Zamawiający informuje, że poniżej przedstawia jedynie podstawowe informacje o zakresie zamówienia na Świadczenie usług wsparcia eksploatacji i utrzymania Systemu Bezpieczeństwa Teleinformatycznego ZUS”. Informacje te mają charakter wstępny, informacyjny. Opis przedmiotu zamówienia odpowiadający wymaganiom art. 400 ustawy Prawo zamówień publicznych (Dz. U. z 2023 r. poz. 1605), zwana dalej "ustawa Pzp", będzie stanowił element SWZ i zostanie przekazany Wykonawcom wraz z zaproszeniem do składania ofert zgodnie z art. 411 ust. 2 ustawy Pzp.
CZĘŚĆ I - PRZEDMIOT ZAMÓWIENIA
Przedmiotem zamówienia w zakresie wsparcia eksploatacji i utrzymania posiadanego przez Zamawiającego Systemu Bezpieczeństwa Teleinformatycznego Zakładu Ubezpieczeń Społecznych (dalej: SBT ZUS) jest świadczenie w szczególności następujących Usług:
1) Utrzymanie wskazanych Usług aplikacyjnych IT, Usług Narzędzi i Procesów zarządzania w Środowisku produkcyjnym w zakresie i na zasadach określonych w Metrykach Usług Wykonawcy.
2) Świadczenie Usług serwisowych oraz Konsultacji utrzymaniowych;
3) Pełnienie roli Integratora Bezpieczeństwa w zakresie i na zasadach określonych poniżej oraz innych wskazanych ról przy wdrażaniu zmian w SBT ZUS, zgodnie z Procedurami eksploatacyjnymi oraz Standardami IT ZUS;
4) Świadczenie Usług dodatkowych, obejmujących w szczególności:
a) dostosowanie SBT ZUS do zmian organizacyjnych Zamawiającego,
b) dostosowanie SBT ZUS do zmian Usług IT lub Standardów IT ZUS,
c) wsparcie w realizacji zadań wynikających ze zmian legislacyjnych,
d) dodatkowe wsparcie wdrożeniowe dla Usług IT i wsparcie powdrożeniowe dla Usług IT,
e) opracowanie dokumentacji w szczególności: projektowej, eksploatacyjnej, powykonawczej, analitycznej i raportowej etc.,
f) analiza, rozwój oraz utrzymanie wskazanych obszarów architektury IT Zamawiającego,
g) analiza i rekomendacje dotyczące architektury IT Zamawiającego w zakresie bezpieczeństwa teleinformatycznego Zamawiającego,
h) analiza i rekomendacje w zakresie planowanych wdrożeń i ich wpływu na SBT ZUS oraz poziom bezpieczeństwa Zamawiającego,
i) analiza i rekomendacje w zakresie budowy kanałów komunikacji z podmiotami zewnętrznymi i ich wpływu na poziom bezpieczeństwa teleinformatycznego Zamawiającego.
1.1 Usługi
Wsparcie udzielane przez Wykonawcę świadczone będzie w zakresie i na poziomie opisanym w Metrykach Usług Wykonawcy. Metryka Usługi Wykonawcy będzie stanowiła dokument określający zakres zobowiązań Wykonawcy oraz warunki realizacji tych zobowiązań.
Poziom dotrzymania przez Wykonawcę parametrów usługi (SLA) wynikający z Metryk Usług Wykonawcy będzie mierzony i rozliczany przez Zamawiającego i dostarczany przez Zamawiającego w formie raportu z poziomu świadczenia usług. Przygotowanie mechanizmów mierzących i rozliczających poziom dotrzymanych przez Wykonawcę parametrów jest po stronie Zamawiającego. Dla Metryk Usług Wykonawcy rozliczanie poziomów świadczonych usług realizowane jest poprzez parametry Usługi utrzymania tj. dostępność, niezawodność, ciągłość, wydajność. Uzyskane wartości parametrów pozyskiwane są z Systemu Monitorowania Usług Zamawiającego (SMU) .
Celem zdefiniowania parametrów Usługi utrzymania jest zapewnienie poziomu świadczonych przez Wykonawcę usług na poziomie nie niższym niż określony wartościami tych parametrów. Każdy z parametrów ma ustalone wartości gwarantowane, tzn. takie, które określają najniższy dopuszczalny przez Zamawiającego poziom, na jakim usługa może być świadczona. Ten poziom powinien gwarantować sprawną realizację procesów systemów. Komunikacja między Wykonawcą a Zamawiającym w zakresie obsługi i diagnozowania Incydentów, docelowo będzie odbywać się poprzez integrację Systemu obsługi Zgłoszeń Wykonawcy z Systemem obsługi Zgłoszeń Zamawiającego. Opis komunikacji i integracji będzie opisany w SWZ.
Zakres odpowiedzialności Wykonawcy
Wykonawca jest zobowiązany w szczególności do:
1. Świadczenia Usług utrzymania na poziomie określonym w Umowie zgodnie z wykorzystaniem zdefiniowanych przez Wykonawcę Procedur administratorskich zatwierdzonych przez Zamawiającego lub posiadanym przez Zamawiającego.
2. Zapewnienia dotrzymania określonych w metrykach Parametrów świadczenia Usługi utrzymania.
3. Administrowanie i konfiguracja SBT ZUS, w tym udzielania Zamawiającemu niezbędnych zaleceń, wskazówek i wytycznych dotyczących eksploatacji Infrastruktury sprzętowo–systemowej wpierającej SBT ZUS objętego Metrykami Usług Wykonawcy.
4. Świadczenia Usług serwisowych w tym usuwania problemów wynikających z nieprawidłowego działania systemów objętych Metrykami Usług Wykonawcy.
5. Dostarczania Zamawiającemu informacji o wszystkich aktualizacjach zaoferowanych i wspieranych przez producenta wersji systemów objętych Metrykami Usług Wykonawcy, z zapewnieniem asysty przy ich implementacji w środowisku Zamawiającego. Wykonawca ustala z Zamawiającym czas instalacji dostarczonej aktualizacji systemów, przy czym Zamawiający będzie podejmował ostateczną decyzję o jej instalacji (Zamawiający w asyście Wykonawcy będzie dokonywał aktualizacji Oprogramowania, chyba że Strony postanowią inaczej).
6. Aktualizowania Dokumentacji w wyniku dostępności nowych wersji systemów oraz wprowadzanych poprawek.
1.1.1 Usługi utrzymania
Planowane są następujące usługi utrzymania:
Kategoria usługi Wykonawcy; Identyfikator usługi; Nazwa usługi;
Usługa utrzymania aplikacyjna SBT _ PAM Utrzymanie Systemu Bezpieczeństwa Teleinformatycznego w zakresie zabezpieczenia dostępu do infrastruktury Zamawiającego
Usługa utrzymania aplikacyjna SBT _END Utrzymanie Systemu Bezpieczeństwa Teleinformatycznego w zakresie zabezpieczenia stacji roboczych, poczty
Usługa utrzymania aplikacyjna SBT_DLP Utrzymanie Systemu Bezpieczeństwa Teleinformatycznego w zakresie ochrony organizacji przed wyciekiem informacji
Usługa utrzymania aplikacyjna SBT _UTS_ INC Utrzymanie Systemu Bezpieczeństwa Teleinformatycznego w obszarze incydentów bezpieczeństwa informacji
Usługa utrzymania aplikacyjna SBT _UTS_TAG Utrzymanie Systemu Bezpieczeństwa Teleinformatycznego w zakresie aplikacji do tagowania i szyfrowania
Usługa utrzymania –narzędzi i procesów zarządzania IT SBT _TEST_KOD Badanie kodu źródłowego – realizacja wg potrzeb Zamawiającego na zlecenie
Usługa utrzymania narzędzi i procesów zarządzania IT procesowa SBT _TEST_PEN Realizacja PENTEST – realizacja wg potrzeb Zamawiającego na zlecenie
Ostateczna lista Metryk Usług Wykonawcy zostanie ustalona w SWZ. Umowa będzie zakładała możliwość dodawania nowych metryk w miarę potrzeb Zamawiającego wynikających np. z rozwoju SBT ZUS.
A. Świadczenie utrzymania SBT ZUS
Celem świadczenia Usług utrzymania w zakresie określonym w Metrykach Usług Wykonawcy jest zapewnienie produkcyjnego działania SBT ZUS we wdrożonych w ramach Umowy Ramowej, w tym również zapewnienie ich prawidłowego funkcjonowania w infrastrukturze systemowo-sprzętowej oraz ich integracji z innymi systemami zewnętrznymi.
Wykonawca w ramach usługi związanej z bieżącym utrzymaniem i wsparciem SBT ZUS odpowiedzialny będzie w szczególności za:
a) bieżącą administrację SBT ZUS i bazami danych;
b) identyfikację problemów oraz reagowanie na zidentyfikowane problemy i nieprawidłowości;
c) rozwiązywanie problemów z działaniem systemów objętych metryką;
d) rozwiązywanie problemów z działaniem agentów na stacjach roboczych Zamawiającego;
e) wsparcie i asystę w aktualizacji oprogramowania systemowego na serwerach Zamawiającego;
f) analizę i rekomendacje w zakresie strojenia baz danych na poziomie systemu operacyjnego/infrastruktury i ich realizację po udzielonej zgodzie Zamawiającego;
g) rekomendacje dotyczące instalacji patchy i upgrade’ów (SBT ZUS i baz danych);
h) realizację procedur administratorskich;
i) wykonywanie kopii bezpieczeństwa i ich testowanie;
j) rekonfigurację SBT ZUS związanych z bieżącymi potrzebami środowiska i użytkowników;
k) analizowanie i rekomendacje dotyczące podjęcia określonych działań oraz zmian koniecznych dla zapewnienia wysokiej wydajności SBT ZUS;
l) informowanie o nowych wersjach SBT ZUS i przeprowadzanie na zlecenie Zamawiającego testów;
m) uzgodnienia w zakresie harmonogramów aktualizacji SBT ZUS;
n) aktualizację Dokumentacji SBT ZUS;
o) weryfikację kompletności procedur administratorskich, ich aktualizacja i uzupełnianie i tworzenie nowych;
p) przygotowanie paczek instalacyjnych dla SCCM w zakresie instalacji/update agentów i asysta przy ich realizacji;
q) przekazywanie raportów.
B. Zlecanie i realizacja testów bezpieczeństwa zdefiniowanych w ramach usług utrzymania SBT _TEST_KOD, SBT _TEST_PEN
Celem zlecania testów w ramach metryk jest identyfikacja podatności stanowiących lub mogących stanowić zagrożenie dla bezpieczeństwa przetwarzanych, przesyłanych i przechowywanych informacji oraz danych, a także usług biznesowych realizowanych przez systemy teleinformatyczne Zamawiającego, których celem realizacji jest zaprojektowanie bezpiecznego środowiska teleinformatycznego w Zakładzie Ubezpieczeń Społecznych.
W zależności od potrzeb Zamawiający zleca testy w ramach metryk : SBT _TEST_KOD, SBT _TEST_PEN.
1. SBT _TEST_KOD
Badanie bezpieczeństwa kodu źródłowego to szczegółowa jego analiza, której celem jest odpowiedź na pytania, czy testowana aplikacja może być zainstalowana i wykorzystywana produkcyjnie, a także czy może być umieszczona w sieci, czy też mogą wiązać się z tym określone zagrożenia, a jeżeli tak, to jakie.
2. SBT _TEST_PEN
Test podatności aplikacji, systemów i sieci realizowany z sieci wewnętrznej i zewnętrznej jest badaniem umożliwiającym zbadanie odporności środowiska na atak będący efektem przełamania przez intruza zabezpieczeń na styku z sieciami zewnętrznymi, uzyskaniem przez intruza dostępu do wewnętrznej infrastruktury sieciowej albo celowego lub nieumyślnego działania legalnego użytkownika sieci (np. uruchomienie szkodliwego oprogramowania ze stacji roboczej użytkownika). Badanie to ma na celu wykrycie luk bezpieczeństwa oraz ich weryfikację pod kątem potencjalnych zagrożeń.
1.1.2 Usługi serwisowe
Zamawiający przewiduje następujące usługi serwisowe:
Usługa serwisowa SBT _ODI Obsługa Incydentów dotyczących Oprogramowania
Usługa serwisowa SBT _KON Konsultacje utrzymaniowe
A. Usługi serwisowe SBT_ODI – Obsługa Incydentów dotyczących Oprogramowania
Usługa obejmuje swym zakresem działania niezbędne do jak najszybszego przywrócenia poprawnego działania systemów, w tym: rejestrację Zgłoszenia, zidentyfikowanie przyczyn wystąpienia Incydentu, przekazanie wyników Diagnozy wraz z podaniem przyczyny Incydentu, dla Incydentów, dla których w wyniku Diagnozy stwierdzono konieczność dostarczenia Obejścia lub Rozwiązania, opracowanie i udostepnienie Obejścia i Rozwiązania lub opracowanie i udostępnienie Rozwiązania, w przypadku, gdy Obejście w procesie obsługi nie jest dostarczane, aktualizacja Dokumentacji, jeżeli zastosowane Obejście lub Rozwiązanie tego wymaga.
B. SBT_KON - Konsultacje utrzymaniowe
Usługa Konsultacji jest to wymiana informacji służących procesom rozwoju, integracji, zapewnienia ciągłości działania SBT ZUS oraz usuwania pojawiających awarii, realizowana pomiędzy Wykonawcą oraz Zamawiającym i innymi wykonawcami (świadczącymi usługi wsparcia w ramach innych umów z Zakładem w obszarze spoza SBT ZUS). Usługa Konsultacji utrzymaniowych nie ma na celu zlecania wykonania prac analitycznych, projektowych lub programistycznych innym uczestnikom procesu Konsultacji, ani nie jest mechanizmem do transferu wiedzy ogólnej na temat SBT ZUS wynikającej z dokumentacji.
Komunikacja w ramach Konsultacji pomiędzy Wykonawcami realizowana jest za pośrednictwem Zamawiającego.
