Zapytanie ofertowe na wykonanie audytu w zakresie bezpieczeństwa informacji w Urzędzie Miasta i Gminy Katy Wrocławskie.
Kąty Wrocławskie dnia 17.03.2017
Zapytanie ofertowe nr OR.135.1.2017-1
Szanowni Państwo,
Urząd Miasta i Gminy w Kątach Wrocławskich zaprasza Państwa do złożenia oferty cenowej na wykonanie audytu w zakresie bezpieczeństwa informacji.
I. DANE ZAMAWIAJĄCEGO
Gmina Kąty Wrocławskie
ul. Rynek Ratusz 1
55-080 Kąty Wrocławskie
tel. 71 390 72 23 fax 71 390 72 01
mail: or@katywroclawskie.pl http://www.katywroclawskie.pl
Postępowanie prowadzone jest w trybie art.4 pkt 8 ustawy z dnia 29 stycznia 2004r. Prawo zamówień publicznych (t.j. Dz.U. 2015 poz.2164 z późn. zm.) i stanowi wyłącznie zaproszenie do składania ofert.
II. PRZEDMIOT ZAMÓWIENIA:
Wykonaniu audytu bezpieczeństwa informacji w Urzędzie Miasta i Gminy Kąty Wrocławskie zgodnego z wymogami § 20 Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r.
w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań
dla systemów teleinformatycznych (Dz. U. 2016 poz. 113) oraz Ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U.2016 poz. 922 z późn. zm.) w oparciu
o wymagania normy PN ISO/IEC 27001:2014-12.
Liczba pracowników: 83
Liczba lokalizacji: 2
Liczba serwerów: 10
Liczba stacji roboczych: 80
Liczba urządzeń sieciowych: 10
Szczegółowy zakres audytu:
1. Audyt bezpieczeństwa informacji we wszystkich obszarach funkcjonowania organizacji
a. Audyt organizacyjny
• Regulacje w obszarze zarządzania bezpieczeństwem informacji;
• Odpowiedzialność za bezpieczeństwo informacji i koordynacja prac
związanych z zarządzaniem bezpieczeństwem informacji;
• Dokumentacja, w tym z zakresu ochrony danych osobowych;
• Przeprowadzenie wywiadów z wybranymi pracownikami.
b. Audyt fizyczny i środowiskowy
• Weryfikacja granic obszaru bezpiecznego;
• Weryfikacja zabezpieczeń wejścia/wyjścia;
• Weryfikacja systemów zabezpieczeń pomieszczeń i urządzeń;
• Weryfikacja bezpieczeństwa okablowania strukturalnego;
• Weryfikacja systemów chłodzenia;
• Weryfikacja systemów alarmowych.
c. Audyt teleinformatyczny
• Przeprowadzenie testów penetracyjnych systemu informatycznego wewnętrznie i zewnętrznie, określenie luk, wskazanie rozwiązań naprawczych, opracowanie raportu
• Weryfikacja istniejących procedur zarządzania systemami teleinformatycznymi;
• Przegląd zasobów informatycznych oraz stosowanych rozwiązań pod kątem utrzymania ciągłości działania;
• Weryfikacja ochrony przed oprogramowaniem szkodliwym;
• Weryfikacja procedur zarządzania kopiami zapasowymi;
• Weryfikacja procedur związanych z rejestracją błędów;
• Weryfikacja procedur dostępu do systemów operacyjnych, w tym zabezpieczeń przed możliwością nieautoryzowanych instalacji oprogramowania;
• Weryfikacja zabezpieczeń stacji roboczych i nośników danych w szczególności tych, na których przetwarzane są dane osobowe;
• Weryfikacja haseł (ich stosowanie, przyjęta polityka ich tworzenia oraz zmiany, mechanizmy ich przechowywania);
• Analiza i ocena mechanizmów zarządzania aktualizacjami.
• Weryfikacja stosowanych metod kasowanie danych z nośników magnetycznych przeznaczonych do utylizacji.
