Świadczenie usług bezpieczeństwa przetwarzania informacji dla Mazowieckiego Szpitala Bródnowskiego w Warszawie Sp. z o.o

Krótki opis

Przedmiotem zamówienia jest świadczenie usług bezpieczeństwa przetwarzania informacji, w szczególności ochrony danych osobowych. Mazowieckiego Szpitala Bródnowskiego w Warszawie Sp. z o.o. Szczegółowy Opis Przedmiotu Zamówienia znajduje się w Załączniku nr 5 niniejszej SIWZ.

Opis zamówienia

Przedmiotem zamówienia jest świadczenie usług bezpieczeństwa przetwarzania informacji, w szczególności ochrony danych osobowych Mazowieckiego Szpitala Bródnowskiego w Warszawie Sp. z o.o. Szczegółowy opis przedmiotu zamówienia znajduje się w załączniku nr 5 do SIWZ.

Wykaz i krótki opis warunków

1. Jednolity europejski dokument zamówienia - wg wzoru stanowiącego załącznik nr 1 do SIWZ, w którym Wykonawca zobowiązany jest złożyć oświadczenie w zakresie spełnienia warunków udziału w postępowaniu. Informacje na temat przygotowania i składania Jednolitego Europejskiego Dokumentu Zamówienia (JEDZ) zawarte są w SIWZ.
2. Odpisu z właściwego rejestru lub z centralnej ewidencji i informacji o działalności gospodarczej, jeżeli odrębne przepisy wymagają wpisu do rejestru lub ewidencji, w celu wykazania braku podstaw do wykluczenia w oparciu o art. 24 ust. 5 pkt 1 ustawy.
3. Zaświadczenia właściwego naczelnika urzędu skarbowego potwierdzającego, że Wykonawca nie zalega z opłacaniem podatków, wystawionego nie wcześniej niż 3 miesiące przed upływem terminu składania ofert, lub innego dokumentu potwierdzającego, że wykonawca zawarł porozumienie z właściwym organem w sprawie spłat tych należności wraz z ewentualnymi odsetkami lub grzywnami, w szczególności uzyskał przewidziane prawem zwolnienie, odroczenie lub rozłożenie na raty zaległych płatności lub wstrzymanie w całości wykonania decyzji właściwego organu.
4. Zaświadczenia właściwej terenowej jednostki organizacyjnej Zakładu Ubezpieczeń Społecznych lub Kasy Rolniczego Ubezpieczenia Społecznego albo innego dokumentu potwierdzającego, że Wykonawca nie zalega z opłacaniem składek na ubezpieczenia społeczne lub zdrowotne, wystawionego nie wcześniej niż 3 miesiące przed upływem terminu składania ofert, lub innego dokumentu potwierdzającego, że wykonawca zawarł porozumienie z właściwym organem w sprawie spłat tych należności wraz z ewentualnymi odsetkami lub grzywnami, w szczególności uzyskał przewidziane prawem zwolnienie, odroczenie lub rozłożenie na raty zaległych płatności lub wstrzymanie w całości wykonania decyzji właściwego organu.
5. Informacji z Krajowego Rejestru Karnego w zakresie określonym w art. 24 ust. 1 pkt 13, 14 i 21 ustawy, wystawionych nie wcześniej niż 6 miesięcy przed upływem terminu składania ofert.
6. Oświadczenie o przynależności lub braku przynależności do tej samej grupy kapitałowej oraz, w przypadku przynależności do tej samej grupy kapitałowej: dokumenty bądź informacje potwierdzające, że powiązania z innym wykonawcą nie prowadzą do zakłócenia konkurencji w postępowaniu - wg wzoru stanowiącego Załącznik nr 2 do SIWZ.

Wykaz i krótki opis kryteriów wyboru

O udzielenie zamówienia mogą ubiegać się Wykonawcy, którzy spełniają warunki udziału w postępowaniu, o ile zostały one określone przez Zamawiającego w ogłoszeniu o zamówieniu, które mogą dotyczyć: sytuacji ekonomicznej lub finansowej.
Minimalny poziom ewentualnie wymaganych standardów:
Zamawiający uzna warunek za spełniony, jeśli Wykonawca jest ubezpieczony od odpowiedzialności cywilnej w zakresie prowadzonej działalności związanej z przedmiotem zamówienia, na sumę ubezpieczenia (sumę gwarancyjną) nie mniejszą niż 400 000,00 PLN (słownie: czterysta tysięcy złotych)

