Zamówienie realizowane w ramach Funduszu Europejskiego na Rozwój Cyfrowy 2021-2027 (FERC) Priorytet II: Zaawansowane usługi cyfrowe, Działanie 2.2. – Wzmocnienie krajowego systemu cyberbezpieczeństwa, Europejski Fundusz Rozwoju Regionalnego (EFRR) pn. „Cyberbezpieczny Samorząd - Wdrażanie nowoczesnych rozwiązań cyberbezpieczeństwa w Gminie Bełżyce”, numer naboru FERC.02.02-CS.01-001/23.

Szanowni Państwo,

Gmina Bełżyce (nasza geolokalizacja) zaprasza do składania ofert w trybie szacowania zamówienia z możliwością zawarcia umowy dla zadania pod nazwą: „Przygotowanie dokumentacji Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) wraz z pakietem audytów”, poprzez poniższy formularz elektroniczny.

Dlaczego warto odpowiedzieć na szacowanie wartości zamówienia?

Informujemy, że niniejsze zapytanie nie stanowi zaproszenia do składania ofert w rozumieniu art. 66 Kodeksu cywilnego i nie zobowiązuje do zawarcia umowy.

W celu należytego przygotowania i przeprowadzenia procedury, zwracamy się do Państwa z prośbą o dokonanie niezobowiązującej i niewiążącej wyceny.

Powyższe zostanie wykorzystane wyłącznie na potrzeby ustalenia szacunkowej wartości zamówienia. Państwa pomoc będzie dla nas bardzo ważna, ze względu na konieczność zastosowania właściwego progu oraz trybu postępowania.

Jednocześnie Zamawiający zastrzega, że odpowiedź na niniejsze postępowanie o charakterze szacowania wartości zamówienia może skutkować zawarciem umowy, której przedmiot został określony w niniejszym zapytaniu o szacowanie.

1.     Przedmiot zamówienia: zamówienie obejmuje 3 zadania do wykonania:

Zadanie 1:   Opracowanie nowych polityk i aktualizacja dokumentacji w ramach opracowania i wdrożenia SZBI w Urzędzie i jednostkach podległych.

Zadanie 2:   Wykonanie audytu zgodności z KRI przez Certyfikowanego Audytora Wiodącego.

Zadanie 3:   Wykonanie audytu zgodności SZBI z normą ISO/IEC 27001 przez Certyfikowanego Audytora Wiodącego.

OPIS PRZEDMIOTU ZAMÓWIENIA:

   I.     Zakres prac i szczegóły dotyczące przedmiotu zamówienia DLA ZADANIA 1:

   1.    Opracowanie nowych polityk i aktualizacja dokumentacji w ramach wdrożenia SZBI

1.      Liczba jednostek dla, których należy przygotować dokumentację SZBI - 7 – Urząd Miejski w Bełżycach, Zakład Gospodarki Komunalnej i Mieszkaniowej, Szkoła Podstawowa Nr 1 im. Jana Pawła II w Bełżycach, Szkoła Podstawowa Nr 2 im. Królowej Jadwigi w Bełżycach, Centrum Usług Społecznych, Przedszkole nr 1 im. Janusza Korczaka w Bełżycach, Centrum Kultury Fizycznej i Sportu w Bełżycach.

2.     Dokumentacja musi zostać przygotowana od podstaw w 6 jednostkach, a w 1 zaktualizowana (Urząd Miejski w Bełżycach)

3.     Obecny stan dokumentacji SZBI: Wymagane jest opracowanie nowych polityk oraz aktualizacja istniejącej dokumentacji.

4.     Podział dokumentacji: Dla każdej jednostki musi zostać przygotowana odrębna  dokumentacja. Zamawiający dopuszcza zamiennie przygotowanie jednej, wspólnej dokumentacji dla Urzędu Miejskiego oraz wszystkich jednostek pod warunkiem, że  będzie ona zawierała dedykowane sekcje dla każdej jednostki, uwzględniające jej strukturę, zakres działań i zasoby.

