Zapytanie ofertowe na wykonanie audytu w zakresie bezpieczeństwa informacji w Urzędzie Miasta i Gminy Katy Wrocławskie.

Kąty Wrocławskie dnia 17.03.2017

 

Zapytanie ofertowe nr OR.135.1.2017-1

 

Szanowni Państwo,

Urząd Miasta i Gminy w Kątach Wrocławskich zaprasza Państwa do złożenia oferty cenowej na wykonanie audytu w zakresie bezpieczeństwa informacji.

I. DANE ZAMAWIAJĄCEGO

Gmina Kąty Wrocławskie

ul. Rynek Ratusz 1

55-080 Kąty Wrocławskie

tel. 71 390 72 23  fax 71 390 72 01

mail: or@katywroclawskie.pl  http://www.katywroclawskie.pl

Postępowanie prowadzone jest w trybie art.4 pkt 8 ustawy z dnia 29 stycznia 2004r. Prawo zamówień publicznych (t.j. Dz.U. 2015 poz.2164 z późn. zm.) i stanowi wyłącznie zaproszenie do składania ofert.

II. PRZEDMIOT ZAMÓWIENIA:

Wykonaniu audytu bezpieczeństwa informacji w Urzędzie Miasta i Gminy Kąty Wrocławskie zgodnego z wymogami § 20 Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r.
w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań
dla systemów teleinformatycznych (Dz. U. 2016 poz. 113) oraz Ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U.2016 poz. 922 z późn. zm.) w oparciu
o wymagania normy PN ISO/IEC 27001:2014-12.

Liczba pracowników: 83

Liczba lokalizacji: 2

Liczba serwerów: 10

Liczba stacji roboczych: 80

Liczba urządzeń sieciowych: 10

 

 

Szczegółowy zakres audytu:

1.         Audyt bezpieczeństwa informacji we wszystkich obszarach funkcjonowania organizacji

a.         Audyt organizacyjny

•          Regulacje w obszarze zarządzania bezpieczeństwem informacji;

•          Odpowiedzialność za bezpieczeństwo informacji i koordynacja prac

związanych z zarządzaniem bezpieczeństwem informacji;

•          Dokumentacja, w tym z zakresu ochrony danych osobowych;

•          Przeprowadzenie wywiadów z wybranymi pracownikami.

b.         Audyt fizyczny i środowiskowy

•          Weryfikacja granic obszaru bezpiecznego;

•          Weryfikacja zabezpieczeń wejścia/wyjścia;

•          Weryfikacja systemów zabezpieczeń pomieszczeń i urządzeń;

•          Weryfikacja bezpieczeństwa okablowania strukturalnego;

•          Weryfikacja systemów chłodzenia;

•          Weryfikacja systemów alarmowych.

c.         Audyt teleinformatyczny

•          Przeprowadzenie testów penetracyjnych systemu informatycznego wewnętrznie i zewnętrznie, określenie luk, wskazanie rozwiązań naprawczych, opracowanie raportu

•          Weryfikacja istniejących procedur zarządzania systemami teleinformatycznymi;

•          Przegląd zasobów informatycznych oraz stosowanych rozwiązań pod kątem utrzymania ciągłości działania;

•          Weryfikacja ochrony przed oprogramowaniem szkodliwym;

•          Weryfikacja procedur zarządzania kopiami zapasowymi;

•          Weryfikacja procedur związanych z rejestracją błędów;

•          Weryfikacja procedur dostępu do systemów operacyjnych, w tym zabezpieczeń przed możliwością nieautoryzowanych instalacji oprogramowania;

•          Weryfikacja zabezpieczeń stacji roboczych i nośników danych w szczególności tych, na których przetwarzane są dane osobowe;

•          Weryfikacja haseł (ich stosowanie, przyjęta polityka ich tworzenia oraz zmiany, mechanizmy ich przechowywania);

•          Analiza i ocena mechanizmów zarządzania aktualizacjami.

•          Weryfikacja stosowanych metod kasowanie danych z nośników magnetycznych przeznaczonych do utylizacji.

d.         Audyt ochrony danych osobowych

•          Analiza formalno – prawna procesów i zbiorów, w których przetwarzane są dane osobowe, prowadzonych w sposób tradycyjny oraz z wykorzystaniem systemów informatycznych

•          Przegląd zgodności przetwarzania danych osobowych z wymaganiami Ustawy

•          Przegląd istniejących regulacji wewnętrznych odnośnie bezpieczeństwa przetwarzania danych osobowych

•          Przegląd aktualnie wykorzystywanych dokumentów mających związek
z ochroną danych osobowych

