Zapytanie ofertowe - Wykonanie audytu cyberbezpieczeństwa w ramach projektu "Cyfrowa Gmina"

Myślibórz, 2 sierpnia 2022 roku

 

 

Znak sprawy: SO.271.1.2022.MP

 

Nazwa zadania: Przeprowadzenie audytu cyberbezpieczeństwa w ramach projektu „Cyfrowa Gmina”

 

 

ZAPYTANIE OFERTOWE

(od 10 000 zł brutto do 130 000 zł netto)

 

 

1. Zamawiający:
 

Gmina Myślibórz

ul. Rynek im. Jana Pawła II 1

74-300 Myślibórz

tel. 95 747 20 61, fax. 95 747 33 63

 

Zaprasza do złożenia ofert w przedmiotowym postępowaniu o udzielenie zamówienia publicznego.

 

2.  Przedmiot zamówienia:

Przedmiotem zamówienia jest przeprowadzenie audytu cyberbezpieczeństwa
w ramach projektu „Cyfrowa Gmina” w dwóch jednostkach:

1) Urzędzie Miejskim w Myśliborzu,

2) Ośrodku Pomocy Społecznej w Myśliborzu.

Zadanie realizowane jest w ramach Programu Operacyjnego Polska Cyfrowa na lata 2014- 2020, Osi Priorytetowej V Rozwój cyfrowy JST oraz wzmocnienie cyfrowej odporności na zagrożenia REACT-EU, działania 5.1 Rozwój cyfrowy JST oraz wzmocnienie cyfrowej odporności na zagrożenia, dotyczącego realizacji projektu grantowego „Cyfrowa Gmina”.

 

3. Szczegółowy zakres zamówienia:

Wykonawca będzie miał za zadanie wykonać następujące czynności:

1) Audyt bezpieczeństwa danych w systemach informatycznych oraz sieci ICT:

• Analiza wszystkich zabezpieczeń przed utratą i kradzieżą danych,

• Analiza kontroli dostępu do systemów informatycznych, w tym dostępu przez usługi i narzędzia zdalne,

• Analiza zabezpieczeń przy pracy zdalnej,

• Analiza i ocena technicznej infrastruktury w systemach ICT, schematu sieci
  a także technicznych zabezpieczeń sieci,

• Analiza i ocena zabezpieczeń dostępu do sieci publicznej,

• Analiza i ocena zabezpieczeń wewnętrznej sieci ICT,

• Ocena sposobu identyfikowania i logowania użytkowników,

• Analiza i ocena systemów backupów i archiwizacji danych w tym testy odtworzeniowe,

• Analiza i ocena ciągłości pracy systemów i sieci ICT,

• Testy penetracyjne systemów informatycznych i całej infrastruktury ICT,

• Sprawdzenie zabezpieczeń komputerów przed atakami phishingowymi,

• Badanie podatności usług sieciowych,

• Badanie podatności aplikacji serwera pocztowego email i aplikacji webowej zgodnie z OWASP,

• Weryfikacja systemu uwierzytelniania użytkowników i administratorów,

• Weryfikacja systemu uwierzytelniania użytkowników i administratorów
  do systemu operacyjnego i kontrolera domeny,

• Sprawdzenie sposobów i systemów szyfrowania m.in. protokoły szyfrowania, szyfrowanie danych END-to-END w poczcie email itp.

• Sprawdzenie i ocena szyfrowania danych przechowywanych poza Urzędem
  m.in. serwisy pocztowe email, serwisy WEB itp.

• Sprawdzenie systemów ochrony poczty email i usług WEB pod kątem ataków phishingowych,

• Analiza i ocena sposobu zbierania logów, zakresu i retencji logów,

• Identyfikacja pojedynczych punktów awarii.