d. Audyt ochrony danych osobowych
• Analiza formalno – prawna procesów i zbiorów, w których przetwarzane są dane osobowe, prowadzonych w sposób tradycyjny oraz z wykorzystaniem systemów informatycznych
• Przegląd zgodności przetwarzania danych osobowych z wymaganiami Ustawy
• Przegląd istniejących regulacji wewnętrznych odnośnie bezpieczeństwa przetwarzania danych osobowych
• Przegląd aktualnie wykorzystywanych dokumentów mających związek
z ochroną danych osobowych
• Identyfikacja zbiorów potencjalnie podlegających rejestracji
e. Audyt legalności oprogramowania
• Inwentaryzacja oprogramowania wykorzystywanego w urzędzie
i dokumentacji licencyjnej
• Sporządzenie raportu o stanie oprogramowania z zaleceniami naprawczymi
• Wsparcie w rozwiązaniu wskazanych nieprawidłowości
• Zakończenie audytu poprzez opracowanie raportu końcowego i wystawienie certyfikatu Software Asset Management dla zamawiającego
f. Audyt socjotechniczny
• Przeprowadzenie wyrywkowych testów socjotechnicznych w fizycznej lokalizacji zamawiającego oraz za pośrednictwem telefonu i poczty elektronicznej
• Sporządzenie raportu wraz z zaleceniami naprawczymi
2. Opracowanie kompletnej dokumentacji Systemu Zarządzania Bezpieczeństwem Informacji do zaimplementowania u zamawiającego wg aktualnego stanu prawnego oraz wymagań normy PN ISO/IEC 27001:2014-12: Polityka Bezpieczeństwa, Instrukcja Zarządzania Systemem Informatycznym wraz ze wszystkimi niezbędnymi procedurami uzupełniającymi oraz analizą ryzyka. Opracowana dokumentacja ma zapewnić możliwość zaimplementowania zmian określonych w Rozporządzeniu ogólnym o ochronie danych osobowych /RODO/.
3. Szkolenie poaudytowe dla wszystkich pracowników z zakresu bezpieczeństwa pracy w systemach teleinformatycznych. Szkolenie przygotowujące do roli audytora wewnętrznego w zakresie bezpieczeństwa informacji (do 10 pracowników).
4. Zapewnienie opieki doradczej po zakończeniu audytu – konsultacje zamawiającego z wykonawcą zaleceń zawartych w raportach przez okres 12 miesięcy od zakończenia audytu.
III. WARUNKI UDZIAŁU W POSTĘPOWANIU
W postępowaniu może wziąć udział Wykonawca, który dysponuje zespołem minimum trzech specjalistów z kwalifikacjami popartymi posiadaniem certyfikatów niżej wyszczególnionych.
• Minimum dwie osoby z zespołu posiadać muszą certyfikat audytora wewnętrznego SZBI wg ISO27001, trzecia z tych osób - certyfikat audytora wiodącego SZBI wg ISO27001.
• Co najmniej jedna osoba z zespołu posiadać musi certyfikat audytora wiodącego w zakresie analizy ciągłości działania wg ISO22301.
• Zespół audytorów musi udokumentować łącznie stosownymi certyfikatami posiadanie wiedzy z zakresu
- ochrony danych osobowych,
- analizy ryzyka,
- przeprowadzenia analizy bezpieczeństwa w kontekście rozporządzenia KRI oraz umiejętności opracowania stosownej dokumentacji SZBI dla urzędu
• Jako wykonawca audytu legalności oprogramowania Wykonawca udokumentuje posiadanie statusu partnera Microsoft z kompetencją Software Asset Management.
• Wykonawca musi posiadać doświadczenie w przeprowadzaniu co najmniej 5 audytów bezpieczeństwa informacji w ciągu 3 lat w urzędach administracji publicznej lub jednostkach samorządu terytorialnego.
• W celu potwierdzenia spełnienia powyższych wymagań Wykonawca zobowiązany jest do przedłożenia wraz z formularzem oferty: certyfikatów oraz wykazu zrealizowanych audytów bezpieczeństwa informacji w urzędach administracji publicznej lub jednostkach samorządu terytorialnego.
IV. SPOSÓB PRZYGOTOWANIA OFERTY:
1. Oferta musi zawierać następujące elementy:
a) Formularz ofertowy, stanowiący załącznik nr 1 do zapytania ofertowego,
b) Certyfikaty i dokumenty potwierdzające kwalifikacje wykonawcy - Wykaz zrealizowanych audytów bezpieczeństwa informacji w urzędach administracji publicznej.
2. Zamawiający nie dopuszcza możliwości składania ofert częściowych.
3. Zamawiający dopuszcza możliwość porozumiewania się faxem lub drogą elektroniczną z zastrzeżeniem, że ofertę bezwzględnie składa się tylko w formie pisemnej.
V. TERMIN REALIZACJI ZAMÓWIENIA:
Zamówienie należy wykonać do dnia: 30 kwietnia 2017 roku.
VI. Kryteria oceny i wyboru najkorzystniejszej oferty:
Wybór oferty najkorzystniejszej dokonany zostanie na podstawie następujących kryteriów:
cena ogółem 70%
doświadczenie Wykonawcy w realizacji zamówień zgodnych
z przedmiotem zamówienia w okresie ostatnich trzech lat 30%
1) kryterium: cena ogółem – C1 – 70%
Cena będzie obliczona wg wzoru:
C1 = |
najniższa cena spośród badanych ofert |
x 100 x 70% |
cena oferty ocenianej |
2) kryterium: doświadczenie Wykonawcy w realizacji zamówień zgodnych z przedmiotem zamówienia w okresie ostatnich trzech lat – C2 – 30%
Doświadczenie Wykonawcy Zamawiający będzie oceniał na podstawie liczby przeprowadzonych audytów bezpieczeństwa informacji w urzędach administracji publicznej lub jednostkach samorządu terytorialnego w okresie ostatnich trzech lat liczonych do dnia składania ofert wyznaczonego przez Zamawiającego, a jeżeli okres prowadzenia działalności jest krótszy – w tym okresie. Za każdy wykonany audyt Wykonawca otrzyma 3 punkty.