•          Identyfikacja zbiorów potencjalnie podlegających rejestracji

e.         Audyt legalności oprogramowania

•          Inwentaryzacja oprogramowania wykorzystywanego w urzędzie
i dokumentacji licencyjnej

•          Sporządzenie raportu o stanie oprogramowania z zaleceniami naprawczymi

•          Wsparcie w rozwiązaniu wskazanych nieprawidłowości

•          Zakończenie audytu poprzez opracowanie raportu końcowego i wystawienie certyfikatu Software Asset Management dla zamawiającego

f.          Audyt socjotechniczny

•          Przeprowadzenie wyrywkowych testów socjotechnicznych w fizycznej lokalizacji zamawiającego oraz za pośrednictwem telefonu i poczty elektronicznej

•          Sporządzenie raportu wraz z zaleceniami naprawczymi

2.         Opracowanie kompletnej dokumentacji Systemu Zarządzania Bezpieczeństwem Informacji do zaimplementowania u zamawiającego wg aktualnego stanu prawnego oraz wymagań normy PN ISO/IEC 27001:2014-12: Polityka Bezpieczeństwa, Instrukcja Zarządzania Systemem Informatycznym wraz ze wszystkimi niezbędnymi procedurami uzupełniającymi oraz analizą ryzyka. Opracowana dokumentacja ma zapewnić możliwość zaimplementowania zmian określonych w Rozporządzeniu ogólnym o ochronie danych osobowych /RODO/.

3.         Szkolenie poaudytowe dla wszystkich pracowników z zakresu bezpieczeństwa pracy w systemach teleinformatycznych. Szkolenie przygotowujące do roli audytora wewnętrznego w zakresie bezpieczeństwa informacji (do 10 pracowników).

4.         Zapewnienie opieki doradczej po zakończeniu audytu – konsultacje zamawiającego z wykonawcą zaleceń zawartych w raportach przez okres 12 miesięcy od zakończenia audytu.

III. WARUNKI UDZIAŁU W POSTĘPOWANIU

W postępowaniu może wziąć udział Wykonawca, który dysponuje zespołem minimum trzech specjalistów  z kwalifikacjami popartymi posiadaniem certyfikatów niżej wyszczególnionych.

•          Minimum dwie osoby z zespołu posiadać muszą certyfikat audytora wewnętrznego SZBI wg ISO27001, trzecia z tych osób - certyfikat audytora wiodącego SZBI wg ISO27001.

•          Co najmniej jedna osoba z zespołu posiadać musi certyfikat audytora wiodącego w zakresie analizy ciągłości działania wg ISO22301.

•          Zespół audytorów musi udokumentować łącznie stosownymi certyfikatami posiadanie wiedzy z zakresu

- ochrony danych osobowych,

- analizy ryzyka,

- przeprowadzenia analizy bezpieczeństwa w kontekście rozporządzenia KRI oraz umiejętności opracowania stosownej dokumentacji SZBI dla urzędu

•          Jako wykonawca audytu legalności oprogramowania Wykonawca udokumentuje posiadanie statusu partnera Microsoft z kompetencją Software Asset Management.

•          Wykonawca musi posiadać doświadczenie w przeprowadzaniu co najmniej 5 audytów bezpieczeństwa informacji w ciągu 3 lat w urzędach administracji publicznej lub jednostkach samorządu terytorialnego.

•          W celu potwierdzenia spełnienia powyższych wymagań Wykonawca zobowiązany jest do przedłożenia wraz z formularzem oferty: certyfikatów oraz wykazu zrealizowanych audytów bezpieczeństwa informacji w urzędach administracji publicznej lub jednostkach samorządu terytorialnego.

IV. SPOSÓB PRZYGOTOWANIA OFERTY:

1. Oferta musi zawierać następujące elementy:

a) Formularz ofertowy, stanowiący załącznik nr 1 do zapytania ofertowego,

b) Certyfikaty i dokumenty potwierdzające kwalifikacje wykonawcy - Wykaz zrealizowanych audytów bezpieczeństwa informacji w urzędach administracji publicznej.

2. Zamawiający nie dopuszcza możliwości składania ofert częściowych.

3. Zamawiający dopuszcza możliwość porozumiewania się faxem lub drogą elektroniczną z zastrzeżeniem, że ofertę bezwzględnie składa się tylko w formie pisemnej.

V. TERMIN REALIZACJI ZAMÓWIENIA:

Zamówienie należy wykonać do dnia: 30 kwietnia 2017 roku.

