Ogłoszenie o wyniku postępowania
Usługi
Wykonanie diagnozy cyberbezpieczeństwa w Starostwie Powiatowym w Mikołowie w ramach projektu pn: „Cyfrowy Powiat” realizowanego w ramach REACT-EU, PO Polska Cyfrowa na lata 2014-2020

SEKCJA I - ZAMAWIAJĄCY

1.1.) Rola zamawiającego

Postępowanie prowadzone jest samodzielnie przez zamawiającego

1.2.) Nazwa zamawiającego: Powiat Mikołowski reprezentowany przez Zarząd Powiatu

1.4) Krajowy Numer Identyfikacyjny: REGON 276255016

1.5) Adres zamawiającego

1.5.1.) Ulica: Żwirki i Wigury 4a

1.5.2.) Miejscowość: Mikołów

1.5.3.) Kod pocztowy: 43-190

1.5.4.) Województwo: śląskie

1.5.5.) Kraj: Polska

1.5.6.) Lokalizacja NUTS 3: PL22C - Tyski

1.5.9.) Adres poczty elektronicznej: kancelaria@mikolowski.pl; zampub@mikolowski.pl

1.5.10.) Adres strony internetowej zamawiającego: www.mikolowski.pl

1.6.) Adres strony internetowej prowadzonego postępowania:

https://e-zp.mikolowski.pl

1.7.) Rodzaj zamawiającego: Zamawiający publiczny - jednostka sektora finansów publicznych - jednostka samorządu terytorialnego

1.8.) Przedmiot działalności zamawiającego: Ogólne usługi publiczne

SEKCJA II – INFORMACJE PODSTAWOWE

2.1.) Ogłoszenie dotyczy:

Zamówienia publicznego

2.2.) Ogłoszenie dotyczy usług społecznych i innych szczególnych usług: Nie

2.3.) Nazwa zamówienia albo umowy ramowej:

Wykonanie diagnozy cyberbezpieczeństwa w Starostwie Powiatowym w Mikołowie w ramach projektu pn: „Cyfrowy Powiat” realizowanego w ramach REACT-EU, PO Polska Cyfrowa na lata 2014-2020

2.4.) Identyfikator postępowania: ocds-148610-5156cab4-8068-11ed-94da-6ae0fe5e7159

2.5.) Numer ogłoszenia: 2023/BZP 00125734

2.6.) Wersja ogłoszenia: 01

2.7.) Data ogłoszenia: 2023-03-08

2.8.) Zamówienie albo umowa ramowa zostały ujęte w planie postępowań: Tak

2.9.) Numer planu postępowań w BZP: 2022/BZP 00016167/07/P

2.10.) Identyfikator pozycji planu postępowań:

1.3.9 Wykonanie diagnozy cyberbezpieczeństwa w ramach projektu pn"Cyfrowy Powiat"

2.11.) Czy zamówienie albo umowa ramowa dotyczy projektu lub programu współfinansowanego ze środków Unii Europejskiej: Tak

2.12.) Nazwa projektu lub programu:

Realizowanego w ramach REACT-EU, Programu Operacyjnego Polska Cyfrowa na lata 2014-2020, Oś V. Rozwój cyfrowy JST oraz wzmocnienie cyfrowej odporności na zagrożenia – REACT–EU, Działanie 5.1 Rozwój cyfrowy JST oraz wzmocnienie cyfrowej odporności na zagrożenia”

2.13.) Zamówienie/umowa ramowa było poprzedzone ogłoszeniem o zamówieniu/ogłoszeniem o zamiarze zawarcia umowy: Tak

2.14.) Numer ogłoszenia: 2022/BZP 00511010

SEKCJA III – TRYB UDZIELENIA ZAMÓWIENIA LUB ZAWARCIA UMOWY RAMOWEJ

3.1.) Tryb udzielenia zamówienia wraz z podstawą prawną Zamówienie udzielane jest w trybie podstawowym na podstawie: art. 275 pkt 1 ustawy