1.1.3 Integrator Bezpieczeństwa – Pełnienie roli Integratora Bezpieczeństwa
Integrator Bezpieczeństwa wydaje opinie dot. wszystkich Modyfikacji, Usług dodatkowych oraz rozwiązań wdrażanych w ramach obsługi zgłoszeń serwisowych, których wdrożenie planowane jest we wszystkich oknach wdrożeniowych (planowanych oraz dodatkowych). Integrator Bezpieczeństwa bierze obowiązkowo udział w Konsultacjach ogólnych świadczonych przez wykonawców umów ramowych na rozwój Kompleksowego Systemu Informatycznego Zakładu Ubezpieczeń Społecznych.
Integrator Bezpieczeństwa współpracuje z Integratorem jako wykonawcą związanym umową, której przedmiotem są usługi wsparcia eksploatacji i utrzymania KSI ZUS.
A. Zadania Integratora Bezpieczeństwa w projektach SBT ZUS
a) Ocena wpływu na zasoby techniczne i usługi
Zadanie realizowane jest przez cały czas trwania każdego realizowanego projektu SBT ZUS (dalej zwanego „projektem”). Projekty mogą dotyczyć wszystkich wdrażanych zmian do systemów/funkcjonalności SBT ZUS a w szczególności Modyfikacji, Usług dodatkowych, naprawy zgłoszeń serwisowych oraz elementów na styku SBT ZUS z innymi systemami.
b) Udział w przygotowaniu produktów projektu/Produktów Innego wykonawcy, odbiorze oprogramowania i jego wdrożeniu
W ramach zadania Integrator Bezpieczeństwa uczestniczy w pracach Zespołu projektowego, testach akceptacyjnych oraz wykonuje testy regresji, międzymodułowe, wydajnościowe, bezpieczeństwa.
Zadaniem Integratora Bezpieczeństwa jest jednoznaczna ocena czy produkty projektu / Produkty Innego wykonawcy działają zgodnie z założeniami projektu i obowiązującymi standardami oraz potwierdzenie poprawności działania oprogramowania w Środowisku przedprodukcyjnym.
c) Rozpoczęcie eksploatacji i monitorowanie Okresu stabilizacji. Monitorowanie systemu w okresie utrzymania
W ramach zadania rolą Integratora Bezpieczeństwa jest jednoznaczna ocena czy produkty projektu / Produkty Innego wykonawcy działają zgodnie z obowiązującymi Standardami eksploatacyjnymi. Integrator Bezpieczeństwa potwierdza poprawność działania oprogramowania w Środowisku produkcyjnym w Okresie stabilizacji oraz rekomenduje zakończenie Okresu stabilizacji.
d) Bieżące monitorowanie poziomu pojemności w kontekście utrzymania i rozwoju systemów bezpieczeństwa pozwalające na zaplanowanie i realizację przez Zamawiającego niezbędnych zakupów infrastrukturalnych
W ramach zadania rolą Integratora Bezpieczeństwa jest jednoznaczna ocena stanu pojemności i wydanie rekomendacji.
e) Identyfikacja potrzeb licencyjnych oraz bieżące monitorowanie poziomu wykorzystania licencji
Zadanie realizowane jest przez cały czas trwania każdego realizowanego projektu SBT (dalej zwanego „projektem”). Projekty mogą dotyczyć wszystkich wdrażanych zmian do systemów/funkcjonalności SBT ZUS a w szczególności Modyfikacji, Usług dodatkowych, naprawy zgłoszeń serwisowych oraz elementów na styku systemu SBT ZUS z innymi systemami.
W ramach zadania rolą Integratora Bezpieczeństwa jest jednoznaczna ocena potrzeb licencyjnych i określenie czynności do realizacji.
B. Zadania Integratora Bezpieczeństwa w projektach/Planowanych zakupach realizowanych na styku SBT ZUS z innymi systemami
Ocena wpływu na zasoby techniczne i powiązane usługi
Zadanie realizowane jest przez cały czas trwania Umowy zgodnie z cyklem realizacji projektu wg ustalonego z Zamawiającym harmonogramem lub na żądanie, zgodnie z zapotrzebowaniem Zamawiającego.
W ramach zadania rolą Integratora Bezpieczeństwa jest identyfikacja ryzyk, wynikających z projektów/zapotrzebowania na zakupy w kontekście bezpieczeństwa, rekomendacja wymagań w zakresie zmian w konkretnych, będących w toku, projektach/zapotrzebowaniach na zakupy lub zastosowanie konkretnej architektury czy technologii pod względem bezpieczeństwa, oraz weryfikacja założeń projektowych, w tym założenia integracyjne, w kontekście możliwości realizacji oraz wpływ rozwiązań zaproponowanych w danych projektach na infrastrukturę techniczno-systemową SBT ZUS, w tym pojemność i ilość licencji SBT ZUS.
C. Zadania Integratora Bezpieczeństwa zapewniające bezpieczeństwo wdrożenia zmian
Integrator Bezpieczeństwa ściśle współpracuje z Integratorem jako wykonawcą związanym umową, której przedmiotem są usługi wsparcia eksploatacji i utrzymania KSI ZUS. Integrator Bezpieczeństwa na bieżąco analizuje i opiniuje planowane do wdrożenia zmiany pod kątem bezpieczeństwa na podstawie przekazanych dokumentów.
D. Zadania dotyczące wsparcia w zakresie rozwoju i utrzymania architektury SBT ZUS
Integrator Bezpieczeństwa świadczy wsparcie w zakresie rozwoju i utrzymania architektury IT w następującym zakresie:
1. Wsparcie w zarządzaniu zmianą w architekturze SBT ZUS w zakresie analizy czasowych i architektonicznych zależności między projektami SBT ZUS oraz między projektami SBT ZUS a projektami spoza SBT ZUS (na styku z SBT ZUS).
2. Wsparcie architektoniczne w zakresie analizy obecnego stanu architektury SBT ZUS.
3. Wsparcie architektoniczne w zakresie przeglądu architektury SBT ZUS i aktualizacja dokumentu opisującego architekturę SBT ZUS.
E. Udział Integratora Bezpieczeństwa w procesie rozwoju SBT ZUS oraz projektów będących na styku z SBT ZUS
1. Integrator Bezpieczeństwa zapewnia wsparcie Zamawiającemu w koordynowaniu rozbudowy/modyfikacji systemów informatycznych SBT ZUS.
2. Zadaniem Integratora Bezpieczeństwa jest ocena wpływu wdrożenia w Środowisku produkcyjnym produktów projektów/Produktów Innego wykonawcy realizowanych w ramach umów rozwojowych na poziom bezpieczeństwa IT ZUS.
3. Integrator Bezpieczeństwa weryfikuje poprawność, spójność i integralność Kodów źródłowych oprogramowania w Środowisku przedprodukcyjnym Wykonawcy/Zamawiającego poprzez wykonanie procesu kompilacji.
4. Integrator Bezpieczeństwa współdziała z Zamawiającym w utrzymaniu i rozwoju metod walidacji Kodów źródłowych oprogramowania SBT ZUS.
1.2 Usługi dodatkowe
Zlecenia Usług dodatkowych mogą obejmować w szczególności wykonywanie prac w następującym zakresie:
a) dostosowanie SBT ZUS do zmian organizacyjnych Zamawiającego,
b) dostosowanie SBT ZUS do zmian Usług IT lub Standardów IT ZUS,
c) wsparcie w realizacji zadań wynikających ze zmian legislacyjnych,
d) dodatkowe wsparcie wdrożeniowe dla Usług IT i wsparcie powdrożeniowe dla Usług IT,
e) opracowanie dokumentacji w szczególności: projektowej, eksploatacyjnej, powykonawczej, analitycznej i raportowej etc.,
f) analiza, rozwój i utrzymanie architektury IT Zamawiającego,
g) analiza i rekomendacje dotyczące architektury IT Zamawiającego w zakresie bezpieczeństwa teleinformatycznego Zamawiającego,
h) analiza i rekomendacje w zakresie planowanych wdrożeń i ich wpływu na SBT ZUS oraz poziom bezpieczeństwa Zamawiającego,
i) analiza i rekomendacje w zakresie budowy kanałów komunikacji z podmiotami zewnętrznymi i ich wpływu na poziom bezpieczeństwa teleinformatycznego Zamawiającego.
1.3 Warsztaty
Wykonawca jest zobowiązany do przeprowadzenia instruktaży przystanowiskowych m.in. w zakresie administrowania systemami i sprzętem objętych Usługami utrzymania, konfiguracji systemów, instalacji, wprowadzania zmian w konfiguracji, utrzymania, rozbudowy i modyfikacji baz i modernizacji systemów. Wykonawca przeprowadzi instruktaże dla wskazanych przez Zamawiającego osób.
Część II - OKRES PRZEJĘCIA USŁUG
Po zawarciu umowy Zamawiający umożliwi Wykonawcy zapoznanie z Elementami SBT ZUS oraz przekaże stosowną dokumentację do zapoznania.
Przejęcie usług nastąpi w terminie określonym w SWZ.
1. Okres przekazywania usług kolejnemu Wykonawcy
1. Wykonawca zobowiązany jest do wsparcia Zamawiającego w przekazaniu Usług do Zamawiającego lub do nowego Wykonawcy.
2. Przewiduje się realizację Przekazania Usług w formie warsztatów/instruktaży.
Część III - OGÓLNY OPIS SYSTEMU BEZPIECZEŃSTWA TELEINFORMATYCZNEGO ZAKŁADU UBEZPIECZEŃ SPOŁECZNYCH
System Bezpieczeństwa Teleinformatycznego Zakładu Ubezpieczeń Społecznych (SBT ZUS) składa się z szeregu rozwiązań sprzętowo-technologicznych oraz oprogramowań podnoszących poziom bezpieczeństwa teleinformatycznego Zamawiającego.
Jego głównym obszarem działań jest zapewnienie zabezpieczenia poczty elektronicznej, dostępu do Internetu, stacji roboczych, sieci, tożsamości uprzywilejowanych.
SBT ZUS składa się z:
1. Stosu ICT dla systemów cyberbezpieczeństwa wraz z backupem - środowiska wirtualizacyjne oraz kopii zapasowej dla działających serwerów wirtualnych SBT ZUS.
2. Infrastruktury serwerowo-macierzowej zapewniającej połączenie sieciowe z resztą infrastruktury, oraz infrastrukturę dla systemu backupu danych, w szczególności:
a) zapewnia infrastrukturę sieciowo-serwerową dla klastrów wirtualizacji oraz pozostałych systemów SBT ZUS;
b) zapewnia możliwość połączenia systemów proxy z infrastrukturą Zamawiającego;
c) zapewnia możliwość połączenia systemów AntyAPT z infrastrukturą Zamawiającego.
3. Urządzeń sieciowych i Firewall wraz z ich konfiguracją, oraz separacja środowisk zarządzających poszczególnych podsystemów.
4. Systemów kategorii Network Visibility – infrastruktury składającej się z pojedynczej platformy packet broker oraz urządzeń typu aktywny TAP.
5. Narzędzi zapobiegających wyciekom danych, na poziomie stacji końcowych, sieci, poczty elektronicznej oraz serwisów informacyjnych.
6. Systemu klasy AntyAPT.
7. Systemu klasy PAM pozwalającego na zarządzanie kontami uprzywilejowanymi.
8. Aplikacji klasy Information Right Management, której podstawowe funkcjonalności to szyfrowanie plików, szyfrowanie wiadomości e-mail i/lub załączników, możliwość ograniczania uprawnień tylko do odczytu.
9. Technologii kategoryzacji (klasyfikacji) informacji pozwalającą na podstawie zawartości pliku lub intencji użytkownika podzielić pliki na grupy, które podlegają regułom klasyfikacji.
Wszystkie systemy są oprogramowaniem standardowym dostępnym na rynku.
Szczegółowy wykaz systemów oraz sprzętu składającego się na SBT ZUS pozwalającego na złożenie oferty zostanie ujawniony Wykonawcom wraz z SWZ.
Termin
Termin składania ofert wynosił 2023-11-07.
Zamówienie zostało opublikowane na stronie 2023-10-03.
Dodatkowe informacje (2023-10-31) Instytucja zamawiająca Nazwa i adresy
Nazwa: Zakład Ubezpieczeń Społecznych
Adres pocztowy: ul. Szamocka 3, 5
Miasto pocztowe: Warszawa
Kod pocztowy: 01-478
Kraj: Polska 🇵🇱
Osoba kontaktowa: Departament Zamówień Publicznych
E-mail: sekretariatdzp@zus.pl📧
URL: https://www.zus.pl🌏
Adres profilu nabywcy: https://www.zus.pl🌏
Obiekt Zakres zamówienia
Tytuł:
“Świadczenie usług wsparcia eksploatacji i utrzymania Systemu Bezpieczeństwa Teleinformatycznego ZUS”
Produkty/usługi: Usługi doradcze w zakresie systemów i doradztwo techniczne📦
Krótki opis:
“Zamawiający informuje, że poniżej przedstawia jedynie podstawowe informacje o zakresie zamówienia na Świadczenie usług wsparcia eksploatacji i utrzymania...”
Krótki opis
Zamawiający informuje, że poniżej przedstawia jedynie podstawowe informacje o zakresie zamówienia na Świadczenie usług wsparcia eksploatacji i utrzymania Systemu Bezpieczeństwa Teleinformatycznego ZUS”. Informacje te mają charakter wstępny, informacyjny. Opis przedmiotu zamówienia odpowiadający wymaganiom art. 400 ustawy Prawo zamówień publicznych (Dz. U. z 2023 r. poz. 1605), zwana dalej "ustawa Pzp", będzie stanowił element SWZ i zostanie przekazany Wykonawcom wraz z zaproszeniem do składania ofert zgodnie z art. 411 ust. 2 ustawy Pzp.
