usługi zwiększające poziom cyberbezpieczeństwa szpitala, realizowane w ramach Krajowego Planu Odbudowy D1.1.2

Zakres prac

4.1.) Informacje ogólne odnoszące się do przedmiotu zamówienia. 4.1.1.) Przed wszczęciem postępowania przeprowadzono konsultacje rynkowe: Nie 4.1.2.) Numer referencyjny: U-20/P/26 4.1.3.) Rodzaj zamówienia: Usługi 4.1.4.) Zamawiający udziela zamówienia w częściach, z których każda stanowi przedmiot odrębnego postępowania: Nie 4.1.8.) Możliwe jest składanie ofert częściowych: Tak 4.1.9.) Liczba części: 3 4.1.10.) Ofertę można składać na wszystkie części 4.1.11.) Zamawiający ogranicza liczbę części zamówienia, którą można udzielić jednemu wykonawcy: Nie 4.1.13.) Zamawiający uwzględnia aspekty społeczne, środowiskowe lub etykiety w opisie przedmiotu zamówienia: Nie 4.2. Informacje szczegółowe odnoszące się do przedmiotu zamówienia: Część 1 4.2.2.) Krótki opis przedmiotu zamówienia Pakiet 1- szkolenia z zakresu cyberbezpieczeństwa 4.2.6.) Główny kod CPV: 80550000-4 - Usługi szkolenia w dziedzinie bezpieczeństwa 4.2.7.) Dodatkowy kod CPV: 79632000-3 - Szkolenie pracowników 80510000-2 - Usługi szkolenia specjalistycznego 80550000-4 - Usługi szkolenia w dziedzinie bezpieczeństwa 80330000-6 - Usługi edukacji w zakresie bezpieczeństwa 80500000-9 - Usługi szkoleniowe 4.2.8.) Zamówienie obejmuje opcje: Nie 4.2.10.) Okres realizacji zamówienia albo umowy ramowej: do 2026-07-03 4.2.11.) Zamawiający przewiduje wznowienia: Nie 4.2.13.) Zamawiający przewiduje udzielenie dotychczasowemu wykonawcy zamówień na podobne usługi lub roboty budowlane: Nie 4.3.) Kryteria oceny ofert: 4.3.1.) Sposób oceny ofert: 1. Sposób oceny ofert: 1) Pakiet nr 1 „SZKOLENIA Z ZAKRESU CYBERBEZPIECZEŃSTWA”, Cena oferty brutto - 60% Doświadczenie trenera wiodącego - 40% Kryterium cena – 60 pkt Punkty w kryterium cena zostaną obliczone według wzoru: KC = [CN / CR x 100%] x 60 KC – ilość punktów dla kryterium cena CN – najniższa oferowana cena brutto CR – cena brutto oferty rozpatrywanej Kryterium doświadczenie trenera wiodącego – 40 pkt Ocena oferty w ramach kryterium „Doświadczenie trenera wiodącego” zostanie dokonana na podstawie informacji podanej przez Wykonawcę w „Formularzu ofertowym” stanowiącym Załącznik nr 3 do SWZ. W okresie ostatnich 3 lat przed upływem terminu składania ofert przeprowadził szkolenia dla różnych podmiotów, przy czym tematyką każdego szkolenia było bezpieczeństwo informacji, cyberhigiena użytkowników, ochrona przed phishingiem, reagowanie na incydenty, ransomware, ochrona danych osobowych lub bezpieczeństwo systemów informatycznych - 1–5 szkoleń → 5 pkt ≥ 6 szkoleń → 10 pkt Doświadczenie w pracy z dużymi grupami powyżej 20 osób - liczba przeprowadzonych szkoleń, w których grupa docelowa była nie mniejsza niż 20 szkolonych osób, przy czym każde szkolenie musi być przeprowadzone na podstawie odrębnej umowy - 1–2 szkoleń → 3 pkt ≥ 3 szkoleń → 5 pkt Liczba wykazanych szkoleń dla podmiotu leczniczego, jednostki ochrony zdrowia albo organizacji przetwarzającej dane dotyczące zdrowia - 1–3 szkolenia → 5 pkt ≥ 4 szkoleń → 10 pkt Szkolenia obejmujące ćwiczenia praktyczne, w zakresie analizy wiadomości phishingowych, scenariusze reakcji na incydent, studium przypadku naruszenia bezpieczeństwa informacji, ransomware lub ćwiczenie typu tabletop (symulacja) - 1 szkolenie → 0 pkt 2 szkolenia → 3 pkt ≥ 3 szkolenia → 5 pkt Posiadanie certyfikatów, dyplomów lub innych dokumentów potwierdzających kwalifikacje w zakresie cyberbezpieczeństwa, bezpieczeństwa informacji, audytu bezpieczeństwa informacji, ochrony danych osobowych lub zarządzania incydentami, ceryfikat ISO/IEC 27001 Auditor/Lead Auditor/Implementer lub równoważne, CISM, CISSP, CompTIA Security+, CEH, SSCP, ECIH, GIAC, certyfikat audytora wewnętrznego SZBI, ukończone studia podyplomowe z zakresu cyberbezpieczeństwa, bezpieczeństwa informacji lub ochrony danych osobowych. Przez pojęcie certyfikat równoważny, Zamawiający rozumie dokument wydany przez uprawnioną, niezależną jednostkę oceniającą zgodność (lub inny uprawniony podmiot), który potwierdza, że dany produkt, usługa, proces lub kompetencje spełniają te same wymagania, normy i standardy jakościowe lub bezpieczeństwa, co certyfikat wskazany jako referencyjny - 1–2 dokumenty → 5 pkt ≥3 dokumenty → 10 pkt 4.3.2.) Sposób określania wagi kryteriów oceny ofert: Procentowo 4.3.3.) Stosowane kryteria oceny ofert: Kryterium ceny oraz kryteria jakościowe Kryterium 1 4.3.5.) Nazwa kryterium: Cena 4.3.6.) Waga: 60 Kryterium 2 4.3.4.) Rodzaj kryterium: organizacja, kwalifikacje zawodowe i doświadczenie osób wyznaczonych do realizacji zamówienia 4.3.5.) Nazwa kryterium: Doświadczenie trenera wiodącego 4.3.6.) Waga: 40 4.3.10.) Zamawiający określa aspekty społeczne, środowiskowe lub innowacyjne, żąda etykiet lub stosuje rachunek kosztów cyklu życia w odniesieniu do kryterium oceny ofert: Nie Część 2 4.2.2.) Krótki opis przedmiotu zamówienia Pakiet 2 - Przygotowanie procedur i dokumentacji w zakresie cyberbezpieczeństwa 4.2.6.) Główny kod CPV: 72512000-7 - Usługi zarządzania dokumentami 4.2.7.) Dodatkowy kod CPV: 72100000-6 - Usługi doradcze w zakresie sprzętu komputerowego 79417000-0 - Usługi doradcze w zakresie bezpieczeństwa 72512000-7 - Usługi zarządzania dokumentami 4.2.8.) Zamówienie obejmuje opcje: Nie 4.2.10.) Okres realizacji zamówienia albo umowy ramowej: do 2026-07-03 4.2.11.) Zamawiający przewiduje wznowienia: Nie 4.2.13.) Zamawiający przewiduje udzielenie dotychczasowemu wykonawcy zamówień na podobne usługi lub roboty budowlane: Nie 4.3.) Kryteria oceny ofert: 4.3.1.) Sposób oceny ofert: 2) Pakiet nr 2 „PRZYGOTOWANIE PROCEDUR I DOKUMENTACJI W ZAKRESIE CYBERBEZPIECZEŃSTWA” Cena oferty brutto 60% Doświadczenie personelu Wykonawcy - Liderzy 40% Kryterium cena – 60 pkt Punkty w kryterium cena zostaną obliczone według wzoru: KC = [CN / CR x 100%] x 60 KC – ilość punktów dla kryterium cena CN – najniższa oferowana cena brutto CR – cena brutto oferty rozpatrywanej Doświadczenie Liderów skierowanych do realizacji zamówienia w realizacji usług w okresie ostatnich 5 lat przed upływem terminu składania ofert, polegających na opracowaniu, aktualizacji, wdrożeniu lub audycie: systemu zarządzania bezpieczeństwem informacji (SZBI), lub dokumentacji bezpieczeństwa informacji (np. polityki, procedury), lub analizy ryzyka bezpieczeństwa informacji, lub dokumentacji ciągłości działania (BCP/DRP) 1-2 usługi → 5 pkt 3-4 usługi → 10 pkt 5-6 usług → 15 pkt ≥ 7 usług → 20 pkt Doświadczenie Liderów skierowanych do realizacji zamówienia w realizacji usługi określonej w pkt 1 dla podmiotu leczniczego, jednostki sektora publicznego, operatora