Zapytanie ofertowe nr CUPT/DO/OZ/AW/26/36/AB/13 Szanowni Państwo, Centrum Unijnych Projektów Transportowych zaprasza Państwa do złożenia oferty cenowej na wykonanie ekspertyzy w zakresie bezpieczeństwa informacji. I. INFORMACJE DOTYCZĄCE PRZEDMIOTU ZAMÓWIENIA: 1. Usługa polegać będzie na opracowaniu ekspertyzy dotyczącej spełniania przez CUPT wymogów normy PN-ISO/IEC 27001 oraz norm powiązanych z tą normą: PN-ISO/IEC 17799, PN-ISO/IEC 27005 oraz PN-ISO/IEC 24762, w zakresie określonym w Załączniku nr 1 do zapytania, wraz z zaleceniami w przypadku stwierdzenia niespełniania lub niedostatecznego spełniania tych wymogów. 2. Zamawiający informuje, że miejscem realizacji usługi jest siedziba Zamawiającego. 3. Zamawiający udostępni wyłonionemu Wykonawcy wszelkie niezbędne dokumenty i informacje, a także zapewni dostęp do pomieszczeń CUPT. 4. Wykonana ekspertyza musi zostać dostarczona do siedziby Zamawiającego w formie papierowej oraz w formie elektronicznej na wskazany w Umowie adres mailowy. 5. Realizacja usługi powinna nastąpić w październiku 2013 r., jednak nie później niż do 10 listopada 2013 r. Wykonawca dostarczy do Zamawiającego ekspertyzę i zalecenia. Zamawiający najpóźniej do dnia 20 listopada 2013 r. zgłosi ewentualne uwagi i/lub zaakceptuje dokument. 6. Zamawiający zawrze w umowie z Wykonawcą klauzule dotyczące zasad bezpieczeństwa obowiązujących w CUPT, które będą miały zastosowanie przy realizacji przedmiotu zamówienia. 7. Wykonawca zobowiązany jest do podpisania oświadczenia o zachowaniu poufności i przekazania go Zamawiającemu.(wzór Oświadczenia o poufności zostanie przekazany wybranemu Wykonawcy). II. WYMAGANIA DOTYCZĄCE WYKONAWCÓW (poniższe warunki należy spełnić łącznie) 1. Ekspert musi posiadać wykształcenie wyższe oraz co najmniej jeden certyfikat upoważniający do przeprowadzania audytów informatycznych, taki jak: CISA, EUCIP, CISSP, SSCP. 2. Ekspert musi posiadać doświadczenie w przeprowadzaniu co najmniej 3 ekspertyz/audytów informatycznych. Przedmiot zamówienia współfinansowany przez Unię Europejską ze środków Funduszu Spójności w ramach pomocy technicznej Programu Infrastruktura i Środowisko. Działanie 15.1
W celu potwierdzenia spełnienia powyższych wymagań Wykonawca zobowiązany jest do przedłożenia wraz z Formularzem oferty: CV Eksperta, certyfikatu/ów oraz Wykazu zrealizowanych ekspertyz/ audytów, zgodnie z Załącznikiem nr 3 do zapytania. III. INFORMACJE DOTYCZĄCE WARUNKÓW SKŁADANIA OFERT: Oferta powinna zawierać: 1) Formularz cenowy, zgodnie ze wzorem stanowiącym Załącznik nr 2 do zapytania ofertowego. 2) Wykaz zrealizowanych ekspertyz/audytów informatycznych, zgodnie ze wzorem stanowiącym Załącznik nr 3 do zapytania. 3) CV Eksperta. 4) Certyfikat/y. IV. INFORMACJE DODATKOWE: 1. Kryteriami, którymi Zamawiający będzie kierował się przy wyborze oferty są: L.p. Kryterium Udział w % 1 Cena 50 2 Liczba zrealizowanych ekspertyz /audytów informatycznych 50 1) W kryterium Cena, ocena zostanie dokonana według następującego wzoru: CN liczba punktów = ----------- x 50% x100 CB Gdzie: CN - najniższa zaoferowana cena wśród złożonych ofert CB cena oferty badanej 2) W kryterium Liczba zrealizowanych ekspertyz / audytów informatycznych punkty przyznane zostaną na podstawie informacji podanych przez Wykonawcę w ofercie w Załączniku nr 3 do zapytania ofertowego - Wykaz zrealizowanych ekspertyz/ audytów informatycznych (ponad wymagane minimum tj. 3 ekspertyzy/ audyty informatyczne), według następującego wzoru: E liczba punktów = x 50% x 100 NE
Gdzie: E liczba wykonanych ekspertyz zgłoszona w badanej ofercie NE - najwyższa liczba wykonanych ekspertyz zgłoszona wśród złożonych ofert Za ofertę najkorzystniejszą, uznana zostanie oferta, która uzyska najwyższą sumaryczną liczbę punktów za wszystkie kryteria oceny ofert. Punkty będą zaokrąglane do 2 miejsc po przecinku. 2. W celu zapewnienia porównywalności wszystkich ofert, Zamawiający zastrzega sobie prawo do skontaktowania się z właściwymi Wykonawcami, w celu uzupełnienia lub doprecyzowania ofert. 3. Zamawiający dokonuje płatności na podstawie dokumentów przelewowych, wystawionych z co najmniej 14-dniowym terminem płatności od daty dostarczenia do CUPT prawidłowo wystawionego dokumentu księgowego: faktury VAT lub rachunku. 4. Z wyłonionym Wykonawcą zostanie zawarta pisemna umowa, na podstawie własnych wzorów umów stosowanych w CUPT. Ofertę cenową należy przesłać do CUPT najpóźniej do dnia 30.07.2013 r. do godziny 12:00 mailem na adres: zdz@cupt.gov.pl W tytule maila proszę podać nr sprawy CUPT/DO/OZ/AW/26/36/AB/13 Niniejsza oferta nie stanowi oferty w myśl art. 66 Kodeksu Cywilnego, jak również nie jest ogłoszeniem w rozumieniu ustawy Prawo zamówień publicznych.
