Ogłoszenie o zmianie ogłoszenia
Audyt bezpieczeństwa rejestru KREMIPPK

SEKCJA I - ZAMAWIAJĄCY

1.1.) Nazwa zamawiającego: Urząd Transportu Kolejowego

1.3.) Krajowy Numer Identyfikacyjny: REGON 015481433

1.4.) Adres zamawiającego:

1.4.1.) Ulica: Aleje Jerozolimskie 134

1.4.2.) Miejscowość: Warszawa

1.4.3.) Kod pocztowy: 02-305

1.4.4.) Województwo: mazowieckie

1.4.5.) Kraj: Polska

1.4.6.) Lokalizacja NUTS 3: PL911 - Miasto Warszawa

1.4.9.) Adres poczty elektronicznej: zamowieniapubliczne@utk.gov.pl

1.4.10.) Adres strony internetowej zamawiającego: utk.gov.pl

1.5.) Rodzaj zamawiającego: Zamawiający publiczny - jednostka sektora finansów publicznych - organ władzy publicznej - organ administracji rządowej (centralnej lub terenowej)

1.6.) Przedmiot działalności zamawiającego: Porządek i bezpieczeństwo publiczne

SEKCJA II – INFORMACJE PODSTAWOWE

2.1.) Numer ogłoszenia: 2023/BZP 00179498

2.2.) Data ogłoszenia: 2023-04-17

SEKCJA III ZMIANA OGŁOSZENIA

3.2.) Numer zmienianego ogłoszenia w BZP: 2023/BZP 00157620

3.3.) Identyfikator ostatniej wersji zmienianego ogłoszenia: 01

3.4.) Identyfikator sekcji zmienianego ogłoszenia:

SEKCJA IV – PRZEDMIOT ZAMÓWIENIA

3.4.1.) Opis zmiany, w tym tekst, który należy dodać lub zmienić:

4.3.6. Waga (%) (Kryterium 5)

Przed zmianą:
30

Po zmianie:
18,00

3.4.1.) Opis zmiany, w tym tekst, który należy dodać lub zmienić:

4.3.5. Nazwa kryterium (Kryterium 6)

Przed zmianą:

Po zmianie:
Doświadczenie – KRI

3.4.1.) Opis zmiany, w tym tekst, który należy dodać lub zmienić:

4.3.6. Rodzaj kryterium (Kryterium 6)

Przed zmianą:

Po zmianie:
organizacja, kwalifikacje zawodowe i doświadczenie osób wyznaczonych do realizacji zamówienia

3.4.1.) Opis zmiany, w tym tekst, który należy dodać lub zmienić:

4.3.6. Waga (%) (Kryterium 6)

Przed zmianą:

Po zmianie:
12,0

3.4.1.) Opis zmiany, w tym tekst, który należy dodać lub zmienić:

4.2.10. Okres realizacji - dni

Przed zmianą:
70

Po zmianie:
112

3.4.) Identyfikator sekcji zmienianego ogłoszenia:

SEKCJA V - KWALIFIKACJA WYKONAWCÓW

3.4.1.) Opis zmiany, w tym tekst, który należy dodać lub zmienić:

