Realizacja kompleksowej analizy bezpieczeństwa dla Generalnej Dyrekcji Ochrony Środowiska we wskazanych lokalizacjach oraz świadczenie usługi Security Operations Center
Termin składania ofert
15.07.2026
za 6 dni
Szacowana wartość
Nie podano
Czas realizacji
zamówienia albo umowy ramowej: 410 dni
Wadium
Nie wymagane
Zakres prac
4.1.) Informacje ogólne odnoszące się do przedmiotu zamówienia. 4.1.1.) Przed wszczęciem postępowania przeprowadzono konsultacje rynkowe: Nie 4.1.2.) Numer referencyjny: BDG-ZZP.082.20.2026 4.1.3.) Rodzaj zamówienia: Usługi 4.1.4.) Zamawiający udziela zamówienia w częściach, z których każda stanowi przedmiot odrębnego postępowania: Nie 4.1.8.) Możliwe jest składanie ofert częściowych: Nie 4.1.13.) Zamawiający uwzględnia aspekty społeczne, środowiskowe lub etykiety w opisie przedmiotu zamówienia: Nie 4.2. Informacje szczegółowe odnoszące się do przedmiotu zamówienia: 4.2.2.) Krótki opis przedmiotu zamówienia Przedmiotem zamówienia jest kompleksowa realizacja usługi bezpieczeństwa systemów teleinformatycznych, obejmująca: 1) Etap 1: analiza bezpieczeństwa – obejmująca analizę kluczowych procesów, audyt compliance, przeprowadzenie testów penetracyjnych infrastruktury sieciowej oraz skanów podatności w 17 lokalizacjach wskazanych w Opisie Przedmiotu Zamówienia, stanowiącym załącznik nr 1 do Umowy przez Zamawiającego 2) Etap 2: integracja systemu monitorowania zdarzeń Wykonawcy z kluczowymi źródłami danych Zamawiającego oraz przygotowanie do uruchomienia usługi Security Operations Center; 3) Etap 3: świadczenie usługi SOC, polegającej na aktywnym monitorowaniu, detekcji i reakcji na incydenty bezpieczeństwa u Zamawiającego. 4.2.6.) Główny kod CPV: 72222300-0 - Usługi w zakresie technologii informacji 4.2.7.) Dodatkowy kod CPV: 72250000-2 - Usługi w zakresie konserwacji i wsparcia systemów 4.2.8.) Zamówienie obejmuje opcje: Nie 4.2.10.) Okres realizacji zamówienia albo umowy ramowej: 410 dni 4.2.11.) Zamawiający przewiduje wznowienia: Nie 4.2.13.) Zamawiający przewiduje udzielenie dotychczasowemu wykonawcy zamówień na podobne usługi lub roboty budowlane: Nie 4.3.) Kryteria oceny ofert 4.3.1.) Sposób oceny ofert: Kryteria oceny ofert 4.3.2.) Sposób określania wagi kryteriów oceny ofert: Punktowo 4.3.3.) Stosowane kryteria oceny ofert: Kryterium ceny oraz kryteria jakościowe Kryterium 1 4.3.5.) Nazwa kryterium: Cena 4.3.6.) Waga: 60 Kryterium 2 4.3.4.) Rodzaj kryterium: organizacja, kwalifikacje zawodowe i doświadczenie osób wyznaczonych do realizacji zamówienia 4.3.5.) Nazwa kryterium: Dysponowanie Analitykiem ds. obsługi systemu ESET 4.3.6.) Waga: 20 Kryterium 3 4.3.4.) Rodzaj kryterium: organizacja, kwalifikacje zawodowe i doświadczenie osób wyznaczonych do realizacji zamówienia 4.3.5.) Nazwa kryterium: Dysponowanie Analitykiem ds. obsługi systemu Stormshield 4.3.6.) Waga: 20 4.3.10.) Zamawiający określa aspekty społeczne, środowiskowe lub innowacyjne, żąda etykiet lub stosuje rachunek kosztów cyklu życia w odniesieniu do kryterium oceny ofert: Nie
Warunki udziału