Wykaz i krótki opis kryteriów wyboru

O udzielenie zamówienia mogą ubiegać się Wykonawcy, którzy, spełniają warunki udziału w postępowaniu, o ile zostały one określone przez Zamawiającego w ogłoszeniu o zamówieniu, które mogą dotyczyć zdolności technicznej lub zawodowej.
Minimalny poziom ewentualnie wymaganych standardów:
Zamawiający uzna warunek za spełniony, jeśli Wykonawca wykaże:
1. Wykonawca wykaże, że w okresie ostatnich 3 lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy - w tym okresie wykonał:
I. Co najmniej jedną usługę świadczenia usług bezpieczeństwa, która spełni łącznie następujące warunki:
a) Wartość usługi min. 200 000 PLN brutto.
b) Realizacja szkoleń
c) Zarządzanie bezpieczeństwem poprzez min. prowadzenie cyklicznej aktualizacji analizy ryzyka, przeprowadzenie audytu
d) Monitorowanie usług eksponowanych w sieci Internet, monitorowanie zdarzeń dotyczących środowiska teleinformatycznego, monitorowanie podatności systemów,
e) Doradztwa w zakresie prowadzenia Polityki Bezpieczeństwa,
f) Minimalny okres świadczenia usługi: 24 miesięcy.
II. Co najmniej dwie usługi o wartości min. 50 tysięcy złotych brutto polegającej na wdrożeniu lub aktualizacji Systemu Zarządzania Bezpieczeństwem Informacji zgodnie z wymaganiami PN-ISO/IEC 27001:2014, które zakończyły się pozytywną certyfikacją każda, gdzie przynajmniej jedna dotyczyła branży ochrony zdrowia.
2. Wykonawca wykaże, że dysponuje:
1 osobą pełniącą funkcję Kierownik Projektu, która:
a) Posiada co najmniej 5-letnie doświadczenie zawodowe w zakresie wdrożeń SZBI zgodnie z wymagania normy ISO 27001
b) Uczestniczyła w co najmniej jednym wdrożeniu SZBI zgodnie z wymaganiami normy PN-ISO/IEC 27001:2014 dla jednostek z branży ochrony zdrowia;
c) Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2 lub PMI
Minimum 1 osobą pełniąca funkcję Konsultanta Wiodącego, która:
a) Posiada certyfikat CISSP lub CASP
b) Posiada certyfikat audytora wiodącego ISO/IEC 27001:2013 (akredytacja IRCA)
c) Posiada co najmniej 3-letnie doświadczenie zawodowe w roli kierownika zespołu konsultantów w zakresie wdrożeń SZBI zgodnie z wymaganymi normy PN-ISO/IEC 27001:2014;
d) Uczestniczyła w co najmniej jednym wdrożeniu SZBI zgodnie z wymaganiami normy PN-ISO/IEC 27001:2014 dla jednostek z branży ochrony zdrowia;
Minimum 2 osobami pełniące funkcję Konsultanta, z których każda:
a) Posiada co najmniej 3-letnie doświadczenie zawodowe w zakresie wdrożeń SZBI zgodnie z wymaganymi normy PN-ISO/IEC 27001:2014;
b) Posiada doświadczenie w realizacji co najmniej 3 projektów związanych z wdrożeniem bądź aktualizacją SZBI, w tym jeden dla branży ochrony zdrowia;
Oraz
c) Przynajmniej jeden konsultant posiada certyfikat audytora wiodącego ISO/IEC 27001:2013 (akredytacja IRCA);
Minimum 1 osobą pełniącą funkcję Koordynatora Testów Bezpieczeństwa, która:
a) Posiada co najmniej 3 letnie doświadczenie w przeprowadzaniu testów bezpieczeństwa aplikacji i infrastruktury
b) Posiada certyfikaty: Certified Ethical Hacker (CEH), Offensive Security Certified Professional (OSCP), oraz co najmniej jeden certyfikat GIAC (Global Information Assurance Certification).