2) Audyt ochrony danych zgodnie z przepisami RODO, UODO, KRI, KSC,

• Analiza zgodności dokumentacji ochrony danych osobowych,

• Analiza upoważnień do przetwarzania danych osobowych,

• Analiza umów powierzenia przetwarzania danych osobowych,

• Analiza umów i porozumień dotyczących przekazywania danych osobowych,

• Analiza rejestru czynności przetwarzania oraz rejestru kategorii czynności przetwarzania,

• Ocena procesu zarządzania incydentami i reagowania na incydenty. Analiza informacji lub raportów dotyczących, incydentów naruszenia bezpieczeństwa danych,

• Analiza konieczności dokonania oceny skutków dla planowanych sposobów przetwarzania danych,

• Rozpoznanie roli i funkcji IODO,

• Rozpoznanie wszystkich systemów przetwarzających dane i ich konfigurację,

• Rozpoznanie wszystkich przetwarzanych zbiorów danych,

• Kontrola zabezpieczeń zbiorów tradycyjnych,

• Kontrola zabezpieczeń zbiorów archiwalnych,

• Kontrola systemu monitoringu,

• Kontrola systemu alarmowego,

• Weryfikacja kontroli nad przepływem danych osobowych,

• Weryfikacja poufności, dostępności i udostępniania danych osobowych,

• Analiza i ocena zagrożeń z identyfikacją słabych stron związanych
  z przetwarzaniem danych,

• Weryfikacja dostępu osób nieupoważnionych do miejsc, gdzie przetwarzane
  są dane,

• Analiza i ocena procedur zarządzania systemami teleinformatycznymi,

• Analiza i ocena zaangażowania Najwyższego Kierownictwa w proces ciągłego doskonalenia systemu bezpieczeństwa informacji,

• Analiza i ocena ochrony ICT przed oprogramowaniem szkodliwym, w tym weryfikacja zabezpieczeń przed możliwością nieautoryzowanych instalacji oprogramowania,

• Analiza i ocena procedur historii zmian w dokumentach, systemach informatycznych itp.

• Analiza i ocena procedur zarządzania i zabezpieczania nośników przechowujących dane,

• Analiza i ocena zasad odpowiedzialności użytkowników,

• Analiza i ocena zasad zarządzania hasłami,

• Analiza i ocena zabezpieczeń kryptograficznych,

• Analiza i ocena zabezpieczeń komputerów przenośnych w tym praca zdalna,

• Analiza stopnia zabezpieczenia stacji roboczych i nośników danych
  w szczególności tych, na których przetwarzane są dane osobowe,

• Analiza i ocena niszczenia niepotrzebnych nośników oraz danych,

• Analiza i ocena stron webowych pod kątem zgodności standardu min. WCAG 2.1

3) Opracowanie raportu zawierającego ocenę stosowanych zabezpieczeń, analizę stanu bezpieczeństwa, wnioski, zalecenia i rekomendacje dotyczące zakresu, metodyki i organizacji zabezpieczeń.

4)

a) Diagnoza cyberbezpieczeństwa (audyt) musi zostać przeprowadzona zgodnie z Ustawą
z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2018 r. poz. 1560
z późn. zm.) oraz Rozporządzeniem Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych
i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (tj. Dz.U. 2017 poz. 2247 ze zm.) zwane dalej Rozporządzeniem KRI,

b) Diagnoza musi zostać wykonana zgodnie z formularzem zamieszczonym w dokumentacji konkursowej projektu Cyfrowa Gmina dostępnym na stronach Centrum Projektów Polska Cyfrowa [https://www.gov.pl/web/cppc/cyfrowa-gmina] - Formularz informacji związanych
z przeprowadzeniem diagnozy cyberbezpieczeństwa - załącznik nr 8.

c) Audyt obejmuje 2 jednostki - Urząd Miejski w Myśliborzu oraz Ośrodek Pomocy Społecznej w Myśliborzu,

5) Wynikiem audytu jest:

a) pełny raport z przeprowadzonego audytu,

b) rekomendacje dotyczące technicznych zabezpieczeń danych i informacji.

 

4. Termin realizacji zamówienia:

Termin realizacji całego zamówienia wynosi 4 tygodnie od dnia podpisania umowy. Wzór umowy stanowi załącznik nr 2 do niniejszego zapytania ofertowego.