5.1.) Zamawiający przewiduje fakultatywne podstawy wykluczenia: Nie 5.3.) Warunki udziału w postępowaniu: Tak 5.4.) Nazwa i opis warunków udziału w postępowaniu. Zdolność techniczna i zawodowa: 1. Wykonawca wykaże, że w okresie ostatnich 3 lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy – w tym okresie, zrealizował co najmniej dwa (2) zamówienia na świadczenie usług typu Security Operations Center (SOC) przez okres minimum 6 miesięcy każda, o łącznej wartości 100 000,00 zł brutto; 2. Wykonawca wykaże, że w okresie ostatnich 3 lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy – w tym okresie, zrealizował co najmniej dwa (2) zamówienia na realizację testów penetracyjnych o łącznej wartości 150 000,00 zł brutto. 3. Wykonawca wykaże, że przez cały okres realizacji zamówienia będzie dysponował następującym Zespołem: 3.1 Analitycy SOC – min. 6 osób; 3.2 SOC Manager – min. 1 osoba; 3.3 Audytorzy – min. 2 osoby; 3.4 Konsultanci – min. 2 osoby; 3.5 Project Manager – min. 1 osoba; 3.6 Pentesterzy – min. 2 osoby. Zamawiający wymaga skierowania do realizacji całego zamówienia wszystkich osób wskazanych w pkt 3, a jedynie na danym Etapie realizacji zamówienia posiadania przez nich wskazanych certyfikatów, dla przykładu – Pentesterzy na Etapie 1 muszą posiadać wskazane certyfikaty, na Etapie 2 i 3 certyfikatów posiadać nie muszą, ale muszą uczestniczyć w realizacji Etapu 2 i 3. Osoby wyznaczone do realizacji zamówienia muszą posiadać aktualne certyfikaty (wyłącznie na wskazanym Etapie realizacji zamówienia), potwierdzające wiedzę teoretyczną i praktyczną (lub udokumentowane certyfikaty równoważne*), zgodnie z poniższym: 1) w zakresie testów penetracyjnych (Etap 1): a) Pentesterzy posiadający: - certyfikat CEH Master lub CEH Practical (Certified Ethical Hacker Practical) lub certyfikat OSCP (Offensive Security Certified Professional) lub certyfikat eCPPT2 (eLearnSecurity Certified Professional Penetration Tester) lub PNPT (Practical Network Penetration Tester) lub GIAC GPEN (GIAC Certified Penetration Tester) lub CompTIA PenTest+; b) Audytorzy posiadający certyfikat: Audytor Wiodący ISO 27001 lub CISA (Certified Information Systems Auditor) lub GIAC GSNA (Systems and Network Auditor); 2) w zakresie reagowania na incydenty i SOC (Etap 3): co najmniej 1 osoba w zespole musi posiadać certyfikat GIAC Forensic Analyst (GCFA) lub EC-Council Computer Hacking Forensic Investigator (CHFI) lub Certified Forensic Computer Examiner (CFCE), potwierdzający umiejętności w obszarze informatyki śledczej i analizy powłamaniowej; 3) pozostałe wymagane certyfikacje w zespole w zakresie reagowania na incydenty i SOC (Etap 2 i 3): wymagane certyfikaty z poniższych dwóch grup muszą być rozłożone w zespole na co najmniej 2 różne osoby (rozłącznie), co oznacza, że jedna i ta sama osoba nie może zostać wskazana do spełnienia wymagań więcej niż jednej z poniższych grup: a) grupa A: co najmniej 1 osoba w zespole posiadająca certyfikat: CompTIA Network+ lub CompTIA Security+ lub CompTIA CySA+ lub SC-200 (Microsoft Certified: Security Operations Analyst Associate) lub GIAC GCIA (GIAC Certified Intrusion Analyst) lub GIAC GCIH (GIAC Certified Incident Handler) oraz