Maksymalnie Wykonawca może otrzymać 30 punktów.
3) Maksymalna liczba punktów, jaką Wykonawca może uzyskać w wyniku sumy punktów poszczególnych kryteriów wynosi 100. Zamawiający wybierze ofertę, która uzyska największą ilość punktów.
VI. Kryteria oceny i wyboru najkorzystniejszej oferty:
Oferty należy składać osobiście lub pocztą na adres:
Gmina Kąty Wrocławskie
ul. Rynek Ratusz 1
55-080 Kąty Wrocławskie
lub pocztą elektroniczną na adres or@katywrocławskie.pl – decyduje data wpływu do skrzynki pocztowej na serwerze Zamawiającego
Termin składania ofert upływa dnia 22.03.2016 r o godz. 15.30.
Oferty złożone po terminie będą wyłączone z przedmiotowego postępowania.
VII. Osoby do kontaktu z Zamawiającym:
- Dariusz Pacyna 71 390 72 23
- Andrzej Krysmalski 71 390 72 22
VIII. Informacje uzupełniające:
Zamawiający udzieli zamówienia Oferentowi, którego oferta spełni wymagania określone
w niniejszym zapytaniu oraz zostanie uznana za najkorzystniejszą.
Zamawiający zastrzega sobie prawo zakończenia postępowania bez podania przyczyny.
Zamawiający powiadomi wszystkich Oferentów którzy złożą ofertę o wyniku postępowania. W zawiadomieniu wysłanym do Oferenta, którego oferta została wybrana Zamawiający określi termin i miejsce zawarcia umowy.
WYKAZ ZAŁĄCZNIKÓW
Załącznik nr 1 - formularz ofertowy,
Załącznik nr 2 – projekt umowy
ZAŁĄCZNIK NR 1
O F E R T A
(wzór formularza ofertowego)
Nazwa wykonawcy: |
|
Siedziba wykonawcy: |
|
||||
Miejscowość: |
|
||||
Ulica: |
|
nr domu: |
|
nr lokalu: |
|
Kod pocztowy: |
|
||||
Tel. |
|
||||
Fax. |
|
||||
Strona www. |
|
||||
|
|
Przystępując do postępowania o udzielenie zamówienia publicznego realizowanego
na podstawie art.4, pkt 8 ustawy z dnia 29 stycznia 2004r. Prawo zamówień publicznych
(t.j. Dz.U. 2015 poz.2164 z późn. zm.), na: Wykonanie audytu bezpieczeństwa informacji
w Urzędzie Miasta i Gminy Kąty Wrocławskie, zgodnego z Rozporządzeniem Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie KRI, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.
OFERUJEMY:
realizację przedmiotu zamówienia zgodnie z wymaganiami określonymi przez Zamawiającego w zapytaniu ofertowym nr …………….………….. z dnia ……………………….. w cenie:
Audyt bezpieczeństwa informacji wraz ze szkoleniami pracowniczymi |
Cena w zł (netto) |
Cena w zł (brutto) |
|
|
Składając niniejszą ofertę Wykonawca oświadcza, że:
- zapoznał się z treścią zapytania ofertowego i nie wnosi do niego zastrzeżeń,
- posiada niezbędna wiedzę, doświadczenie i dysponuje odpowiednim potencjałem technicznym oraz osobami zdolnymi do wykonania Zamówienia,
- uważa się za związanego niniejszą ofertą przez okres 30 dni,
- w okresie ostatnich trzech lat liczonych do dnia składania ofert wyznaczonego przez Zamawiającego, a jeżeli okres prowadzenia działalności jest krótszy – w tym okresie, wykonał instytucjach publicznych …………. audytów bezpieczeństwa informacji.
data (podpis upoważnionego przedstawiciela Wykonawcy)
Załączniki do pobrania
Plik | Nazwa | Data dodania | Pobrań |
---|---|---|---|
2017.03.14 Projekt umowy na audyt.pdf (PDF, 131.01Kb) | 2017-03-17 13:34:49 | 918 | |
2017.03.17 Zapytanie ofertowe.pdf (PDF, 141.30Kb) | 2017-03-17 13:34:49 | 467 |
Plik | Nazwa | Data dodania | Pobrań |
---|
Metadane - wyciąg z rejestru zmian
Osoba odpowiadająca za treść informacji
Antoni Kopeć Data wytworzenia:
17 mar 2017
Osoba dodająca informacje
Andrzej Krysmalski Data publikacji:
17 mar 2017, godz. 13:34
Osoba aktualizująca informacje
Andrzej Krysmalski Data aktualizacji:
17 mar 2017, godz. 13:34