SEKCJA IV – PRZEDMIOT ZAMÓWIENIA

4.1.) Numer referencyjny: MNZ.272.40.2022

4.2.) Zamawiający udziela zamówienia w częściach, z których każda stanowi przedmiot odrębnego postępowania: Nie

4.4.) Rodzaj zamówienia: Usługi

4.5.1.) Krótki opis przedmiotu zamówienia

1.1 Przedmiotem zamówienia jest wykonanie diagnozy cyberbezpieczeństwa w Starostwie Powia-towym w Mikołowie w ramach projektu pn: „Cyfrowa Powiat” realizowanego w ramach REACT-EU, Programu Operacyjnego Polska Cyfrowa na lata 2014-2020, Oś V. Rozwój cyfrowy JST oraz wzmoc-nienie cyfro-wej odporności na zagrożenia – REACT–EU, Działanie 5.1 Rozwój cyfrowy JST oraz wzmocnienie cyfrowej odporności na zagrożenia, zgodnie z zapisami SWZ oraz formularzem pn „Formularz informacji związanych z przeprowadzeniem diagnozy cyberbezpieczeństwa” stanowią-cym załącznik do SWZ
2. Audyt musi obejmować swoim zakresem:
a) analizę dokumentacji organizacyjnej i bezpieczeństwa;
b) weryfikację procesu systematycznego szacowania ryzyka;
c) analizę procesu zarządzania incydentami;
d) weryfikację stosowanych środków technicznych i organizacyjnych minimalizujących poziom ryzyka, a w tym, m.in. weryfikacja:
• stacji roboczych pracowników (150 szt) na wybranej losowo próbie co najmniej 15% stacji roboczych pracowników i 2 stacji roboczych administratora;
• poprawności konfiguracji urządzeń na styku sieci LAN z Internetem;
• poprawność konfiguracji LA konfiguracji VPN;
• poprawności działania systemów backup i wykonywania kopii zapasowych i odzyskiwania danych;
• metod uwierzytelniania użytkowników;
• sposobów ewidencji oprogramowania;
e) weryfikację wdrożenia rozwiązań dla eksploatacji systemu informacyjnego pod kątem bez-pieczeństwa;
f) analiza stosowanych rozwiązań w zakresie ciągłości dostaw usług;
g) analizę funkcjonowania systemu monitorowania zasobów informatycznych
h) weryfikację stosowanych środków łączności umożliwiających prawidłową i bez-pieczną komunikację
i) wizje lokalne i wywiady audytowe na terenie organizacji
3. Wykonanie skanowania podatności wskazanych systemów , dopuszczany sposób wykona-nia lokalnie lub zdalnie, a w tym badanie:
a) luk systemów informatycznych;
b) luk urządzeń sieciowych;
c) - luk komputerów i notebooków;
d) - luk serwerów;
e) - luk sieci WiFi;
f) - otwartych portów;
g) - bezpieczeństwa stosowanych protokołów;
h) - podatności systemów i sieci na ataki typu: zgodnie z katalogiem CVE;
i) - podatności i błędy w konfiguracji systemów będących w posiadaniu organizacji z uwzględnieniem poziomu ważności ze względu na bezpieczeństwo;
j) - podatności poczty elektronicznej;
k) - Przeprowadzenie testu socjotechnicznego odporności na ataki phishingowe wraz z opracowaniem raportu z testu.
l) Analiza procesu i metody autoryzacji użytkowników.
m) Analiza procesów i procedur zarządzania uprawnieniami i logowania zdarzeń.
n) Analiza procesów i procedur zarządzania zmianami konfiguracyjnymi i aktualizacja-mi.
o) Badanie dokumentacji w kontekście gotowości do utrzymania dostępności i ciągłości dzia-łania systemów w obszarze zarządzania dostawcami e-usług oraz portali informacyjnych koniecz-nych do świadczenia kluczowych usług.
p) Analiza konfiguracji polityki filtrowania połączeń;
q) Badanie architektury redundancji rozwiązań stosowanej dla utrzymania ciągłości
Działania,
r) Badanie architektury i dokumentacji w zakresie aplikacji webowych, pod kątem
zgodności z WCAG 2.1 oraz poprawności autoryzacji.
4. Diagnoza musi być przeprowadzona w zakresie określonym w Regulaminie Konkursu Gran-towego Cyfrowy Powiat opublikowanego na stronie Centrum Projektów Polska Cyfrowa pod adre-sem https://www.gov.pl/web/cppc/cyfrowy-powiat oraz zgodnie z zapisami umowy powierzenia grantu. Szczegółowy zakres przedmiotu zamówienia zawiera załącznik nr 8 do przedmiotowego Regulaminu „Formularz informacji związanych z przeprowadzeniem diagnozy cyberbezpieczeń-stwa”.