 

5. Okres gwarancji / rękojmi (jeśli dotyczy):

2 lata

 

6. Warunki udziału w postępowaniu:

O udzielenie zamówienia mogą ubiegać się wykonawcy, którzy spełniają następujące warunki:

1) Posiadają uprawnienia do wykonania określonej działalności lub czynności, jeżeli przepisy nakładają obowiązek posiadania takich uprawnień,

2) Posiadają niezbędną wiedzę i doświadczenie oraz dysponują potencjałem technicznym
i osobami zdolnymi do wykonania zamówienia,

3) Znajdują się w sytuacji ekonomicznej i finansowej zapewniającej prawidłowe wykonanie zamówienia.

4) O udzielenie zamówienia może się ubiegać wykonawca, który nie podlega wykluczeniu postępowania na podstawie art. 7 ust. 1 ustawy z dnia 13.04.2022 r. o szczególnych rozwiązaniach w zakresie przeciwdziałania wspieraniu agresji na Ukrainę oraz służących ochronie bezpieczeństwa narodowego (Dz. U. z 2022 r., poz. 835).   Zamawiający wykluczy z przedmiotowego postępowania wykonawcę:

a) wymienionego w wykazach określonych w rozporządzeniu 765/2006
i rozporządzeniu 269/2014 albo wpisanego na listę na podstawie decyzji w sprawie wpisu na listę rozstrzygającej o zastosowaniu środka w postaci wykluczenia
z postępowania; 

b) którego beneficjentem rzeczywistym w rozumieniu ustawy z dnia 1 marca 2018 r.
o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz. U. z 2022 r. poz. 593,655) jest osoba wymieniona w wykazach określonych w rozporządzeniu 765/2006
i rozporządzeniu 269/2014 albo wpisana na listę lub będąca takim beneficjentem rzeczywistym od dnia 24 lutego 2022 r., o ile została wpisana na listę na podstawie decyzji w sprawie wpisu na listę rozstrzygającej o zastosowaniu środka w postaci wykluczenia
z postępowania;

c) którego jednostką dominującą w rozumieniu art. 3 ust. 1 pkt 37 ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. z 2021 r. poz. 217, 2105 i 2106) jest podmiot wymieniony w wykazach określonych w rozporządzeniu 765/2006 i rozporządzeniu 269/2014 albo wpisany na listę lub będący taką jednostką dominującą od dnia 24 lutego 2022 r., o ile został wpisany na listę na podstawie decyzji w sprawie wpisu na listę rozstrzygającej o zastosowaniu środka, w postaci wykluczenia z postępowania".

5) Audyt musi zostać przeprowadzony przez osobę posiadającą uprawnienia wykazane w Rozporządzeniu Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu w rozumieniu art. 15 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. Wykaz certyfikatów wskazanych w w/w rozporządzeniu:

a) Certified Internal Auditor (CIA)

b) Certified Information System Auditor (CISA)

c) Certyfikat audytora wiodącego systemu zarządzania bezpieczeństwem informacji według normy PN-EN ISO/IEC 27001 wydany przez jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku (Dz. U. z 2017 r. poz. 1398 oraz z 2018 r. poz. 650 i 1338),
w zakresie certyfikacji osób

d) Certyfikat audytora wiodącego systemu zarządzania ciągłością działania PN-EN ISO 22301 wydany przez jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku, w zakresie certyfikacji osób

e) Certified Information Security Manager (CISM)

f) Certified in Risk and Information Systems Control (CRISC)

g) Certified in the Governance of Enterprise IT (CGEIT)

h) Certified Information Systems Security Professional (CISSP)

i) Systems Security Certified Practitioner (SSCP)

j) Certified Reliability Professional

k) Certyfikaty uprawniające do posiadania tytułu ISA/IEC 62443 Cybersecurity Expert.

