Warszawa: Przeprowadzanie zewnętrznego audytu bezpieczeństwa systemów teleinformatycznych Kancelarii Prezesa Rady Ministrów
Numer ogłoszenia: 56931 - 2015; data zamieszczenia: 22.04.2015
OGŁOSZENIE O ZAMÓWIENIU W DZIEDZINACH OBRONNOŚCI I BEZPIECZEŃSTWA/O ZAMÓWIENIU NA PODWYKONAWSTWO - usługi

Zamieszczanie ogłoszenia: nieobowiązkowe

Ogłoszenie dotyczy: zamówienia publicznego w dziedzinach obronności i bezpieczeństwa.

SEKCJA I: ZAMAWIAJĄCY/ WYKONAWCA ZOBOWIĄZANY DO ZAWARCIA UMOWY O PODWYKONAWSTWO

I.1) NAZWA I ADRES: Kancelaria Prezesa Rady Ministrów , Al. Ujazdowskie 1/3, 00-583 Warszawa, woj. mazowieckie, tel. +4822 6947503, faks +48226946392.

• Adres strony internetowej zamawiającego: www.premier.gov.pl

I.2) RODZAJ: Administracja rządowa centralna.

SEKCJA II: PRZEDMIOT ZAMÓWIENIA / PRZEDMIOT UMOWY O PODWYKONAWSTWO

II.1) OKREŚLENIE PRZEDMIOTU

II.1.1) Nazwa nadana zamówieniu przez zamawiającego lub nazwa przedmiotu umowy o podwykonawstwo: Przeprowadzanie zewnętrznego audytu bezpieczeństwa systemów teleinformatycznych Kancelarii Prezesa Rady Ministrów.

II.1.2) Rodzaj zamówienia: usługi.

II.1.4) Określenie przedmiotu oraz wielkości lub zakresu zamówienia / określenie przedmiotu oraz wielkości lub zakresu umowy o podwykonawstwo: Przedmiotem prac jest wykonanie audytu bezpieczeństwa oraz testów penetracyjnych systemów KPRM. Zakres audytu: a) Zintegrowany System Informatyczny Wspomagający Zarządzanie Zasobami Kancelarii Prezesa Rady Ministrów (ZSIWZZ), b) system elektronicznego obiegu dokumentów eDok, c) serwisy www oparte o środowisko SharePoint, d) system bezpieczeństwa Fortinet..

II.1.6) Wspólny Słownik Zamówień (CPV): 72.81.00.00 - Usługi audytu komputerowego .

II.1.7) dopuszcza się złożenie oferty częściowej :nie.

II.2) CZAS TRWANIA ZAMÓWIENIA LUB TERMIN WYKONANIA: Okres w dniach: 112.

SEKCJA III: INFORMACJE O CHARAKTERZE PRAWNYM, EKONOMICZNYM, FINANSOWYM I TECHNICZNYM

III.1) WADIUM

Informacja na temat wadium: Wykonawcy zaproszeni do złożenia ofert będą zobowiązani wnieść wadium w wysokości 2000 zł (słownie: dwa tysiące złotych), obejmujące okres związania ofertą.

III.2) ZALICZKI

III.3.1) WARUNKI UDZIAŁU W POSTĘPOWANIU ORAZ OPIS SPOSOBU DOKONYWANIA OCENY SPEŁNIANIA TYCH WARUNKÓW

• III. 3.2) Uprawnienia do wykonywania określonej działalności lub czynności, jeżeli przepisy prawa nakładają obowiązek ich posiadania

