Postępowanie w trybie przetargu nieograniczonego na realizację kompleksowej usługi w zakresie Security Operations Center (SOC) oraz odmiejscowienia kopii zapasowych w modelu usługowym chmury obliczeniowej (IaaS) dla Szpitala Miejskiego św. Jana Pawła II w Elblągu-vol 2

Krótki opis

Przedmiotem Zamówienia jest kompleksowa usługa w zakresie dostawy, wdrożenia, konfiguracji, uruchomienia i utrzymania systemu do monitoringu infrastruktury teleinformatycznej i sieciowej Zamawiającego wraz z usługami towarzyszącymi przez okres 36 miesięcy, na którą składają się:
a) realizacja kompleksowego zadania polegającego na dostarczeniu infrastruktury teleinformatycznej IaaS w modelu usługowym chmury obliczeniowej wraz z oprogramowaniem SIEM i monitoringiem SOC.
b) realizacja kompleksowego zadania polegającego na dostarczeniu systemu odmiejscowienia kopii zapasowych Zamawiającego; zgodnie z załącznikiem nr 1.1 oraz 1.1a do SWZ

Opis zamówienia

Przedmiotem Zamówienia jest kompleksowa usługa w zakresie dostawy, wdrożenia, konfiguracji, uruchomienia i utrzymania systemu do monitoringu infrastruktury teleinformatycznej i sieciowej Zamawiającego wraz z usługami towarzyszącymi przez okres 36 miesięcy, na którą składają się:
a) realizacja kompleksowego zadania polegającego na dostarczeniu infrastruktury teleinformatycznej IaaS w modelu usługowym chmury obliczeniowej wraz z oprogramowaniem SIEM i monitoringiem SOC.
b) realizacja kompleksowego zadania polegającego na dostarczeniu systemu odmiejscowienia kopii zapasowych Zamawiającego; zgodnie z załącznikiem nr 1.1 oraz 1.1a do SWZ

Informacje dodatkowe

2. O udzielenie zamówienia mogą ubiegać się Wykonawcy, którzy spełniają warunki dotyczące:

1) zdolności do występowania w obrocie gospodarczym:
Zamawiający nie precyzuje w tym zakresie żadnych wymagań, których spełnienie Wykonawca zobowiązany jest wykazać w sposób szczególny.

2) uprawnień do prowadzenia określonej działalności gospodarczej lub zawodowej, o ile wynika to z odrębnych przepisów:
Opis sposobu dokonywania oceny spełniania tego warunku:
Wykonawca musi być zarejestrowanym operatorem telekomunikacyjnym przez okres nie krótszy, niż 3 lata przed datą złożenia oferty.
3) sytuacji ekonomicznej lub finansowej:
Opis sposobu dokonywania oceny spełniania tego warunku:
Zamawiający uzna warunek za spełniony, jeżeli Wykonawca wykaże, że posiada opłaconą polisę ubezpieczeniową od odpowiedzialności cywilnej w zakresie prowadzonej działalności związanej z przedmiotem zamówienia na kwotę min. 500.000 zł (słownie: pięćset tysięcy złotych 00/100 groszy)
4) zdolności technicznej lub zawodowej:
Opis sposobu dokonywania oceny spełniania tego warunku:
a) Wykonawca musi posiadać wdrożoną normę ISO 22301 na usługi IaaS nieprzerwanie przez ostatnie 5 lat. Wymóg ten został określony w celu zapewnienia najwyższego poziomu bezpieczeństwa informacji oraz ciągłości działania usług, zgodnie z aktualnymi wymogami Dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 (NIS2) oraz międzynarodowymi standardami branżowymi.
b) Wykonawca musi posiadać wdrożoną normę ISO 27001 na usługi IaaS nieprzerwanie przez ostatnie 5 lat. Wymóg ten został określony w celu zapewnienia najwyższego poziomu bezpieczeństwa informacji oraz ciągłości działania usług, zgodnie z aktualnymi wymogami Dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 (NIS2) oraz międzynarodowymi standardami branżowymi.
c) Wykonawca musi posiadać wdrożone rozszerzenie normy 27001 do normy ISO 27017 na usługi IaaS. Wymóg ten został określony w celu zapewnienia najwyższego poziomu bezpieczeństwa informacji oraz ciągłości działania usług, zgodnie z aktualnymi wymogami Dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 (NIS2) oraz międzynarodowymi standardami branżowymi.