5.     Wymagany jest podział dokumentacji na 4 części (Polityka Bezpieczeństwa Informacji, Polityka Bezpieczeństwa Danych Osobowych, Polityka Bezpieczeństwa Systemów Informatycznych, Polityka Bezpieczeństwa Fizycznego)

6.    Obszary które powinny zostać objęte szczególnym uwzględnieniem w dokumentacji: 

a)    Cel i zakres polityk w kontekście bezpieczeństwa informacji (BI);

b)    Role i odpowiedzialności pracowników w zakresie BI;

c)    Zarządzanie ryzykiem w obszarze BI;

d)    Procedury zarządzania incydentami BI;

e)    Deklarację stosowania zabezpieczeń;

f)     Kontrole dostępu do informacji i zasobów;

g)    Procedury związane z tworzeniem i prowadzeniem aktyw informacyjnych;

h)    Zasady pracy na odległość i mobilny dostęp do informacji;

i)      Bezpieczeństwo fizyczne pomieszczeń i obiektów związanych z BI;

j)     Bezpieczeństwo fizyczne nośników informacji;

k)    Bezpieczeństwo infrastruktury wspomagającej;

l)      Inwentaryzacja systemów informacyjnych;

m)  Zarządzanie bezpieczeństwem i ciągłością działania łańcuch dostaw;

n)    Projektowanie i wdrażanie systemów teleinformatycznych;

o)    Kopie zapasowe i zarządzanie ciągłością działania;

p)    Sprzęt komputerowy, oprogramowanie strategiczne systemy i aplikacje;

q)    Serwery, informatyczna sieć wewnętrzna;

r)     Rozliczalność działań w systemach informatycznych;

s)     Procedury uwzględnienia BI w procesach planowania i zarządzania ciągłością działania;

t)     Procedury bezpieczeństwa informacji w relacjach z dostawcami;

u)    Okresowe szkolenia i podnoszenie świadomości pracowników z zakresu BI;

v)    Cykliczne audyty i monitorowanie SZBI.

7.   Dokumentacja musi zostać opracowana z uwzględnieniem przepisów RODO, ISO 27001, ustawy o krajowym systemie cyberbezpieczeństwa oraz rozporządzenia w sprawie krajowych ram interoperacyjności.

8.   Indywidualizacja dokumentacji Dokumentacja musi być opracowana z uwzględnieniem wymagań i potrzeb stron zainteresowanych (wewnętrznych i zewnętrznych), na podstawie przepisów oraz informacji udzielonych przez pracowników podczas spotkań projektowych.

9.    Wymagania dotyczące spotkań projektowych Liczba spotkań projektowych wynosi minimum 2-3 udokumentowane spotkania z kadrą kierowniczą. Spotkania te mają na celu zebranie informacji niezbędnych do opracowania indywidualnych procedur oraz omówienie specyficznych potrzeb i wymagań Urzędu i jednostek podległych urzędowi.

10.  Termin zakończenia prac nad dokumentacją: Zgodnie z projektem umowy

11.   Raportowanie i zatwierdzenie dokumentacji:

1.11.1   Po opracowaniu dokumentacji, wykonawca przekaże projekt do zatwierdzenia kierownictwu każdej jednostki odrębnie w obecności pracownika Zamawiającego.

1.11.2   W przypadku zgłoszenia zmian lub poprawek wykonawca zobligowany jest do naniesienia poprawek lub przedstawienia pisemnych wyjaśnień w ciągu 14 dni. 

12.     Aktualizacja dokumentacji: Wykonawca zobligowany jest do przeglądu i aktualizacji opracowanej dokumentacji po zrealizowaniu i wdrożeniu zakupów objętych projektem Cyberbezpieczny samorząd na wezwanie Zamawiającego w terminie 14 dni od otrzymania wezwania. 