  Opis sposobu dokonywania oceny spełniania tego warunku

  • Zamawiający nie konkretyzuje tego warunku

• III.3.3) Wiedza i doświadczenie

  Opis sposobu dokonywania oceny spełniania tego warunku

  • zakresie niezbędnym do wykazania spełnienia warunku wiedzy i doświadczenia, Wykonawca ubiegający się o udzielenie zamówienia, musi wykazać się należytym wykonaniem (a w przypadku świadczeń okresowych lub ciągłych, również wykonywaniem) w okresie ostatnich 5 (pięciu) lat przed upływem terminu składania wniosków, a jeżeli okres prowadzenia działalności jest krótszy - w tym okresie, trzykrotnym wykonaniem usługi (każda usługa realizowana na podstawie odrębnej umowy), odpowiadających swoim rodzajem przedmiotowi zamówienia, każdej obejmującej swoim zakresem usługi audytu bezpieczeństwa oraz testy penetracyjne systemów i sieci o wartości nie mniejszej niż 50 000 zł brutto, w tym: a) co najmniej jednej usługi obejmującej audyt systemów bezpieczeństwa, b) co najmniej jednej usługi obejmującej audyt serwisów www, z podaniem ich wartości, przedmiotu, dat wykonania i odbiorców, popartych dowodami potwierdzającymi, że usługi te zostały wykonane należycie lub są wykonywane należycie (w przypadku świadczeń okresowych lub ciągłych). W przypadku gdy Wykonawca polegać będzie na wiedzy i doświadczeniu podmiotu trzeciego, lub Wykonawcy będą występować wspólnie, wymagane doświadczenie (w zakresie trzykrotnego wykonania usług) musi posiadać przynajmniej jeden z podmiotów

• III.3.4) Potencjał techniczny

  Opis sposobu dokonywania oceny spełniania tego warunku

  • Zamawiający nie konkretyzuje tego warunku

• III.3.5) Osoby zdolne do wykonania zamówienia

  Opis sposobu dokonywania oceny spełniania tego warunku

  • W zakresie niezbędnym do wykazania spełnienia warunku dysponowania odpowiednim potencjałem technicznym oraz osobami zdolnymi do wykonania zamówienia określonego w Wykonawca, ubiegający się o udzielenie zamówienia, musi wykazać, że dysponuje zespołem osób, które będą uczestniczyć w wykonywaniu zamówienia, tj. wykazać, że Wykonawca dysponuje, lub będzie dysponował na okres realizacji zamówienia osobami zdolnymi do ich prawidłowego wykonania, tj. zespołem specjalistów posiadających doświadczenie dające rękojmię realizacji przedmiotu umowy, składającym się z: 1. Kierownika projektu (1 osoba): Zamawiający wymaga, aby osoba, która będzie pełnić tę funkcję: a) posiadała przynajmniej jeden z wymienionych certyfikatów: CISSP, CISM, CISA, audytora wiodącego Systemu Zarządzania Bezpieczeń-stwem Informacji ISO 27001, b) posiadała minimum 4-letnie doświadczenie w zakresie bezpieczeństwa informacji, c) brała udział w przynajmniej 3 projektach związanych z przeprowadze-niem audytów bezpieczeństwa, d) posiadała pisemne upoważnienie kierownika jednostki organizacyjnej do dostępu do informacji niejawnych o klauzuli zastrzeżone (lub ważne poświadczenie bezpieczeństwa) oraz aktualne zaświadczenie o odbyciu szkolenia w zakresie ochrony informacji niejawnych. 2. Konsultantów ds. bezpieczeństwa - minimum 3 osoby. Zamawiający wymaga, aby osoby, które będą pełnić tę funkcję: a) każda posiadała minimum 4-letnie doświadczeniem w zakresie bezpieczeństwa informacji, w tym minimum 2-letnie w zakresie audytu bezpieczeństwa sieci i systemów teleinformatycznych, b) każda brała udział w przynajmniej 3 audytach bezpieczeństwa obejmujących testy penetracyjne, c) jako zespół posiadały certyfikaty takie jak: 1. CISSP oraz 2. CEH lub OSCP, oraz 3. Fortinet Certified Network Security Administrator (FCNSA) oraz 4. Audytora Systemu Zarządzania Bezpieczeństwem Informacji ISO 27001; d) każda posiadała pisemne upoważnienie kierownika jednostki organizacyjnej do dostępu do informacji niejawnych o klauzuli zastrzeżone (lub ważne poświadczenie bezpieczeństwa) oraz aktualne zaświadczenie o odbyciu szkolenia w zakresie ochrony informacji niejawnych, e) jako zespół posiadały wiedzę i doświadczenie w zakresie sieci, bezpieczeństwa teleinformatycznego rozwiązań serwerowych Microsoft Windows Server, Microsoft SQL Server, Microsoft SharePoint, Linux Red Hat . Uwaga: Żadna z osób pełniących funkcje wskazane powyżej nie może się powtarzać.