5. Diagnoza musi być przeprowadzona przez osoby posiadające uprawnienia do prze-prowadzenia audytu, zgodnie z Rozporządzeniem Ministra Cyfryzacji z 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu.
6. Wynikiem przeprowadzonego audytu musi być raport z audytu bezpieczeństwa wraz z wymaganymi dokumentami określonymi Regulaminem Konkursu Grantowego Cyfrowy Powiat.
7. Wykonawca sporządzi sprawozdanie audytowe, które będzie zawierać:
a. Szczegółowy opis i ocenę stanu wszystkich obszarów podlegających audytowi.
b. Wykaz wszystkich problemów oraz wynikających z tego ryzyk wraz z oceną ryzyka wystą-pienia wykrytych zagrożeń.
c. Zobrazowanie połączeń logicznych, sieci lokalnej oraz styku sieci lokalnej z siecią Internet, z uwzględnieniem wszystkich urządzeń ich adresacji i działających usług, używanych portów i proto-kołów.
d. Zalecenia dotyczących sposobów, metod i środków usunięcia stwierdzonych problemów, nieprawidłowości, podatności i ryzyk. Lista poprawek do zainstalowania oraz szczegółowy opis zale-canych zmian konfiguracji.
e. Wykonawca dokona oceny stanu cyberbezpieczeństwa na próbce co najmniej 15% stanu stacji roboczych pracowników i dwóch stacji roboczych administratora, będących w posiadaniu Za-mawiającego.
f. Wypełniony i zaakceptowany na podstawie przeprowadzonego audytu załącznik nr 8 do przedmiotowego Regulaminu Konkursu Cyfrowy Powiat, „Formularz informacji związanych z przeprowadzeniem diagnozy cyberbezpieczeństwa” dostępny na stronie https://www.gov.pl/web/cppc/cyfrowy-powiat w zakładce „Dokumentacja Konkursowa - Regula-min konkursu” . Załącznik nr 8 musi być podpisany przez audytora przeprowadzającego audyt po-siadającego odpowiednie kwalifikacje wykazane w Rozporządzeniu Ministra Cyfryzacji z 12 paź-dziernika 2018 r. w sprawie wykazu certyfikatów uprawniających do prze-prowadzenia audytu. Załącznik nr 8 musi być podpisany przez osoby wykonujące audyt, po-siadające stosowne upraw-nienia do przeprowadzenia audytu.
8. Wszystkie dokumenty związane z przeprowadzonym audytem Wykonawca dostarczy Za-mawiającemu w postaci papierowej w dwóch egzemplarzach i w postaci elektronicznej opatrzonej podpisem elektronicznym.
9. Wykonawca pisemnie zobowiąże się, że dokumenty te będzie traktował jako poufne i nie przekaże ani nie udostępni ich nikomu bez pisemnej zgody Zamawiającego.
10. Wykonawca, z dniem zatwierdzenia przez Zamawiającego sprawozdania audytowego, przeniesie na Zamawiającego autorskie prawa majątkowe do sprawozdania audytowego. Szczegó-łowe zapisy zawiera załącznik nr 5 do SWZ – projektowane postanowienia umowy
11. Zamawiający posiada następującą infrastrukturę:
a) Serwery fizyczne 4, Serwery wirtualne 26
b) Ilość stacji roboczych pracowników – 150 sztuk
c) Ilość stacji roboczych administratora – 2 sztuki
d) Systemy serwerowe MS Windows 2012, 2016, 2019
e) System stacji roboczych Windows 2010PL
f) System Backup VEEM
g) Środowisko Wirtualne VMware
h) Ilość urządzeń sieciowych dystrybucyjnych 8
i) 2xFirewall pracujące jako klaster +1 firewall odrębny
j) System monitorowania systemów informatycznych w trybie ciągłym
k) Centrala telefoniczna VOIP
12. Wykonawca zobowiązany jest do pokrycia wszystkich kosztów związanych z wykonaniem przedmiotu zamówienia, w tym koszty ewentualnego zakwaterowania, dojazdu, wyżywienia, wy-druku i skanu dokumentów.
13. Wykonawca zobowiązany jest do współpracy i konsultacji z Zamawiającym oraz do wpro-wadzania poprawek w sporządzanej przez siebie dokumentacji na każdym etapie realizacji zamó-wienia, aż do zaakceptowania dokumentów wystawionych przez Wykonawcę przez Grantodawcę Konkursu Cyfrowy Powiat.