II.        Zakres prac i szczegóły dotyczące przedmiotu zamówienia DLA ZADANIA 2:

1.                  Wykonanie audytu zgodności z KRI przez Certyfikowanego Audytora Wiodącego

1.1       Liczba jednostek objętych audytami:- 7 – Urząd Miejski w Bełżycach, Zakład Gospodarki Komunalnej i Mieszkaniowej, Szkoła Podstawowa Nr 1 im. Jana Pawła II w Bełżycach, Szkoła Podstawowa Nr 2 im. Królowej Jadwigi w Bełżycach, Centrum Usług Społecznych, Przedszkole nr 1 im. Janusza Korczaka w Bełżycach, Centrum Kultury Fizycznej i Sportu w Bełżycach.

1.2       Miejsce przeprowadzenia audytów: siedziba Urzędu Miejskiego w Bełżycach oraz wszystkich jednostek podległych urzędowi

1.3       Opracowanie, przed rozpoczęciem audytu, listy kontrolnej, która pozwoli na zweryfikowanie wszystkich wymogów interoperacyjności i bezpieczeństwa danych.

1.4       Lista musi być oparta o wymogi przewidziane w § 20 rozporządzenia Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.

1.5       Lista musi obejmować co najmniej weryfikację następujących zagadnień (zakres audytu):

1.5.1  Czy zapewniono aktualizację regulacji wewnętrznych w zakresie zmieniającego się otoczenia?

1.5.2  Czy utrzymano aktualność inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację?

1.5.3  Czy dokonuje się okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji? Czy podejmowane są działania minimalizujące to ryzyko, stosownie do wyników przeprowadzonej analizy?

1.5.4  Czy osoby zaangażowane w proces przetwarzania informacji mają stosowne uprawnienia i uczestniczą w tym procesie odpowiednio do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji?

1.5.5  Czy dochodzi do niezwłocznej modyfikacji uprawnień w przypadku zmiany zadań wskazanych osób?

1.5.6  Czy zapewnione są szkolenia osób zaangażowanych w proces przetwarzania informacji z uwzględnieniem:

1.5.6.1            zagrożeń bezpieczeństwa informacji;

1.5.6.2            skutków naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialności prawnej;

1.5.6.3            stosowania środków zapewniających bezpieczeństwo informacji, w tym urządzeń i oprogramowania minimalizującego ryzyko błędów ludzkich?

1.5.7  Czy wdrożone zostały środki ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, przez:

1.5.7.1            monitorowanie dostępu do informacji;

1.5.7.2            czynności zmierzające do wykrycia nieautoryzowanych działań związanych z przetwarzaniem informacji;

1.5.7.3            zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych, usług sieciowych i aplikacji.

1.5.8  Czy przyjęto reguły gwarantujące bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość?

1.5.9  Czy przyjęto zabezpieczenia informacji uniemożliwiające nieuprawnionemu ich ujawnienie, modyfikacje, usunięcie lub zniszczenie?

1.5.10              Czy w umowach serwisowych podpisanych ze stronami trzecimi przewidziano postanowienia gwarantujące odpowiedni poziom bezpieczeństwa informacji?

1.5.11              Czy ustalono zasady postępowania z informacjami, zapewniające minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych?

1.5.12              Czy zapewniono odpowiedni poziom bezpieczeństwa w systemach IT, polegający w szczególności na:

1.5.12.1         dbałości o aktualizację oprogramowania;

1.5.12.2         minimalizowaniu ryzyka utraty informacji w wyniku awarii;

1.5.12.3         ochronie przed błędami, utratą, nieuprawnioną modyfikacją;

1.5.12.4         stosowaniu mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisu prawa;

1.5.12.5         zapewnieniu bezpieczeństwa plików systemowych;

1.5.12.6         redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych;

1.5.12.7         niezwłocznym podejmowaniu działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia bezpieczeństwa;

1.5.12.8         kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa?