usługi kluczowej, podmiotu kluczowego, podmiotu ważnego lub organizacji przetwarzającej dane osobowe szczególnych kategorii w rozumieniu art. 9 RODO - 1 usługa → 0 pkt 2-3 usługi → 5 pkt 4 usługi → 10 pkt ≥ 5 usług → 15 pkt Posiadanie łącznie przez wszystkie osoby skierowane do realizacji zamówienia aktualnych certyfikatów lub dokumentów potwierdzający kwalifikacje w zakresie bezpieczeństwa informacji, w szczególności: - audytora wiodącego ISO/IEC 27001:2022 (PN-EN ISO 27001:2023) lub równoważny, - audytora wewnętrznego ISO/IEC 27001:2022 (PN-EN ISO 27001:2023) lub równoważny, Na potrzeby kryteriów oceny ofert, każdorazowo przez certyfikat równoważny Zamawiający rozumie certyfikat, który jest analogiczny co do zakresu z przykładowymi certyfikatami wskazanymi z nazwy dla danej roli, co jest rozumiane jako: · analogiczna dziedzina merytoryczna wynikająca z roli, której dotyczy certyfikat; · analogiczny stopień poziomu kompetencji; · analogiczny poziom doświadczenia zawodowego wymaganego do otrzymania danego certyfikatu; · potwierdzony jest egzaminem. Certyfikat równoważny musi być wystawiony przez uprawnioną jednostkę certyfikującą. 1 dokument/certyfikat → 2 pkt ≥ 2 dokumenty/certyfikaty → 5 pkt 4.3.2.) Sposób określania wagi kryteriów oceny ofert: Procentowo 4.3.3.) Stosowane kryteria oceny ofert: Kryterium ceny oraz kryteria jakościowe Kryterium 1 4.3.5.) Nazwa kryterium: Cena 4.3.6.) Waga: 60 Kryterium 2 4.3.4.) Rodzaj kryterium: organizacja, kwalifikacje zawodowe i doświadczenie osób wyznaczonych do realizacji zamówienia 4.3.5.) Nazwa kryterium: Doświadczenie personelu Wykonawcy - Liderzy 4.3.6.) Waga: 40 4.3.10.) Zamawiający określa aspekty społeczne, środowiskowe lub innowacyjne, żąda etykiet lub stosuje rachunek kosztów cyklu życia w odniesieniu do kryterium oceny ofert: Nie Część 3 4.2.2.) Krótki opis przedmiotu zamówienia Pakiet 3 - audyt cyberbezpieczeństwa 4.2.6.) Główny kod CPV: 79212000-3 - Usługi audytu 4.2.7.) Dodatkowy kod CPV: 72100000-6 - Usługi doradcze w zakresie sprzętu komputerowego 79417000-0 - Usługi doradcze w zakresie bezpieczeństwa 72512000-7 - Usługi zarządzania dokumentami 72810000-1 - Usługi audytu komputerowego 4.2.8.) Zamówienie obejmuje opcje: Nie 4.2.10.) Okres realizacji zamówienia albo umowy ramowej: do 2026-07-15 4.2.11.) Zamawiający przewiduje wznowienia: Nie 4.2.13.) Zamawiający przewiduje udzielenie dotychczasowemu wykonawcy zamówień na podobne usługi lub roboty budowlane: Nie 4.3.) Kryteria oceny ofert: 4.3.1.) Sposób oceny ofert: 3) Pakiet nr 3 „AUDYT CYBERBEZPIECZEŃSTWA”. Cena oferty brutto 60% Doświadczenie personelu Wykonawcy 40% Kryterium cena – 60 pkt Punkty w kryterium cena zostaną obliczone według wzoru: KC = [CN / CR x 100%] x 60 KC – ilość punktów dla kryterium cena CN – najniższa oferowana cena brutto CR – cena brutto oferty rozpatrywanej Kryterium personelu Wykonawcy – 40 pkt Ocena oferty w ramach kryterium „Doświadczenie personelu Wykonawcy” zostanie dokonana na podstawie informacji podanej przez Wykonawcę w „Formularzu ofertowym” stanowiącym Załącznik nr 3 do SWZ. Audytor wiodący (lider zespołu) skierowany do realizacji zamówienia prowadził audyt bezpieczeństwa informacji lub audyt cyberbezpieczeństwa lub ocenę zgodności z ISO/IEC 27001:2022 (PN-EN ISO 27001:2023) lub równoważną, KRI, (Krajowe Ramy Interoperacyjności), KSC, NIST (Krajowego Systemu Cyberbezpieczeństwa), NIST (Natio