• III.3.6) Sytuacja ekonomiczna i finansowa

  Opis sposobu dokonywania oceny spełniania tego warunku

  • Zamawiający nie konkretyzuje tego warunku

III.4) INFORMACJA O OŚWIADCZENIACH LUB DOKUMENTACH, JAKIE NALEŻY DOSTARCZYĆ W CELU POTWIERDZENIA SPEŁNIANIA WARUNKÓW UDZIAŁU W POSTĘPOWANIU ORAZ NIEPODLEGANIA WYKLUCZENIU

• III.4.1) W zakresie wykazania spełniania przez wykonawcę warunków, o których mowa w art. 22 ust. 1 oraz w art. 131d i 131g ustawy, oprócz oświadczenia o spełnianiu warunków udziału w postępowaniu należy przedłożyć:

  • wykaz wykonanych, a w przypadku świadczeń okresowych lub ciągłych również wykonywanych, głównych dostaw lub usług, w okresie ostatnich pięciu lat przed upływem terminu składania ofert albo wniosków o dopuszczenie do udziału w postępowaniu, a jeżeli okres prowadzenia działalności jest krótszy - w tym okresie, wraz z podaniem ich wartości, przedmiotu, dat wykonania i podmiotów na rzecz których dostawy lub usługi zostały wykonane, oraz załączeniem dowodów, czy zostały wykonane lub są wykonywane należycie;
  • wykaz osób, które będą uczestniczyć w wykonywaniu zamówienia, w szczególności odpowiedzialnych za świadczenie usług, kontrolę jakości lub kierowanie robotami budowlanymi, wraz z informacjami na temat ich kwalifikacji zawodowych, doświadczenia i wykształcenia niezbędnych do wykonania zamówienia, a także zakresu wykonywanych przez nie czynności, oraz informacją o podstawie do dysponowania tymi osobami;

• III.4.2) W zakresie potwierdzenia niepodlegania wykluczeniu na podstawie art. 24 ust. 1 i art. 131e ustawy, należy przedłożyć:

  • oświadczenie o braku podstaw do wykluczenia;
  • aktualny odpis z właściwego rejestru lub z centralnej ewidencji i informacji o działalności gospodarczej, jeżeli odrębne przepisy wymagają wpisu do rejestru lub ewidencji, w celu wykazania braku podstaw do wykluczenia w oparciu o art. 24 ust. 1 pkt 2 ustawy, wystawiony nie wcześniej niż 6 miesięcy przed upływem terminu składania wniosków o dopuszczenie do udziału w postępowaniu o udzielenie zamówienia albo składania ofert;

• III.4.5) Dokumenty podmiotów zagranicznych

  Jeżeli wykonawca lub podwykonawca, o którym mowa w art. 131n ustawy, ma siedzibę lub miejsce zamieszkania poza terytorium Rzeczypospolitej Polskiej, przedkłada:

  III.4.5.1) dokument wystawiony w kraju, w którym ma siedzibę lub miejsce zamieszkania potwierdzający, że:

  • nie otwarto jego likwidacji ani nie ogłoszono upadłości - wystawiony nie wcześniej niż 6 miesięcy przed upływem terminu składania wniosków o dopuszczenie do udziału w postępowaniu o udzielenie zamówienia albo składania ofert;

III.4.6) Dokumenty dotyczące przynależności do tej samej grupy kapitałowej

• lista podmiotów należących do tej samej grupy kapitałowej w rozumieniu ustawy z dnia 16 lutego 2007 r. o ochronie konkurencji i konsumentów albo informacji o tym, że nie należy do grupy kapitałowej.

