Przetarg 12579482 - Przygotowanie i wdrożenie dokumentacji Systemu Zarządzania...

entacji związanej z bezpieczeństwem informacji obowiązującej u Zamawiającego oraz aktualizacja dokumentacji poprzez wdrożenie systemu zarządzania bezpieczeństwem informacjiW ramach realizowanego przedmiotu zamówienia Wykonawca jest zobowiązany do:1. Wykonania analizy dokumentacji związanej z bezpieczeństwem informacji obowiązującej u Zamawiającego, która pozwoli na określenie potrzeb związanych z koniecznością dostosowania dokumentacji do wymagań nowelizowanej ustawy o krajowym systemie cyberbezpieczeństwa oraz norm ISO 27000 w zakresie bezpieczeństwa informacji (w szczególności zgodnego z wymaganiami aktualnych norm PN-EN ISO/IEC 27001 oraz zaleceniami aktualnych norm PN-ISO/IEC 27002, PN-ISO-27005) i ISO 31000 w zakresie zarządzania ryzykiem oraz zapewnienia zarządzania ciągłością działania w nawiązaniu do normy PN-EN ISO 22301.2. Przedstawienia Zamawiającemu raportu dokumentującego rezultaty wykonanej analizy z zaprezentowaniem zgodności dokumentacji z określonymi wymaganiami oraz zaleceniami w zakresie aktualizacji dokumentacji i potrzeby stworzenia nowych dokumentów w ramach systemu zarządzania bezpieczeństwem informacji.3. Opracowania i wdrożenia dokumentacji Systemu Zarządzania Bezpieczeństwem Informacji wraz z pilotażowym audytem i przeglądem zarządzania z udziałem kierownictwa.Szczegółowy opis realizowanych w ramach zamówienia czynności związanych z wykonaniem analizy dokumentacji związanej z bezpieczeństwem informacji obowiązującej u Zamawiającego, która pozwoli na określenie potrzeb związanych z koniecznością dostosowania dokumentacji (punkt numer 1):1. W ramach wykonywanych prac Wykonawca przeprowadzi kompleksową weryfikację dokumentacji posiadanej przez Zamawiającego w celu stwierdzenia zasadności pozostawienia wybranych elementów dokumentacji i wykonania ich aktualizacji. 2. W ramach wykonanej weryfikacji Wykonawca sporządzi raport dokumentujący rezultaty wykonanej analizy, który będzie zawierał porównanie obecnie posiadanej dokumentacji, zasobów ludzkich procesów i systemów (IT/OT) przez Zamawiającego z oczekiwaniami sformułowanymi w ramach zamówienia.3. Wykonawca w ramach realizacji procesu przeprowadzi kompleksową analizę aktywów posiadanych przez Zamawiającego, które przedstawi do zatwierdzenia Zamawiającemu w raporcie. Aktywa staną się podstawą opracowywania dokumentacji systemu zarządzania bezpieczeństwem informacji.4. Wykonawca zobowiązany jest do przygotowania pełnego systemu szacowania ryzyka związanego z bezpieczeństwem informacji, zgodnego z wymaganiami normy ISO/IEC 27001:2022 oraz – opcjonalnie – z wytycznymi ISO/IEC 27005:2022. W szczególności wykonawca powinien:Opracować i wdrożyć metodykę szacowania ryzyka, zawierającą:- opis etapu identyfikacji, analizy i oceny ryzyka adekwatny do specyfiki urzędu,- zdefiniowane kryteria wpływu, prawdopodobieństwa i poziomu ryzyka,- opis skali ocen i sposobu kwalifikowania ryzyk (akceptowalne / nieakceptowalne),- zgodność i spójność podejścia w całej organizacji.1. Wykonawca opracuje raport zgodnie z wymaganiami określonymi w ramach punktu 1 niniejszego zamówienia, który będzie miał formę pisemną oraz odwoływał się do wybranych punktów norm.2. Raport zostanie omówiony w siedzibie Zamawiającego, przy czym przewiduje się jedynie możliwość zorganizowania spotkania stacjonarnego, w którym ze strony Wykonawcy wezmą udział osoby wskazane w wykazie osób stanowiącym załącznik do zamówienia.3. Wykonawca jest zobowiązany do udokumentowania spotkania oraz zgłaszanych uwag Zamawiającego w formie załącznika do raportu, a następnie wykorzystania w ramach opracowywania dokumentacji systemu zarządzania bezpieczeństwem informacji.Szczegółowy opis realizowanych w ramach zamówienia czynności związanych z wdrożeniem dokumentacji systemu zarządzania bezpieczeństwem informacji (punkt numer 3):