CZĘŚĆ I - PRZEDMIOT ZAMÓWIENIA
Przedmiotem zamówienia w zakresie wsparcia eksploatacji i utrzymania posiadanego przez Zamawiającego Systemu Bezpieczeństwa Teleinformatycznego Zakładu Ubezpieczeń Społecznych (dalej: SBT ZUS) jest świadczenie w szczególności następujących Usług:
1) Utrzymanie wskazanych Usług aplikacyjnych IT, Usług Narzędzi i Procesów zarządzania w Środowisku produkcyjnym w zakresie i na zasadach określonych w Metrykach Usług Wykonawcy.
2) Świadczenie Usług serwisowych oraz Konsultacji utrzymaniowych;
3) Pełnienie roli Integratora Bezpieczeństwa w zakresie i na zasadach określonych poniżej oraz innych wskazanych ról przy wdrażaniu zmian w SBT ZUS, zgodnie z Procedurami eksploatacyjnymi oraz Standardami IT ZUS;
4) Świadczenie Usług dodatkowych, obejmujących w szczególności:
a) dostosowanie SBT ZUS do zmian organizacyjnych Zamawiającego,
b) dostosowanie SBT ZUS do zmian Usług IT lub Standardów IT ZUS,
c) wsparcie w realizacji zadań wynikających ze zmian legislacyjnych,
d) dodatkowe wsparcie wdrożeniowe dla Usług IT i wsparcie powdrożeniowe dla Usług IT,
e) opracowanie dokumentacji w szczególności: projektowej, eksploatacyjnej, powykonawczej, analitycznej i raportowej etc.,
f) analiza, rozwój oraz utrzymanie wskazanych obszarów architektury IT Zamawiającego,
g) analiza i rekomendacje dotyczące architektury IT Zamawiającego w zakresie bezpieczeństwa teleinformatycznego Zamawiającego,
h) analiza i rekomendacje w zakresie planowanych wdrożeń i ich wpływu na SBT ZUS oraz poziom bezpieczeństwa Zamawiającego,
i) analiza i rekomendacje w zakresie budowy kanałów komunikacji z podmiotami zewnętrznymi i ich wpływu na poziom bezpieczeństwa teleinformatycznego Zamawiającego.
1.1 Usługi
Wsparcie udzielane przez Wykonawcę świadczone będzie w zakresie i na poziomie opisanym w Metrykach Usług Wykonawcy. Metryka Usługi Wykonawcy będzie stanowiła dokument określający zakres zobowiązań Wykonawcy oraz warunki realizacji tych zobowiązań.
Poziom dotrzymania przez Wykonawcę parametrów usługi (SLA) wynikający z Metryk Usług Wykonawcy będzie mierzony i rozliczany przez Zamawiającego i dostarczany przez Zamawiającego w formie raportu z poziomu świadczenia usług. Przygotowanie mechanizmów mierzących i rozliczających poziom dotrzymanych przez Wykonawcę parametrów jest po stronie Zamawiającego. Dla Metryk Usług Wykonawcy rozliczanie poziomów świadczonych usług realizowane jest poprzez parametry Usługi utrzymania tj. dostępność, niezawodność, ciągłość, wydajność. Uzyskane wartości parametrów pozyskiwane są z Systemu Monitorowania Usług Zamawiającego (SMU) .
Celem zdefiniowania parametrów Usługi utrzymania jest zapewnienie poziomu świadczonych przez Wykonawcę usług na poziomie nie niższym niż określony wartościami tych parametrów. Każdy z parametrów ma ustalone wartości gwarantowane, tzn. takie, które określają najniższy dopuszczalny przez Zamawiającego poziom, na jakim usługa może być świadczona. Ten poziom powinien gwarantować sprawną realizację procesów systemów. Komunikacja między Wykonawcą a Zamawiającym w zakresie obsługi i diagnozowania Incydentów, docelowo będzie odbywać się poprzez integrację Systemu obsługi Zgłoszeń Wykonawcy z Systemem obsługi Zgłoszeń Zamawiającego. Opis komunikacji i integracji będzie opisany w SWZ.
Zakres odpowiedzialności Wykonawcy
Wykonawca jest zobowiązany w szczególności do:
1. Świadczenia Usług utrzymania na poziomie określonym w Umowie zgodnie z wykorzystaniem zdefiniowanych przez Wykonawcę Procedur administratorskich zatwierdzonych przez Zamawiającego lub posiadanym przez Zamawiającego.
2. Zapewnienia dotrzymania określonych w metrykach Parametrów świadczenia Usługi utrzymania.
3. Administrowanie i konfiguracja SBT ZUS, w tym udzielania Zamawiającemu niezbędnych zaleceń, wskazówek i wytycznych dotyczących eksploatacji Infrastruktury sprzętowo–systemowej wpierającej SBT ZUS objętego Metrykami Usług Wykonawcy.
4. Świadczenia Usług serwisowych w tym usuwania problemów wynikających z nieprawidłowego działania systemów objętych Metrykami Usług Wykonawcy.
5. Dostarczania Zamawiającemu informacji o wszystkich aktualizacjach zaoferowanych i wspieranych przez producenta wersji systemów objętych Metrykami Usług Wykonawcy, z zapewnieniem asysty przy ich implementacji w środowisku Zamawiającego. Wykonawca ustala z Zamawiającym czas instalacji dostarczonej aktualizacji systemów, przy czym Zamawiający będzie podejmował ostateczną decyzję o jej instalacji (Zamawiający w asyście Wykonawcy będzie dokonywał aktualizacji Oprogramowania, chyba że Strony postanowią inaczej).
6. Aktualizowania Dokumentacji w wyniku dostępności nowych wersji systemów oraz wprowadzanych poprawek.
1.1.1 Usługi utrzymania
Planowane są następujące usługi utrzymania:
Kategoria usługi Wykonawcy; Identyfikator usługi; Nazwa usługi;
Usługa utrzymania aplikacyjna SBT _ PAM Utrzymanie Systemu Bezpieczeństwa Teleinformatycznego w zakresie zabezpieczenia dostępu do infrastruktury Zamawiającego
Usługa utrzymania aplikacyjna SBT _END Utrzymanie Systemu Bezpieczeństwa Teleinformatycznego w zakresie zabezpieczenia stacji roboczych, poczty
Usługa utrzymania aplikacyjna SBT_DLP Utrzymanie Systemu Bezpieczeństwa Teleinformatycznego w zakresie ochrony organizacji przed wyciekiem informacji
Usługa utrzymania aplikacyjna SBT _UTS_ INC Utrzymanie Systemu Bezpieczeństwa Teleinformatycznego w obszarze incydentów bezpieczeństwa informacji
Usługa utrzymania aplikacyjna SBT _UTS_TAG Utrzymanie Systemu Bezpieczeństwa Teleinformatycznego w zakresie aplikacji do tagowania i szyfrowania
Usługa utrzymania –narzędzi i procesów zarządzania IT SBT _TEST_KOD Badanie kodu źródłowego – realizacja wg potrzeb Zamawiającego na zlecenie
Usługa utrzymania narzędzi i procesów zarządzania IT procesowa SBT _TEST_PEN Realizacja PENTEST – realizacja wg potrzeb Zamawiającego na zlecenie
Ostateczna lista Metryk Usług Wykonawcy zostanie ustalona w SWZ. Umowa będzie zakładała możliwość dodawania nowych metryk w miarę potrzeb Zamawiającego wynikających np. z rozwoju SBT ZUS.
A. Świadczenie utrzymania SBT ZUS
Celem świadczenia Usług utrzymania w zakresie określonym w Metrykach Usług Wykonawcy jest zapewnienie produkcyjnego działania SBT ZUS we wdrożonych w ramach Umowy Ramowej, w tym również zapewnienie ich prawidłowego funkcjonowania w infrastrukturze systemowo-sprzętowej oraz ich integracji z innymi systemami zewnętrznymi.
Wykonawca w ramach usługi związanej z bieżącym utrzymaniem i wsparciem SBT ZUS odpowiedzialny będzie w szczególności za:
a) bieżącą administrację SBT ZUS i bazami danych;
b) identyfikację problemów oraz reagowanie na zidentyfikowane problemy i nieprawidłowości;
c) rozwiązywanie problemów z działaniem systemów objętych metryką;
d) rozwiązywanie problemów z działaniem agentów na stacjach roboczych Zamawiającego;
e) wsparcie i asystę w aktualizacji oprogramowania systemowego na serwerach Zamawiającego;
f) analizę i rekomendacje w zakresie strojenia baz danych na poziomie systemu operacyjnego/infrastruktury i ich realizację po udzielonej zgodzie Zamawiającego;
g) rekomendacje dotyczące instalacji patchy i upgrade’ów (SBT ZUS i baz danych);
h) realizację procedur administratorskich;
i) wykonywanie kopii bezpieczeństwa i ich testowanie;
j) rekonfigurację SBT ZUS związanych z bieżącymi potrzebami środowiska i użytkowników;
k) analizowanie i rekomendacje dotyczące podjęcia określonych działań oraz zmian koniecznych dla zapewnienia wysokiej wydajności SBT ZUS;
l) informowanie o nowych wersjach SBT ZUS i przeprowadzanie na zlecenie Zamawiającego testów;
m) uzgodnienia w zakresie harmonogramów aktualizacji SBT ZUS;
n) aktualizację Dokumentacji SBT ZUS;
o) weryfikację kompletności procedur administratorskich, ich aktualizacja i uzupełnianie i tworzenie nowych;
p) przygotowanie paczek instalacyjnych dla SCCM w zakresie instalacji/update agentów i asysta przy ich realizacji;
q) przekazywanie raportów.
B. Zlecanie i realizacja testów bezpieczeństwa zdefiniowanych w ramach usług utrzymania SBT _TEST_KOD, SBT _TEST_PEN
Celem zlecania testów w ramach metryk jest identyfikacja podatności stanowiących lub mogących stanowić zagrożenie dla bezpieczeństwa przetwarzanych, przesyłanych i przechowywanych informacji oraz danych, a także usług biznesowych realizowanych przez systemy teleinformatyczne Zamawiającego, których celem realizacji jest zaprojektowanie bezpiecznego środowiska teleinformatycznego w Zakładzie Ubezpieczeń Społecznych.
W zależności od potrzeb Zamawiający zleca testy w ramach metryk : SBT _TEST_KOD, SBT _TEST_PEN.
1. SBT _TEST_KOD
Badanie bezpieczeństwa kodu źródłowego to szczegółowa jego analiza, której celem jest odpowiedź na pytania, czy testowana aplikacja może być zainstalowana i wykorzystywana produkcyjnie, a także czy może być umieszczona w sieci, czy też mogą wiązać się z tym określone zagrożenia, a jeżeli tak, to jakie.
2. SBT _TEST_PEN
Test podatności aplikacji, systemów i sieci realizowany z sieci wewnętrznej i zewnętrznej jest badaniem umożliwiającym zbadanie odporności środowiska na atak będący efektem przełamania przez intruza zabezpieczeń na styku z sieciami zewnętrznymi, uzyskaniem przez intruza dostępu do wewnętrznej infrastruktury sieciowej albo celowego lub nieumyślnego działania legalnego użytkownika sieci (np. uruchomienie szkodliwego oprogramowania ze stacji roboczej użytkownika). Badanie to ma na celu wykrycie luk bezpieczeństwa oraz ich weryfikację pod kątem potencjalnych zagrożeń.
1.1.2 Usługi serwisowe
Zamawiający przewiduje następujące usługi serwisowe:
Usługa serwisowa SBT _ODI Obsługa Incydentów dotyczących Oprogramowania
Usługa serwisowa SBT _KON Konsultacje utrzymaniowe
A. Usługi serwisowe SBT_ODI – Obsługa Incydentów dotyczących Oprogramowania
Usługa obejmuje swym zakresem działania niezbędne do jak najszybszego przywrócenia poprawnego działania systemów, w tym: rejestrację Zgłoszenia, zidentyfikowanie przyczyn wystąpienia Incydentu, przekazanie wyników Diagnozy wraz z podaniem przyczyny Incydentu, dla Incydentów, dla których w wyniku Diagnozy stwierdzono konieczność dostarczenia Obejścia lub Rozwiązania, opracowanie i udostepnienie Obejścia i Rozwiązania lub opracowanie i udostępnienie Rozwiązania, w przypadku, gdy Obejście w procesie obsługi nie jest dostarczane, aktualizacja Dokumentacji, jeżeli zastosowane Obejście lub Rozwiązanie tego wymaga.
B. SBT_KON - Konsultacje utrzymaniowe
Usługa Konsultacji jest to wymiana informacji służących procesom rozwoju, integracji, zapewnienia ciągłości działania SBT ZUS oraz usuwania pojawiających awarii, realizowana pomiędzy Wykonawcą oraz Zamawiającym i innymi wykonawcami (świadczącymi usługi wsparcia w ramach innych umów z Zakładem w obszarze spoza SBT ZUS). Usługa Konsultacji utrzymaniowych nie ma na celu zlecania wykonania prac analitycznych, projektowych lub programistycznych innym uczestnikom procesu Konsultacji, ani nie jest mechanizmem do transferu wiedzy ogólnej na temat SBT ZUS wynikającej z dokumentacji.
Komunikacja w ramach Konsultacji pomiędzy Wykonawcami realizowana jest za pośrednictwem Zamawiającego.
1.1.3 Integrator Bezpieczeństwa – Pełnienie roli Integratora Bezpieczeństwa
Integrator Bezpieczeństwa wydaje opinie dot. wszystkich Modyfikacji, Usług dodatkowych oraz rozwiązań wdrażanych w ramach obsługi zgłoszeń serwisowych, których wdrożenie planowane jest we wszystkich oknach wdrożeniowych (planowanych oraz dodatkowych). Integrator Bezpieczeństwa bierze obowiązkowo udział w Konsultacjach ogólnych świadczonych przez wykonawców umów ramowych na rozwój Kompleksowego Systemu Informatycznego Zakładu Ubezpieczeń Społecznych.
Integrator Bezpieczeństwa współpracuje z Integratorem jako wykonawcą związanym umową, której przedmiotem są usługi wsparcia eksploatacji i utrzymania KSI ZUS.