III.6) INNE DOKUMENTY

Inne dokumenty niewymienione w pkt III.4) albo w pkt III.5)

Wykonawcy ubiegający się wspólnie o udzielenie zamówienia zobowiązani są, zgodnie z art. 23 ust. 2 ustawy Pzp, do załączenia do oferty dokumentu ustanawiającego pełnomocnika Wykonawców występujących wspólnie do reprezentowania ich w postępowaniu o udzielenie zamówienia albo reprezentowania w postępowaniu i zawarcia umowy w sprawie zamówienia publicznego. 2. W przypadku gdy Wykonawca, wykazując spełnianie warunków, o których mowa w art. 22 ust. 1 ustawy Pzp, polega na wiedzy i doświadczeniu lub zdolnościach finansowych innych podmiotów, niezależnie od charakteru prawnego łączących go z nimi stosunków, zgodnie z art. 26 ust. 2b ustawy Pzp, zobowiązany jest udowodnić Zamawiającemu, iż będzie dysponował zasobami niezbędnymi do realizacji zamówienia, w szczególności przedstawiając w tym celu pisemne zobowiązanie tych podmiotów do oddania mu do dyspozycji niezbędnych zasobów na okres korzystania z nich przy wykonaniu zamówienia. 3. Jeżeli w kraju miejsca zamieszkania osoby lub w kraju, w którym Wykonawca ma siedzibę lub miejsce zamieszkania, nie wydaje się dokumentów, o których mowa w rozdziale VIII.2.3 IW, zastępuje się je dokumentem zawierającym oświadczenie, w którym określa się także osoby uprawnione do reprezentacji Wykonawcy, złożone przed właściwym organem sądowym, administracyjnym albo organem samorządu zawodowego lub gospodarczego odpowiednio kraju miejsca zamieszkania osoby lub kraju, w którym wykonawca ma siedzibę lub miejsce zamieszkania, lub przed notariuszem, zgodnie z terminami wskazanymi w rozdziale VIII.6.2 IW. Zamiast świadectwa bezpieczeństwa przemysłowego lub/i poświadczeń o których mowa w pkt IV.1.2. niniejszego ogłoszenia, Wykonawca mający siedzibę lub miejsce zamieszkania za granicą, składa dokumenty równorzędne ze świadectwem bezpieczeństwa przemysłowego co najmniej trzeciego stopnia lub/i poświadczeń bezpieczeństwa.

SEKCJA IV: PROCEDURA

IV.1) TRYB UDZIELENIA ZAMÓWIENIA

IV.1.1) Tryb udzielenia zamówienia: przetarg ograniczony.

IV.1.2) Przewidywana liczba wykonawców, którzy zostaną zaproszeni do udziału w postępowaniu: 5.

Opis sposobu dokonywania wyboru wykonawców, którzy zostaną zaproszeni do składania ofert, gdy liczba wykonawców spełniających warunki udziału w postępowaniu będzie większa niż określona w ogłoszeniu o zamówieniu

