Świadczenie usług bezpieczeństwa przetwarzania informacji dla Mazowieckiego Szpitala Bródnowskiego w Warszawie sp. z o.o

Wykaz i krótki opis kryteriów wyboru

Zamawiający określa minimalne wymagania w zakresie ww. warunku: zamawiający uzna warunek za spełniony, jeśli wykonawca jest ubezpieczony od odpowiedzialności cywilnej w zakresie prowadzonej działalności związanej z przedmiotem zamówienia, na sumę ubezpieczenia (sumę gwarancyjną) nie mniejszą niż 1 000 000,00 PLN (słownie: jeden milion złotych).

Zamawiający żąda następujących oświadczeń lub dokumentów potwierdzających spełnianie warunków udziału w postępowaniu lub kryteria selekcji, o których mowa w pkt 8 SIWZ:
10.7. Dokumenty potwierdzające, że wykonawca jest ubezpieczony od odpowiedzialności cywilnej w zakresie prowadzonej działalności związanej z przedmiotem zamówienia na sumę gwarancyjną określoną w pkt 8.2 lit. b. SIWZ.

Wykaz i krótki opis kryteriów wyboru

Wykonawca wykaże, że w okresie ostatnich 3 lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy – w tym okresie wykonał:
1. Co najmniej jedną usługę świadczenia usług bezpieczeństwa, która spełni łącznie następujące warunki:
1.1. wartość roczna usługi min. 200 000 PLN brutto;
1.2. usługa obejmowała realizację szkoleń;
1.3. usługa obejmowała zarządzanie bezpieczeństwem poprzez m.in. prowadzenie cyklicznej aktualizacji analizy ryzyka, przeprowadzenie audytu;
1.4. usługa obejmowała monitorowanie usług eksponowanych w sieci Internet, monitorowanie zdarzeń dotyczących środowiska teleinformatycznego, monitorowanie podatności systemów;
1.5. doradztwa w zakresie prowadzenia Polityki Bezpieczeństwa;
1.6. minimalny okres świadczenia usługi: 24 miesięcy.
2. Opiniowanie w zakresie ochrony danych osobowych co najmniej 10 umów dotyczących prowadzenia badań klinicznych.
3. Co najmniej dwie usługi o wartości min. 50 000 PLN brutto polegającej na wdrożeniu lub aktualizacji systemu zarządzania bezpieczeństwem informacji zgodnie z wymaganiami PN-ISO/IEC 27001 w branży ochrony zdrowia w podmiocie zatrudniającym powyżej 100 pracowników.
4. Co najmniej dwie usługi polegające łącznie na wdrożeniu lub aktualizacji systemu zarządzania bezpieczeństwem informacji zgodnie z wymaganiami PN-ISO/IEC 27001 oraz na wdrożeniu lub aktualizacji systemu zarządzania ciągłością działania zgodnie z wymaganiami normy ISO 22301, które zakończyły się pozytywną certyfikacją.
5. Wykonawca wykaże, że dysponuje:
5.1.1. osobą pełniącą funkcję kierownika projektu, która spełnia łącznie wszystkie poniższe warunki:
5.1.1. posiada co najmniej 5-letnie doświadczenie zawodowe w zakresie wdrożeń SZBI zgodnie z wymagania normy ISO 27001,
5.1.2. uczestniczyła w co najmniej jednym wdrożeniu SZBI zgodnie z wymaganiami normy PN-ISO/IEC 27001 dla jednostek z branży ochrony zdrowia,
5.1.3. posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2 lub PMI,
5.2. minimum 1 osobą pełniąca funkcję konsultanta wiodącego, która spełnia łącznie wszystkie poniższe warunki:
5.2.1. posiada certyfikat CISSP lub równoważny,
5.2.2. posiada certyfikat audytora wiodącego ISO/IEC 27001 (akredytacja IRCA),
5.2.3. posiada co najmniej 3-letnie doświadczenie zawodowe w roli kierownika zespołu konsultantów w zakresie wdrożeń SZBI zgodnie z wymaganymi normy PN-ISO/IEC 27001,
5.2.4. uczestniczyła w co najmniej jednym wdrożeniu SZBI zgodnie z wymaganiami normy PN-ISO/IEC 27001 dla jednostek z branży ochrony zdrowia,
5.3. minimum 2 osobami pełniące funkcję Konsultanta, z których każda spełnia łącznie wszystkie poniższe warunki:
5.3.1. posiada co najmniej 3-letnie doświadczenie zawodowe w zakresie wdrożeń SZBI zgodnie z wymaganymi normy PN-ISO/IEC 27001,
5.3.2. posiada doświadczenie w realizacji co najmniej 3 projektów związanych z wdrożeniem bądź aktualizacją SZBI, w tym jeden dla branży ochrony zdrowia; oraz przynajmniej jedna z osób pełniących funkcję konsultanta posiada dodatkowo łącznie:
5.3.2.1. certyfikat audytora wiodącego ISO/IEC 27001 (akredytacja IRCA),
5.3.2.2. certyfikat ukończenia szkolenia z zakresu ISO 27701:2019,
5.3.2.3. certyfikat ukończenia szkolenia z zakresu ISO/ IEC 27017 z elementami ochrony danych osobowych przetwarzanych w chmurze (ISO/ IEC 27018),
5.4. Minimum 1 osobą pełniącą funkcję koordynatora testów bezpieczeństwa, która spełnia łącznie wszystkie poniższe warunki:
5.4.1. posiada co najmniej 3-letnie doświadczenie w przeprowadzaniu testów bezpieczeństwa aplikacji i infrastruktury,
5.4.2. posiada certyfikat Certified Ethical Hacker (CEH),
5.4.3. posiada certyfikat Offensive Security Certified Professional (OSCP),
5.4.4. posiada certyfikat certyfikat GIAC (Global Information Assurance Certification).
Wykonawca posiada wdrożony system zarządzania bezpieczeństwem informacji zgodnie z wymaganiami PN-ISO/IEC 27001 oraz system zarządzania ciągłością działania zgodnie z wymaganiami normy ISO 22301 potwierdzone akredytowanymi certyfikatem.

