Ogłoszenie o zamówieniu
Usługi
Usługa audytu zewnętrznego w zakresie Systemu Zarządzania Bezpieczeństwem Informatycznym oraz realizacji testów bezpieczeństwa dla Systemu e-KRN+

SEKCJA I - ZAMAWIAJĄCY

1.1.) Rola zamawiającego

Postępowanie prowadzone jest samodzielnie przez zamawiającego

1.2.) Nazwa zamawiającego: Narodowy Instytut Onkologii im. Marii Skłodowskiej-Curie

1.4) Krajowy Numer Identyfikacyjny: REGON 000288366

1.5) Adres zamawiającego

1.5.1.) Ulica: W.K. Roentgena 5

1.5.2.) Miejscowość: Warszawa

1.5.3.) Kod pocztowy: 02-781

1.5.4.) Województwo: mazowieckie

1.5.5.) Kraj: Polska

1.5.6.) Lokalizacja NUTS 3: PL911 - Miasto Warszawa

1.5.7.) Numer telefonu: 22/57 09 466

1.5.8.) Numer faksu: 22/57 09 462

1.5.9.) Adres poczty elektronicznej: dorota.wolosiak@pib-nio.pl

1.5.10.) Adres strony internetowej zamawiającego: www.pib-nio.pl

1.6.) Rodzaj zamawiającego: Zamawiający publiczny - osoba prawna, o której mowa w art. 4 pkt 3 ustawy (podmiot prawa publicznego)

1.7.) Przedmiot działalności zamawiającego: Zdrowie

SEKCJA II – INFORMACJE PODSTAWOWE

2.1.) Ogłoszenie dotyczy:

Zamówienia publicznego

2.2.) Ogłoszenie dotyczy usług społecznych i innych szczególnych usług: Nie

2.3.) Nazwa zamówienia albo umowy ramowej:

Usługa audytu zewnętrznego w zakresie Systemu Zarządzania Bezpieczeństwem Informatycznym oraz realizacji testów bezpieczeństwa dla Systemu e-KRN+

2.4.) Identyfikator postępowania: ocds-148610-fb69b7ac-5f29-11ec-8c2d-66c2f1230e9c

2.5.) Numer ogłoszenia: 2021/BZP 00325325

2.6.) Wersja ogłoszenia: 01

2.7.) Data ogłoszenia: 2021-12-21

2.8.) Zamówienie albo umowa ramowa zostały ujęte w planie postępowań: Nie

2.11.) O udzielenie zamówienia mogą ubiegać się wyłącznie wykonawcy, o których mowa w art. 94 ustawy: Nie

2.14.) Czy zamówienie albo umowa ramowa dotyczy projektu lub programu współfinansowanego ze środków Unii Europejskiej: Tak

2.15.) Nazwa projektu lub programu

Zamówienie jest realizowane w ramach Programu Operacyjnego Polska Cyfrowa na lata 2014-2020, oś priorytetowa nr 2 „e-administracja i otwarty rząd”, działania 2.2 „Cyfryzacja procesów back-office w administracji rządowej”.

2.16.) Tryb udzielenia zamówienia wraz z podstawą prawną

Zamówienie udzielane jest w trybie podstawowym na podstawie: art. 275 pkt 1 ustawy

SEKCJA III – UDOSTĘPNIANIE DOKUMENTÓW ZAMÓWIENIA I KOMUNIKACJA

3.1.) Adres strony internetowej prowadzonego postępowania

https://portal.smartpzp.pl/coi.warszawa

3.2.) Zamawiający zastrzega dostęp do dokumentów zamówienia: Nie

3.4.) Wykonawcy zobowiązani są do składania ofert, wniosków o dopuszczenie do udziału w postępowaniu, oświadczeń oraz innych dokumentów wyłącznie przy użyciu środków komunikacji elektronicznej: Tak

3.5.) Informacje o środkach komunikacji elektronicznej, przy użyciu których zamawiający będzie komunikował się z wykonawcami - adres strony internetowej: https://portal.smartpzp.pl/coi.warszawa

3.6.) Wymagania techniczne i organizacyjne dotyczące korespondencji elektronicznej: Zgodnie z zapisami SWZ:
Rozdz. XVIII SWZ - Informacja o środkach komunikacji elektronicznej, przy użyciu,których zamawiający będzie komunikował się z wykonawcami, oraz informacje o wymaganiach technicznych i organizacyjnych sporządzania, wysyłania i odbierania korespondencji elektronicznej,
Rozdz. XX SWZ - Opis sposobu przygotowywania oferty, Rozdz. XXIII - Sposób oraz termin składania ofert, Rozdz. XXIV - Termin otwarcia ofert.