A. Zadania Integratora Bezpieczeństwa w projektach SBT ZUS
a) Ocena wpływu na zasoby techniczne i usługi
Zadanie realizowane jest przez cały czas trwania każdego realizowanego projektu SBT ZUS (dalej zwanego „projektem”). Projekty mogą dotyczyć wszystkich wdrażanych zmian do systemów/funkcjonalności SBT ZUS a w szczególności Modyfikacji, Usług dodatkowych, naprawy zgłoszeń serwisowych oraz elementów na styku SBT ZUS z innymi systemami.
b) Udział w przygotowaniu produktów projektu/Produktów Innego wykonawcy, odbiorze oprogramowania i jego wdrożeniu
W ramach zadania Integrator Bezpieczeństwa uczestniczy w pracach Zespołu projektowego, testach akceptacyjnych oraz wykonuje testy regresji, międzymodułowe, wydajnościowe, bezpieczeństwa.
Zadaniem Integratora Bezpieczeństwa jest jednoznaczna ocena czy produkty projektu / Produkty Innego wykonawcy działają zgodnie z założeniami projektu i obowiązującymi standardami oraz potwierdzenie poprawności działania oprogramowania w Środowisku przedprodukcyjnym.
c) Rozpoczęcie eksploatacji i monitorowanie Okresu stabilizacji. Monitorowanie systemu w okresie utrzymania
W ramach zadania rolą Integratora Bezpieczeństwa jest jednoznaczna ocena czy produkty projektu / Produkty Innego wykonawcy działają zgodnie z obowiązującymi Standardami eksploatacyjnymi. Integrator Bezpieczeństwa potwierdza poprawność działania oprogramowania w Środowisku produkcyjnym w Okresie stabilizacji oraz rekomenduje zakończenie Okresu stabilizacji.
d) Bieżące monitorowanie poziomu pojemności w kontekście utrzymania i rozwoju systemów bezpieczeństwa pozwalające na zaplanowanie i realizację przez Zamawiającego niezbędnych zakupów infrastrukturalnych
W ramach zadania rolą Integratora Bezpieczeństwa jest jednoznaczna ocena stanu pojemności i wydanie rekomendacji.
e) Identyfikacja potrzeb licencyjnych oraz bieżące monitorowanie poziomu wykorzystania licencji
Zadanie realizowane jest przez cały czas trwania każdego realizowanego projektu SBT (dalej zwanego „projektem”). Projekty mogą dotyczyć wszystkich wdrażanych zmian do systemów/funkcjonalności SBT ZUS a w szczególności Modyfikacji, Usług dodatkowych, naprawy zgłoszeń serwisowych oraz elementów na styku systemu SBT ZUS z innymi systemami.
W ramach zadania rolą Integratora Bezpieczeństwa jest jednoznaczna ocena potrzeb licencyjnych i określenie czynności do realizacji.
B. Zadania Integratora Bezpieczeństwa w projektach/Planowanych zakupach realizowanych na styku SBT ZUS z innymi systemami
Ocena wpływu na zasoby techniczne i powiązane usługi
Zadanie realizowane jest przez cały czas trwania Umowy zgodnie z cyklem realizacji projektu wg ustalonego z Zamawiającym harmonogramem lub na żądanie, zgodnie z zapotrzebowaniem Zamawiającego.
W ramach zadania rolą Integratora Bezpieczeństwa jest identyfikacja ryzyk, wynikających z projektów/zapotrzebowania na zakupy w kontekście bezpieczeństwa, rekomendacja wymagań w zakresie zmian w konkretnych, będących w toku, projektach/zapotrzebowaniach na zakupy lub zastosowanie konkretnej architektury czy technologii pod względem bezpieczeństwa, oraz weryfikacja założeń projektowych, w tym założenia integracyjne, w kontekście możliwości realizacji oraz wpływ rozwiązań zaproponowanych w danych projektach na infrastrukturę techniczno-systemową SBT ZUS, w tym pojemność i ilość licencji SBT ZUS.
C. Zadania Integratora Bezpieczeństwa zapewniające bezpieczeństwo wdrożenia zmian
Integrator Bezpieczeństwa ściśle współpracuje z Integratorem jako wykonawcą związanym umową, której przedmiotem są usługi wsparcia eksploatacji i utrzymania KSI ZUS. Integrator Bezpieczeństwa na bieżąco analizuje i opiniuje planowane do wdrożenia zmiany pod kątem bezpieczeństwa na podstawie przekazanych dokumentów.
D. Zadania dotyczące wsparcia w zakresie rozwoju i utrzymania architektury SBT ZUS
Integrator Bezpieczeństwa świadczy wsparcie w zakresie rozwoju i utrzymania architektury IT w następującym zakresie:
1. Wsparcie w zarządzaniu zmianą w architekturze SBT ZUS w zakresie analizy czasowych i architektonicznych zależności między projektami SBT ZUS oraz między projektami SBT ZUS a projektami spoza SBT ZUS (na styku z SBT ZUS).
2. Wsparcie architektoniczne w zakresie analizy obecnego stanu architektury SBT ZUS.
3. Wsparcie architektoniczne w zakresie przeglądu architektury SBT ZUS i aktualizacja dokumentu opisującego architekturę SBT ZUS.
E. Udział Integratora Bezpieczeństwa w procesie rozwoju SBT ZUS oraz projektów będących na styku z SBT ZUS
1. Integrator Bezpieczeństwa zapewnia wsparcie Zamawiającemu w koordynowaniu rozbudowy/modyfikacji systemów informatycznych SBT ZUS.
2. Zadaniem Integratora Bezpieczeństwa jest ocena wpływu wdrożenia w Środowisku produkcyjnym produktów projektów/Produktów Innego wykonawcy realizowanych w ramach umów rozwojowych na poziom bezpieczeństwa IT ZUS.
3. Integrator Bezpieczeństwa weryfikuje poprawność, spójność i integralność Kodów źródłowych oprogramowania w Środowisku przedprodukcyjnym Wykonawcy/Zamawiającego poprzez wykonanie procesu kompilacji.
4. Integrator Bezpieczeństwa współdziała z Zamawiającym w utrzymaniu i rozwoju metod walidacji Kodów źródłowych oprogramowania SBT ZUS.
1.2 Usługi dodatkowe
Zlecenia Usług dodatkowych mogą obejmować w szczególności wykonywanie prac w następującym zakresie:
a) dostosowanie SBT ZUS do zmian organizacyjnych Zamawiającego,
b) dostosowanie SBT ZUS do zmian Usług IT lub Standardów IT ZUS,
c) wsparcie w realizacji zadań wynikających ze zmian legislacyjnych,
d) dodatkowe wsparcie wdrożeniowe dla Usług IT i wsparcie powdrożeniowe dla Usług IT,
e) opracowanie dokumentacji w szczególności: projektowej, eksploatacyjnej, powykonawczej, analitycznej i raportowej etc.,
f) analiza, rozwój i utrzymanie architektury IT Zamawiającego,
g) analiza i rekomendacje dotyczące architektury IT Zamawiającego w zakresie bezpieczeństwa teleinformatycznego Zamawiającego,
h) analiza i rekomendacje w zakresie planowanych wdrożeń i ich wpływu na SBT ZUS oraz poziom bezpieczeństwa Zamawiającego,
i) analiza i rekomendacje w zakresie budowy kanałów komunikacji z podmiotami zewnętrznymi i ich wpływu na poziom bezpieczeństwa teleinformatycznego Zamawiającego.
1.3 Warsztaty
Wykonawca jest zobowiązany do przeprowadzenia instruktaży przystanowiskowych m.in. w zakresie administrowania systemami i sprzętem objętych Usługami utrzymania, konfiguracji systemów, instalacji, wprowadzania zmian w konfiguracji, utrzymania, rozbudowy i modyfikacji baz i modernizacji systemów. Wykonawca przeprowadzi instruktaże dla wskazanych przez Zamawiającego osób.
Część II - OKRES PRZEJĘCIA USŁUG
Po zawarciu umowy Zamawiający umożliwi Wykonawcy zapoznanie z Elementami SBT ZUS oraz przekaże stosowną dokumentację do zapoznania.
Przejęcie usług nastąpi w terminie określonym w SWZ.
1. Okres przekazywania usług kolejnemu Wykonawcy
1. Wykonawca zobowiązany jest do wsparcia Zamawiającego w przekazaniu Usług do Zamawiającego lub do nowego Wykonawcy.
2. Przewiduje się realizację Przekazania Usług w formie warsztatów/instruktaży.
Część III - OGÓLNY OPIS SYSTEMU BEZPIECZEŃSTWA TELEINFORMATYCZNEGO ZAKŁADU UBEZPIECZEŃ SPOŁECZNYCH
System Bezpieczeństwa Teleinformatycznego Zakładu Ubezpieczeń Społecznych (SBT ZUS) składa się z szeregu rozwiązań sprzętowo-technologicznych oraz oprogramowań podnoszących poziom bezpieczeństwa teleinformatycznego Zamawiającego.
Jego głównym obszarem działań jest zapewnienie zabezpieczenia poczty elektronicznej, dostępu do Internetu, stacji roboczych, sieci, tożsamości uprzywilejowanych.
SBT ZUS składa się z:
1. Stosu ICT dla systemów cyberbezpieczeństwa wraz z backupem - środowiska wirtualizacyjne oraz kopii zapasowej dla działających serwerów wirtualnych SBT ZUS.
2. Infrastruktury serwerowo-macierzowej zapewniającej połączenie sieciowe z resztą infrastruktury, oraz infrastrukturę dla systemu backupu danych, w szczególności:
a) zapewnia infrastrukturę sieciowo-serwerową dla klastrów wirtualizacji oraz pozostałych systemów SBT ZUS;
b) zapewnia możliwość połączenia systemów proxy z infrastrukturą Zamawiającego;
c) zapewnia możliwość połączenia systemów AntyAPT z infrastrukturą Zamawiającego.
3. Urządzeń sieciowych i Firewall wraz z ich konfiguracją, oraz separacja środowisk zarządzających poszczególnych podsystemów.
4. Systemów kategorii Network Visibility – infrastruktury składającej się z pojedynczej platformy packet broker oraz urządzeń typu aktywny TAP.
5. Narzędzi zapobiegających wyciekom danych, na poziomie stacji końcowych, sieci, poczty elektronicznej oraz serwisów informacyjnych.
6. Systemu klasy AntyAPT.
7. Systemu klasy PAM pozwalającego na zarządzanie kontami uprzywilejowanymi.
8. Aplikacji klasy Information Right Management, której podstawowe funkcjonalności to szyfrowanie plików, szyfrowanie wiadomości e-mail i/lub załączników, możliwość ograniczania uprawnień tylko do odczytu.
9. Technologii kategoryzacji (klasyfikacji) informacji pozwalającą na podstawie zawartości pliku lub intencji użytkownika podzielić pliki na grupy, które podlegają regułom klasyfikacji.
Wszystkie systemy są oprogramowaniem standardowym dostępnym na rynku.
Szczegółowy wykaz systemów oraz sprzętu składającego się na SBT ZUS pozwalającego na złożenie oferty zostanie ujawniony Wykonawcom wraz z SWZ.
Informacje uzupełniające Numer referencyjny ogłoszenia pierwotnego
Numer ogłoszenia w Dz.U. S: 2023/S 193-602374
Zmiany Tekst, który należy poprawić w pierwotnym ogłoszeniu
Numer sekcji: IV.3.4
Miejsce tekstu, który ma być zmieniony: Termin składania ofert lub wniosków o dopuszczenie do udziału w postępowaniu
Stara wartość
Data: 2023-11-07 📅
Czas: 10:00
Nowa wartość
Data: 2023-11-28 📅
Czas: 10:00
Źródło: OJS 2023/S 212-669440 (2023-10-31)
Dodatkowe informacje (2023-11-23)
Zmiany Tekst, który należy poprawić w pierwotnym ogłoszeniu
Numer sekcji: IV.3.4
Miejsce tekstu, który ma być zmieniony: Termin składania ofert lub wniosków o dopuszczenie do udziału w postępowaniu
Stara wartość
Data: 2023-11-28 📅
Czas: 10:00
Nowa wartość
Data: 2023-12-08 📅
Czas: 10:00
Źródło: OJS 2023/S 229-721208 (2023-11-23)
Dodatkowe informacje (2023-12-04)
Zmiany Tekst, który należy poprawić w pierwotnym ogłoszeniu
Numer sekcji: IV.3.4
Miejsce tekstu, który ma być zmieniony: ermin składania ofert lub wniosków o dopuszczenie do udziału w postępowaniu
Stara wartość
Data: 2023-12-08 📅
Czas: 10:00
Nowa wartość
Data: 2023-12-27 📅
Czas: 10:00
Źródło: OJS 2023/S 237-744298 (2023-12-04)
Dodatkowe informacje (2023-12-08)
Zmiany Tekst, który należy poprawić w pierwotnym ogłoszeniu
Numer sekcji: III.2.3
Miejsce tekstu, który ma być zmieniony: Kwalifikacje techniczne i/lub zawodowe
Stara wartość
Tekst:
“B. Wykonawca spełni warunek, jeżeli wykaże, że w okresie ostatnich 5 (pięciu) lat przed upływem terminu składania wniosków o dopuszczenie do udziału w...”
Tekst
B. Wykonawca spełni warunek, jeżeli wykaże, że w okresie ostatnich 5 (pięciu) lat przed upływem terminu składania wniosków o dopuszczenie do udziału w Postępowaniu:
1) przez okres minimum 2 lat należycie utrzymywał lub utrzymuje system DLP - Data Loss Prevention obejmujący co najmniej 20 000 licencji;
2) przez okres minimum 2 lat należycie utrzymywał lub utrzymuje system PAM - Privileged Access Management obejmujący co najmniej 450 licencji;
3) przez okres minimum 2 lat należycie utrzymywał lub utrzymuje system ETD - Enterprise Threat Detection obejmujący co najmniej 20 000 licencji;
4) przez okres minimum 2 lat należycie utrzymywał lub utrzymuje system Anty ATP - Anty Advanced Threat Protection obejmujący co najmniej 20 000 licencji;
5) przez okres minimum 2 lat należycie utrzymywał lub utrzymuje system zapewniający bezpieczeństwo w zakresie rozszyfrowywania ruchu sieciowego ochrony stacji roboczych (oprogramowanie antywirusowe) obejmujący co najmniej 25 000 licencji;
6) przez okres minimum 2 lat należycie utrzymywał lub utrzymuje system SIEM - Security Information and Event Management;
7) przez okres minimum 2 lat należycie utrzymywał lub utrzymuje co najmniej jeden z systemów: DAM
– Database Activity Monitoring, SOAR – Security Orchestration, Automation and Respons, WAF – Web Application Firewall.