III.                Zakres prac i szczegóły dotyczące przedmiotu zamówienia DLA ZADANIA 3:

1.          Wykonanie audytu zgodności SZBI z normą ISO/IEC 27001 przez Certyfikowanego Audytora Wiodącego- Szczegółowe wymagania dotyczące audytów wstępnych:

1.1       Liczba jednostek objętych audytami:- 7 – Urząd Miejski w Bełżycach, Zakład Gospodarki Komunalnej i Mieszkaniowej, Szkoła Podstawowa Nr 1 im. Jana Pawła II w Bełżycach, Szkoła Podstawowa Nr 2 im. Królowej Jadwigi w Bełżycach, Centrum Usług Społecznych, Przedszkole nr 1 im. Janusza Korczaka w Bełżycach, Centrum Kultury Fizycznej i Sportu w Bełżycach.

1.2       Miejsce przeprowadzenia audytów: siedziba Urzędu Miejskiego w Bełżycach oraz wszystkich jednostek podległych urzędowi;

1.3       Łączna ilość stacji roboczych we wszystkich jednostkach: 130 szt.

1.4       Łączna ilość serwerów we wszystkich jednostkach: 7 szt.

1.5       Łączna ilość urządzeń sieciowych we wszystkich jednostkach: 25 szt.

1.6       Zakres audytu wstępnego:

1.6.1 Ocena poziomu bezpieczeństwa organizacyjnego związanego z posiadaną dokumentacją i procedurami.

1.6.2 Ocena poziomu bezpieczeństwa technicznego związanego z posiadaną infrastrukturą, jej funkcjonowaniem i wydajnością.

1.6.3  Przeprowadzenie testów penetracyjnych obejmujących testy styku sieci lokalnej z Internetem, w tym co najmniej:

1.6.3.1            Analiza topologii brzegu sieci;

1.6.3.2            Weryfikacja mechanizmów ochronnych;

1.6.3.3            Próba wykrycia usług sieciowych udostępnianych do Internetu;

1.6.3.4            Detekcja wersji oraz typu oprogramowania dostępnego z sieci Internet;

1.6.3.5           Exploitacja dostępnych urządzeń oraz usług wystawionych do sieci Internet.

1.6.4               Przeprowadzenie testów penetracyjnych ze stacji roboczej podłączonej do wewnętrznego systemu informatycznego, w tym co najmniej:

1.6.4.1            Analiza topologii sieci LAN;

1.6.4.2            Weryfikacja mechanizmów ochronnych w sieci,

1.6.4.3            Analiza komunikacji sieciowej;

1.6.4.4            Skanowanie portów TCP/UDP i próba wykrycia usług sieciowych;

1.6.4.5            Skanowanie hostów aktywnych w sieci;

1.6.4.6            Exploitacja dostępnych urządzeń oraz usług w sieci LAN;.

2.          Wykonanie audytu zgodności SZBI z normą ISO/IEC 27001 przez Certyfikowanego Audytora Wiodącego - Szczegółowe wymagania dotyczące audytów końcowych:

2.1       Liczba jednostek objętych audytami:- 7 – Urząd Miejski w Bełżycach, Zakład Gospodarki Komunalnej i Mieszkaniowej, Szkoła Podstawowa Nr 1 im. Jana Pawła II w Bełżycach, Szkoła Podstawowa Nr 2 im. Królowej Jadwigi w Bełżycach, Centrum Usług Społecznych, Przedszkole nr 1 im. Janusza Korczaka w Bełżycach, Centrum Kultury Fizycznej i Sportu w Bełżycach.

2.2       Miejsce przeprowadzenia audytów: siedziba Urzędu Miejskiego w Bełżycach oraz wszystkich jednostek podległych urzędowi;

2.3       Łączna ilość stacji roboczych we wszystkich jednostkach: 130 szt.

2.4       Łączna ilość serwerów we wszystkich jednostkach: 7 szt.

2.5       Łączna ilość urządzeń sieciowych we wszystkich jednostkach: 25 szt.

2.6       Zakres audytu końcowego:

2.6.1 Ocena poziomu bezpieczeństwa organizacyjnego związanego z posiadaną dokumentacją i procedurami.

2.6.2 Ocena poziomu bezpieczeństwa technicznego związanego z posiadaną infrastrukturą, jej funkcjonowaniem i wydajnością.