Załącznik nr 1 do zapytania ofertowego nr CUPT/DO/OZ/AW/26/36/AB/13 Zakres ekspertyzy zewnętrznej w ramach audytu bezpieczeństwa informacji na podstawie normy PN-ISO/IEC 27001 oraz norm związanych z tą normą: PN-ISO/IEC 17799, PN-ISO/IEC 27005, PN-ISO/IEC 24762 Zabezpieczenie A 9.2 Bezpieczeństwo sprzętu 9.2.1 Lokalizacja i ochrona sprzętu 9.2.2 Systemy wspomagające 9.2.3 Bezpieczeństwo okablowania 9.2.4 Konserwacja sprzętu 9.2.5 Bezpieczeństwo sprzętu poza siedzibą A.10 Zarządzanie systemami i sieciami A.10.1 Procedury eksploatacyjne i zakresy odpowiedzialności 10.1.1 Dokumentowanie procedur eksploatacyjnych 10.1.2 Zarządzanie zmianami 10.1.3 Rozdzielanie obowiązków 10.1.4 Oddzielenie urządzeń rozwojowych, testowych i eksploatacyjnych A 10.3 Planowanie i odbiór systemów 10.3.1 Zarządzanie pojemnością 10.3.2 Odbiór systemu A 10.4 Ochrona przed kodem złośliwym i kodem mobilnym 10.4.1 Zabezpieczenia przed kodem złośliwym 10.4.2 Zabezpieczenia przed kodem mobilnym A 10.5 Kopie zapasowe 10.5.1 Zapasowe kopie informacji A 10.6 Zarządzanie bezpieczeństwem sieci 10.6.1 Zabezpieczenia sieci 10.6.2 Bezpieczeństwo usług sieciowych A.10.7 Obsługa nośników 10.7.1 Zarządzanie nośnikami wymiennymi 10.7.2 Niszczenie nośników 10.7.4 Bezpieczeństwo dokumentacji systemowej A.10.8 Wymiana informacji 10.8.1 Polityki i procedury wymiany informacji 10.8.2 Umowy o wymianie informacji 10.8.3 Transportowanie nośników fizycznych 10.8.4 Wiadomości elektroniczne 10.8.5 Biznesowe systemy informacyjne A 10.10 Monitorowanie 10.10.1 Dziennik audytu 10.10.2 Monitorowanie użycia systemu 10.10.3 Ochrona informacji zawartych w dziennikach 10.10.4 Dzienniki administratora i operatora Przedmiot zamówienia współfinansowany przez Unię Europejską ze środków Funduszu Spójności w ramach pomocy technicznej Programu Infrastruktura i Środowisko. Działanie 15.1
10.10.5 Rejestrowanie błędów 10.10.6 Synchronizacja zegarów A 11.4 Kontrola dostępu do sieci 11.4.1 Polityka dot. korzystania z usług sieciowych 11.4.2 Uwierzytelnianie użytkowników przy połączeniach zewnętrznych 11.4.3 Identyfikacja urządzeń w sieciach 11.4.4 Ochrona zdalnych portów diagnostycznych i konfiguracyjnych 11.4.5 Rozdzielanie sieci 11.4.6 Kontrola połączeń sieciowych 11.4.7 Kontrola rutingu w sieciach A 11.5 Kontrola dostępu do systemów operacyjnych 11.5.3 System zarządzania hasłami 11.5.4 Użycie systemowych programów narzędziowych A 11.6 Kontrola dostępu do aplikacji i informacji 11.6.1 Ograniczanie dostępu do informacji 11.6.2 Izolowanie systemów wrażliwych A 11. 7 Przetwarzanie mobilne i praca na odległość 11.7.1 Przetwarzanie i komunikacja mobilna 11.7.2 Praca na odległość A 12 Pozyskiwanie, rozwój i utrzymanie systemów informacyjnych A 12.1 Wymagania bezpieczeństwa systemów informacyjnych 12.1.1 Analiza i opis wymagań bezpieczeństwa A 12.2 Poprawne przetwarzanie w aplikacjach 12.2.1 Potwierdzenie poprawności danych wejściowych 12.2.2 Kontrola przetwarzania wewnętrznego 12.2.3 Integralność wiadomości 12.2.4 Potwierdzenie poprawności danych wyjściowych A 12.3 Zabezpieczenia kryptograficzne 12.3.1 Polityka korzystania z zabezpieczeń kryptograficznych 12.3.2 Zarządzanie kluczami A 12.4 Bezpieczeństwo plików systemowych 12.4.1 Zabezpieczenie eksploatowanego oprogramowania 12.4.2 Ochrona systemowych danych testowych 12.4.3 Kontrola dostępu do kodów źródłowych programów A 12.5 Bezpieczeństwo w procesach rozwojowych i