5.4. Nazwa i opis warunków udziału w postępowaniu

Przed zmianą:
7.1. Warunki dotyczące zdolności technicznej lub zawodowej. Warunek zostanie spełniony, z zastrzeżeniem pkt 7.2 SWZ, jeżeli Wykonawca wykaże, że
7.1.1. w okresie ostatnich 5 lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy – w tym okresie, wykonał
7.1.1.1. przynajmniej 2 audyty bezpieczeństwa systemów o następujących parametrach każdy:
1) nie mniej niż 125 formatek (ekranów),
2) przewidywana/posiadana liczba użytkowników: 10 000 użytkowników nazwanych (loginów),
3) posiadających formę stron WWW oraz interfejs dostępowy API;
7.1.1.2. co najmniej jeden z systemów wskazanych w pkt 7.1.1.1 został wykonany jako rejestr państwowy, który spełnia wymagania opublikowane w rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (t.j. Dz.U. z 2017 r. poz. 2247), dalej jako „Rozporządzenie KRI”, oraz wykorzystywał profil zaufany (login.gov.pl) do uwierzytelnienia użytkowników;
7.1.1.3. co najmniej jeden z audytów wymaganych w pkt 7.1.1.1 zrealizowany był w zakresie obejmującym co najmniej testy penetracyjne, analizę statyczną kodu oraz opracowanie wyników audytu zgodnie z metodyką OWASP – ASVS Level 2, lub OSSTMM 3;
7.1.2. posiada certyfikat zgodności z normą PN-EN ISO/IEC 27001 lub równoważną (opracowaną przez organizację normalizacyjną będącą członkiem ISO (International Organization for Standardization)) w zakresie audytów bezpieczeństwa lub cyberbezpieczeństwa;
7.1.3. dysponuje 3 osobami, które będą uczestniczyły w realizacji Zamówienia jako Personel Kluczowy, posiadającymi minimum następujące kompetencje i doświadczenie:
7.1.3.1. każda z osób posiada kompetencje dotyczące bezpieczeństwa IT potwierdzone ważnym i autoryzowanym przez jednostkę certyfikującą certyfikatem z zakresu zgodnego z jednym ze wskazanych poniżej programów:
1) Certified Information System Security Professional (CISSP), lub
2) Certified Information System Auditor (CISA), lub
3) Certified Information System Manager (CISM), lub
4) CompTIA Advanced Security Practitioner (CASP), lub
5) Certified Ethical Hacker v11 (CEH v11), lub
6) CyberSecurity Forensic Analyst (CSFA), lub
7) Offensive Security Certified Professional (OSCP);
7.1.3.2. (uchylony)
7.1.3.3. każda z osób posiada doświadczenie polegające na przeprowadzeniu co najmniej 3 audytów bezpieczeństwa, z których każdy miał wartość minimum 50 tysięcy złotych brutto, był realizowany w okresie ostatnich 5 lat przed terminem składania ofert i obejmował audyty systemów informatycznych, teleinformatycznych oraz testy penetracyjne aplikacji, w tym przynajmniej jeden audyt obejmujący swoim zakresem weryfikację zgodności z przepisami Rozporządzenia KRI.
7.1.3.4. Ważność certyfikatów wymaganych w pkt. 7.1.3 SWZ i warunki równoważności:
1) wszystkie certyfikaty muszą być aktualne na dzień złożenia oferty;
2) jako certyfikat równoważny Zamawiający dopuści certyfikat analogiczny co do zakresu wskazanego certyfikatu, co jest rozumiane jako:
a) analogiczna dziedzina merytoryczna wynikająca z wiedzy, której dotyczy certyfikat,
b) analogiczny poziom kompetencji stwierdzany certyfikatem określony zakresem umiejętności podanych w sylabusie lub na stronach jednostki wystawiającej dany certyfikat,
c) analogiczny poziom doświadczenia zawodowego wymagany dla otrzymania danego certyfikatu
d) analogiczny sposób potwierdzenia posiadanych kompetencji (np. egzamin),
3) certyfikat równoważny nie może być wystawiony przez Wykonawcę lub podmiot zależny od Wykonawcy lub należący do tej samej grupy kapitałowej co Wykonawca – wymagane jest uzyskanie certyfikatu od podmiotu niezależnego od Wykonawcy.

Po zmianie:
7.1. Warunki dotyczące zdolności technicznej lub zawodowej. Warunek zostanie spełniony, z zastrzeżeniem pkt 7.2 SWZ, jeżeli Wykonawca wykaże, że
7.1.1. w okresie ostatnich 5 lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy – w tym okresie, wykonał
7.1.1.1. przynajmniej 2 audyty bezpieczeństwa systemów o następujących parametrach każdy:
1) nie mniej niż 125 formatek (ekranów),
2) przewidywana/posiadana liczba użytkowników: 10 000 użytkowników nazwanych (loginów),
3) posiadających formę stron WWW oraz interfejs dostępowy API;
7.1.1.2. co najmniej jeden z systemów wskazanych w pkt 7.1.1.1 został wykonany jako rejestr państwowy, który spełnia wymagania opublikowane w rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (t.j. Dz.U. z 2017 r. poz. 2247), dalej jako „Rozporządzenie KRI”, oraz wykorzystywał profil zaufany (login.gov.pl) do uwierzytelnienia użytkowników;
7.1.1.3. co najmniej jeden z audytów wymaganych w pkt 7.1.1.1 zrealizowany był w zakresie obejmującym co najmniej testy penetracyjne, analizę statyczną kodu oraz opracowanie wyników audytu zgodnie z metodyką OWASP – ASVS Level 2, lub OSSTMM 3;
7.1.2. uchylony;
7.1.3. dysponuje 3 osobami, które będą uczestniczyły w realizacji Zamówienia jako Personel Kluczowy, posiadającymi minimum następujące kompetencje i doświadczenie:
7.1.3.1. każda z osób posiada kompetencje dotyczące bezpieczeństwa IT potwierdzone ważnym i autoryzowanym przez jednostkę certyfikującą certyfikatem z zakresu zgodnego z jednym ze wskazanych poniżej programów:
1) Certified Information System Security Professional (CISSP), lub
2) Certified Information System Auditor (CISA), lub
3) Certified Information System Manager (CISM), lub
4) CompTIA Advanced Security Practitioner (CASP), lub
5) Certified Ethical Hacker v11 (CEH v11 lub wyższy), lub
6) CyberSecurity Forensic Analyst (CSFA), lub
7) Offensive Security Certified Professional (OSCP);
7.1.3.2. (uchylony)
7.1.3.3. każda z osób posiada doświadczenie polegające na przeprowadzeniu co najmniej 3 audytów bezpieczeństwa, z których każdy miał wartość minimum 50 tysięcy złotych brutto, był realizowany w okresie ostatnich 5 lat przed terminem składania ofert i obejmował audyty systemów informatycznych, teleinformatycznych oraz testy penetracyjne aplikacj.
7.1.3.4. Ważność certyfikatów wymaganych w pkt. 7.1.3 SWZ i warunki równoważności:
1) wszystkie certyfikaty muszą być aktualne na dzień złożenia oferty;
2) jako certyfikat równoważny Zamawiający dopuści certyfikat analogiczny co do zakresu wskazanego certyfikatu, co jest rozumiane jako:
a) analogiczna dziedzina merytoryczna wynikająca z wiedzy, której dotyczy certyfikat,
b) analogiczny poziom kompetencji stwierdzany certyfikatem określony zakresem umiejętności podanych w sylabusie lub na stronach jednostki wystawiającej dany certyfikat,
c) analogiczny poziom doświadczenia zawodowego wymagany dla otrzymania danego certyfikatu
d) analogiczny sposób potwierdzenia posiadanych kompetencji (np. egzamin),
3) certyfikat równoważny nie może być wystawiony przez Wykonawcę lub podmiot zależny od Wykonawcy lub należący do tej samej grupy kapitałowej co Wykonawca – wymagane jest uzyskanie certyfikatu od podmiotu niezależnego od Wykonawcy.