2.6.3  Przeprowadzenie testów obejmujących konfigurację zakupionych w ramach projektu grantowego urządzeń i oprogramowania zwiększającego poziom bezpieczeństwa cyfrowego

2.7       Wszystkie audyty muszą zostać wykonane w oparciu o przepisy i normy:

2.7.1  Rozporządzenie Rady Ministrów z dnia 21 maja 2024 r. w sprawie krajowych ram interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.

2.7.2  Ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne.

2.7.3  Ustawa o krajowym systemie cyberbezpieczeństwa.

2.7.4  Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679

2.7.5  Norma ISO 27001.

2.8       Raporty z audytów (odrębne dla audytów wstępnych i końcowych) muszą zawierać informacje o stanie aktualnym, stwierdzonych uchybieniach oraz zaleceniach pokontrolnych.

2.9       Forma przekazania i omówienia raportów poaudytowych: Spotkanie w siedzibie Urzędu Miejskiego oraz poszczególnych jednostek podczas, których wyniki zostaną omówione z kadrą kierowniczą.

Oferent musi spełniać minimalne wymagania dotyczące podmiotu doradczego, zgodnie z dokumentacją programu tj. posiadać co najmniej dwuletnie doświadczenie w realizacji usług związanych z cyberbezpieczeństwem oraz dysponować co najmniej jedną osobą w roli specjalisty posiadającego jeden z certyfikatów, tj. audytor wewnętrzny i zewnętrzny normy PN-ISO/IEC 27001, CISA, CIA lub równoważne poświadczenia/ certyfikaty z zakresu cyberbezpieczeństwa.

2.     Termin realizacji zamówienia:

1)    Wykonanie części 1 przedmiotu Umowy, tj. Opracowanie nowych polityk i aktualizacja dokumentacji w ramach wdrożenia SZBI ustala się do 30 dni kalendarzowych od dnia zawarcia umowy

2)    Wykonanie części 2 przedmiotu Umowy, tj. Wykonanie audytu zgodności z KRI przez Certyfikowanego Audytora Wiodącego nastąpi w terminie do 30 dni kalendarzowych od dnia zawarcia umowy

3)   Wykonanie części 3 przedmiotu Umowy, tj. Wykonanie audytu zgodności SZBI z normą ISO/IEC 27001 przez Certyfikowanego Audytora Wiodącego, nastąpi w terminie do 30 dni kalendarzowych od zakończenia części 1.

Zamawiający zakłada, iż dla realizacji ogółu usług i prac objętych Przedmiotem Umowy maksymalna ilość roboczogodzin świadczenia usług łącznie  nie będzie przekraczać 100 roboczogodzin.  

Wykonawca przystępując do niniejszego postępowania oświadcza, że wynagrodzenie określone w ust. 1 nie narusza przepisów ustawy z dnia 10 października 2002 r. o minimalnym wynagrodzeniu za pracę (Dz.U. z 2024 r. poz. 1773 ze zm.) oraz Rozporządzenia Rady Ministrów z dnia 11 września 2025 r. w sprawie wysokości minimalnego wynagrodzenia za pracę oraz wysokości minimalnej stawki godzinowej w 2026 roku. 

3.     Sposób przygotowania oferty:

Cenę ofertową należy podać na formularzu elektronicznym.

W wycenie należy podać cenę jednostkową netto w zł z zaokrągleniem do dwóch miejsc po przecinku za 1 sztukę asortymentu oraz wybrać odpowiednią stawkę podatku VAT.

Platforma automatycznie przeliczy wartość netto /VAT/brutto w zł.

Na potwierdzenie spełnienia warunku udziału (doświadczenie i personel) Wykonawca jest zobowiązany wraz z ofertą złożyć druk Oświadczenie Wykonawcy (zał. nr 1) podpisany przez osobę uprawnioną opatrzony podpisem elektronicznym. Należy załączyć w miejscu dla załączników (ikona spinacza).