Część 2: Wykonanie analizy dokumentacji związanej z bezpieczeństwem informacji obowiązującej u Zamawiającego oraz aktualizacja dokumentacji poprzez wdrożenie systemu zarządzania bezpieczeństwem informacjiW ramach realizowanego przedmiotu zamówienia Wykonawca jest zobowiązany do:1. Wykonania analizy dokumentacji związanej z bezpieczeństwem informacji obowiązującej u Zamawiającego, która pozwoli na określenie potrzeb związanych z koniecznością dostosowania dokumentacji do wymagań nowelizowanej ustawy o krajowym systemie cyberbezpieczeństwa oraz norm ISO 27000 w zakresie bezpieczeństwa informacji (w szczególności zgodnego z wymaganiami aktualnych norm PN-EN ISO/IEC 27001 oraz zaleceniami aktualnych norm PN-ISO/IEC 27002, PN-ISO-27005) i ISO 31000 w zakresie zarządzania ryzykiem oraz zapewnienia zarządzania ciągłością działania w nawiązaniu do normy PN-EN ISO 22301.2. Przedstawienia Zamawiającemu raportu dokumentującego rezultaty wykonanej analizy z zaprezentowaniem zgodności dokumentacji z określonymi wymaganiami oraz zaleceniami w zakresie aktualizacji dokumentacji i potrzeby stworzenia nowych dokumentów w ramach systemu zarządzania bezpieczeństwem informacji.3. Opracowania i wdrożenia dokumentacji Systemu Zarządzania Bezpieczeństwem Informacji wraz z pilotażowym audytem i przeglądem zarządzania z udziałem kierownictwaSzczegółowy opis realizowanych w ramach zamówienia czynności związanych z wykonaniem analizy dokumentacji związanej z bezpieczeństwem informacji obowiązującej u Zamawiającego, która pozwoli na określenie potrzeb związanych z koniecznością dostosowania dokumentacji (punkt numer 1):1. W ramach wykonywanych prac Wykonawca przeprowadzi kompleksową weryfikację dokumentacji, zasobów ludzkich procesów i systemów (IT/OT) posiadanej przez Zamawiającego w celu stwierdzenia zasadności pozostawienia wybranych elementów dokumentacji i wykonania ich aktualizacji. 2. W ramach wykonanej weryfikacji Wykonawca sporządzi raport dokumentujący rezultaty wykonanej analizy, który będzie zawierał porównanie obecnie posiadanej dokumentacji przez Zamawiającego z oczekiwaniami sformułowanymi w ramach zamówienia.3. Wykonawca w ramach realizacji procesu przeprowadzi kompleksową analizę aktywów posiadanych przez Zamawiającego, które przedstawi do zatwierdzenia Zamawiającemu w raporcie. Aktywa staną się podstawą opracowywania dokumentacji systemu zarządzania bezpieczeństwem informacji.4. Wykonawca zobowiązany jest do przygotowania pełnego systemu szacowania ryzyka związanego z bezpieczeństwem informacji, zgodnego z wymaganiami normy ISO/IEC 27001:2022 oraz – opcjonalnie – z wytycznymi ISO/IEC 27005:2022. W szczególności wykonawca powinien:Opracować i wdrożyć metodykę szacowania ryzyka, zawierającą:- opis etapu identyfikacji, analizy i oceny ryzyka adekwatny do specyfiki urzędu,- zdefiniowane kryteria wpływu, prawdopodobieństwa i poziomu ryzyka,- opis skali ocen i sposobu kwalifikowania ryzyk (akceptowalne / nieakceptowalne),- zgodność i spójność podejścia w całej organizacji.Przygotować komplet formularzy i narzędzi, w tym:- arkusze oceny ryzyka,- szablony rejestrów ryzyk,- wzór raportu z oceny ryzyka,- instrukcję dla właścicieli ryzyk.Przeprowadzić nadzorowaną ocenę ryzyka, obejmującą:- wsparcie w identyfikacji zasobów i zagrożeń,- nadzorowanie analizy ryzyka przeprowadzanej przez wyznaczone osoby (z udziałem Zamawiającego),- pomoc w dokumentowaniu wyników i zatwierdzeniu oceny ryzyka.Przygotować harmonogramy i warunki ponownych ocen ryzyka, w tym:- określenie częstotliwości ocen (np. corocznie lub po zmianach),- wskazanie sytuacji wyzwalających (np. zmiany systemowe, incydenty, nowe usługi).Wskazać osoby odpowiedzialne za proces, w tym:- pełnomocnika SZBI,- właścicieli ryzyk,- zapewnienie jasnych wytycznych co do ich ról i odpowiedzialności.Stworzyć rejestr ocen ryzyka, zawierający:- identyfikatory aktywów i zagrożeń,- daty ocen i osób przeprowadzających,- poziomy ryzyka i decyzje (zaakceptowano / zredukowano / uniknięto),- historię działań wynikających z ryzyka,- status aktualności i przeglądów.Wskazać i opisać środki ochronne wynikające z oceny ryzyka, w tym:- działania techniczne (np. szyfrowanie, backupy),- działania organizacyjne (np. aktualizacja procedur, zmiana uprawnień),- formułowanie planu postępowania z ryzykiem (z klauzuli 6.1.3),- ustalenie środków ochronnych we współpracy z Zamawiającym

ON-ZP.2710.23.2026


UWAGA ZMIANA OGŁOSZENIA
Sprostowanie BZP nr: 2026/BZP 00296905/01 z dnia: 2026-06-18
3.4.) Identyfikator sekcji zmienianego ogłoszenia: SEKCJA V - KWALIFIKACJA WYKONAWCÓW 3.4.1.) Opis zmiany, w tym tekst, który należy dodać lub zmienić: 5.4. Nazwa i opis warunków udziału w postępowaniu Przed zmianą:
Warunki udziału w postępowaniu: (art. 112)

1) w zakresie zdolności do występowania w obrocie gospodarczym:
Zamawiający nie stawia warunku w powyższym zakresie.