Pokaż więcej Nowa wartość
Tekst:
“B. Wykonawca spełni warunek, jeżeli wykaże, że w okresie ostatnich 5 (pięciu) lat przed upływem terminu składania wniosków o dopuszczenie do udziału w...”
Tekst
B. Wykonawca spełni warunek, jeżeli wykaże, że w okresie ostatnich 5 (pięciu) lat przed upływem terminu składania wniosków o dopuszczenie do udziału w Postępowaniu:
1) przez okres minimum 12 miesięcy należycie utrzymywał lub utrzymuje system DLP - Data Loss Prevention obejmujący co najmniej 20 000 licencji;
2) przez okres minimum 12 miesięcy należycie utrzymywał lub utrzymuje system PAM - Privileged Access Management obejmujący co najmniej 450 licencji;
3) przez okres minimum 12 miesięcy należycie utrzymywał lub utrzymuje system Endpoint Protecton obejmujący co najmniej 20 000 licencji;
4) przez okres minimum 12 miesięcy należycie utrzymywał lub utrzymuje system Anty APT (Anty Advanced Persistent Threats) obejmujący co najmniej 20 000 licencji;
5) przez okres minimum 12 miesięcy należycie utrzymywał lub utrzymuje system zapewniający bezpieczeństwo w zakresie rozszyfrowywania ruchu sieciowego ochrony stacji roboczych (oprogramowanie antywirusowe) obejmujący co najmniej 25 000 licencji;
6) przez okres minimum 12 miesięcy należycie utrzymywał lub utrzymuje system SIEM - Security Information and Event Management;
7) przez okres minimum 12 miesięcy należycie utrzymywał lub utrzymuje co najmniej jeden z systemów: DAM
– Database Activity Monitoring, SOAR – Security Orchestration, Automation and Respons, WAF – Web Application Firewall.
Pokaż więcej Tekst, który należy poprawić w pierwotnym ogłoszeniu
Numer sekcji: III.2.3
Miejsce tekstu, który ma być zmieniony: Kwalifikacje techniczne i/lub zawodowe
Stara wartość
Tekst:
“(początek zmian odnoszących się do lit. D sekcji III.2.3 Ogłoszenia o zamówieniu)
D. Wykonawca spełni warunek, jeżeli wykaże, że dysponuje lub będzie...”
Tekst
(początek zmian odnoszących się do lit. D sekcji III.2.3 Ogłoszenia o zamówieniu)
D. Wykonawca spełni warunek, jeżeli wykaże, że dysponuje lub będzie dysponować osobami skierowanymi przez Wykonawcę do realizacji zamówienia (tj. skierowanymi do realizacji umowy), o odpowiednich kwalifikacjach zawodowych, uprawieniach, doświadczeniu i wykształceniu, odpowiednimi do funkcji, jakie zostaną im powierzone, tj.:
(...)
2) minimum 3 (trzema) osobami do pełnienia funkcji Specjalistów ds. cyberbezpieczeństwa (Integrator Bezpieczeństwa), które powinny się cechować następującymi kompetencjami:
a) posiada co najmniej 36 miesięcy doświadczenia zawodowego w realizacji prac związanych z instalowaniem i serwisowaniem urządzeń i systemów bezpieczeństwa w projekcie/projektach informatycznych o wartości minimum 5 000 000 PLN brutto każdy projekt, polegających na budowie lub rozwoju systemów informatycznych, uzyskanego w ciągu ostatnich 5 lat przed upływem terminu składania wniosków o dopuszczenie do udziału w postępowaniu;
b) posiada co najmniej dwa z niżej wymienionych certyfikatów:
- Certified Information Systems Auditor (CISA),
- Certified Information Security Manager (CISM),
- ISACA’s Certified in Risk and Information Systems Control (CRISC),
- Certified Information Systems Security Professional (CISSP),
- Certified Ethical Hacker (CEH),
- Offensive Security Certified Professional – (OSCP);
lub równoważnych certyfikatów wystawionych przez podmiot niezależny od Wykonawcy;
c) posiada umiejętności zakończone pozytywnym wynikiem egzaminu poświadczającym możliwość realizowania audytów jako audytor wiodący ISO27001;
d) posiada ważne upoważnienie uprawniające do dostępu do informacji niejawnych o klauzuli tajności „zastrzeżone”, o których którym mowa w ustawie o ochronie informacji niejawnych;
e) posiada zaświadczenie stwierdzające odbycie szkolenia w zakresie ochrony informacji niejawnych;
3) minimum 2 (dwoma) osobami do pełnienia funkcji Konsultanta wdrożeń bezpośrednich, które powinny się cechować następującymi kompetencjami:
a) posiada minimum 3-letnie doświadczenie zawodowe w branży IT,
b) posiada co najmniej 24 miesięczne doświadczenie zawodowe, uzyskane w ciągu ostatnich 5 lat przed terminem składania wniosków o dopuszczenie do udziału w postępowaniu, we wdrażaniu oprogramowania systemów bezpieczeństwa;
(...)
5) minimum 3 (trzema) osobami do pełnienia funkcji Testerów bezpieczeństwa, które powinny się cechować następującymi kompetencjami:
a) w ciągu ostatnich 36 miesięcy przed dniem składania wniosków o dopuszczenie do udziału w postępowaniu, tworzyła plany testów i scenariuszy testowych oraz przeprowadzała testy poniższymi metodykami:
• Blackbox,
• Whitebox,
• Greybox;
b) posiada certyfikat Certified Ethical Hacker (CEH) lub równoważny certyfikat wystawiony przez podmiot niezależny od Wykonawcy;
c) posiada co najmniej jeden z niżej wymienionych certyfikatów:
- Offensive Security Wireless Professional (OSWP)
- Offensive Security Certified Expert (OSCE),
- GIAC Exploit Researcher and Advanced Penetration Tester (GXPN) ,
- eLearnSecurity Web application Penetration Tester (eWPT),
- eLearnSecurity Web application Penetration Tester eXtreme (eWPTX),
- eLearnSecurity Mobile Application Penetration Tester (eMAPT)
lub równoważny certyfikat wystawiony przez podmiot niezależny od Wykonawcy;
d) posiada ważne upoważnienie uprawniające do dostępu do informacji niejawnych o klauzuli tajności
„zastrzeżone”, o których którym mowa w ustawie o ochronie informacji niejawnych;
e) posiada zaświadczenie stwierdzające odbycie szkolenia w zakresie ochrony informacji niejawnych;
Pokaż więcej Nowa wartość
Tekst:
“D. Wykonawca spełni warunek, jeżeli wykaże, że dysponuje lub będzie dysponować osobami skierowanymi przez Wykonawcę do realizacji zamówienia (tj....”
Tekst
D. Wykonawca spełni warunek, jeżeli wykaże, że dysponuje lub będzie dysponować osobami skierowanymi przez Wykonawcę do realizacji zamówienia (tj. skierowanymi do realizacji umowy), o odpowiednich kwalifikacjach zawodowych, uprawieniach, doświadczeniu i wykształceniu, odpowiednimi do funkcji, jakie zostaną im powierzone, tj.:
(...)
2) minimum 3 (trzema) osobami do pełnienia funkcji Specjalistów ds. cyberbezpieczeństwa (Integrator Bezpieczeństwa), które powinny się cechować następującymi kompetencjami:
a) posiada co najmniej 36 miesięcy doświadczenia zawodowego w realizacji prac związanych z instalowaniem i serwisowaniem urządzeń i systemów bezpieczeństwa w projekcie/projektach informatycznych o
wartości minimum 5 000 000 PLN brutto każdy projekt, polegających na budowie lub rozwoju systemów
informatycznych, uzyskanego w ciągu ostatnich 5 lat przed upływem terminu składania wniosków o dopuszczenie do udziału w postępowaniu;
b) jedna osoba posiada co najmniej dwa, a dwie pozostałe co najmniej jeden z niżej wymienionych certyfikatów:
- Certified Information Systems Auditor (CISA),
- Certified Information Security Manager (CISM),
- ISACA’s Certified in Risk and Information Systems Control (CRISC),
- Certified Information Systems Security Professional (CISSP),
- Certified Ethical Hacker (CEH),
- Offensive Security Certified Professional – (OSCP);
lub równoważnych certyfikatów do wyżej wymienionych, wystawionych przez podmiot niezależny od Wykonawcy;
c) posiada ważne upoważnienie uprawniające do dostępu do informacji niejawnych o klauzuli tajności „zastrzeżone”, o którym mowa w ustawie o ochronie informacji niejawnych;
d) posiada zaświadczenie stwierdzające odbycie szkolenia w zakresie ochrony informacji niejawnych;
3) minimum 2 (dwoma) osobami do pełnienia funkcji Konsultanta wdrożeń bezpośrednich, które powinny się cechować następującymi kompetencjami:
a) posiada minimum 3-letnie doświadczenie zawodowe w branży IT,
b) posiada doświadczenie zawodowe, uzyskane w ciągu ostatnich 5 lat przed terminem składania wniosków o dopuszczenie do udziału w postępowaniu, polegające na udziale w co najmniej 3 projektach, w których dokonano wdrożenia oprogramowania systemów bezpieczeństwa;
(...)
5) minimum 3 (trzema) osobami do pełnienia funkcji Testerów bezpieczeństwa, które powinny się cechować następującymi kompetencjami:
a) w ciągu ostatnich 36 miesięcy przed dniem składania wniosków o dopuszczenie do udziału w postępowaniu, tworzyła plany testów i scenariuszy testowych oraz przeprowadzała testy poniższymi metodykami:
• Blackbox,
• Whitebox,
• Greybox;
b) jedna osoba posiada co najmniej dwa, a dwie pozostałe co najmniej jeden z niżej wymienionych certyfikatów:
- Offensive Security Wireless Professional (OSWP)
- Offensive Security Certified Expert (OSCE),
- GIAC Exploit Researcher and Advanced Penetration Tester (GXPN) ,
- eLearnSecurity Web application Penetration Tester (eWPT),
- eLearnSecurity Web application Penetration Tester eXtreme (eWPTX),
- eLearnSecurity Mobile Application Penetration Tester (eMAPT),
- Certified Ethical Hacker (CEH),
- Offensive Security Web Expert (OSWE),
- Offensive Security Certified Professional (OSCP)
lub równoważny certyfikat do wyżej wymienionych, wystawiony przez podmiot niezależny od Wykonawcy;
c) posiada ważne upoważnienie uprawniające do dostępu do informacji niejawnych o klauzuli tajności „zastrzeżone”, o którym mowa w ustawie o ochronie informacji niejawnych;
d) posiada zaświadczenie stwierdzające odbycie szkolenia w zakresie ochrony informacji niejawnych;
(ciąg dalszy zmian odnoszących się do lit. D sekcji III.2.3 Ogłoszenia o zamówieniu w kolejnej sekcji)
Pokaż więcej Tekst, który należy poprawić w pierwotnym ogłoszeniu
Numer sekcji: III.2.3
Miejsce tekstu, który ma być zmieniony: Kwalifikacje techniczne i/lub zawodowe
Stara wartość
Tekst:
“(kontynuacja zmian odnoszących się do lit. D sekcji III.2.3. Ogłoszenia o zamówieniu)
8) minimum 1 (jedną) osobą do pełnienia funkcji Eksperta walidacji i...”
Tekst
(kontynuacja zmian odnoszących się do lit. D sekcji III.2.3. Ogłoszenia o zamówieniu)
8) minimum 1 (jedną) osobą do pełnienia funkcji Eksperta walidacji i testów usług (Integrator Bezpieczeństwa), która powinna się cechować następującymi kompetencjami:
a) posiada minimum 5-letnie doświadczenie zawodowe w branży IT,
b) posiada co najmniej 24-miesięczne doświadczenie zawodowe uzyskane w ciągu ostatnich 5 lat przed terminem składania wniosków o dopuszczenie do udziału w postępowaniu, w ramach usług utrzymania systemu informatycznego, w realizowaniu prac związanych z testowaniem oprogramowania lub usług IT oraz utrzymaniem środowiska testowego;
c) posiada znajomość metodyk testowania oprogramowania;
d) posiada certyfikat ITIL Release lub Control Validation lub ISTQB Certified Tester, lub równoważny certyfikat wystawiony przez podmiot niezależny od Wykonawcy;
Pokaż więcej Nowa wartość
Tekst:
“8) minimum 1 (jedną) osobą do pełnienia funkcji Eksperta walidacji i testów usług (Integrator Bezpieczeństwa), która powinna się cechować następującymi...”
Tekst
8) minimum 1 (jedną) osobą do pełnienia funkcji Eksperta walidacji i testów usług (Integrator Bezpieczeństwa), która powinna się cechować następującymi kompetencjami:
a) posiada minimum 5-letnie doświadczenie zawodowe w branży IT,
b) posiada co najmniej 24-miesięczne doświadczenie zawodowe uzyskane w ciągu ostatnich 5 lat przed terminem składania wniosków o dopuszczenie do udziału w postępowaniu, w ramach usług utrzymania systemu informatycznego, w realizowaniu prac związanych z testowaniem oprogramowania lub usług IT oraz utrzymaniem środowiska testowego;
c) posiada znajomość metodyk testowania oprogramowania;
d) posiada certyfikat ITIL Release, Control and Validation lub ISTQB Certified Tester, lub równoważny certyfikat do wymienionych, wystawiony przez podmiot niezależny od Wykonawcy;
(ciąg dalszy zmian odnoszących się do lit. D sekcji III.2.3 Ogłoszenia o zamówieniu w kolejnej sekcji)
Pokaż więcej Tekst, który należy poprawić w pierwotnym ogłoszeniu
Numer sekcji: III.2.3
Miejsce tekstu, który ma być zmieniony: Kwalifikacje techniczne i/lub zawodowe
Stara wartość
Tekst:
“(kontynuacja zmian odnoszących się do lit. D sekcji III.2.3. Ogłoszenia o zamówieniu)
9) minimum 1 (jedną) osobą, do pełnienia funkcji Architekta...”