UWAGA! Brak powyższego załącznika będzie skutkować odrzuceniem oferty.

4.     Kryterium oceny ofert:

Zamawiający przyjmie całkowitą cenę oferty brutto o wadze 100 %. Zamawiający może przyznać zamówienie Wykonawcy, którego oferta odpowiada zasadom określonym w niniejszym zapytaniu oraz została uznana za najkorzystniejszą na podstawie określonego kryterium tj. posiada najniższą cenę. Cena ma być wyrażona w polskich złotych.

Obliczenie punktów w kryterium „najniższa cena” zostanie dokonane w oparciu o następujący

wzór:

C = (C min / C x) x 100

gdzie:

C - liczba punktów w kryterium najniższa cena

C min - najniższa cena oferty w zł brutto spośród złożonych, nieodrzuconych ofert

Cx - cena oferty badanej w zł brutto.

W ofercie szacunkowej należy podać cenę jednostkową w zł netto dla każdej pozycji (bez VAT) z zaokrągleniem do dwóch miejsc po przecinku oraz wybrać odpowiednią stawkę podatku VAT – tym samym platforma automatycznie przeliczy cenę jednostkową w zł brutto za każdą pozycję druku ofertowego. Dodatkowo platforma automatycznie przeliczy wartość netto/VAT/ brutto w zł całości oferty szacunkowej.

5.  Zasady wyboru wykonawcy:

Zamawiający nie dopuszcza składania ofert częściowych. Ofertę szacunkową należy złożyć na wszystkie pozycje.

Zamawiający zastrzega sobie prawo do dokonania w każdym czasie i bez podania przyczyny zmian lub unieważnienia postępowania bez wybrania którejkolwiek z ofert. Jeżeli zmiany będą mogły mieć wpływ na treść składanych w postępowaniu ofert, Zamawiający przedłuży termin ich składania. Do przedmiotowego postępowania nie przysługują Wykonawcom środki ochrony prawnej określone w przepisach ustawy Pzp. Tym samym Wykonawca zrzeka się wszelkich rozszerzeń.

Przystępując do przedmiotowego zapytania, Wykonawca oświadcza, że nie podlega wykluczeniu z niniejszego postępowania na podstawie art. 7 ust. 1 ustawy z dnia 13 kwietnia 2022 r. o szczególnych rozwiązaniach w zakresie przeciwdziałania wspieraniu agresji na Ukrainę oraz służących ochronie bezpieczeństwa narodowego.

Do umowy Zamawiający wymaga załącznika nr 1 – tj. oświadczenia Wykonawcy w tym zakresie.

W przypadku, gdy Wykonawca zostanie wpisany na listy sankcyjne, Zamawiający zastrzega odstąpienie od umowy z tego tytułu.

Termin związania ofertą – 30 dni.

Termin płatności: 30 dni od daty otrzymania prawidłowo wystawionej faktury.

Klauzula RODO

W sprawach merytorycznych proszę o kontakt poprzez przycisk "Wyślij wiadomość do zamawiającego"

Urząd Miejski w Bełżycach

osoby do kontaktu:

Patrycja Grzegorczyk, nr tel. 81 516 27 37 e-mail: p.grzegorczyk@belzyce.pl

Konrad Gumiński, nr tel. 81 516 27 55, e-mail: kguminski@belzyce.pl

W sprawach związanych z obsługą platformy:

Centrum Wsparcia Klienta platformy zakupowej Open Nexus czynnym od poniedziałku do piątku w dni robocze, w godzinach od  8:00 do 17:00.

1.   tel. 22 101 02 02

2.   e-mail: cwk@platformazakupowa.pl

Zaznaczamy, że oficjalnym potwierdzeniem chęci realizacji zamówienia przez Zamawiającego jest wysłanie zamówienia lub podpisanie umowy. 

Wiadomości z platformy zakupowej mają charakter informacyjny.