Zamawiający żąda następujących oświadczeń lub dokumentów potwierdzających spełnianie warunków udziału w postępowaniu lub kryteria selekcji, o których mowa w pkt 8 SIWZ:
— Dokumenty potwierdzające, że wykonawca jest ubezpieczony od odpowiedzialności cywilnej w zakresie prowadzonej działalności związanej z przedmiotem zamówienia na sumę gwarancyjną określoną w pkt 8.2 lit. b. SIWZ,
— Wykaz wykonanych, a w przypadku świadczeń okresowych lub ciągłych również wykonywanych, usług w zakresie niezbędnym do wykazania spełniania warunku wiedzy i doświadczenia w okresie ostatnich trzech lat przed upływem terminu składania ofert a jeżeli okres prowadzenia działalności jest krótszy - w tym okresie, z podaniem ich wartości, przedmiotu, dat wykonania i odbiorców, oraz załączeniem dokumentu potwierdzającego, że te usługi zostały wykonane lub są wykonywane należycie zgodnie z załącznikiem nr 6 do SIWZ,
— Wykaz osób realizujących zamówienie zgodnie z załącznikiem nr 6A do SIWZ.
W celu potwierdzenia, że oferowane usługi odpowiadają wymaganiom określonym przez zamawiającego, Zamawiający żąda następujących dokumentów:
— Próbkę oferowanego narzędzia do monitorowania podatności systemów informatycznych w postaci komputera przenośnego (laptopa) lub w postaci maszyny wirtualnej, dostarczonej na przenośnym nośniku danych (płyta DVD, pendrive, dysk twardy) wraz z instalatorem oprogramowania umożliwiającym uruchomienie danej maszyny wirtualnej z zainstalowanymi wybranymi funkcjonalnościami. Szczegółowy zakres żądane próbki oraz sposób prezentacji próbki został opisany szczegółowo w załączniku nr 9 do SIWZ.
Zamawiający wymaga wraz z Jednolitym Europejskim Dokumentem Zamówienia złożenia oświadczeń lub dokumentów innych niż wymienione w pkt 10.1-10.10 SIWZ:
— Wypełniony formularz ofertowy - wg wzoru stanowiącego załącznik nr 3 do SIWZ,
— Wypełnione i podpisane zestawienie kryterium nr 2 "jakość" - załącznik nr 7 do SIWZ,
— Dowód wniesienia wadium.
Wykonawca składający ofertę zobowiązany jest do wniesienia wadium w wysokości: 6 500 PLN (słownie: sześć tysięcy pięćset złotych 00/100).
Wadium może być wniesione w następujących formach:
1) pieniądzu,
2) poręczeniach bankowych lub poręczeniach spółdzielczej kasy oszczędnościowo-kredytowej, z tym, że poręczenie kasy jest zawsze zobowiązaniem pieniężnym,
3) gwarancjach bankowych,
4) gwarancjach ubezpieczeniowych,
5) poręczeniach udzielanych przez podmioty, o których mowa w art. 6b ust. 5 pkt 2 ustawy z dnia 9.11.2000 r. o utworzeniu Polskiej Agencji Rozwoju Przedsiębiorczości (t.j. Dz.U. z 2018 r. poz. 110 z późn. zm.).

Tekst

O udzielenie zamówienia mogą ubiegać się Wykonawcy, którzy spełniają warunki udziału w postępowaniu o ile zostały one określone przez Zamawiającego w ogłoszeniu o udzielenie zamówienia, które mogą dotyczyć zdolności technicznej lub zawodowej.
Minimalny poziom ewentualnych wymaganych standardów:
Zamawiający uzna warunek za spełniony, jeżeli Wykonawca wykaże:
1. Wykonawca wykaże, że w okresie ostatnich 3 lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy - w tym okresie wykonał:
II. Co najmniej 2 usługi o wartości min. 50 000 PLN brutto polegającej na wdrożeniu lub aktualizacji Systemu Zarządzania Bezpieczeństwem Informacji zgodnie z wymaganiami PN-ISO/IEC 27001:2014, które zakończyły się pozytywną certyfikacją każda, gdzie przynajmniej jedna dotyczyła podmiotu wykonującego działalność leczniczą w rozumieniu ustawy z dnia 15.4.2011 o działalności leczniczej
2. Wykonawca wykaże, że dysponuje:
1 osobą pełniącą funkcję Kierownik Projektu, która:
a) Posiada co najmniej 5-letnie doświadczenie zawodowe w zakresie wdrożeń SZBI zgodnie z wymagania normy ISO 27001;
b) Uczestniczyła w co najmniej jednym wdrożeniu SZBI zgodnie z wymaganiami normy PN-ISO/IEC 27001:2014 dla podmiotu wykonującego działalność leczniczą w rozumieniu ustawy z dnia 15.4.2011 o działalności leczniczej;
c) Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2 lub PMI.
Minimum 1 osobą pełniąca funkcję Konsultanta Wiodącego, która:
a) Posiada certyfikat CISSP lub CASP;
b) Posiada certyfikat audytora wiodącego ISO/IEC 27001:2013 (akredytacja IRCA);
c) Posiada co najmniej 3-letnie doświadczenie zawodowe w roli kierownika zespołu konsultantów w zakresie wdrożeń SZBI zgodnie z wymaganymi normy PN-ISO/IEC 27001:2014;
d) Uczestniczyła w co najmniej jednym wdrożeniu SZBI zgodnie z wymaganiami normy PN-ISO/IEC 27001:2014 dla podmiotu wykonującego działalność leczniczą w rozumieniu ustawy z dnia 15.4.2011 o działalności leczniczej.
Minimum 2 osobami pełniące funkcję Konsultanta, z których każda:
a) Posiada co najmniej 3-letnie doświadczenie zawodowe w zakresie wdrożeń SZBI zgodnie z wymaganymi normy PN-ISO/IEC 27001:2014;
b) Posiada doświadczenie w realizacji co najmniej 3 projektów związanych z wdrożeniem bądź aktualizacją SZBI, w tym jeden dla podmiotu wykonującego działalność leczniczą w rozumieniu ustawy z dnia 15.4.2011 o działalności leczniczej;
oraz
c) Przynajmniej jeden konsultant posiada certyfikat audytora wiodącego ISO/IEC 27001:2013 (akredytacja IRCA).
Minimum 1 osobą pełniącą funkcję Koordynatora Testów Bezpieczeństwa, która:
a) Posiada co najmniej 3 letnie doświadczenie w przeprowadzaniu testów bezpieczeństwa aplikacji i infrastruktury;
b) Posiada certyfikaty: Certified Ethical Hacker (CEH), Offensive Security Certified Professional (OSCP), oraz co najmniej jeden certyfikat GIAC (Global Information Assurance Certification).