3.8.) Zamawiający wymaga sporządzenia i przedstawienia ofert przy użyciu narzędzi elektronicznego modelowania danych budowlanych lub innych podobnych narzędzi, które nie są ogólnie dostępne: Nie

3.12.) Oferta - katalog elektroniczny: Nie dotyczy

3.14.) Języki, w jakich mogą być sporządzane dokumenty składane w postępowaniu:

polski

3.15.) RODO (obowiązek informacyjny): Zgodnie z zapisami rozdz. XXXV SWZ - Klauzula informacyjna RODO.

SEKCJA IV – PRZEDMIOT ZAMÓWIENIA

4.1.1.) Przed wszczęciem postępowania przeprowadzono konsultacje rynkowe: Nie

4.1.2.) Numer referencyjny: TP-237/21/DW

4.1.3.) Rodzaj zamówienia: Usługi

4.1.4.) Zamawiający udziela zamówienia w częściach, z których każda stanowi przedmiot odrębnego postępowania: Nie

4.1.8.) Możliwe jest składanie ofert częściowych: Nie

4.1.13.) Zamawiający uwzględnia aspekty społeczne, środowiskowe lub etykiety w opisie przedmiotu zamówienia: Nie

4.2. Informacje szczegółowe odnoszące się do przedmiotu zamówienia:

4.2.2.) Krótki opis przedmiotu zamówienia

1. Przedmiotem zamówienia jest usługa audytu zewnętrznego w zakresie Systemu Zarządzania Bezpieczeństwem Informatycznym oraz realizacji testów bezpieczeństwa dla Systemu e-KRN+, która ma na celu wsparcie Zamawiającego w odbiorze Systemu e-KRN+ realizowanego w ramach projektu „Budowa nowoczesnej platformy gromadzenia i analizy danych z Krajowego Rejestru Nowotworów oraz onkologicznych rejestrów narządowych, zintegrowanej z bazami świadczeniodawców leczących choroby onkologiczne (e-KRN+)” poprzez przygotowanie niezbędnej dokumentacji w zakresie bezpieczeństwa informatycznego oraz bezpieczeństwa danych osobowych oraz realizację testów bezpieczeństwa.
2. Szczegółowy opis przedmiotu zamówienia zawiera Załącznik nr 2 do SWZ.

4.2.6.) Główny kod CPV: 79212000-3 - Usługi audytu

4.2.7.) Dodatkowy kod CPV:

72800000-8 - Usługi audytu komputerowego i testowania komputerów

4.2.8.) Zamówienie obejmuje opcje: Nie

4.2.10.) Okres realizacji zamówienia albo umowy ramowej: 120 dni

4.2.11.) Zamawiający przewiduje wznowienia: Nie

4.2.13.) Zamawiający przewiduje udzielenie dotychczasowemu wykonawcy zamówień na podobne usługi lub roboty budowlane: Nie

4.3.) Kryteria oceny ofert

4.3.1.) Sposób oceny ofert: Zgodnie z treścią Rozdz. XXVII SWZ - Kryteria oceny ofert

4.3.2.) Sposób określania wagi kryteriów oceny ofert: Punktowo

4.3.3.) Stosowane kryteria oceny ofert: Kryterium ceny oraz kryteria jakościowe

Kryterium 1

4.3.5.) Nazwa kryterium: Cena

4.3.6.) Waga: 60,00

Kryterium 2

4.3.4.) Rodzaj kryterium:

organizacja, kwalifikacje zawodowe i doświadczenie osób wyznaczonych do realizacji zamówienia

4.3.5.) Nazwa kryterium: Kwalifikacje zawodowe Zespołu Audytowego

4.3.6.) Waga: 40,00

4.3.10.) Zamawiający określa aspekty społeczne, środowiskowe lub innowacyjne, żąda etykiet lub stosuje rachunek kosztów cyklu życia w odniesieniu do kryterium oceny ofert: Nie

SEKCJA V - KWALIFIKACJA WYKONAWCÓW

5.1.) Zamawiający przewiduje fakultatywne podstawy wykluczenia: Tak

5.2.) Fakultatywne podstawy wykluczenia:

Art. 109 ust. 1 pkt 4

5.3.) Warunki udziału w postępowaniu: Tak

5.4.) Nazwa i opis warunków udziału w postępowaniu.