W przypadku przedstawienia rozwiązania równoważnego, Wykonawca zobowiązany jest wykazać, że oferowane rozwiązanie zapewnia poziom bezpieczeństwa i ciągłości działania nie niższy niż wynikający z norm ISO 22301, ISO 27001 oraz 27017
d) Wykonawca musi wykazać, że w okresie ostatnich trzech lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy - w tym okresie świadczył (a w przypadku świadczeń powtarzających się lub ciągłych również świadczy):
- usługę Security Operation Center dla minimum 5 podmiotów,
- usługę hostingu systemu SIEM w zakresie utrzymania systemu SIEM na własnej infrastrukturze dla minimum 5 podmiotów
e) Wykonawca musi wykazać, że w okresie ostatnich trzech lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy - w tym okresie wdrożył i uruchomił minimum jeden projekt obejmujący minimum 150 serwerów fizycznych lub wirtualnych w zakresie dostawy i wdrożenia systemów SIEM,
Na potwierdzenie powyższych warunków Wykonawca przedstawi dowody, że usługi/dostawy zostały lub są wykonywane należycie.
f) Wykonawca musi wykazać, że dysponuje zespołem osób z poniższymi kwalifikacjami (min. 7 osób):
- kierownik zespołu (min 1 osoba), który posiada: certyfikat audytor Wiodący Systemu Zarządzania Bezpieczeństwem Informacji wg normy PN-EN ISO/IEC 27001;
- pentester (min. 1 osoba), który posiada ważny certyfikat OSCP (ang.OffSec Certified Professional) lub GPEN (GIAC Penetration Tester Certification);
- inżynier bezpieczeństwa (min 1 osoba), który posiada ważny certyfikat OSDA (ang. OffSec Defense Analyst) lub GIAC Security Operations Certified (ang.GIAC Security Operations Certified);
- analityk bezpieczeństwa (min. 6 osób), który posiada ważny certyfikat Compia Security+ (ang. Comptia Security+) lub BTL 1 (ang. Blue Team Level 1);
- architekt bezpieczeństwa (min 1 osoba), który posiada ważny certyfikat CISSP (ang. Certified Information Systems Security Professional) lub Comptia SecurityX;
- inżynier systemu SIEM (min. 2 osoby), który posiada certyfikat inżynierski producenta oferowanego systemu SIEM
- Minimalny skład zespołu monitoringu SOC:
- pracownicy pierwszej linii SOC- min. 2 osoby dostępne przez cały czas świadczenia usługi;
- pracownicy drugiej linii SOC – min. 1 osoba dostępna przez cały czas świadczenia usługi;
- zarządzania podatnościami – min. 1 osoba dostępna w trybie 8/5
- manager SOC – 1 osoba

Zamawiający dopuszcza łączenie powyższych funkcji.
Zamawiający wymaga, aby pracownicy pierwszej linii SOC realizowali swoje zadania w dedykowanym, fizycznie zabezpieczonym ośrodku przetwarzania danych (PDC) Wykonawcy, zapewniającym pełną kontrolę dostępu, monitoring oraz zgodność z wymogami bezpieczeństwa określonymi w OPZ. Środowisko pracy pracowników SOC powinno gwarantować stały nadzór, możliwość natychmiastowej reakcji na incydenty oraz stosowanie rozwiązań technicznych i organizacyjnych uniemożliwiających wynoszenie lub przetwarzanie danych poza infrastrukturą PDC.

