Hajnówka 24.05.2022r.

Znak:OA.272.44.2022

Zamawiający :

Powiat Hajnowski

ul. A.Zina 1

17-200 Hajnówka

Zapytanie ofertowe

Zgodnie z Regulaminem udzielania zamówień publicznych o wartości poniżej 130 000 zł netto, zapraszam do złożenia oferty na realizację zamówienia:

I. Nazwa i opis przedmiotu zamówienia:

Tytuł zamówienia "Przeprowadzenie audytu bezpieczeństwa informacji  w Starostwie Powiatowym w Hajnówce”

1. Przedmiot zamówienia:
2. Przedmiotem zamówienia jest wykonanie w Starostwie Powiatowym w Hajnówce, audytu według wymogów rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych
   i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań systemów teleinformatycznych (Dz. U. z 2017r., poz. 2247) w zakresie bezpieczeństwa  informacji
3. Przeprowadzenie szkolenia z zakresu ochrony danych osobowych dla wszystkich pracowników Urzędu Starostwa Powiatowego w Hajnówce.
4. Szczegółowy opis przedmiotu zamówienia zawiera Załącznik do zapytania ofertowego.

II. Warunki zamówienia:

1)Termin realizacji zamówienia : 15.12.2022r.

2) Okres gwarancji" -

3) Warunki płatności : zapłata za wykonanie usługi po zakończeniu audytu i przedstawieniu sprawozdania.

4) Inne wymagania:

1. Audyt powinien zostać przeprowadzony zgodnie z rozporządzeniem Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań systemów teleinformatycznych (Dz. U. z 2017r., poz. 2247)
2. W postępowaniu może wziąć udział Wykonawca, który posiada niezbędną wiedzę
   i doświadczenie w realizacji audytów oraz dysponuje odpowiednim potencjałem technicznym oraz osobami zdolnymi do wykonania zamówienia

1) Wykonawca zobowiązany jest udokumentować wykonanie  w okresie trzech lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy – w tym okresie co najmniej trzech audytów potwierdzonych referencjami dotyczących wykonania  audytów na zgodność z Rozporządzeniem o Krajowych Ramach Interoperacyjności,

2) Wykonawca zobowiązany jest posiadać co najmniej 2 audytorów, uprawnionych do wykonania wyżej wymienionego audytu, uprawnienia powinny być potwierdzone odpowiednimi certyfikatami.

3. Audytorzy Wykonawcy muszą udokumentować łącznie stosownymi certyfikatami posiadanie wiedzy z zakresu:

- ochrony danych osobowych

- analizy ryzyka

- analizy bezpieczeństwa w kontekście rozporządzenia KRI

4. W celu potwierdzenia spełniania powyższych wymagań Wykonawca zobowiązany jest do przedłożenia wraz z ofertą certyfikatów oraz wykazu zrealizowanych audytów bezpieczeństwa w urzędach administracji publicznej lub jednostkach samorządu terytorialnego.
5. Wykonawca ubiegający się o zamówienie powinien być podmiotem niezależnym od audytowanych jednostek,
6. Przy wyborze oferty do realizacji zamówienia zamawiający będzie się kierował kryterium: najniższa cena -100%,
7. Powyższe zapytanie oraz przesłane oferty cenowe nie zobowiązują Zamawiającego do zawarcia umowy z Wykonawcą

 III. Kryteria oceny ofert wraz z podaniem ich wag, oraz sposobu oceny:

1. Cena oferty powinna być obliczona w złotych polskich z uwzględnieniem ewentualnych upustów, jakie oferent oferuje i należy ją określić w wysokości netto i brutto (z podatkiem od towarów i usług VAT).
2. Kwota ta musi zawierać wszystkie koszty związane z realizacją zadania niezbędne do wykonania przedmiotu zamówienia. Tak wyliczoną cenę netto oraz cenę brutto (z podatkiem VAT) należy wykazać w „Formularzu oferty”, stanowiącym załącznik nr 1 do niniejszych Warunków zamówienia.
3. Kryteria oceny ofert:

• Przy wyborze oferty do realizacji zamówienia zamawiający będzie się kierował kryterium: najniższa cena – 100%
• Za najkorzystniejszą zostanie wybrana oferta z najniższą ceną zaoferowaną przez Wykonawcę i odpowiadająca warunkom zamówienia.
• Cena podana przez Wykonawcę za  świadczoną usługę obowiązuje przez cały okres obowiązywania umowy i nie będzie podlegała zmianie.
• Wybór oferty nastąpi w terminie 5 dni od daty upływu terminu składania ofert.
• Powyższe zapytanie nie zobowiązuje Zamawiającego do zawarcia umowy z Wykonawcą.
• O wyborze najkorzystniejszej oferty Zamawiający zawiadomi oferentów, którzy uczestniczyli w postępowaniu.

IV. W imieniu Zamawiającego postępowanie prowadzi:

Włodzimierz Pietruczuk tel. 856823047,606762902;  e-mail:wpietruczuk@powiat.hajnowka.pl

V. Tryb postępowania : ZAPYTANIE OFERTOWE

1) Ofertę należy złożyć w formie pisemnej w sekretariacie Starostwa Powiatowego w Hajnówce, przesłać pocztą lub złożyć za pomocą poczty elektronicznej na adres wpietruczuk@powiat.hajnowka.pl

• w terminie  do dnia 7 czerwca 2022r. do godz. 10:00
• opatrzone napisem : „ Zapytanie ofertowe na "Przeprowadzenie audytu bezpieczeństwa informacji w Starostwie Powiatowym w Hajnówce”

2) Oferta winna być podpisana przez osobę upoważnioną do reprezentowania wykonawcy w obrocie gospodarczym, zgodnie z aktem rejestracyjnym i przepisami prawa.