3.4.1.) Opis zmiany, w tym tekst, który należy dodać lub zmienić:

5.7. Wykaz podmiotowych środków dowodowych na potwierdzenie spełniania warunków udziału w postępowaniu

Przed zmianą:
8.7.2.1. wykaz usług, spełniających warunki opisane w pkt 7.1.1 SWZ, sporządzony zgodnie ze wzorem określonym w Załączniku nr 4 do SWZ, wraz z dowodami określającymi, czy wskazane w wykazie usługi zostały wykonane lub są wykonywane należycie, przy czym dowodami, o których mowa, są referencje bądź inne dokumenty sporządzone przez podmiot, na rzecz którego usługi zostały wykonane, a w przypadku świadczeń powtarzających się lub ciągłych są wykonywane, a jeżeli wykonawca z przyczyn niezależnych od niego nie jest w stanie uzyskać tych dokumentów - oświadczenie wykonawcy; w przypadku świadczeń powtarzających się lub ciągłych nadal wykonywanych referencje bądź inne dokumenty potwierdzające ich należyte wykonywanie powinny być wystawione w okresie ostatnich 3 miesięcy;
8.7.2.2. certyfikat potwierdzający spełnianie przez Wykonawcę warunku określonego w pkt 7.1.2 SWZ.
13.2.4. Wykaz osób, sporządzony zgodnie ze wzorem określonym w Załączniku nr 7 do SWZ

Po zmianie:
8.7.2.1. wykaz usług, spełniających warunki opisane w pkt 7.1.1 SWZ, sporządzony zgodnie ze wzorem określonym w Załączniku nr 4 do SWZ, wraz z dowodami określającymi, czy wskazane w wykazie usługi zostały wykonane lub są wykonywane należycie, przy czym dowodami, o których mowa, są referencje bądź inne dokumenty sporządzone przez podmiot, na rzecz którego usługi zostały wykonane, a w przypadku świadczeń powtarzających się lub ciągłych są wykonywane, a jeżeli wykonawca z przyczyn niezależnych od niego nie jest w stanie uzyskać tych dokumentów - oświadczenie wykonawcy; w przypadku świadczeń powtarzających się lub ciągłych nadal wykonywanych referencje bądź inne dokumenty potwierdzające ich należyte wykonywanie powinny być wystawione w okresie ostatnich 3 miesięcy;
8.7.2.2. uchylony.
13.2.4. Wykaz osób, sporządzony zgodnie ze wzorem określonym w Załączniku nr 7 do SWZ

3.4.) Identyfikator sekcji zmienianego ogłoszenia:

SEKCJA VIII - PROCEDURA

3.4.1.) Opis zmiany, w tym tekst, który należy dodać lub zmienić:

8.1. Termin składania ofert

Przed zmianą:
2023-04-18 10:00

Po zmianie:
2023-04-25 10:00

3.4.1.) Opis zmiany, w tym tekst, który należy dodać lub zmienić:

8.3. Termin otwarcia ofert

Przed zmianą:
2023-04-18 10:30

Po zmianie:
2023-04-25 10:30

3.4.1.) Opis zmiany, w tym tekst, który należy dodać lub zmienić:

8.4. Termin związania ofertą

Przed zmianą:
2023-05-17

Po zmianie:
2023-05-24