Tekst
(kontynuacja zmian odnoszących się do lit. D sekcji III.2.3. Ogłoszenia o zamówieniu)
9) minimum 1 (jedną) osobą, do pełnienia funkcji Architekta bezpieczeństwa (Integrator Bezpieczeństwa), która powinna się cechować następującymi kompetencjami:
a) posiada minimum 3-letnie doświadczenie zawodowe uzyskane w ciągu ostatnich 5 lat przed terminem składania wniosków o dopuszczenie do udziału w postępowaniu, rozumiane jako udział w realizacji projektów informatycznych polegających na budowie lub rozwoju systemów bezpieczeństwa, jako architekt bezpieczeństwa;
b) w ciągu ostatnich 5 lat przed dniem składania wniosków o dopuszczenie do udziału w postępowaniu brała udział jako architekt bezpieczeństwa w co najmniej 2 projektach polegających na zaprojektowaniu systemu bezpieczeństwa dla systemu o następujących cechach:
- zorientowany na usługi,
- w architekturze wielowarstwowej,
- o wysokiej wydajności i niezawodności,
- wykorzystujący bazy danych;
c) posiada umiejętności tworzenia dokumentacji analitycznej przy wykorzystaniu narzędzia CASE i notacji UML;
d) posiada certyfikat CISSP (Certified Information Systems Security Professional) lub równoważny certyfikat wystawiony przez podmiot niezależny od Wykonawcy;
e) posiada umiejętności zakończone pozytywnym wynikiem egzaminu poświadczającym możliwość realizowania audytów jako audytor wiodący ISO27001;
f) posiada ważne poświadczenie bezpieczeństwa uprawniające do dostępu do informacji niejawnych o klauzuli tajności „poufne”, o których mowa w ustawie o ochronie informacji niejawnych;
g) posiada zaświadczenie stwierdzające odbycie szkolenia w zakresie ochrony informacji niejawnych;
10) minimum 2 (dwoma) osobami do pełnienia funkcji Administratora DLP, z których każda powinna cechować następującymi kompetencjami:
a) w ciągu ostatnich 36 miesięcy przed dniem składania wniosków o dopuszczenie do udziału w postępowaniu, przez okres co najmniej 2 lat administrowała systemem DLP – Data Loss Prevention i posiada certyfikat producenta systemu DLP potwierdzający jej kompetencje administratorskie;
b) posiada co najmniej jeden z poniższych certyfikatów:
- Certified Information Systems Auditor (CISA),
- Security+ (CompTIA Security+);
lub inny równoważny certyfikat wystawiony przez podmiot niezależny od Wykonawcy;
c) posiada ważne upoważnienie uprawniające do dostępu do informacji niejawnych o klauzuli tajności „zastrzeżone”, o którym mowa w ustawie o ochronie informacji niejawnych;
d) posiada zaświadczenie stwierdzające odbycie szkolenia w zakresie ochrony informacji niejawnych;
11) minimum 2 (dwoma) osobami do pełnienia funkcji Administratora PAM, z których każda powinna cechować następującymi kompetencjami:
a) w ciągu ostatnich 36 miesięcy przed dniem składania wniosków o dopuszczenie do udziału w postępowaniu, przez okres co najmniej 2 lat administrowała systemem PAM – Privileged Access Management i posiada co najmniej jeden certyfikat producenta rozwiązań PAM potwierdzający jej kompetencje administratorskie;
b) posiada co najmniej jeden z poniższych certyfikatów:
- Certified Information Systems Auditor (CISA),
- Security+ (CompTIA Security+);
lub inny równoważny certyfikat wystawiony przez podmiot niezależny od Wykonawcy;
c) posiada ważne upoważnienie uprawniające do dostępu do informacji niejawnych o klauzuli tajności „zastrzeżone”, o którym mowa w ustawie o ochronie informacji niejawnych;
d) posiada zaświadczenie stwierdzające odbycie szkolenia w zakresie ochrony informacji niejawnych;
Pokaż więcej Nowa wartość
Tekst:
“9) minimum 1 (jedną) osobą, do pełnienia funkcji Architekta bezpieczeństwa (Integrator Bezpieczeństwa), która powinna się cechować następującymi...”
Tekst
9) minimum 1 (jedną) osobą, do pełnienia funkcji Architekta bezpieczeństwa (Integrator Bezpieczeństwa), która powinna się cechować następującymi kompetencjami:
a) posiada minimum 3-letnie doświadczenie zawodowe uzyskane w ciągu ostatnich 5 lat przed terminem składania wniosków o dopuszczenie do udziału w postępowaniu, rozumiane jako udział w realizacji
projektów informatycznych polegających na budowie lub rozwoju systemów bezpieczeństwa, jako architekt bezpieczeństwa;
b) w ciągu ostatnich 5 lat przed dniem składania wniosków o dopuszczenie do udziału w postępowaniu brała udział jako architekt bezpieczeństwa w co najmniej 2 projektach polegających na zaprojektowaniu systemu bezpieczeństwa dla systemu o następujących cechach:
- zorientowany na usługi,
- w architekturze wielowarstwowej,
- o wysokiej wydajności i niezawodności,
- wykorzystujący bazy danych;
c) posiada umiejętności tworzenia dokumentacji analitycznej przy wykorzystaniu narzędzia CASE i notacji UML;
d) posiada certyfikat CISSP (Certified Information Systems Security Professional) lub równoważny certyfikat wystawiony przez podmiot niezależny od Wykonawcy;
e) posiada ważne poświadczenie bezpieczeństwa uprawniające do dostępu do informacji niejawnych o klauzuli tajności „poufne”, o którym mowa w ustawie o ochronie informacji niejawnych;
f) posiada zaświadczenie stwierdzające odbycie szkolenia w zakresie ochrony informacji niejawnych;
10) minimum 2 (dwoma) osobami do pełnienia funkcji Administratora DLP, z których każda powinna się cechować następującymi kompetencjami:
a) w ciągu ostatnich 36 miesięcy przed dniem składania wniosków o dopuszczenie do udziału w postępowaniu, przez okres co najmniej 12 miesięcy administrowała systemem DLP – Data Loss Prevention i posiada certyfikat producenta systemu DLP potwierdzający jej kompetencje administratorskie;
b) posiada ważne upoważnienie uprawniające do dostępu do informacji niejawnych o klauzuli tajności „zastrzeżone”, o którym mowa w ustawie o ochronie informacji niejawnych;
c) posiada zaświadczenie stwierdzające odbycie szkolenia w zakresie ochrony informacji niejawnych;
11) minimum 2 (dwoma) osobami do pełnienia funkcji Administratora PAM, z których każda powinna się cechować następującymi kompetencjami:
a) w ciągu ostatnich 36 miesięcy przed dniem składania wniosków o dopuszczenie do udziału w postępowaniu, przez okres co najmniej 12 miesięcy administrowała systemem PAM – Privileged Access Management i posiada co najmniej jeden certyfikat producenta rozwiązań PAM potwierdzający jej kompetencje administratorskie;
b) posiada ważne upoważnienie uprawniające do dostępu do informacji niejawnych o klauzuli tajności „zastrzeżone”, o którym mowa w ustawie o ochronie informacji niejawnych;
c) posiada zaświadczenie stwierdzające odbycie szkolenia w zakresie ochrony informacji niejawnych;
(ciąg dalszy zmian odnoszących się do lit. D sekcji III.2.3 Ogłoszenia o zamówieniu w kolejnej sekcji)
Pokaż więcej Tekst, który należy poprawić w pierwotnym ogłoszeniu
Numer sekcji: III.2.3
Miejsce tekstu, który ma być zmieniony: Kwalifikacje techniczne i/lub zawodowe
Stara wartość
Tekst:
“(kontynuacja zmian odnoszących się do lit. D sekcji III.2.3. Ogłoszenia o zamówieniu)
12) minimum 2 (dwoma) osobami do pełnienia funkcji Administratora ETD,...”
Tekst
(kontynuacja zmian odnoszących się do lit. D sekcji III.2.3. Ogłoszenia o zamówieniu)
12) minimum 2 (dwoma) osobami do pełnienia funkcji Administratora ETD, z których każda powinna się cechować następującymi kompetencjami:
a) w ciągu ostatnich 36 miesięcy przed dniem składania wniosków o dopuszczenie do udziału w postępowaniu, przez okres co najmniej 2 lat administrowała systemem ETD – Enterprise Threat Detection i posiada co najmniej jeden certyfikat producenta rozwiązań ETD potwierdzający jej kompetencje administratorskie;
b) posiada co najmniej jeden z poniższych certyfikatów:
- Certified Information Systems Auditor (CISA),
- Security+ (CompTIA Security+)
lub inny równoważny certyfikat wystawiony przez podmiot niezależny od Wykonawcy;
c) posiada ważne upoważnienie uprawniające do dostępu do informacji niejawnych o klauzuli tajności „zastrzeżone”, o którym mowa w ustawie o ochronie informacji niejawnych;
d) posiada zaświadczenie stwierdzające odbycie szkolenia w zakresie ochrony informacji niejawnych;
13) minimum 2 (dwoma) osobami do pełnienia funkcji Administratora Anty ATP, z których każda powinna się cechować następującymi kompetencjami:
a) w ciągu ostatnich 36 miesięcy przed dniem składania wniosków o dopuszczenie do udziału w postępowaniu, przez okres co najmniej 2 lat administrowała systemem Anty ATP - Anty Advanced Threat Protection i posiada co najmniej jeden certyfikat producenta rozwiązań Anty ATP potwierdzający jej kompetencje administratorskie;
b) posiada co najmniej jeden z poniższych certyfikatów:
- Certified Information Systems Auditor (CISA),
- Cerified Ethical Hacker (CEH);
- Security+ (CompTIA Security+)
lub inny równoważny certyfikat wystawiony przez podmiot niezależny od Wykonawcy;
c) posiada ważne upoważnienie uprawniające do dostępu do informacji niejawnych o klauzuli tajności „zastrzeżone”, o którym mowa w ustawie o ochronie informacji;
d) posiada zaświadczenie stwierdzające odbycie szkolenia w zakresie ochrony informacji niejawnych;
Pokaż więcej Nowa wartość
Tekst:
“12) minimum 2 (dwoma) osobami do pełnienia funkcji Administratora Endpoint Protection, z których każda powinna się cechować następującymi kompetencjami:
a)...”
Tekst
12) minimum 2 (dwoma) osobami do pełnienia funkcji Administratora Endpoint Protection, z których każda powinna się cechować następującymi kompetencjami:
a) w ciągu ostatnich 36 miesięcy przed dniem składania wniosków o dopuszczenie do udziału w postępowaniu, przez okres co najmniej 12 miesięcy administrowała systemem Endpoint Protection i posiada co najmniej jeden certyfikat producenta rozwiązań Endpoint Protection potwierdzający jej kompetencje administratorskie;
b) posiada ważne upoważnienie uprawniające do dostępu do informacji niejawnych o klauzuli tajności „zastrzeżone”, o którym mowa w ustawie o ochronie informacji niejawnych;
c) posiada zaświadczenie stwierdzające odbycie szkolenia w zakresie ochrony informacji niejawnych;
13) minimum 2 (dwoma) osobami do pełnienia funkcji Administratora Anty APT (Anty Advanced Persistent Threats), z których każda powinna się cechować następującymi kompetencjami:
a) w ciągu ostatnich 36 miesięcy przed dniem składania wniosków o dopuszczenie do udziału w postępowaniu, przez okres co najmniej 12 miesięcy administrowała systemem Anty APT (Anty Advanced Persistent Threats) i posiada co najmniej jeden certyfikat producenta rozwiązań Anty APT potwierdzający jej kompetencje administratorskie;
b) posiada ważne upoważnienie uprawniające do dostępu do informacji niejawnych o klauzuli tajności „zastrzeżone”, o którym mowa w ustawie o ochronie informacji;
c) posiada zaświadczenie stwierdzające odbycie szkolenia w zakresie ochrony informacji niejawnych;
(ciąg dalszy zmian odnoszących się do lit. D sekcji III.2.3. Ogłoszenia o zamówieniu w kolejnej sekcji)
Pokaż więcej Tekst, który należy poprawić w pierwotnym ogłoszeniu
Numer sekcji: III.2.3
Miejsce tekstu, który ma być zmieniony: Kwalifikacje techniczne i/lub zawodowe
Stara wartość
Tekst:
“(kontynuacja zmian odnoszących się do lit. D sekcji III.2.3. Ogłoszenia o zamówieniu)
14) 1 (jedną) osobą do pełnienia funkcji Dyrektora Umowy, która...”