O udzielenie zamówienia mogą ubiegać się Wykonawcy, którzy spełniają warunki udziału w postępowaniu dotyczące zdolności technicznej lub zawodowej.
Zamawiający uzna warunek za spełniony, jeżeli Wykonawca wykaże, że:
4.1. w okresie ostatnich trzech lat wykonał minimum 3 usługi (zamówienia) doradcze w zakresie bezpieczeństwa systemów informatycznych lub audytu z zakresu ochrony danych osobowych a wartość każdej usługi (zamówienia) wynosiła co najmniej 40 000 zł brutto, oraz
4.2. w okresie ostatnich trzech lat wykonał minimum 3 usługi (zamówienia) w zakresie testów bezpieczeństwa systemów informatycznych w tym testów penetracyjnych a wartość każdej usługi (zamówienia) wynosiła co najmniej 40 000 zł brutto.
4.3 przedstawi, że podczas realizacji zamówienia publicznego będzie dysponował Zespołem Audytowym o kwalifikacjach zawodowych i doświadczeniu niezbędnym do wykonania zamówienia, odpowiadającym warunkom określonym poniżej:

1. Specjalista ds. bezpieczeństwa informatycznego - min. 2 osoby, każda wskazana osoba musi spełniać następujące wymagania:
- Minimum 5 lat doświadczenia zawodowego w zakresie audytów bezpieczeństwa,
- Certyfikat CISA (Certified Information Systems Auditor) lub równoważny,
Doświadczenie:
- przeprowadzenie co najmniej 3 zamówień w zakresie audytów bezpieczeństwa informacji obejmujących swoim zakresem audyt zgodności z przepisami § 20 rozporządzenia KRI lub audyt zakresu zgodności z RODO, w okresie ostatnich 5 lat przed upływem terminu składania ofert, każdy o wartości nie mniejszej niż 40 000,00 zł.

2 Specjalista ds. testów bezpieczeństwa - min. 1 osoba. Wskazana osoba musi spełniać następujące wymagania:
- minimum 5 lat doświadczenia zawodowego w zakresie testów lub audytów bezpieczeństwa
- przynajmniej dwa z niżej wymienionych certyfikatów:
a) Certified Information System Security Professional (CISSP) lub równoważny,
b) Certified Information System Auditor (CISA) lub równoważny,
c) Certified Information System Manager (CISM) lub równoważny,
d) CompTIA Advanced Security Practitioner (CASP) lub równoważny,
e) Certified Ethical Hacker (CEH) lub równoważny,
f) CyberSecurity Forensic Analyst (CSFA) lub równoważny.
Doświadczenie:
- w ciągu ostatnich 5 lat brał udział w 3 zamówieniach polegających na wykonaniu testów bezpieczeństwa i/lub audytów systemów informatycznych i/lub testów penetracyjnych, każdy z projektów o wartości nie mniejszej niż 40 000,00 zł.
Zamawiający nie dopuszcza możliwości łączenia przez jedną osobę dwóch funkcji wskazanych powyżej.
Doświadczenie Specjalistów musi wynikać z ich osobistego udziału w ww. projektach w roli analityka lub audytora lub innej równoważnej funkcji/stanowiska potwierdzającej merytoryczny udział w projekcie.