Warunki uczestnictwa (zdolność techniczna i zawodowa)

Zamawiający żąda następujących oświadczeń lub dokumentów potwierdzających spełnianie warunków udziału w postępowaniu lub kryteria selekcji, o których mowa w pkt 8 SIWZ:
10.8. Wykaz wykonanych, a w przypadku świadczeń okresowych lub ciągłych również wykonywanych, usług w zakresie niezbędnym do wykazania spełniania warunku wiedzy i doświadczenia w okresie ostatnich trzech lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy – w tym okresie, z podaniem ich wartości, przedmiotu, dat wykonania i odbiorców, oraz załączeniem dokumentu potwierdzającego, że te usługi zostały wykonane lub są wykonywane należycie zgodnie z załącznikiem nr 6 do SIWZ.
10.9. Wykaz osób realizujących zamówienie zgodnie z załącznikiem nr 6A do SIWZ.

Zamawiający żąda następujących dokumentów potwierdzających brak podstaw do wykluczenia:
1. Jednolity europejski dokument zamówienia – wg wzoru stanowiącego załącznik nr 1 do SIWZ, w którym wykonawca zobowiązany jest złożyć oświadczenie w zakresie spełnienia warunków udziału w postępowaniu.
2. Odpisu z właściwego rejestru lub z Centralnej Ewidencji i Informacji o Działalności Gospodarczej, jeżeli odrębne przepisy wymagają wpisu do rejestru lub ewidencji, w celu wykazania braku podstaw do wykluczenia w oparciu o art. 24 ust. 5 pkt 1 ustawy.
3. Zaświadczenia właściwego naczelnika urzędu skarbowego potwierdzającego, że wykonawca nie zalega z opłacaniem podatków, wystawionego nie wcześniej niż 3 miesiące przed upływem terminu składania ofert, lub innego dokumentu potwierdzającego, że wykonawca zawarł porozumienie z właściwym organem w sprawie spłat tych należności wraz z ewentualnymi odsetkami lub grzywnami, w szczególności uzyska przewidziane prawem zwolnienie, odroczenie lub rozłożenie na raty zaległych płatności lub wstrzymanie w całości wykonania decyzji właściwego organu.
4. Zaświadczenia właściwej terenowej jednostki organizacyjnej Zakładu Ubezpieczeń Społecznych lub Kasy Rolniczego Ubezpieczenia Społecznego albo innego dokumentu potwierdzającego, że wykonawca nie zalega z opłacaniem składek na ubezpieczenia społeczne lub zdrowotne, wystawionego nie wcześniej niż 3 miesiące przed upływem terminu składania ofert, lub innego dokumentu potwierdzającego, że wykonawca zawarł porozumienie z właściwym organem w sprawie spłat tych należności wraz z ewentualnymi odsetkami lub grzywnami, w szczególności uzyskał przewidziane prawem zwolnienie, odroczenie lub rozłożenie na raty zaległych płatności lub wstrzymanie w całości wykonania decyzji właściwego organu.
5. Informacji z Krajowego Rejestru Karnego w zakresie określonym w art. 24 ust. 1 pkt 13, 14 i 21 ustawy, wystawionych nie wcześniej niż 6 miesięcy przed upływem terminu składania ofert.
6. Oświadczenie o przynależności lub braku przynależności do tej samej grupy kapitałowej oraz, w przypadku przynależności do tej samej grupy kapitałowej: dokumenty bądź informacje potwierdzające, że powiązania z innym wykonawcą nie prowadzą do zakłócenia konkurencji w postępowaniu – wg wzoru stanowiącego załącznik nr 2 do SIWZ.
W celu potwierdzenia, że oferowane usługi odpowiadają wymaganiom określonym przez zamawiającego, zamawiający żąda następujących dokumentów.
Próbkę oferowanego narzędzia do monitorowania podatności systemów informatycznych w postaci komputera przenośnego (laptopa) lub w postaci maszyny wirtualnej, dostarczonej na przenośnym nośniku danych (płyta DVD, pendrive, dysk twardy) wraz z instalatorem oprogramowania umożliwiającym uruchomienie danej maszyny wirtualnej z zainstalowanymi wybranymi funkcjonalnościami. Szczegółowy zakres żądane próbki oraz sposób prezentacji próbki został opisany szczegółowo w załączniku nr 9 do SIWZ.
Zamawiający wymaga wraz z Jednolitym europejskim dokumentem zamówienia złożenia oświadczeń lub dokumentów innych niż wymienione w pkt 10.1–10.10 SIWZ:
1. wypełniony formularz ofertowy – wg wzoru stanowiącego załącznik nr 3 do SIWZ;
2. wypełnione i podpisane zestawienie kryterium nr 2 „jakość” – załącznik nr 7 do SIWZ;
3. dowód wniesienia wadium.
Wykonawca składający ofertę zobowiązany jest do wniesienia wadium w wysokości: 3 950,00 PLN (słownie: trzy tysiące dziewięćset pięćdziesiąt złotych 00/100), sposób i forma wnoszenia wadium określone w pkt 12 SIWZ.