6) Zamawiający wymaga, aby Wykonawca wykazał że przeprowadził minimum 1 audyt
w ramach programu Cyfrowa Gmina lub zrealizował co najmniej 3 audyty bezpieczeństwa
w jednostkach administracji publicznej o podobnym zakresie w ostatnich 3 latach przed złożeniem oferty. Wykonawcy, którzy nie wykażą spełnienia warunków udziału
w postępowaniu podlegać będą wykluczeniu z udziału w postępowaniu. Ofertę wykonawcy wykluczonego uznaje się za odrzuconą.

Spełnienie warunków udziału w postępowaniu określonych w pkt 1 – 6 zamawiający określi na podstawie analizy wymaganych dokumentów i oświadczeń wymienionych
w pkt 10 niniejszego zapytania.

 

7. Miejsce i termin złożenia oferty:

Ofertę należy złożyć w terminie do dnia 11.08.2022 r., do godz. 10:00 w Urzędzie Miejskim w Myśliborzu, ul. Rynek im. Jana Pawła II 1, 74-300 Myślibórz (Biuro Obsługi Interesanta - parter).

 

Otwarcie ofert odbędzie się w dniu 11.08.2022 r. o godz. 10:15 w budynku Urzędu Miejskiego w Myśliborzu, ul. Rynek im. Jana Pawła II 1, w Sali konferencyjnej (I piętro).

 

Ofertę należy złożyć w siedzibie bądź przesłać pocztą na adres UM w Myśliborzu, zgodnie z załączonym formularzem ofertowym.

 

8. Warunki płatności:

Płatność za realizację przedmiotu zamówienia zostanie dokonana na rzecz Wykonawcy po wykonaniu zadania na podstawie poprawnie wystawionej faktury, w terminie 14 dni od daty jej otrzymania.

 

9. Osoba upoważniona do kontaktu z wykonawcami wraz z danymi kontaktowymi:

Michał Przybył, Referat Spraw Organizacyjnych, tel. 95 747 91 83,
email: so.um@mysliborz.pl

Anna Wesołowska, Referat Zamówień Publicznych i Funduszy Zewnętrznych,
tel. 95 747 60 51, email: ue.umig@mysliborz.pl

 

10. Sposób przygotowania oferty:

1) Oferta musi zawierać następujące oświadczenia i dokumenty:

a) wypełniony formularz ofertowy sporządzony z wykorzystaniem wzoru stanowiącego załącznik nr 1.

b) Oświadczenie Wykonawcy o spełnianiu warunków określonych w pkt 6 - załącznik
nr 3,

c) Oświadczenie Wykonawcy o niepodleganiu wykluczeniu z postępowania – załącznik
nr 4,

d) Wykaz wykonanych minimum 1 audytu w ramach programu Cyfrowa Gmina
lub co najmniej 3 audytów bezpieczeństwa w jednostkach administracji publicznej
o podobnym zakresie w ostatnich 3 latach przed złożeniem oferty – załącznik nr 5,

e) Wykaz osób skierowanych do realizacji zamówienia oraz posiadane przez nich certyfikaty o których mowa w pkt. 6 ust. 6)- załącznik nr 6.

2) Wykonawcy składają ofertę w formie pisemnej /elektronicznej (email) / za pośrednictwem platformy zakupowej*.

3) Wykonawca ma prawo złożyć tylko jedną ofertę, zawierającą jedną, jednoznacznie opisaną propozycję. Złożenie większej liczby ofert spowoduje odrzucenie wszystkich ofert złożonych przez danego Wykonawcę.

4) Treść złożonej oferty musi odpowiadać treści zapytania ofertowego.

5) Wykonawca poniesie wszelkie koszty związane z przygotowaniem i złożeniem oferty.

6) Poprawki lub zmiany (również przy użyciu korektora) w ofercie, powinny być parafowane własnoręcznie przez osobę podpisującą ofertę.

7) Oferta, której treść nie będzie odpowiadać treści niniejszego zapytania ofertowego zostanie odrzucona. Wszelkie niejasności i wątpliwości dotyczące treści niniejszego zapytania ofertowego należy zatem wyjaśnić z Zamawiającym przed terminem składania ofert. Zamawiający nie przewiduje negocjacji warunków udzielenia zamówienia, w tym zapisów projektu umowy, po terminie otwarcia ofert.