Tekst
(kontynuacja zmian odnoszących się do lit. D sekcji III.2.3. Ogłoszenia o zamówieniu)
14) 1 (jedną) osobą do pełnienia funkcji Dyrektora Umowy, która powinna się cechować następującymi kompetencjami:
a) posiada minimum 5-letnie doświadczenie zawodowe w branży IT związane z prowadzeniem projektów,
b) w ciągu ostatnich 5 lat przed dniem składania wniosków o dopuszczenie do udziału w postępowaniu, pełniła rolę Kierownika projektu IT w 2 projektach przez co najmniej 6 miesięcy każdy, o łącznej wartości nie niższej niż 20 000 000 zł brutto;
c) posiada certyfikat PRINCE2 Practitioner lub PMP lub IPMA Level A, lub inny równoważny certyfikat wystawiony przez podmiot niezależny od Wykonawcy;
d) posiada ważne poświadczenie bezpieczeństwa uprawniające do dostępu do informacji niejawnych o klauzuli tajności „poufne”, o których mowa w ustawie o ochronie informacji niejawnych;
e) posiada zaświadczenie stwierdzające odbycie szkolenia w zakresie ochrony informacji niejawnych. Zamawiający dopuszcza wskazanie jednej osoby do pełnienia nie więcej niż dwóch funkcji spośród wymienionych powyżej w pkt 10), 11), 12), 13). Łączenie funkcji jest możliwe wyłącznie w zakresie funkcji administratorów systemów (nie więcej niż dwóch). W pozostałym zakresie Zamawiający nie dopuszcza wykazywanie warunków dla różnych funkcji przez jedną osobę.
Pokaż więcej Nowa wartość
Tekst:
“14) 1 (jedną) osobą do pełnienia funkcji Dyrektora Umowy, która powinna się cechować następującymi kompetencjami:
a) posiada minimum 5-letnie doświadczenie...”
Tekst
14) 1 (jedną) osobą do pełnienia funkcji Dyrektora Umowy, która powinna się cechować następującymi kompetencjami:
a) posiada minimum 5-letnie doświadczenie zawodowe w branży IT związane z prowadzeniem projektów,
b) w ciągu ostatnich 5 lat przed dniem składania wniosków o dopuszczenie do udziału w postępowaniu, pełniła rolę Kierownika projektu IT w 2 projektach przez co najmniej 6 miesięcy każdy, o łącznej wartości nie niższej niż 20 000 000 zł brutto;
c) posiada certyfikat PRINCE2 Practitioner lub PMP lub IPMA Level A, lub inny równoważny certyfikat do wymienionych, wystawiony przez podmiot niezależny od Wykonawcy;
d) posiada ważne poświadczenie bezpieczeństwa uprawniające do dostępu do informacji niejawnych o klauzuli tajności „poufne”, o którym mowa w ustawie o ochronie informacji niejawnych;
e) posiada zaświadczenie stwierdzające odbycie szkolenia w zakresie ochrony informacji niejawnych.
15) 1 (jedną) osobą do pełnienia funkcji Audytora (Integrator Bezpieczeństwa), która powinna cechować się następującymi kompetencjami:
a) posiada umiejętności umożliwiające realizowanie audytów jako audytor wiodący ISO27001, potwierdzone zakończonym egzaminem z pozytywnym wynikiem, poświadczającym możliwość realizowania audytów jako audytor wiodący ISO27001;
b) posiada ważne upoważnienie uprawniające do dostępu do informacji niejawnych o klauzuli tajności „zastrzeżone”, o którym mowa w ustawie o ochronie informacji niejawnych.
Zamawiający dopuszcza wskazanie jednej osoby do pełnienia nie więcej niż dwóch funkcji spośród wymienionych powyżej w pkt 10), 11), 12), 13). Łączenie funkcji jest możliwe wyłącznie w zakresie funkcji administratorów systemów (nie więcej niż dwóch). W pozostałym zakresie Zamawiający nie dopuszcza wykazywanie warunków dla różnych funkcji przez jedną osobę.
Zamawiający informuje, iż w odniesieniu do osób wskazanych do pełnienia funkcji Architekta Bezpieczeństwa (Integrator Bezpieczeństwa) i Dyrektora Umowy dopuszcza na etapie składania wniosków o dopuszczenie do udziału w postępowaniu wykazanie posiadania ważnego poświadczenia bezpieczeństwa uprawniającego do dostępu do informacji niejawnych o klauzuli tajności „zastrzeżone”,
o których mowa w ustawie o ochronie informacji niejawnych, z jednoczesnym zobowiązaniem Wykonawcy do wykazania posiadania ważnego poświadczenia bezpieczeństwa uprawniającego do dostępu do informacji niejawnych o klauzuli tajności „poufne” dla ww. osób na etapie przed zawarciem umowy.
(ciąg dalszy zmian odnoszących się do lit. D sekcji III.2.3. Ogłoszenia o zamówieniu w kolejnej sekcji)
Pokaż więcej Tekst, który należy poprawić w pierwotnym ogłoszeniu
Numer sekcji: III.2.3
Miejsce tekstu, który ma być zmieniony: Kwalifikacje techniczne i/lub zawodowe
Stara wartość
Tekst:
“(kontynuacja zmian odnoszących się do lit. D sekcji III.2.3. Ogłoszenia o zamówieniu)
Minimalny poziom ewentualnie wymaganych standardów
Wraz z wnioskiem o...”
Tekst
(kontynuacja zmian odnoszących się do lit. D sekcji III.2.3. Ogłoszenia o zamówieniu)
Minimalny poziom ewentualnie wymaganych standardów
Wraz z wnioskiem o dopuszczenie do udziału w postępowaniu Wykonawca zobowiązany jest złożyć:
(...)
4. Na potwierdzenie spełnienia warunków udziału w postępowaniu o udzielenie zamówienia:
1) w zakresie warunku wskazanego w lit A:
a) ważne świadectwo bezpieczeństwa przemysłowego co najmniej II stopnia, potwierdzające zdolność przedsiębiorcy (Wykonawcy/podmiotu trzeciego) do ochrony informacji niejawnych o klauzuli tajności co najmniej „poufne” wydane na podstawie ustawy o ochronie informacji niejawnych (z wyłączeniem możliwości ich przetwarzania we własnych systemach teleinformatycznych),
Pokaż więcej Nowa wartość
Tekst:
“Minimalny poziom ewentualnie wymaganych standardów
Wraz z wnioskiem o dopuszczenie do udziału w postępowaniu Wykonawca zobowiązany jest złożyć:
(...)
4. Na...”
Tekst
Minimalny poziom ewentualnie wymaganych standardów
Wraz z wnioskiem o dopuszczenie do udziału w postępowaniu Wykonawca zobowiązany jest złożyć:
(...)
4. Na potwierdzenie spełnienia warunków udziału w postępowaniu o udzielenie zamówienia:
1) w zakresie warunku wskazanego w lit A:
a) „ważne świadectwo bezpieczeństwa przemysłowego, co najmniej III stopnia, potwierdzające zdolność przedsiębiorcy (Wykonawcy/ podmiotu trzeciego) do ochrony informacji niejawnych o klauzuli tajności, co najmniej „POUFNE”, wydane na podstawie ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. 2023 r. poz. 756 z późn. zm.), z wyłączeniem możliwości ich przetwarzania w użytkowanych przez niego obiektach;
(koniec zmian odnoszących się do lit. D sekcji III.2.3 Ogłoszenia o zamówieniu)
Pokaż więcej Tekst, który należy poprawić w pierwotnym ogłoszeniu
Numer sekcji: III.2.3
Miejsce tekstu, który ma być zmieniony: Kwalifikacje techniczne i/lub zawodowe
Stara wartość
Tekst:
“C. Wykonawca spełni warunek, jeżeli wykaże, że w okresie ostatnich 5 (pięciu) lat przed upływem terminu składania wniosków o dopuszczenie do udziału w...”
Tekst
C. Wykonawca spełni warunek, jeżeli wykaże, że w okresie ostatnich 5 (pięciu) lat przed upływem terminu składania wniosków o dopuszczenie do udziału w Postępowaniu przez okres minimum 2 lat należycie świadczył na rzecz klienta Wykonawcy (odrębny podmiot) usługi odnoszące się do systemu obejmującego min. 20 000 licencji (dalej jako „System”) polegające co najmniej na:
- ocenie oprogramowania/produktów przygotowanych przez innego wykonawcę (odrębny podmiot) dla klienta Wykonawcy, w tym wykonywanie testów regresji, międzymodułowych, wydajnościowych i bezpieczeństwa oprogramowania stworzonego przez innego wykonawcę,
- doradzaniu w zakresie rozwoju lub modyfikacji Systemu w tym ocenie wpływu rozwoju (nowych rozwiązań) na Infrastrukturę techniczno–systemową klienta.
Pokaż więcej Nowa wartość
Tekst:
“C. Wykonawca spełni warunek, jeżeli wykaże, że w okresie ostatnich 5 (pięciu) lat przed upływem terminu składania wniosków o dopuszczenie do udziału w...”
Tekst
C. Wykonawca spełni warunek, jeżeli wykaże, że w okresie ostatnich 5 (pięciu) lat przed upływem terminu składania wniosków o dopuszczenie do udziału w Postępowaniu przez okres minimum 2 lat należycie świadczył na rzecz klienta Wykonawcy (odrębny podmiot) usługi odnoszące się do systemu obejmującego min. 20 000 licencji (dalej jako „System”) polegające co najmniej na:
- ocenie oprogramowania/produktów przygotowanych przez innego wykonawcę (odrębny podmiot) dla klienta Wykonawcy, w tym wykonywanie testów regresji, międzymodułowych, wydajnościowych i bezpieczeństwa oprogramowania stworzonego przez innego wykonawcę,
- doradzaniu w zakresie rozwoju lub modyfikacji Systemu w tym ocenie wpływu rozwoju (nowych rozwiązań) na Infrastrukturę techniczno–systemową klienta.
Przedmiotowy warunek udziału w postępowaniu Zamawiający uzna za spełniony, jeżeli Wykonawca wykaże, iż system będzie obejmował co najmniej 20 000 licencji lub co najmniej 20 000 stacji roboczych lub co najmniej 20 000 użytkowników.
Pokaż więcej Tekst, który należy poprawić w pierwotnym ogłoszeniu
Numer sekcji: III.1.4
Miejsce tekstu, który ma być zmieniony:
“Inne szczególne warunki, którym podlega realizacja zamówienia, zwłaszcza w zakresie bezpieczeństwa dostaw i bezpieczeństwa informacji” Stara wartość
Tekst:
“5. Na drugim etapie postępowania Zamawiający będzie wymagał złożenia wraz z ofertą:
1) poświadczonej za zgodność z oryginałem kopii świadectwa...”
Tekst
5. Na drugim etapie postępowania Zamawiający będzie wymagał złożenia wraz z ofertą:
1) poświadczonej za zgodność z oryginałem kopii świadectwa bezpieczeństwa przemysłowego drugiego stopnia, potwierdzającej zdolność Wykonawcy/Wykonawców występujących wspólnie i znanych na tym etapie podwykonawców (przez które Zamawiający rozumie także podmioty udostępniające zasoby) do ochrony informacji niejawnych o klauzuli co najmniej „poufne”, wydanego przez ABW albo SKW (kopia świadectwa bezpieczeństwa przemysłowego poświadczona za „zgodność z oryginałem” przez osobę uprawnioną do reprezentowania Wykonawcy lub podwykonawcy, poświadczenie za zgodność winno być sporządzone w sposób umożliwiający identyfikację podpisu);
Pokaż więcej Nowa wartość
Tekst:
“5. Na drugim etapie postępowania Zamawiający będzie wymagał złożenia wraz z ofertą:
1) poświadczonej za zgodność z oryginałem kopii świadectwa...”
Tekst
5. Na drugim etapie postępowania Zamawiający będzie wymagał złożenia wraz z ofertą:
1) poświadczonej za zgodność z oryginałem kopii świadectwa bezpieczeństwa przemysłowego trzeciego stopnia, potwierdzającego zdolność Wykonawcy/Wykonawców występujących wspólnie i znanych na tym etapie podwykonawców (przez które Zamawiający rozumie także podmioty udostępniające zasoby) do ochrony informacji niejawnych o klauzuli co najmniej „poufne”, wydanego przez ABW albo SKW (kopia świadectwa bezpieczeństwa przemysłowego poświadczona za „zgodność z oryginałem” przez osobę uprawnioną do reprezentowania Wykonawcy lub podwykonawcy, poświadczenie za zgodność winno być sporządzone w sposób umożliwiający identyfikację podpisu);
Pokaż więcej Tekst, który należy poprawić w pierwotnym ogłoszeniu
Numer sekcji: II.1.5
Miejsce tekstu, który ma być zmieniony: Krótki opis zamówienia lub zakupu
Stara wartość
Tekst:
“1.1.3 Integrator Bezpieczeństwa – Pełnienie roli Integratora Bezpieczeństwa
Integrator Bezpieczeństwa wydaje opinie dot. wszystkich Modyfikacji, Usług...”
Tekst
1.1.3 Integrator Bezpieczeństwa – Pełnienie roli Integratora Bezpieczeństwa
Integrator Bezpieczeństwa wydaje opinie dot. wszystkich Modyfikacji, Usług dodatkowych oraz rozwiązań wdrażanych w ramach obsługi zgłoszeń serwisowych, których wdrożenie planowane jest we wszystkich oknach wdrożeniowych (planowanych oraz dodatkowych). Integrator Bezpieczeństwa bierze obowiązkowo udział w Konsultacjach ogólnych świadczonych przez wykonawców umów ramowych na rozwój Kompleksowego Systemu Informatycznego Zakładu Ubezpieczeń Społecznych.
Integrator Bezpieczeństwa współpracuje z Integratorem jako wykonawcą związanym umową, której przedmiotem są usługi wsparcia eksploatacji i utrzymania KSI ZUS.
Pokaż więcej Nowa wartość
Tekst:
“1.1.3. Integrator Bezpieczeństwa – Pełnienie roli Integratora Bezpieczeństwa
Integrator Bezpieczeństwa wydaje opinie dot. wszystkich Modyfikacji, Usług...”
Tekst
1.1.3. Integrator Bezpieczeństwa – Pełnienie roli Integratora Bezpieczeństwa
Integrator Bezpieczeństwa wydaje opinie dot. wszystkich Modyfikacji, Usług dodatkowych oraz rozwiązań wdrażanych w ramach obsługi zgłoszeń serwisowych, których wdrożenie planowane jest we wszystkich oknach wdrożeniowych (planowanych oraz dodatkowych). Integrator Bezpieczeństwa bierze obowiązkowo udział w Konsultacjach ogólnych świadczonych przez wykonawców umów ramowych na rozwój Kompleksowego Systemu Informatycznego Zakładu Ubezpieczeń Społecznych.