4.5.3.) Główny kod CPV: 72800000-8 - Usługi audytu komputerowego i testowania komputerów

4.5.4.) Dodatkowy kod CPV:

72810000-1 - Usługi audytu komputerowego

79212000-3 - Usługi audytu

SEKCJA V ZAKOŃCZENIE POSTĘPOWANIA

5.1.) Postępowanie zakończyło się zawarciem umowy albo unieważnieniem postępowania: Postępowanie/cześć postępowania zakończyła się zawarciem umowy

SEKCJA VI OFERTY

6.1.) Liczba otrzymanych ofert lub wniosków: 11

6.1.1.) Liczba otrzymanych ofert wariantowych: 0

6.1.2.) Liczba ofert dodatkowych: 0

6.1.3.) Liczba otrzymanych od MŚP: 11

6.1.4.) Liczba ofert wykonawców z siedzibą w państwach EOG innych niż państwo zamawiającego: 0

6.1.5.) Liczba ofert wykonawców z siedzibą w państwie spoza EOG: 0

6.1.6.) Liczba ofert odrzuconych, w tym liczba ofert zawierających rażąco niską cenę lub koszt: 9

6.1.7.) Liczba ofert zawierających rażąco niską cenę lub koszt: 9

6.2.) Cena lub koszt oferty z najniższą ceną lub kosztem: 12300 PLN

6.3.) Cena lub koszt oferty z najwyższą ceną lub kosztem: 29643 PLN

6.4.) Cena lub koszt oferty wykonawcy, któremu udzielono zamówienia: 12300 PLN

6.5.) Do wyboru najkorzystniejszej oferty zastosowano aukcję elektroniczną: Nie

6.6.) Oferta wybranego wykonawcy jest ofertą wariantową: Nie

SEKCJA VII WYKONAWCA, KTÓREMU UDZIELONO ZAMÓWIENIA

7.1.) Czy zamówienie zostało udzielone wykonawcom wspólnie ubiegającym się o udzielenie zamówienia: Nie

7.3.) Dane (firmy) wykonawcy, któremu udzielono zamówienia:

7.3.1) Nazwa (firma) wykonawcy, któremu udzielono zamówienia: Entrast Sp. z o.o.

7.3.2) Krajowy Numer Identyfikacyjny: 5272887675

7.3.4) Miejscowość: Warszawa

7.3.7.) Kraj: Polska

7.4.) Czy wykonawca przewiduje powierzenie wykonania części zamówienia podwykonawcom?: Nie

SEKCJA VIII UMOWA

8.1.) Data zawarcia umowy: 2023-02-27

8.2.) Wartość umowy/umowy ramowej: 12300 PLN

8.3.) Okres realizacji zamówienia albo umowy ramowej: 30 dni