1. W przypadku, gdy liczba wykonawców spełniających warunki udziału w postępowaniu będzie większa niż 5, Zamawiający dokona wyboru Wykonawców, którym zostanie przekazana Specyfikacja Istotnych Warunków Zamówienia i którzy zostaną zaproszeni do składania ofert, wg poniższych zasad: 1.1. Zamawiający przyzna punkty w rankingu za posiadanie aktualnego świadectwa bezpieczeństwa przemysłowego co najmniej trzeciego stopnia. Za spełnienie warunku Wykonawca otrzyma 5 pkt. 1.2. Dodatkowe doświadczenie: Zamawiający przyzna punkty w rankingu za przedstawienie dodatkowych (tj. innych niż na potwierdzenie spełniania warunku wiedzy i doświadczenia) usług, z których każda indywidualnie spełnia następujące warunki: a) obejmuje swoim zakresem usługi audytu bezpieczeństwa oraz testy penetracyjne systemów i sieci, b) wartość usługi jest nie mniejsza niż 50 000 zł brutto, c) swoim zakresem obejmuje przynajmniej jeden z wymienionych obszarów: audyt systemów bezpieczeństwa firmy Fortinet, audyt serwisu www opartego o środowisko SharePoint lub audyt systemu elektronicznego obiegu dokumentów lub systemu klasy ERP - wskazane obszary muszą stanowić minimum 50% wartości danej usługi, d) do wykazu usług dodatkowych załączono dowód należytej realizacji usługi. Za każdą z trzech dodatkowych usług, pod warunkiem spełnienia powyższych kryteriów, Wykonawca otrzymuje 3 pkt. Uwaga Zamawiający będzie przyznawał punkty w rankingu w oparciu o Wykaz usług dodatkowych (wzór wykazu stanowi załącznik nr 4a do IW). W wykazie usług dodatkowych należy podać wykonawcę, odbiorcę, wartość oraz datę zakończenia realizacji usługi. Zamawiający będzie oceniał maksymalnie 3 usługi zgłoszone jako dodatkowe. W sytuacji gdy Wykonawca przedstawi większą liczbę usług Zamawiający do oceny przyjmie pierwsze trzy usługi z listy usług zgłoszonych jako dodatkowe. Za każdą usługę dodatkową Wykonawca otrzyma 3 punkty. Zamawiający informuje, że w przypadku usług dodatkowych, punkty zostaną przyznane jedynie za usługi wykonane przez Wykonawcę (lub w przypadku Wykonawców wspólnie ubiegających się o zamówienie przez członka konsorcjum). Nie zostaną przyznane punkty za usługi wykonane przez podmiot trzeci użyczający potencjału na zasadach opisanych w art. 26 ust. 2b ustawy Pzp. 1.3. Dodatkowe osoby realizujące zamówienie: Zamawiający przyzna punkty w rankingu za każdą dodatkową osobę (ponad zasób podstawowy przedstawiony jako spełnienie warunku dysponowania osobami zdolnymi do wykonania zamówienia), która będzie pełnić funkcję konsultanta ds. bezpieczeństwa, jeżeli dla każdej z osób indywidualnie zostanie wykazane spełnienie następujących warunków: a) posiada minimum 4-letnie doświadczeniem w zakresie bezpieczeństwa informacji, w tym minimum 2-letnie w zakresie audytu bezpieczeństwa sieci i systemów teleinformatycznych, b) brała udział w przynajmniej 3 audytach bezpieczeństwa obejmujących testy penetracyjne, c) posiada przynajmniej jeden ze wskazanych certyfikatów: 1. CISSP lub 2. CEH lub OSCP lub 3. Fortinet Certified Network Security Administrator (FCNSA) lub 4. MCITP: SharePoint Administrator 2010 lub równoważny lub 5. Red Hat Certified System Administrator (RHCSA); d) posiada pisemne upoważnienie kierownika jednostki organizacyjnej do dostępu do informacji niejawnych o klauzuli zastrzeżone (lub ważne poświadczenie bezpieczeństwa) oraz aktualne zaświadczenie o odbyciu szkolenia w zakresie ochrony informacji niejawnych. Za każdą z 3 dodatkowych osób, pod warunkiem spełnienia powyższych kryteriów Wykonawca otrzymuje 2 pkt. Uwaga Zamawiający będzie oceniał dysponowanie dodatkowymi osobami zdolnymi do wykonania zamówienia w oparciu o Wykaz osób dodatkowych (wzór wykazu stanowi załącznik nr 5a do IW). Zamawiający wymaga, aby Wykonawca załączył Wykaz wraz z informacją o podstawie dysponowania osobami oraz udowodnił Zamawiającemu, iż będzie dysponował tymi zasobami w szczególności przedstawiając pisemne zobowiązanie podmiotów. Zamawiający zastrzega, że jako osoby dodatkowe nie mogą być zgłaszane osoby, które Wykonawca przedstawił na potwierdzenie spełnienia warunku udziału w postępowaniu określonego w rozdziale VII.1.1.3. Zamawiający będzie oceniał maksymalnie 3 osoby zgłoszone jako dodatkowe. W sytuacji gdy Wykonawca przedstawi większą liczbę osób, Zamawiający do oceny przyjmie pierwsze trzy osoby z listy osób zgłoszonych jako dodatkowe. 2. W ocenie Wniosku każdego z wykonawców ubiegających się o udzielenie zamówienia w oparciu o powyższe zasady Zamawiający może przyznać maksymalnie 20 pkt. 3. W przypadku, gdy liczba wykonawców spełniających warunki udziału w postępowaniu będzie równa lub mniejsza niż większa niż 5, Zamawiający ustali kolejność w rankingu Wykonawców w następujący sposób: 3.1. Najwyższą pozycje w rankingu Wykonawców otrzyma Wykonawca, który spełnia warunki udziału w postępowaniu i którego wniosek uzyskał najwyższą sumaryczną liczbę punktów przyznanych zgodnie z opisanymi w rozdziale VII.A.1. zasadami. 3.2. W przypadku uzyskania przez Wykonawców, którzy spełniają warunki udziału w postępowaniu, takiej samej sumarycznej liczby punktów przyznanych zgodnie z opisanymi w rozdziale VII.A.1. zasadami, o kolejności decydować będzie łączna wartość usług wskazanych przez Wykonawcę potwierdzających spełnienie warunków określonych w rozdziałach VII.1.2. oraz VII.A.1.2. - im wyższa łączna wartość usług wskazanych w załącznikach Wykaz usług i Wykaz usług dodatkowych, tym wyższa pozycja w rankingu.