Warunki udziału

5.1.) Zamawiający przewiduje fakultatywne podstawy wykluczenia: Nie 5.3.) Warunki udziału w postępowaniu: Tak 5.4.) Nazwa i opis warunków udziału w postępowaniu. a) Pakiet nr 1 „SZKOLENIA Z ZAKRESU CYBERBEZPIECZEŃSTWA” Wykonawca skieruje do realizacji zamówienia co najmniej jedną osobę, która będzie pełniła obowiązki Trenera, która spełnia łącznie następujące wymagania: 1) w okresie ostatnich 3 lat przed upływem terminu składania ofert przeprowadziła co najmniej 5 szkoleń dla różnych podmiotów, przy czym: a. tematyką każdego szkolenia było bezpieczeństwo informacji, cyberhigiena użytkowników, ochrona przed phishingiem, reagowanie na incydenty, ransomware, ochrona danych osobowych lub bezpieczeństwo systemów informatycznych; b. co najmniej 3 z wykazanych szkoleń obejmowały grupę nie mniejszą niż 20 uczestników każde; c. co najmniej 1 z wykazanych szkoleń było przeprowadzone dla podmiotu leczniczego, jednostki ochrony zdrowia albo organizacji przetwarzającej dane dotyczące zdrowia; 2) przeprowadziła co najmniej 3 szkolenia skierowane do użytkowników ograniczonych cyfrowo (użytkownicy nie pełniący obowiązków z zakresu IT, tacy jak przykładowo pracownicy administracji lub personel medyczny); 3) przeprowadziła co najmniej 2 szkolenia obejmujące ćwiczenia praktyczne, w skład których wchodziła analiza wiadomości phishingowych, scenariusze reakcji na incydent, studium przypadku naruszenia bezpieczeństwa informacji, ransomware lub ćwiczenie typu tabletop (symulacja); 4) posiada co najmniej jeden certyfikat, dyplom lub inny dokument potwierdzający kwalifikacje w zakresie cyberbezpieczeństwa, bezpieczeństwa informacji, audytu bezpieczeństwa informacji, ochrony danych osobowych lub zarządzania incydentami, ceryfikat ISO/IEC 27001 Auditor/Lead Auditor/Implementer lub równoważne, CISM, CISSP, CompTIA Security+, CEH, SSCP, ECIH, GIAC, certyfikat audytora wewnętrznego SZBI, ukończone studia podyplomowe z zakresu cyberbezpieczeństwa, bezpieczeństwa informacji lub ochrony danych osobowych. Przez pojęcie certyfikat równoważny Zamawiający rozumie dokument wydany przez uprawnioną, niezależną jednostkę oceniającą zgodność (lub inny uprawniony podmiot), który potwierdza, że dany produkt, usługa, proces lub kompetencje spełniają te same wymagania, standardy jakościowe co certyfikat wskazany jako referencyjny. W ramach warunków udziału w postępowaniu określonych w pkt 1-3 można przedstawić to samo szkolenie, jeżeli spełnia ono wszystkie wymogi określone w dwóch lub więcej wskazanych wyżej punktach. Przez 2 lub więcej szkoleń rozumie się szkolenia wykonane na podstawie różnych umów. b) Pakiet nr 2 „PRZYGOTOWANIE PROCEDUR I DOKUMENTACJI W ZAKRESIE CYBERBEZPIECZEŃSTWA” Wykonawca skieruje do realizacji zamówienia co najmniej dwie osoby, z których każda spełni łącznie następujące wymagania: 1) posiada doświadczenie obejmujące udział w realizacji co najmniej 2 usług (zrealizowanych na podstawie odrębnych umów), wykonanych w okresie ostatnich 5 lat przed upływem terminu składania ofert, polegających na opracowaniu, aktualizacji, wdrożeniu lub audycie: systemu zarządzania bezpieczeństwem informacji (SZBI) lub dokumentacji bezpieczeństwa informacji (np. polityk, procedur) lub analizy ryzyka bezpieczeństwa