1. Z postępowania o udzielenie zamówienia wykluczony zostanie Wykonawca, w stosunku do którego zachodzi którakolwiek z okoliczności, o których mowa w art. 108 ust. 1 ustawy Prawo zamówień publicznych, tj. wykonawcę:
1) będącego osobą fizyczną, którego prawomocnie skazano za przestępstwo:
a) udziału w zorganizowanej grupie przestępczej albo związku mającym na celu popełnienie przestępstwa lub przestępstwa skarbowego, o którym mowa w art. 258 Kodeksu karnego,
b) handlu ludźmi, o którym mowa w art. 189a Kodeksu karnego,
c) o którym mowa w art. 228–230a, art. 250a Kodeksu karnego, w art. 46–48 ustawy z dnia 25 czerwca 2010 r. o sporcie (Dz. U. z 2020 r.poz. 1133 oraz z 2021 r. poz. 2054) lub w art. 54 ust. 1–4 ustawy z dnia 12 maja 2011 r. o refundacji leków, środków spożywczych specjalnego przeznaczenia żywieniowego oraz wyrobów medycznych (Dz. U. z 2021 r. poz. 523, 1292, 1559 i 2054),
d) finansowania przestępstwa o charakterze terrorystycznym, o którym mowa w art. 165a Kodeksu karnego, lub przestępstwo udaremniania lub utrudniania stwierdzenia przestępnego pochodzenia pieniędzy lub ukrywania ich pochodzenia, o którym mowa w art. 299 Kodeksu karnego,
e) o charakterze terrorystycznym, o którym mowa w art. 115 § 20 Kodeksu karnego, lub mające na celu popełnienie tego przestępstwa,
f) powierzenia wykonywania pracy małoletniemu cudzoziemcowi, o którym mowa w art. 9 ust. 2 ustawy z dnia 15 czerwca 2012 r. o skutkach powierzania wykonywania pracy cudzoziemcom przebywającym wbrew przepisom na terytorium Rzeczypospolitej Polskiej (Dz. U. poz. 769 oraz z 2020 r. poz. 2023),
g) przeciwko obrotowi gospodarczemu, o których mowa w art. 296–307 Kodeksu karnego, przestępstwo oszustwa, o którym mowa w art. 286 Kodeksu karnego, przestępstwo przeciwko wiarygodności dokumentów, o których mowa w art. 270–277d Kodeksu karnego, lub przestępstwo skarbowe,
h) o którym mowa w art. 9 ust. 1 i 3 lub art. 10 ustawy z dnia 15 czerwca 2012 r. o skutkach powierzania wykonywania pracy cudzoziemcom przebywającym wbrew przepisom na terytorium Rzeczypospolitej Polskiej – lub za odpowiedni czyn zabroniony określony w przepisach prawa obcego; 2) jeżeli urzędującego członka jego organu zarządzającego lub nadzorczego, wspólnika spółki w spółce jawnej lub partnerskiej albo komplementariusza w spółce komandytowej lub komandytowo-akcyjnej lub prokurenta prawomocnie skazano za przestępstwo, o którym mowa w pkt 1;
3) wobec którego wydano prawomocny wyrok sądu lub ostateczną decyzję administracyjną o zaleganiu z uiszczeniem podatków, opłat lub składek na ubezpieczenie społeczne lub zdrowotne, chyba że wykonawca odpowiednio przed upływem terminu do składania wniosków o dopuszczenie do udziału w postępowaniu albo przed upływem terminu składania ofert dokonał płatności należnych podatków, opłat lub składek na ubezpieczenie społeczne lub zdrowotne wraz z odsetkami lub grzywnami lub zawarł wiążące porozumienie w sprawie spłaty tych należności;
4) wobec którego prawomocnie orzeczono zakaz ubiegania się o zamówienia publiczne;
5) jeżeli zamawiający może stwierdzić, na podstawie wiarygodnych przesłanek, że wykonawca zawarł z innymi wykonawcami porozumienie mające na celu zakłócenie konkurencji, w szczególności jeżeli należąc do tej samej grupy kapitałowej w rozumieniu ustawy z dnia 16 lutego 2007 r. o ochronie konkurencji i konsumentów, złożyli odrębne oferty, oferty częściowe lub wnioski o dopuszczenie do udziału w postępowaniu, chyba że wykażą, że przygotowali te oferty lub wnioski niezależnie od siebie;