IV.2) KRYTERIA OCENY OFERT

IV.2.1) Kryteria oceny ofert: cena oraz inne kryteria związane z przedmiotem zamówienia:

• 1 - Cena - 70
• 2 - Przeprowadzenie warsztatów z metodologii prowadzenia testów bezpieczeństwa - 20
• 3 - Skrócenie czasu realizacji - 10

IV.3) ZMIANA UMOWY

przewiduje się istotne zmiany postanowień zawartej umowy w stosunku do treści oferty, na podstawie której dokonano wyboru wykonawcy

Dopuszczalne zmiany postanowień umowy oraz określenie warunków zmian

Zmiana istotnych postanowień umowy w stosunku do treści oferty dopuszczalna jest w sytuacji gdy jest ona korzystna dla Zamawiającego, nie była możliwa do przewidzenia na etapie podpisania umowy, a ponadto jej dokonanie podyktowane jest w szczególności: -zmianą stanu prawnego regulującego właściwość zamówienia, -zmianą stanu faktycznego powodującego nieracjonalność lub niecelowość dalszej realizacji zamówienia, -działaniem siły wyższej uniemożliwiającej realizację w części lub w całości zamówienia, -oczywistymi omyłkami rachunkowymi lub pisemnymi, -działaniem osób trzecich, za które żadna ze stron nie ponosi odpowiedzialności

IV.5) INFORMACJE ADMINISTRACYJNE

IV.5.1)  Specyfikację istotnych warunków zamówienia można uzyskać pod adresem: Specyfikacja zostanie przekazana Wykonawcom, którzy zostaną zaproszeni do składania ofert.

IV.5.4) Termin składania wniosków o dopuszczenie do udziału w postępowaniu lub ofert: 04.05.2015 godzina 10:00, miejsce: Przesłać na adres: Kancelaria Prezesa Rady Ministrów, Al. Ujazdowskie 1/3, 00-583 Warszawa, lub złożyć na Dziennik Podawczy,-wejście od Al. Szucha 14.

IV.5.5) Termin związania ofertą: okres w dniach: 30 (od ostatecznego terminu składania ofert).