informacji lub dokumentacji ciągłości działania (BCP/DRP), przy czym co najmniej jedna z usług została wykonana na rzecz: podmiotu leczniczego, lub podmiotu przetwarzającego dane osobowe szczególnych kategorii w rozumieniu art. 9 RODO; 2) posiada co najmniej jeden z wymienionych poniżej, aktualny, certyfikat lub dokument potwierdzający kwalifikacje w zakresie bezpieczeństwa informacji: a. audytora wiodącego ISO/IEC 27001:2022 (PN-EN ISO 27001:2023) lub równoważny, b. audytora wewnętrznego ISO/IEC 27001:2022 (PN-EN ISO 27001:2023) lub równoważny. Na potrzeby warunków udziału w postępowaniu, każdorazowo przez certyfikat równoważny Zamawiający rozumie certyfikat, który jest analogiczny co do zakresu z powyższymi certyfikatami, co jest rozumiane jako: · analogiczna dziedzina merytoryczna wynikająca z roli, której dotyczy certyfikat; · analogiczny stopień poziomu kompetencji; · analogiczny poziom doświadczenia zawodowego wymaganego do otrzymania danego certyfikatu; · potwierdzony jest egzaminem. Certyfikat równoważny musi być wystawiony przez uprawnioną jednostkę certyfikującą. c) Pakiet nr 3 „AUDYT CYBERBEZPIECZEŃSTWA” Wykonawca skieruje do realizacji zamówienia co najmniej dwie osoby, które będą uczestniczyć w wykonywaniu audytu bezpieczeństwa informacji i cyberbezpieczeństwa, w tym: 1) audytora wiodącego (lider zespołu) Osoba pełniąca rolę audytora wiodącego musi posiadać łącznie: a) doświadczenie polegające na udziale, w okresie ostatnich 5 lat przed upływem terminu składania ofert, w realizacji co najmniej 2 usług obejmujących: i. audyt bezpieczeństwa informacji lub ii. audyt cyberbezpieczeństwa lub iii. ocenę zgodności z co najmniej jedną następujących norm: ISO/IEC 27001:2022 (PN-EN ISO 27001:2023) lub równoważną, KRI (Krajowe Ramy Interoperacyjności), KSC (Krajowego Systemu Cyberbezpieczeństwa), NIST (National Institute of Standards and Technology), Cybersecurity Framework lub CIS Controls lub standardami równoważnymi; b) doświadczenie w realizacji co najmniej 1 usługi określonej w lit. a na rzecz podmiotu leczniczego lub organizacji przetwarzającej dane szczególnych kategorii w rozumieniu art. 9 RODO; c) co najmniej jeden z następujących certyfikatów lub certyfikat równoważny: • ISO/IEC 27001 Lead Auditor, • ISO/IEC 27001 Internal Auditor, • ISO/IEC 27005 Risk Manager, • CISA, • CISSP, • CRISC. Za certyfikat równoważny Zamawiający uznaje dokument potwierdzający kwalifikacje: • o porównywalnym zakresie merytorycznym, • potwierdzający podobny poziom wiedzy lub umiejętności, • wydany przez niezależny podmiot certyfikujący. 2) Eksperta technicznego Osoba pełniąca rolę eksperta technicznego musi posiadać łącznie: a) doświadczenie polegające na udziale, w okresie ostatnich 5 lat przed upływem terminu składania ofert, w realizacji co najmniej 2 usług obejmujących: i. ocenę technicznych zabezpieczeń systemów teleinformatycznych lub ii. weryfikację bezpieczeństwa infrastruktury IT lub iii. analizę ryzyka bezpieczeństwa informacji lub iv. audyt cyberbezpieczeństwa lub testy bezpieczeństwa; b) co najmniej jeden certyfikat potwierdzający kompetencje w obszarze cyberbezpieczeństwa, bezpieczeństwa systemów informatycznych lub bezpieczeństwa sieci taki jak: • Security+, • CEH, • CySA+, • CISSP, • CISM, • certyfikat równoważny. Za certyfikat równoważny Zamawiający