b) grupa B: co najmniej 1 osoba w zespole posiadająca certyfikat: EC-Council Fundamentals of Networking Concepts lub Protocols and Security lub EC-Council Planning and Implementing a Security Incident Response lub EC-Council Practical Cyber Threat Intelligence lub EC-Council Project Management for Cybersecurity Professionals lub CCISO (Certified Chief Information Security Officer) lub CompTIA CASP+. * Jako certyfikat równoważny Zamawiający rozumie przedstawienie przez Wykonawcę certyfikatu, analogicznego co do zakresu wskazanego certyfikatu, co jest rozumiane jako: - analogiczna dziedzina merytoryczna wynikająca z wiedzy, którą obejmuje certyfikat, - analogiczny stopień poziomu kompetencji, - analogiczny poziom doświadczenia zawodowego wymagany dla otrzymania danego certyfikatu, - potwierdzenie certyfikatu egzaminem, jeśli uzyskanie certyfikatu wymaga zdania egzaminu, - został wydany przez uprawniony podmiot, który nie jest powiązany kapitałowo lub osobowo z Wykonawcą. 5.5.) Zamawiający wymaga złożenia oświadczenia, o którym mowa w art.125 ust. 1 ustawy: Tak 5.7.) Wykaz podmiotowych środków dowodowych na potwierdzenie spełniania warunków udziału w postępowaniu: 1. Wykaz usług zgodnie ze wzorem stanowiącym załącznik nr 9 do Specyfikacji Warunków Zamówienia; 2. Wykaz osób zgodnie ze wzorem stanowiącym załącznik nr 10 do Specyfikacji Warunków Zamówienia. 5.8.) Wykaz przedmiotowych środków dowodowych: 1. Certyfikat ISO/IEC 27001 – w zakresie obejmującym świadczenie usług Security Operations Center (SOC); 2. Certyfikat ISO 22301 – w zakresie zarządzania ciągłością działania dla usług bezpieczeństwa IT. Zamawiający dopuszcza dokumenty równoważne potwierdzające spełnienie ww. wymagań, wydane przez niezależne jednostki oceniające zgodność. Wykonawca, powołując się na dokument równoważny, na etapie składania oferty jest zobowiązany wykazać, że potwierdza on spełnienie wymagań określonych przez Zamawiającego w zakresie nie mniejszym niż wymagania wynikające z odpowiedniej normy ISO/IEC 27001 oraz ISO 22301 w zakresie odpowiadającym przedmiotowi zamówienia. Jeżeli Wykonawca nie złoży przedmiotowych środków dowodowych lub złożone przedmiotowe środki dowodowe okażą się niekompletne, Zamawiający wezwie do ich złożenia lub uzupełnienia, w wyznaczonym przez Zamawiającego terminie, z zastrzeżeniem art. 107 ust. 3 ustawy Pzp. Zamawiający może żądać wyjaśnień dotyczących przedmiotowych środków dowodowych. 5.9.) Zamawiający przewiduje uzupełnienie przedmiotowych środków dowodowych: Tak 5.10.) Przedmiotowe środki dowodowe podlegające uzupełnieniu po złożeniu oferty: 1. Certyfikat ISO/IEC 27001 – w zakresie obejmującym świadczenie usług Security Operations Center (SOC); 2. Certyfikat ISO 22301 – w zakresie zarządzania ciągłością działania dla usług bezpieczeństwa IT. Zamawiający dopuszcza dokumenty równoważne potwierdzające spełnienie ww. wymagań, wydane przez niezależne jednostki oceniające zgodność.
Kontakt z zamawiającym
Chcesz wiedzieć czy to zlecenie pasuje do Twojej firmy?
AI przeanalizuje dopasowanie do profilu Twojej firmy w 2 minuty.
Sprawdź dopasowanie - za darmo