5.5.) Zamawiający wymaga złożenia oświadczenia, o którym mowa w art.125 ust. 1 ustawy: Tak

5.6.) Wykaz podmiotowych środków dowodowych na potwierdzenie niepodlegania wykluczeniu: Na wezwanie Zamawiającego, Wykonawca, którego oferta została najwyżej oceniona, składa w wyznaczonym terminie, nie krótszym niż 5 dni, aktualne na dzień złożenia nw. podmiotowe środki dowodowe na potwierdzenie braku podstaw wykluczenia:
- odpisu lub informacji z Krajowego Rejestru Sądowego lub z Centralnej Ewidencji i Informacji o Działalności Gospodarczej, w zakresie art. 109 ust. 1 pkt 4 PZP, sporządzonych nie wcześniej niż 3 miesiące przed jej złożeniem, jeżeli odrębne przepisy wymagają wpisu do rejestru
lub ewidencji.

Dokumenty podmiotów zagranicznych:
Jeżeli Wykonawca ma siedzibę lub miejsce zamieszkania poza granicami Rzeczypospolitej Polskiej - zgodnie z Rozporządzeniem Ministra Rozwoju, Pracy i Technologii z dnia 23 grudnia 2020 r. w sprawie podmiotowych środków dowodowych oraz innych dokumentów lub oświadczeń, jakich może żądać zamawiający od wykonawcy (Dz. U. 2020 poz. 2415) – dalej „rozporządzenie” zamiast:
1) odpisu albo informacji z KRS lub CEiIDG, o których mowa Rozdz. XIV pkt 1.1. lit. a) – składa dokument lub dokumenty wystawione w kraju, w którym Wykonawca ma siedzibę lub miejsce zamieszkania, potwierdzające, że nie otwarto jego likwidacji, nie ogłoszono upadłości, jego aktywami nie zarządza likwidator lub sąd, nie zawarł układu z wierzycielami, jego działalność gospodarcza nie jest zawieszona ani nie znajduje się on w innej tego rodzaju sytuacji wynikającej z podobnej procedury przewidzianej w przepisach miejsca wszczęcia tej procedury
- dokumenty powinny być wystawione nie wcześniej niż 3 miesiące przed ich złożeniem.
Jeżeli w kraju, w którym Wykonawca ma siedzibę lub miejsce zamieszkania, nie wydaje się ww. dokumentów, lub gdy dokumenty te nie odnoszą się do wszystkich przypadków, o których mowa w art. 108 ust. 1 pkt 1, 2 i 4 PZP, art. 109 ust. 1 pkt 1 PZP (jeśli był wymagany) - zastępuje się je odpowiednio w całości lub w części dokumentem zawierającym odpowiednio oświadczenie Wykonawcy, ze wskazaniem osoby albo osób uprawnionych do jego reprezentacji, lub oświadczenie osoby, której dokument miał dotyczyć, złożone pod przysięgą, lub, jeżeli w kraju, w którym Wykonawca ma siedzibę lub miejsce zamieszkania nie ma przepisów o oświadczeniu pod przysięgą, złożone przed organem sądowym lub administracyjnym, notariuszem, organem samorządu zawodowego lub gospodarczego, właściwym ze względu na siedzibę lub miejsce zamieszkania Wykonawcy, z zastosowaniem określonych powyżej terminów wystawienia dokumentów.

5.7.) Wykaz podmiotowych środków dowodowych na potwierdzenie spełniania warunków udziału w postępowaniu: Wymagany podmiotowy środek dowodowy:
Wykaz usług wykonanych, a w przypadku świadczeń powtarzających się lub ciągłych również wykonywanych, w okresie ostatnich 3 lat, a jeżeli okres prowadzenia działalności jest krótszy – w tym okresie, wraz z podaniem ich wartości, przedmiotu, dat wykonania i podmiotów, na rzecz których dostawy lub usługi zostały wykonane lub są wykonywane, oraz załączeniem dowodów określających, czy te dostawy lub usługi zostały wykonane lub są wykonywane należycie, przy czym dowodami, o których mowa, są referencje bądź inne dokumenty sporządzone przez podmiot, na rzecz którego dostawy lub usługi zostały wykonane, a w przypadku świadczeń powtarzających się lub ciągłych są wykonywane, a jeżeli Wykonawca z przyczyn niezależnych od niego nie jest w stanie uzyskać tych dokumentów – oświadczenie Wykonawcy; w przypadku świadczeń powtarzających się lub ciągłych nadal wykonywanych referencje bądź inne dokumenty potwierdzające ich należyte wykonywanie powinny być wystawione w okresie ostatnich 3 miesięcy.
Jeżeli Wykonawca powołuje się na doświadczenie w realizacji dostaw lub usług wykonywanych wspólnie z innymi Wykonawcami, ww. wykaz dotyczy dostaw lub usług, w których wykonywaniu Wykonawca ten bezpośrednio uczestniczył, a w przypadku świadczeń powtarzających się lub ciągłych, w których wykonywaniu bezpośrednio uczestniczył lub uczestniczy.