uznaje dokument potwierdzający kwalifikacje: • o porównywalnym zakresie merytorycznym, • potwierdzający podobny poziom wiedzy lub umiejętności, • wydany przez niezależny podmiot certyfikujący, UWAGA: Przez dwie usługi rozumie się usługi wykonane na podstawie odrębnych umów. 5.5.) Zamawiający wymaga złożenia oświadczenia, o którym mowa w art.125 ust. 1 ustawy: Tak 5.7.) Wykaz podmiotowych środków dowodowych na potwierdzenie spełniania warunków udziału w postępowaniu: Zamawiający przed wyborem najkorzystniejszej oferty wezwie wykonawcę, którego oferta została najwyżej oceniona, do złożenia w wyznaczonym terminie, nie krótszym niż 5 dni, aktualnych na dzień złożenia następujących oświadczeń lub dokumentów: 1) wykazu osób (w zakresie wskazanym w rozdz. VI ust. 1 pkt 1.2. SWZ), skierowanych przez Wykonawcę do realizacji zamówienia publicznego, wraz z informacjami na temat ich doświadczenia niezbędnego do wykonania zamówienia publicznego, a także zakresu wykonywanych przez nie czynności oraz informacją o podstawie do dysponowania tymi osobami (wg wzoru stanowiącego Załącznik nr 5 do SWZ). 2) dokumentów dotyczących podmiotu udostępniającego zasoby na zasadach określonych w art. 118 ustawy, w celu wykazania spełnienia w zakresie, w jakim Wykonawca powołuje się na jego zasoby, warunków udziału w postępowaniu – jeżeli wykonawca polega na zasobach podmiotu trzeciego. 5.8.) Wykaz przedmiotowych środków dowodowych: Zamawiający nie wymaga złożenia przedmiotowych środków dowodowych. 5.11.) Wykaz innych wymaganych oświadczeń lub dokumentów: Wykonawcy muszą złożyć wraz z ofertą następujące oświadczenia i dokumenty: a) aktualne na dzień składania ofert oświadczenie o niepodleganiu wykluczeniu i spełnianiu warunków udziału w postępowaniu według wzoru określonego w Załączniku nr 3 do SWZ, b) W przypadku wspólnego ubiegania się o zamówienie przez Wykonawców oświadczenie, o którym mowa w lit. a, składa każdy z Wykonawców wspólnie ubiegających się o zamówienie. Oświadczenie to ma potwierdzić brak podstaw wykluczenia oraz spełnienie warunków udziału w postępowaniu w zakresie, w którym każdy z wykonawców wykazuje spełnienie warunków udziału w postępowaniu oraz brak podstaw do wykluczenia; c) Wykonawca, w przypadku polegania na zdolnościach lub sytuacji podmiotów udostępniających zasoby, przedstawia oświadczenie, o którym mowa w lit. a, podmiotu udostępniającego zasoby, potwierdzające brak podstaw wykluczenia tego podmiotu oraz odpowiednio spełnianie warunków udziału w postępowaniu w zakresie, w jakim Wykonawca powołuje się na jego zasoby; d) zobowiązanie podmiotu trzeciego, o którym mowa w rozdziale VI ust. 4 i 5 SWZ, jeżeli Wykonawca polega na zasobach lub sytuacji podmiotu trzeciego, według wzoru określonego w Załączniku nr 6 do SWZ; e) pełnomocnictwa lub inne dokumenty, z których wynika prawo do złożenia oferty oraz innych dokumentów składanych wraz z ofertą; f) pełnomocnictwa do reprezentowania wszystkich Wykonawców wspólnie ubiegających się o udzielenie zamówienia, ewentualnie umowa o współdziałaniu z której będzie wynikać przedmiotowe pełnomocnictwo; g) oświadczenie Wykonawców wspólnie ubiegających się o udzielenie zamówienia, z którego wynikać będzie, które usługi wykonają poszczególni Wykonawcy; h) inne dokumenty wymienione w SWZ.

Kryteria oceny ofert

Kontakt z zamawiającym