2) w zakresie uprawnień do prowadzenia określonej działalności gospodarczej lub zawodowej,
o ile wynika to z odrębnych przepisów:
Zamawiający nie stawia warunku w powyższym zakresie

3) w zakresie sytuacji ekonomicznej lub finansowej:
Zamawiający nie stawia warunku w powyższym zakresie.

4) w zakresie zdolności technicznej lub zawodowej:
O udzielenie zamówienia mogą ubiegać się Wykonawcy, którzy: wykażą, że nie wcześniej niż w okresie ostatnich 3 lat a jeżeli okres prowadzenia działalności jest krótszy – w tym okresie zrealizowali należycie:
Dla części 1 co najmniej 1 zamówienie związane z opracowaniem i wdrożeniem dokumentacji SZBI w administracji zgodnego z wymaganiami aktualnych norm PN-EN ISO/IEC 27001 o wartości min. 50.000,00 zł brutto.
Dla części 2 co najmniej 2 zamówienia związane z opracowaniem i wdrożeniem dokumentacji SZBI w administracji zgodnego z wymaganiami aktualnych norm PN-EN ISO/IEC 27001 o wartości łącznej min. 120.000,00 zł brutto.
W przypadku gdy, Wykonawca składa ofertę na dwie części wystarczy wykazać spełnienie warunku ustalonego dla części 2 (o większej wartości). W takim przypadku Zamawiający uzna za spełnienie tego warunku dla wszystkich części, na które została złożona oferta.

Wyżej wskazany okres 3 lat liczy się wstecz od dnia, w którym upływa termin składania ofert.
Po zmianie:
Warunki udziału w postępowaniu: (art. 112)

1) w zakresie zdolności do występowania w obrocie gospodarczym:
Zamawiający nie stawia warunku w powyższym zakresie.

2) w zakresie uprawnień do prowadzenia określonej działalności gospodarczej lub zawodowej,
o ile wynika to z odrębnych przepisów:
Zamawiający nie stawia warunku w powyższym zakresie

3) w zakresie sytuacji ekonomicznej lub finansowej:
Zamawiający nie stawia warunku w powyższym zakresie.

4) w zakresie zdolności technicznej lub zawodowej:
O udzielenie zamówienia mogą ubiegać się Wykonawcy, którzy: wykażą, że nie wcześniej niż w okresie ostatnich 3 lat a jeżeli okres prowadzenia działalności jest krótszy – w tym okresie zrealizowali należycie:
Dla części 1 co najmniej 1 zamówienie związane z opracowaniem i wdrożeniem dokumentacji SZBI w administracji zgodnego z wymaganiami aktualnych norm PN-EN ISO/IEC 27001 o wartości min. 50.000,00 zł brutto.
Dla części 2 co najmniej 2 zamówienia związane z opracowaniem i wdrożeniem dokumentacji SZBI w administracji zgodnego z wymaganiami aktualnych norm PN-EN ISO/IEC 27001 o wartości łącznej min. 120.000,00 zł brutto.
W przypadku gdy, Wykonawca składa ofertę na dwie części wystarczy wykazać spełnienie warunku ustalonego dla części 2 (o większej wartości). W takim przypadku Zamawiający uzna za spełnienie tego warunku dla wszystkich części, na które została złożona oferta.

Zamawiający ponadto informuje, że określenie „w administracji” należy rozumieć jako realizację zamówień na rzecz administracji publicznej, tj. podmiotów publicznych realizujących zadania publiczne, w szczególności jednostek sektora finansów publicznych, organów administracji rządowej lub samorządowej, jednostek samorządu terytorialnego oraz jednostek im podległych lub przez nie nadzorowanych. Określenie to nie obejmuje realizacji zamówień wyłącznie na rzecz wewnętrznych działów administracyjnych podmiotów sektora prywatnego.

Wyżej wskazany okres 3 lat liczy się wstecz od dnia, w którym upływa termin składania ofert.
3.4.) Identyfikator sekcji zmienianego ogłoszenia: SEKCJA VIII - PROCEDURA 3.4.1.) Opis zmiany, w tym tekst, który należy dodać lub zmienić: 8.1. Termin składania ofert Przed zmianą:
2026-06-24 10:00
Po zmianie:
2026-06-25 10:00
3.4.1.) Opis zmiany, w tym tekst, który należy dodać lub zmienić: 8.3. Termin otwarcia ofert Przed zmianą:
2026-06-24 10:00
Po zmianie:
2026-06-25 10:00
3.4.1.) Opis zmiany, w tym tekst, który należy dodać lub zmienić: 8.4. Termin związania ofertą Przed zmianą:
2026-07-23
Po zmianie:
2026-07-24