Wymagany podmiotowy środek dowodowy:
Wykaz osób, skierowanych przez Wykonawcę do realizacji zamówienia publicznego,
w szczególności odpowiedzialnych za świadczenie usług, kontrolę jakości lub kierowanie robotami budowlanymi, wraz z informacjami na temat ich kwalifikacji zawodowych, uprawnień, doświadczenia i wykształcenia niezbędnych do wykonania zamówienia publicznego, a także zakresu wykonywanych przez nie czynności oraz informacją o podstawie do dysponowania tymi osobami.
W odniesieniu do warunków dotyczących wykształcenia, kwalifikacji zawodowych lub doświadczenia wykonawcy wspólnie ubiegający się o udzielenie zamówienia mogą polegać na zdolnościach tych z wykonawców, którzy wykonają roboty budowlane lub usługi, do realizacji których te zdolności są wymagane.

5.8.) Wykaz przedmiotowych środków dowodowych:

Zamawiający nie wymaga przedstawienia przedmiotowych środków dowodowych

5.9.) Zamawiający przewiduje uzupełnienie przedmiotowych środków dowodowych: Nie

SEKCJA VI - WARUNKI ZAMÓWIENIA

6.1.) Zamawiający wymaga albo dopuszcza oferty wariantowe: Nie

6.3.) Zamawiający przewiduje aukcję elektroniczną: Nie

6.4.) Zamawiający wymaga wadium: Nie

6.5.) Zamawiający wymaga zabezpieczenia należytego wykonania umowy: Tak

6.6.) Wymagania dotyczące składania oferty przez wykonawców wspólnie ubiegających się o udzielenie zamówienia:

Zgodnie z zapisami rozdz. XX pkt. 29-33 SWZ.

6.7.) Zamawiający przewiduje unieważnienie postępowania, jeśli środki publiczne, które zamierzał przeznaczyć na sfinansowanie całości lub części zamówienia nie zostały przyznane: Nie

SEKCJA VII - PROJEKTOWANE POSTANOWIENIA UMOWY

7.1.) Zamawiający przewiduje udzielenia zaliczek: Nie

7.3.) Zamawiający przewiduje zmiany umowy: Tak

7.4.) Rodzaj i zakres zmian umowy oraz warunki ich wprowadzenia:

Zgodnie z treścią załącznika nr 7 do SWZ.

7.5.) Zamawiający uwzględnił aspekty społeczne, środowiskowe, innowacyjne lub etykiety związane z realizacją zamówienia: Nie

SEKCJA VIII – PROCEDURA

8.1.) Termin składania ofert: 2021-12-31 09:00

8.2.) Miejsce składania ofert: Platforma/System: https://portal.smartpzp.pl/coi.warszawa

8.3.) Termin otwarcia ofert: 2021-12-31 09:30

8.4.) Termin związania ofertą: do 2022-01-29

SEKCJA IX – POZOSTAŁE INFORMACJE

Wykonawca jest zobowiązany do wykonania na rzecz Zamawiającego przedmiotu zamówienia od dnia zawarcia umowy przez okres 120 dni z zastrzeżeniem, że nie dłużej niż do dnia 31 maja 2022 r.

Favore.pl

KATEGORIE

WOJEWÓDZTWA

MIASTA

Usługa audytu zewnętrznego w zakresie Systemu Zarządzania Bezpieczeństwem Informatycznym...

TREŚĆ PRZETARGU

Ogłoszenie o zamówieniu Usługi Usługa audytu zewnętrznego w zakresie Systemu Zarządzania Bezpieczeństwem Informatycznym oraz realizacji testów bezpieczeństwa dla Systemu e-KRN+