VI. Kryteria oceny i wyboru najkorzystniejszej oferty:

Wybór oferty najkorzystniejszej dokonany zostanie na podstawie następujących kryteriów:

cena ogółem                                                                                                 70%

doświadczenie Wykonawcy w realizacji zamówień  zgodnych

z przedmiotem zamówienia w okresie ostatnich trzech lat                                    30%

1) kryterium: cena ogółem – C1 – 70%

Cena będzie obliczona wg wzoru:

C1 =	najniższa cena spośród badanych ofert	x 100 x 70%
	cena oferty ocenianej

 

2) kryterium: doświadczenie Wykonawcy w realizacji zamówień zgodnych  z przedmiotem zamówienia w okresie ostatnich trzech lat – C2 – 30%

Doświadczenie Wykonawcy Zamawiający będzie oceniał na podstawie liczby przeprowadzonych audytów bezpieczeństwa informacji w urzędach administracji publicznej lub jednostkach samorządu terytorialnego w okresie ostatnich trzech lat liczonych do dnia składania ofert wyznaczonego przez Zamawiającego, a jeżeli okres prowadzenia działalności jest krótszy – w tym okresie. Za każdy wykonany audyt Wykonawca otrzyma 3 punkty.

Maksymalnie Wykonawca może otrzymać 30 punktów.

3) Maksymalna liczba punktów, jaką Wykonawca może uzyskać w wyniku sumy punktów poszczególnych kryteriów wynosi 100. Zamawiający wybierze ofertę, która uzyska największą ilość punktów.

VI. Kryteria oceny i wyboru najkorzystniejszej oferty:

Oferty należy składać osobiście lub pocztą na adres:

Gmina Kąty Wrocławskie

ul. Rynek Ratusz 1

55-080 Kąty Wrocławskie

lub pocztą elektroniczną na adres or@katywrocławskie.pl – decyduje data wpływu do skrzynki pocztowej na serwerze Zamawiającego

Termin składania ofert upływa dnia 22.03.2016 r o godz. 15.30.

Oferty złożone po terminie będą wyłączone z przedmiotowego postępowania.

VII. Osoby do kontaktu z Zamawiającym:

- Dariusz Pacyna 71 390 72 23

- Andrzej Krysmalski 71 390 72 22

VIII. Informacje uzupełniające:

Zamawiający udzieli zamówienia Oferentowi, którego oferta spełni wymagania określone
w niniejszym zapytaniu oraz zostanie uznana za najkorzystniejszą.

Zamawiający zastrzega sobie prawo zakończenia postępowania bez podania przyczyny.

Zamawiający powiadomi wszystkich Oferentów którzy złożą ofertę o wyniku postępowania. W zawiadomieniu wysłanym do Oferenta, którego oferta została wybrana Zamawiający określi termin i miejsce zawarcia umowy.

WYKAZ   ZAŁĄCZNIKÓW

Załącznik nr 1 - formularz ofertowy,

Załącznik nr 2 – projekt umowy

 

 

ZAŁĄCZNIK NR 1

O F E R T A

(wzór formularza ofertowego)

Nazwa wykonawcy:

 

Siedziba wykonawcy:
Miejscowość:
Ulica:		nr domu:		nr lokalu:
Kod pocztowy:
Tel.
Fax.
Strona www.
E-mail

 

Przystępując do postępowania o udzielenie zamówienia publicznego realizowanego
na podstawie art.4, pkt 8 ustawy z dnia 29 stycznia 2004r. Prawo zamówień publicznych
(t.j. Dz.U. 2015 poz.2164 z późn. zm.), na: Wykonanie audytu bezpieczeństwa informacji
w Urzędzie Miasta i Gminy Kąty Wrocławskie, zgodnego  z Rozporządzeniem Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie KRI, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.

OFERUJEMY:

realizację przedmiotu zamówienia zgodnie z wymaganiami określonymi przez Zamawiającego w zapytaniu ofertowym nr …………….………….. z dnia ……………………….. w cenie:

Audyt bezpieczeństwa informacji wraz ze szkoleniami pracowniczymi	Cena w zł  (netto)	Cena w zł (brutto)

 

 

 

Składając niniejszą ofertę Wykonawca oświadcza, że:

• zapoznał się z treścią zapytania ofertowego i nie wnosi do niego zastrzeżeń,
• posiada niezbędna wiedzę, doświadczenie i dysponuje odpowiednim potencjałem technicznym oraz osobami zdolnymi do wykonania Zamówienia,
• uważa się za związanego niniejszą ofertą przez okres 30 dni,
• w okresie ostatnich trzech lat liczonych do dnia składania ofert wyznaczonego przez Zamawiającego, a jeżeli okres prowadzenia działalności jest krótszy – w tym okresie, wykonał instytucjach publicznych ………….  audytów bezpieczeństwa informacji.

 

              data                                         (podpis upoważnionego przedstawiciela Wykonawcy)