3) Zamawiający zastrzega prawo unieważnienia postępowania bez podania przyczyny.

4)Nie spełnienie wymagań postępowania oraz brak wymaganych dokumentów spowoduje      odrzucenie oferty.

5) Oferta musi zawierać następujące informacje i dokumenty :

1.Wypełniony „Formularz oferty”

2. Parafowany wzór umowy
3. Wykaz wykonanych usług
4. Wykaz osób, które uczestniczyć będą w realizacji zamówienia

6) Sposób porozumienia się z Wykonawcami :za pomoca poczty elektronicznej : wpietruczuk@powiat.hajnowka.pl

7) Wykonawcy zostaną poinformowani o dokonanym wyborze telefonicznie, emailem lub pisemnie w terminie 5 dni od dnia ogłoszenia wyboru najkorzystniejszej oferty.

8) Wykonawca, który złoży najkorzystniejszą ofertę zobowiązany będzie do podpisania umowy w terminie 5 dni od dnia otrzymania Informacji o wyborze najkorzystniejszej oferty.

9) Zamawiający dopuszcza możliwość przeprowadzenia negocjacji z wykonawcami, którzy złożą ofertę.

Załącznik do zapytania ofertowego - Szczegółowy opis przedmiotu zamówienia

Podstawowym celem audytu jest ustalenie aktualnego stanu całego systemu informatycznego Zamawiającego, wykrycie potencjalnych zagrożeń i nieprawidłowości oraz ocenę bezpieczeństwa przetwarzania danych, ze szczególnym uwzględnieniem przetwarzania danych osobowych i zgodności z aktualnie obowiązującymi aktami prawnymi.

I  Szczegółowy zakres audytu KRI:

1. Audyt bezpieczeństwa informacji we wszystkich obszarach funkcjonowania Starostwa:

• audyt organizacyjny,
• regulacje w zakresie zarządzania bezpieczeństwem informacji,
• odpowiedzialność za bezpieczeństwo informacji
• koordynacja prac związanych z zarządzaniem bezpieczeństwem informacji,
• dokumentacja z zakresu ochrony danych osobowych,
• przeprowadzenie wywiadów z wybranymi pracownikami

2. Audyt fizyczny i środowiskowy:

• weryfikacja granic obszaru bezpiecznego,
• weryfikacja zabezpieczeń wejścia/wyjścia,
• weryfikacja systemów zabezpieczeń pomieszczeń i urządzeń,
• weryfikacja bezpieczeństwa okablowania strukturalnego,
• weryfikacja systemów chłodzenia,
• weryfikacja systemów alarmowych

3. Audyt teleinformatyczny:

• weryfikacja istniejących procedur zarządzania systemami teleinformatycznymi,
• weryfikacja ochrony przed oprogramowaniem szkodliwym,
• weryfikacja procedur zarządzania kopiami zapasowymi,
• weryfikacja procedur związanych z rejestracją błędów,
• weryfikacja procedur dostępu do systemów operacyjnych, w tym zabezpieczeń przed możliwością nieautoryzowanych instalacji oprogramowania,
• weryfikacja zabezpieczeń stacji roboczych i nośników danych w szczególności tych, na których przetwarzane są dane osobowe,
• weryfikacja haseł ( ich stosowanie, przyjęta polityka ich tworzenia oraz zmiany, mechanizmy ich przechowywania),
• inwentaryzacja oprogramowania i dokumentacji licencyjnej,
• analiza i ocena mechanizmów zarządzania aktualizacjami.

4. Audyt ochrony danych osobowych:

• przegląd zgodności przetwarzania danych osobowych z wymaganiami przepisów prawa,
• przegląd istniejących regulacji wewnętrznych odnośnie bezpieczeństwa przetwarzania danych osobowych,
• weryfikacja dokumentacji wewnętrznej pod kątem kompletności i aktualności

5. Szkolenie z Ochrony Danych Osobowych ma być przeprowadzone w siedzibie Zamawiającego i powinno uwzględniać następujące zagadnienia:

• reformę przepisów ochrony danych osobowych;
• status i zadania Administratora Danych Osobowych;
• status i zadania Inspektora Ochrony Danych;
• podstawy prawne przetwarzania danych osobowych;
• realizację obowiązku informacyjnego w praktyce;
• prawa obywateli w zakresie ochrony ich danych osobowych;
• zabezpieczenia techniczne i organizacyjne obszaru przetwarzania danych osobowych;
• wymogi formalne tj.: polityka ochrony danych, rejestr czynności przetwarzania danych;
• zadania i rola Urzędu Ochrony Danych Osobowych;
• konsekwencje prawne naruszenia zasad przetwarzania danych oraz nowe zasady kontroli.

II  Zasady opracowania raportu z audytu.

Raport powinien zawierać:

1. ocenę poziomu spełnienia każdego z wymagań bezpieczeństwa określonych w § 20 Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej ora minimalnych wymagań dla systemów teleinformatycznych;
2. wykaz stwierdzonych niezgodności w odniesieniu do każdego wymagania określonego w Krajowych Ramach Interoperacyjności;

• ocenę stopnia spełnienia wymogów ustawy o ochronie danych osobowych i    rozporządzenia RODO;
• ocenę spełnienia skuteczności stosowanych zabezpieczeń;
• rekomendacje w zakresie proponowanego sposobu wyeliminowania wykrytych niezgodności;
• określenie zakresu i priorytetu działań naprawczych.