kopie certyfikatów (z numerem/ID), 3. potwierdzenie ważności certyfikatów (np. wydruk z rejestru weryfikacyjnego lub oświadczenie z możliwością weryfi-kacji), 4. w przypadku certyfikatów „Audytor wiodący ISO/IEC 27001” lub „Audytor wiodący ISO 22301” – dodatkowo informa-cja, że certyfikat został wydany przez jednostkę akredytowaną w zakresie certyfikacji osób (np. PCA lub równoważ-na). • Ścieżka 2 – praktyka min. 3 lata (dla danego audytora): 1. Oświadczenie/Wykaz osób skierowanych do realizacji zamówienia (minimum 2 audytorów) – według wzoru z za-łącznika 7 do SWZ, 2. Dowody należytego wykonania (np. referencje, protokoły odbioru, poświadczenia), w zakresie pozwalającym na weryfikację (dopuszczalne zanonimizowanie danych wrażliwych). • Ścieżka 3 – praktyka min. 2 lata + studia podyplomowe (dla danego audytora): 1. Oświadczenie/Wykaz osób skierowanych do realizacji zamówienia (minimum 2 audytorów) – według wzoru z za-łącznika 7 do SWZ, 2. dokumenty jak w Ścieżce 2 potwierdzające min. 2 lata praktyki, 3. kopia dyplomu studiów podyplomowych z zakresu audytu bezpieczeństwa systemów informacyjnych, 3) Wariant C – sektorowy zespół cyberbezpieczeństwa Wykonawca składa: 1. Oświadczenie/Wykaz osób skierowanych do realizacji zamówienia (minimum 2 audytorów) – według wzoru z za-łącznika 7 do SWZ, 2. dokument potwierdzający status sektorowego zespołu cyberbezpieczeństwa, 3. komplet dokumentów jak dla Wariantu B dla minimum 2 audytorów. Wykonawca, który polega na zdolnościach technicznych lub zawodowych podmiotów udostępniających zasoby na zasadach określonych w art. 118 Ustawy, jest zobowiązany do przedstawienia w odniesieniu do tych podmiotów dokumentów wymienionych w ust. 5.1 i 5.2.. 5.8.) Wykaz przedmiotowych środków dowodowych: 1) Pakiet 1 - Przygotowanie i wdrożenie 9 polityk zarzadzania bezpieczeństwem informacji – dla potwierdzenia spełnienia kryteriów pozacenowych: a) certyfikat zgodny z normą ISO/IEC 27001 lub równoważny potwierdzającego wdrożenie przez Wykonawcę systemu zarządzania bezpieczeństwem informacji Za certyfikat równoważny dla certyfikatu ISO/IEC 27001 Zamawiający uzna certyfikat wydany przez niezależną akredytowaną jednostkę oceniającą zgodność, potwierdzający wdrożenie i funkcjonowanie u Wykonawcy systemu zarządzania bezpieczeństwem informacji, obejmującego co najmniej:  zarządzanie bezpieczeństwem informacji,  analizę i szacowanie ryzyka,  zarządzanie incydentami bezpieczeństwa,  nadzór nad dostępem do informacji,  zapewnienie ciągłości działania,  stosowanie środków organizacyjnych i technicznych służących ochronie informacji. Certyfikat równoważny musi być oparty o uznane krajowe lub międzynarodowe standardy bezpieczeństwa informacji oraz pozostawać ważny na dzień składania ofert. b) certyfikat Lead Implementer ISO 27001 lub równoważny wydany dla audytora wiodącego. Za certyfikat równoważny dla certyfikatu Lead Implementer ISO/IEC 27001 Zamawiający uzna certyfikat potwierdzający posiadanie przez osobę kompetencji w zakresie projektowania, wdrażania, utrzymania lub doskonalenia systemu zarządzania bezpieczeństwem informacji zgodnego z wymaganiami normy ISO/IEC 27001. Certyfikat równoważny powinien:  obejmować zagadnienia związane z wdrażaniem systemu zarządzania bezpieczeństwem infor-macji,  potwierdzać znajomość analizy ryzyka, zarządzania incydentami bezpieczeństwa oraz mechani-zmów nadzoru nad bezpieczeństwem informacji,  być wydany przez niezależną jednostkę szkoleniową, certyfikującą lub akredytowaną organiza-cję branżową, Certyfikat musi pozostawać ważny na dzień składania ofert. 2) Pakiet 2 - Przeprowadzenie testów bezpieczeństwa infrastruktury Zamawiającego dla potwierdzenia spełnienia kryterim pozacenowego: a) certyfikaty bezpieczeństwa np. OSCP, CEG, CISSP, CompTIA PenTest+ lub równoważne wydane dla co najmniej jednej osoby skierowanej przez Wykonawcę do realizacji zamówienia Za certyfikaty równoważne dla certyfikatów OSCP, CEH, CISSP oraz CompTIA PenTest+ Zamawiający uzna certyfikaty potwierdzające posiadanie wiedzy i kompetencji w zakresie bezpieczeństwa teleinformatycznego, testów bezpieczeństwa, identyfikacji podatności, analizy ryzyka, bezpieczeństwa systemów i sieci teleinformatycznych lub reagowania na incydenty bezpieczeństwa. Certyfikat równoważny powinien:  być wydany przez niezależną organizację certyfikującą lub branżową,  obejmować swoim zakresem zagadnienia związane z cyberbezpieczeństwem, testami bezpie-czeństwa lub bezpieczeństwem informacji,  potwierdzać zdanie egzaminu lub procesu certyfikacji weryfikującego wiedzę i umiejętności praktyczne albo teoretyczne, Certyfikat pozostawać ważny na dzień składania ofert. 3) Pakiet 3 Przeprowadzenie audytu zgodności ISO 27001 z testami bezpieczeństwa dla potwierdzenia spełnienia kryterium pozacenowego: a) certyfikat Lead Implementer ISO 27001 lub równoważny wydany dla audytora wiodącego. Za certyfikat równoważny dla certyfikatu Lead Implementer ISO/IEC 27001 Zamawiający uzna certyfikat potwierdzający posiadanie przez osobę kompetencji w zakresie projektowania, wdrażania, utrzymania lub doskonalenia systemu zarządzania bezpieczeństwem informacji zgodnego z wymaganiami normy ISO/IEC 27001. Certyfikat równoważny powinien:  obejmować zagadnienia związane z wdrażaniem systemu zarządzania bezpieczeństwem infor-macji,  potwierdzać znajomość analizy ryzyka, zarządzania incydentami bezpieczeństwa oraz mechani-zmów nadzoru nad bezpieczeństwem informacji,  być wydany przez niezależną jednostkę szkoleniową, certyfikującą lub akredytowaną organizację branżową, 5.9.) Zamawiający przewiduje uzupełnienie przedmiotowych środków dowodowych: Tak 5.10.) Przedmiotowe środki dowodowe podlegające uzupełnieniu po złożeniu oferty: Pakiet 1 a) certyfikat zgodny z normą ISO/IEC 27001 lub równoważny potwierdzającego wdrożenie przez Wykonawcę systemu zarządzania bezpieczeństwem informacji b) certyfikat Lead Implementer ISO 27001 lub równoważny wydany dla audytora wiodącego. 2) Pakiet 2 - a) certyfikaty bezpieczeństwa np. OSCP, CEG, CISSP, CompTIA PenTest+ lub równoważne wydane dla co najmniej jednej osoby skierowanej przez Wykonawcę do realizacji zamówienia 3) Pakiet 3 a) certyfikat Lead Implementer ISO 27001 lub równoważny wydany dla audytora wiodącego.

Kontakt z zamawiającym