6) jeżeli, w przypadkach, o których mowa w art. 85 ust. 1, doszło do zakłócenia konkurencji wynikającego z wcześniejszego zaangażowania tego wykonawcy lub podmiotu, który należy z wykonawcą do tej samej grupy kapitałowej w rozumieniu ustawy z dnia 16 lutego 2007 r. o ochronie konkurencji i konsumentów, chyba że spowodowane tym zakłócenie konkurencji może być wyeliminowane w inny sposób niż przez wykluczenie wykonawcy z udziału w postępowaniu o udzielenie zamówienia.
7) Ponadto o udzielenie przedmiotowego zamówienia nie mogą ubiegać się wykonawcy, którzy podlegają wykluczeniu na podstawie na podstawie art. 5k rozporządzenia Rady (UE) nr 833/2014 z dnia 31 lipca 2014 r. dotyczącego środków ograniczających w związku z działaniami Rosji destabilizującymi sytuację na Ukrainie (Dz. Urz. UE nr L 229 z 31.7.2014, str. 1), dalej: rozporządzenie 833/2014, w brzmieniu nadanym rozporządzeniem Rady (UE) 2022/576 w sprawie zmiany rozporządzenia (UE) nr 833/2014 dotyczącego środków ograniczających w związku z działaniami Rosji destabilizującymi sytuację na Ukrainie (Dz. Urz. UE nr L 111 z 8.4.2022, str. 1), dalej: rozporządzenie 2022/5762 oraz na podstawie art. 7 ust. 1 ustawy z dnia 13 kwietnia 2022 r. o szczególnych rozwiązaniach w zakresie przeciwdziałania wspieraniu agresji na Ukrainę oraz służących ochronie bezpieczeństwa narodowego (Dz. U. poz. 835).3 Powyższe wykluczenie następować będzie na okres trwania ww. okoliczności.
2. Zamawiający przewiduje wykluczenie Wykonawcy na podstawie fakultatywnych przesłanek wykluczenia:
1) art. 109 ust. 1 pkt 1) „Z postępowania o udzielenie zamówienia Zamawiający może wykluczyć Wykonawcę, który naruszył obowiązki dotyczące płatności podatków, opłat lub składek na ubezpieczenie społeczne lub zdrowotne, z wyjątkiem przypadku, o którym mowa w art. 108 ust.1 pkt 3, chyba że wykonawca odpowiednio przed upływem terminu do składania wniosków o dopuszczenie do udziału w postępowaniu albo przed upływem terminy składają ofert dokonał płatności należnych podatków, opłat lub składek na ubezpieczenie społeczne lub zdrowotne wraz z odsetkami lub grzywnami lub zawarł wiążące porozumienie w sprawie spłaty tych należności”;
2) Art. 109 ust. 1 pkt 4) „Z postępowania o udzielenie zamówienia Zamawiający może wykluczyć Wykonawcę, w stosunku do którego otwarto likwidację, ogłoszono upadłość, którego aktywami zarządza likwidator lub sąd, zawarł układ z wierzycielami, którego działalność gospodarcza jest zawieszona albo znajduje się on w innej tego rodzaju sytuacji wynikającej z podobnej procedury przewidzianej w przepisach miejsca wszczęcia tej procedury”.
Podmiotowe środki dowodowe na potwierdzenie spełnienia warunków udziału w postepowaniu oraz przesłanek wykluczenia zostały opisane w SWZ Dział XII.

Dokładne informacje na temat terminu (terminów) procedur odwoławczych

1. Odwołanie wnosi się w terminie 10 dni od dnia przekazania informacji o czynności zamawiającego stanowiącej podstawę jego wniesienia, jeżeli informacja została przekazana przy użyciu środków komunikacji elektronicznej 2. Odwołanie wobec treści ogłoszenia wszczynającego postępowanie o udzielenie zamówienia lub wobec treści dokumentów zamówienia, wnosi się w terminie 10 dni od dnia publikacji ogłoszenia w Dzienniku Urzędowym Unii Europejskiej lub zamieszczenia dokumentów zamówienia na stronie internetowej. 3. Odwołanie w przypadkach innych niż określone w pkt. 6 i 7 wnosi się w terminie 10 dni od dnia, w którym powzięto lub przy zachowaniu należytej staranności można było powziąć wiadomość o okolicznościach stanowiących podstawę jego wniesienia, 4. Szczegółowe informacje dotyczące środków ochrony prawnej określone są w Dziale IX „Środki ochrony prawnej” ustawy Pzp.