obsługi informatycznej 12.5.1 Procedury kontroli zmian 12.5.2 Techniczny przegląd aplikacji po zmianach w systemie operacyjnym 12.5.3 Ograniczenia dot. zmian w pakietach oprogramowania 12.5.4 Wyciek informacji 12.5.5 Prace rozwojowe nad oprogramowaniem powierzone firmie zewnętrznej 12.6 Zarządzanie podatnościami technicznymi 12.6.1 Nadzór nad podatnościami technicznymi A 13 Zarządzanie incydentami związanymi z bezpieczeństwem informacji i słabości 13.1.1 Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji i słabości 13.1.1 Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji 13.1.2 Zgłaszanie słabości systemu bezpieczeństwa A 13.2 Zarządzanie incydentami związanymi z bezpieczeństwem informacji oraz udoskonaleniami 13.2.1 Odpowiedzialność i procedury 13.2.2 Wyciąganie wniosków z incydentów związanych z bezpieczeństwem informacji 13.2.3 Gromadzenie materiału dowodowego A 14 Zarządzanie ciągłością działania A 14.1 Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania 14.1.1 Włączanie bezpieczeństwa informacji do procesu zarządzania ciągłością działania 14.1.2 Ciągłość działania i szacowanie ryzyka 14.1.3 Opracowanie i wdrożenie planów ciągłością uwzględniających bezpieczeństwo informacji 14.1.4 Struktura planowania ciągłości działania
14.1.5 Testowanie, utrzymanie i ponowna ocena planów ciągłości działania A. 15 Zgodność A 15.1 Zgodność z przepisami prawnymi 15.1.1 Określenie odpowiednich przepisów prawnych 15.1.2 Prawo do własności intelektualnej 15.1.3 Ochrona zapisów organizacji 15.1.5 Zapobieganie nadużywaniu środków przetwarzania informacji 15.1.6 Regulacje dot. zabezpieczeń kryptograficznych A 15.2 Zgodność z politykami bezpieczeństwa i standardami oraz zgodność techniczna 15.2.1 Zgodność z politykami bezpieczeństwa i standardami 15.2.2 Sprawdzanie zgodności technicznej
Załącznik nr 2 do zapytania ofertowego nr CUPT/DO/OZ/AW/26/36/AB/13 FORMULARZ CENOWY 1. SKŁADAMY OFERTĘ na wykonanie Przedmiotu zamówienia zgodnie z zapytaniem ofertowym. 2. OŚWIADCZAMY, iż Przedmiot zamówienia zostanie zrealizowany przez... * 3. ZOBOWIAZUJEMY SIĘ zrealizować Przedmiot zamówienia za kwotę netto zł L.p. (słownie złotych: ) brutto: zł (słownie złotych:..), zgodnie z poniższym zestawieniem cenowym**: Nazwa 1 Wykonanie ekspertyzy 2 Koszt autorskich praw majątkowych RAZEM Wartość zamówienia netto w PLN Stawka podatku VAT Wartość zamówienia brutto w PLN Uwaga! Ceny muszą być wyrażone w walucie PLN z dokładnością do dwóch miejsc po przecinku. 4. UWAŻAMY SIĘ za związanych niniejszą ofertą przez okres dni od upływu terminu składania ofert. 5. AKCEPTUJEMY warunki płatności określone przez Zamawiającego w zapytaniu ofertowym, jednocześnie OŚWIADCZAMY, iż dokumentem księgowym wystawianym za zrealizowane zamówienie jest faktura VAT/rachunek*** z dniowym terminem płatności. 6. OŚWIADCZAMY, że jesteśmy/nie jesteśmy * płatnikami podatku VAT. Załącznik: 1. CV Eksperta. 2. Certyfikat Eksperta dnia 2013 roku (pieczęć i podpis Wykonawcy) *należy wpisać imię i nazwisko eksperta ** cena oferty powinna obejmować całość zamówienia ***niepotrzebne skreślić
Załącznik nr 3 do zapytania ofertowego nr CUPT/DO/OZ/AW/26/36/AB/13 Oświadczam, że: Ekspert wykonał następujące zamówienia: WYKAZ ZREALIZOWANYCH EKSPERTYZ/AUDYTÓW INFORMATYCZNYCH Rodzaj i zakres zamówienia (ekspertyzy) Nazwa i adres Zamawiającego Czas realizacji Od Do 1 2 3 4 dnia 2013 roku (pieczęć i podpis Wykonawcy)