 

11. Kryterium oceny ofert:

Cena brutto (C): waga 100 pkt (100%)

cena – punkty za kryterium cena oferty brutto zostaną obliczone wg następującego wzoru:

 

C_N

C= x 100

C_O

gdzie: C – oznacza liczbę punktów uzyskanych w kryterium ocena brutto (z dokładnością do dwóch miejsc po przecinku), C_N - oznacza cenę brutto najtańszej z ofert, C_O – oznacza cenę brutto ocenianej oferty;

 

Jeżeli co najmniej dwie oferty otrzymały taką samą liczbę punktów, Zleceniodawca podejmie negocjacje, które zdecydują o wyborze Wykonawcy.

 

12. Sposób porozumiewania się Zamawiającego i Wykonawcy:

1) Oświadczenia, wnioski, zawiadomienia oraz informacje Zamawiający i Wykonawca przekazują pisemnie lub drogą elektroniczną (email) / za pośrednictwem platformy zakupowej*.

2) Postępowanie jest prowadzone w języku polskim, w związku z tym wszelka korespondencja z Zamawiającym musi być prowadzona w języku polskim.

3) Wykonawca może zwrócić się do Zamawiającego o wyjaśnienie treści zapytania ofertowego. Zamawiający udzieli wyjaśnień pod warunkiem, że wniosek
o wyjaśnienie wpłynie do Zamawiającego nie później niż do końca dnia, w którym upływa połowa wyznaczonego terminu składania ofert.

4) Treść zapytań wraz z wyjaśnieniami Zamawiający przekaże wykonawcom, do których skierował zapytanie ofertowe / zamieścił na stronie internetowej / za pomocą platformy zakupowej*.

5) Zamawiający dopuszcza jednokrotne wyjaśnienie/uzupełnienie oferty / dokumentów.

13. Odrzucenie oferty:

Zamawiający odrzuca ofertę, jeżeli:

a) jest niezgodna z zapisami niniejszego zapytania ofertowego,

b) jej treść nie odpowiada treści niniejszego zapytania ofertowego,

c) jej złożenie stanowi czyn nieuczciwej konkurencji w rozumieniu przepisów o zwalczaniu nieuczciwej konkurencji,

d) zawiera błędy w obliczeniu ceny,

e) jest nieważna na podstawie odrębnych przepisów.

14. Unieważnienie postępowania:

1) Zamawiający unieważnia postępowanie o udzielenie zamówienia, jeżeli:

a) nie złożono żadnej oferty,

b) wszystkie oferty zostały odrzucone,

c) cena najkorzystniejszej oferty przewyższa kwotę, którą Zamawiający zamierza przeznaczyć na sfinansowanie zamówienia, chyba że Zamawiający może zwiększyć tę kwotę do ceny najkorzystniejszej oferty,

d) wystąpiła istotna zmiana okoliczności powodująca, że prowadzenie postępowania lub wykonanie zamówienia nie leży w interesie publicznym, czego nie można było wcześniej przewidzieć,

e) postępowanie obarczone jest niemożliwą do usunięcia wadą uniemożliwiającą zawarcie niepodlegającej unieważnieniu umowy w sprawie zamówienia publicznego,

2) Ponadto Zamawiający zastrzega sobie prawo do odstąpienia od realizacji zamówienia (przed zawarciem umowy) bez podawania przyczyn i bez ponoszenia jakichkolwiek skutków prawnych i finansowych z tego tytułu.

3) Postępowanie o udzielenie zamówienia jest prowadzone zgodnie z regulaminem dotyczącym zasad udzielania zamówień publicznych Urzędu Miejskiego
w Myśliborzu.

4) Oświadczam, że wypełniłem obowiązki informacyjne przewidziane w art. 13 lub art. 14 RODO wobec osób fizycznych, od których dane osobowe bezpośrednio lub pośrednio pozyskałem w celu ubiegania się o udzielenie zamówienia publicznego
w niniejszym postępowaniu.