Integrator Bezpieczeństwa współpracuje z Integratorem jako wykonawcą związanym umową, której przedmiotem są usługi wsparcia eksploatacji i utrzymania KSI ZUS.
Zamawiający dopuszcza, aby Integratorem i Integratorem Bezpieczeństwa był ten sam Podmiot.
Pokaż więcej Tekst, który należy poprawić w pierwotnym ogłoszeniu
Numer sekcji: III.2.3
Miejsce tekstu, który ma być zmieniony: Kwalifikacje techniczne i/lub zawodowe
Stara wartość
Tekst:
“UWAGA nr 2:
Zamawiający wymaga, aby każdy z Wykonawców wspólnie ubiegających się o zamówienie lub podmiot trzeci użyczający potencjał doświadczenia spełniał...”
Tekst
UWAGA nr 2:
Zamawiający wymaga, aby każdy z Wykonawców wspólnie ubiegających się o zamówienie lub podmiot trzeci użyczający potencjał doświadczenia spełniał warunek określony w lit. A (tj. posiadał zdolność do ochrony informacji niejawnych i ich przetwarzania o klauzuli tajności minimum „poufne” oraz akredytowane stanowiska komputerowe przeznaczone do przetwarzania informacji niejawnych o klauzuli „zastrzeżone”).
Zamawiający dopuszcza wykazanie spełnienia warunków udziału w postępowaniu, o których mowa w pkt B, odrębnie dla warunków określonych w pkt 1-7. Oznacza to, że możliwe jest sumowanie doświadczenia w ramach warunku dot. zdolności technicznej lub zawodowej w ten sposób, że jeden Wykonawca /podmiot trzeci wykaże się jedną, kilkoma lub wszystkimi usługami wskazanymi w lit. B od 1 do 7 z zastrzeżeniem, że każdorazowo Wykonawca ten lub podmiot trzeci musi jednocześnie wykazać spełnienie warunku określonego w lit. A. Nie dopuszcza się sumowania doświadczenia w ramach jednego warunku np. kilku mniejszych systemów DLP w celu wykazania spełniania warunku określonego w lit. B pkt 1.
Przez „usługę” należy rozumieć usługę świadczoną na rzecz tego samego zamawiającego/klienta, co oznacza, że dopuszczalne jest sumowanie okresów doświadczenia w ramach różnych umów u jednego zamawiającego/klienta).
Pokaż więcej Nowa wartość
Tekst:
“UWAGA nr 2:
Zamawiający wymaga, aby każdy z Wykonawców wspólnie ubiegających się o zamówienie lub podmiot trzeci użyczający potencjał doświadczenia spełniał...”
Tekst
UWAGA nr 2:
Zamawiający wymaga, aby każdy z Wykonawców wspólnie ubiegających się o zamówienie lub podmiot trzeci użyczający potencjał doświadczenia spełniał warunek określony w lit. A (tj. posiadał zdolność do ochrony informacji niejawnych i ich przetwarzania o klauzuli tajności minimum „poufne” oraz akredytowane stanowiska komputerowe przeznaczone do przetwarzania informacji niejawnych o klauzuli „zastrzeżone”).
Zamawiający dopuszcza wykazanie spełnienia warunków udziału w postępowaniu, o których mowa w pkt B, odrębnie dla warunków określonych w pkt 1-7. Oznacza to, że możliwe jest sumowanie doświadczenia w ramach warunku dot. zdolności technicznej lub zawodowej w ten sposób, że jeden Wykonawca /podmiot trzeci wykaże się jedną, kilkoma lub wszystkimi usługami wskazanymi w lit. B od 1 do 7 z zastrzeżeniem, że każdorazowo Wykonawca ten lub podmiot trzeci musi jednocześnie wykazać spełnienie warunku określonego w lit. A. Nie dopuszcza się sumowania doświadczenia w ramach jednego warunku np. kilku mniejszych systemów DLP w celu wykazania spełniania warunku określonego w lit. B pkt 1.
Wykonawca może wykazać spełnienie warunku w zakresie wskazanym w tirecie pierwszym i drugim lit. C w stosunku do innych klientów.
Przez „usługę” należy rozumieć usługę świadczoną na rzecz tego samego zamawiającego/klienta, co oznacza, że dopuszczalne jest sumowanie okresów doświadczenia w ramach różnych umów u jednego zamawiającego/klienta).
Pokaż więcej Tekst, który należy poprawić w pierwotnym ogłoszeniu
Numer sekcji: VI.3
Miejsce tekstu, który ma być zmieniony: Informacje dodatkowe
Stara wartość
Tekst:
“5. FORMA SKŁADANYCH OŚWIADCZEŃ I DOKUMENTÓW W PRZYPADKU KOMUNIKACJI PISEMNEJ.
1) Wnioski o dopuszczenie do udziału w postępowaniu, oświadczenie, o którym...”
Tekst
5. FORMA SKŁADANYCH OŚWIADCZEŃ I DOKUMENTÓW W PRZYPADKU KOMUNIKACJI PISEMNEJ.
1) Wnioski o dopuszczenie do udziału w postępowaniu, oświadczenie, o którym mowa w art. 125 ust. 1 ustawy Pzp (załączniki od 1 do 11 do Wniosku), podmiotowe środki dowodowe, w tym oświadczenie, o którym mowa w art. 117 ust. 4 ustawy Pzp, sporządza się w postaci pisemnej.
2) Wnioski o dopuszczenie do udziału w postępowaniu oraz oświadczenie, o którym mowa w art. 125 ust. 1 ustawy Pzp składa się pod rygorem nieważności w formie pisemnej (oryginał).
3) Podmiotowe środki dowodowe składane są w oryginale lub kopii poświadczonej za zgodność z oryginałem. Zamawiający zażąda przedstawienia oryginału lub notarialnie potwierdzonej kopii oświadczenia lub dokumentu wyłącznie wtedy, gdy przedstawiona przez Wykonawcę kserokopia będzie nieczytelna lub będzie budzić wątpliwości, co do jej prawdziwości.
4) Poświadczenia za zgodność z oryginałem dokonuje odpowiednio wykonawca, wykonawcy wspólnie ubiegający się o udzielenie zamówienia publicznego, w zakresie dokumentów, które każdego z nich dotyczą. Poświadczenie za zgodność z oryginałem następuje w formie pisemnej.
5) Zamawiający żąda załączenia do wniosku o dopuszczenie do udziału w postępowaniu pełnomocnictwa (oryginał dokumentu lub kopia poświadczona przez mocodawcę lub notariusza) do podpisania wniosku o dopuszczenie do udziału w postępowaniu, o ile prawo do reprezentowania Wykonawcy nie wynika z innych dokumentów złożonych wraz z wnioskiem. W przypadku Wykonawców wspólnie ubiegających się o udzielenie zamówienia do wniosku należy dołączyć pełnomocnictwo podpisane przez uprawnionych przedstawicieli pozostałych Wykonawców, upoważniające jednego z Wykonawców do reprezentowania pozostałych lub pełnomocnika.
6) W przypadku, gdy informacje zawarte we Wniosku, dokumentach lub oświadczeniach, stanowią tajemnicę przedsiębiorstwa w rozumieniu przepisów ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji, Wykonawca powinien to wyraźnie zastrzec poprzez złożenie ich w osobnej kopercie wraz z jednoczesnym oznaczeniem „Załącznik stanowiący tajemnicę przedsiębiorstwa”. Następnie wraz dokumentami złożyć w kopercie wraz z Wnioskiem - dokumenty składane w formie pisemnej – powinny być podpisane odręcznym podpisem.
Pokaż więcej Nowa wartość
Tekst:
“5. FORMA SKŁADANYCH OŚWIADCZEŃ I DOKUMENTÓW W PRZYPADKU KOMUNIKACJI PISEMNEJ.
1) Wnioski o dopuszczenie do udziału w postępowaniu, oświadczenie, o którym...”
Tekst
5. FORMA SKŁADANYCH OŚWIADCZEŃ I DOKUMENTÓW W PRZYPADKU KOMUNIKACJI PISEMNEJ.
1) Wnioski o dopuszczenie do udziału w postępowaniu, oświadczenie, o którym mowa w art. 125 ust. 1 ustawy Pzp (załączniki od 1 do 11 do Wniosku), podmiotowe środki dowodowe, w tym oświadczenie, o którym mowa w art. 117 ust. 4 ustawy Pzp, sporządza się w postaci pisemnej.
2) Wnioski o dopuszczenie do udziału w postępowaniu oraz oświadczenie, o którym mowa w art. 125 ust. 1 ustawy Pzp składa się pod rygorem nieważności w formie pisemnej (oryginał).
3) Podmiotowe środki dowodowe składane są w oryginale lub kopii poświadczonej za zgodność z oryginałem. Zamawiający zażąda przedstawienia oryginału lub notarialnie potwierdzonej kopii oświadczenia lub dokumentu wyłącznie wtedy, gdy przedstawiona przez Wykonawcę kserokopia będzie nieczytelna lub będzie budzić wątpliwości, co do jej prawdziwości.
4) Poświadczenia za zgodność z oryginałem dokonuje odpowiednio wykonawca, wykonawcy wspólnie ubiegający się o udzielenie zamówienia publicznego, w zakresie dokumentów, które każdego z nich dotyczą. Poświadczenie za zgodność z oryginałem następuje w formie pisemnej.
5) Zamawiający żąda załączenia do wniosku o dopuszczenie do udziału w postępowaniu pełnomocnictwa (oryginał dokumentu lub kopia poświadczona przez mocodawcę lub notariusza) do podpisania wniosku o dopuszczenie do udziału w postępowaniu, o ile prawo do reprezentowania Wykonawcy nie wynika z innych dokumentów złożonych wraz z wnioskiem. W przypadku Wykonawców wspólnie ubiegających się o udzielenie zamówienia do wniosku należy dołączyć pełnomocnictwo podpisane przez uprawnionych przedstawicieli pozostałych Wykonawców, upoważniające jednego z Wykonawców do reprezentowania pozostałych lub pełnomocnika.
6) W przypadku, gdy informacje zawarte we Wniosku, dokumentach lub oświadczeniach, stanowią tajemnicę przedsiębiorstwa w rozumieniu przepisów ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji, Wykonawca powinien to wyraźnie zastrzec poprzez złożenie ich w osobnej kopercie wraz z jednoczesnym oznaczeniem „Załącznik stanowiący tajemnicę przedsiębiorstwa”. Następnie wraz dokumentami złożyć w kopercie wraz z Wnioskiem - dokumenty składane w formie pisemnej – powinny być podpisane odręcznym podpisem.
7) W przypadku konieczności złożenia dokumentów niejawnych w rozumieniu ustawy o ochronie informacji niejawnych lub zawierających inne informacje wrażliwe, Zamawiający dysponuje kancelarią niejawną dla dokumentów o klauzuli zastrzeżone i poufne.
Pokaż więcej Tekst, który należy poprawić w pierwotnym ogłoszeniu
Numer sekcji: IV.3.4
Miejsce tekstu, który ma być zmieniony: Termin składania ofert lub wniosków o dopuszczenie do udziału w postępowaniu
Stara wartość
Data: 2023-12-27 📅
Czas: 10:00
Nowa wartość
Data: 2023-12-29 📅
Czas: 10:00
Źródło: OJS 2023/S 240-753325 (2023-12-08)
Dodatkowe informacje (2023-12-20)
Zmiany Tekst, który należy poprawić w pierwotnym ogłoszeniu
Numer sekcji: III.1.4
Miejsce tekstu, który ma być zmieniony:
“Inne szczególne warunki, którym podlega realizacja zamówienia, zwłaszcza w zakresie bezpieczeństwa dostaw i bezpieczeństwa informacji” Stara wartość
Tekst:
“5. Na drugim etapie postępowania Zamawiający będzie wymagał złożenia wraz z ofertą:
1) poświadczonej za zgodność z oryginałem kopii świadectwa...”
Tekst
5. Na drugim etapie postępowania Zamawiający będzie wymagał złożenia wraz z ofertą:
1) poświadczonej za zgodność z oryginałem kopii świadectwa bezpieczeństwa przemysłowego trzeciego stopnia, potwierdzającego zdolność Wykonawcy/Wykonawców występujących wspólnie i znanych na tym etapie podwykonawców (przez które Zamawiający rozumie także podmioty udostępniające zasoby) do ochrony informacji niejawnych o klauzuli co najmniej „poufne”, wydanego przez ABW albo SKW (kopia świadectwa bezpieczeństwa przemysłowego poświadczona za „zgodność z oryginałem” przez osobę uprawnioną do reprezentowania Wykonawcy lub podwykonawcy, poświadczenie za zgodność winno być sporządzone w sposób umożliwiający identyfikację podpisu);
Pokaż więcej Nowa wartość
Tekst:
“5. Na drugim etapie postępowania Zamawiający będzie wymagał złożenia wraz z ofertą:
1) poświadczonej za zgodność z oryginałem kopii świadectwa...”
Tekst
5. Na drugim etapie postępowania Zamawiający będzie wymagał złożenia wraz z ofertą:
1) poświadczonej za zgodność z oryginałem kopii świadectwa bezpieczeństwa przemysłowego co najmniej trzeciego stopnia, potwierdzającego zdolność Wykonawcy/Wykonawców występujących wspólnie i znanych na tym etapie podwykonawców (przez które Zamawiający rozumie także podmioty udostępniające zasoby) do ochrony informacji niejawnych o klauzuli co najmniej „poufne”, wydanego przez ABW albo SKW (kopia świadectwa bezpieczeństwa przemysłowego poświadczona za „zgodność z oryginałem” przez osobę uprawnioną do reprezentowania Wykonawcy lub podwykonawcy, poświadczenie za zgodność winno być sporządzone w sposób umożliwiający identyfikację podpisu);
Pokaż więcej
Źródło: OJS 2023/S 247-780703 (2023-12-20)