Tekst

O udzielenie zamówienia mogą ubiegać się Wykonawcy, którzy spełniają warunki udziału w podstępowaniu o ile zostały one określone przez Zamawiającego w ogłoszeniu o udzieleniu zamówienia, które mogą dotyczyć zdolności technicznej lub zawodowej.
Minimalny poziom ewentualnych wymaganych standardów:
Zamawiający uzna warunek za spełniony, jeżeli Wykonawca wykaże:
1. Wykonawca wykaże, że w okresie ostatnich 3 lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy - w tym okresie wykonał:
II. Co najmniej 2 usługi o wartości min. 50 000 PLN brutto polegającej na wdrożeniu lub aktualizacji Systemu Zarządzania Bezpieczeństwem Informacji zgodnie z wymaganiami PN-ISO/IEC 27001:2014, które zakończyły się pozytywną certyfikacją każda, gdzie przynajmniej jedna dotyczyła podmiotu wykonującego działalność leczniczą w rozumieniu ustawy z dnia 15.4.2011 r. o działalności leczniczej lub jednostki sektora finansów publicznych.
2. Wykonawca wykaże, że dysponuje:
1 osobą pełniącą funkcję Kierownik Projektu, która:
a) Posiada co najmniej 5-letnie doświadczenie zawodowe w zakresie wdrożeń SZBI zgodnie z wymagania normy ISO 27001;
b) Uczestniczyła w co najmniej jednym wdrożeniu SZBI zgodnie z wymaganiami normy PN-ISO/IEC 27001:2014 dla podmiotu wykonującego działalność leczniczą w rozumieniu ustawy z dnia 15.4.2011 r. o działalności leczniczej lub jednostki sektora finansów publicznych;
c) Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2 lub PMI
Minimum 1 osobą pełniąca funkcję Konsultanta Wiodącego, która:
a) Posiada certyfikat CISSP lub CASP;
b) Posiada certyfikat audytora wiodącego ISO/IEC 27001:2013 (akredytacja IRCA);
c) Posiada co najmniej 3-letnie doświadczenie zawodowe w roli kierownika zespołu konsultantów w zakresie wdrożeń SZBI zgodnie z wymaganymi normy PN-ISO/IEC 27001:2014;
d) Uczestniczyła w co najmniej jednym wdrożeniu SZBI zgodnie z wymaganiami normy PN-ISO/IEC 27001:2014 dla podmiotu wykonującego działalność leczniczą w rozumieniu ustawy z dnia 15.4.2011 r. o działalności leczniczej lub jednostki sektora finansów publicznych;
Minimum 2 osobami pełniące funkcję Konsultanta, z których każda:
a) Posiada co najmniej 3-letnie doświadczenie zawodowe w zakresie wdrożeń SZBI zgodnie z wymaganymi normy PN-ISO/IEC 27001:2014;
b) Posiada doświadczenie w realizacji co najmniej 3 projektów związanych z wdrożeniem bądź aktualizacją SZBI, w tym 1 dla podmiotu wykonującego działalność leczniczą w rozumieniu ustawy z dnia 15.4.2011 r. o działalności leczniczej lub jednostki sektora finansów publicznych;
oraz
c) Przynajmniej jeden konsultant posiada certyfikat audytora wiodącego ISO/IEC 27001:2013 (akredytacja IRCA);
Minimum 1 osobą pełniącą funkcję Koordynatora Testów Bezpieczeństwa, która:
a) Posiada co najmniej 3-letnie doświadczenie w przeprowadzaniu testów bezpieczeństwa aplikacji i infrastruktury;
b) Posiada certyfikaty: Certified Ethical Hacker (CEH), Offensive Security Certified Professional (OSCP), oraz co najmniej 1 certyfikat GIAC (Global Information Assurance Certification).