CZĘŚĆ II: Szkolenia z cyberbezpieczeństwa1. Przedmiotem zamówienia jest przeprowadzenie szkoleń z zakresu cyberbezpieczeństwa i socjotechnik w cyberbezpieczeństwie dla pracowników oraz szkolenia na poziomie zarządczym dla kadry kierowniczej Urzędu Gminy i jednostek organizacyjnych.Szkolenia mają na celu podniesienie świadomości w zakresie zagrożeń cyfrowych, rozpoznawania ataków socjotechnicznych, właściwego reagowania na incydenty oraz wzmocnienie bezpieczeństwa informacji w codziennej pracy urzędników.2. Zakres zamówienia1) Grupa docelowa:• 75 pracowników urzędu i jednostek podległych – szkolenie ogólne,• do 11 osób w każdej grupie szkoleniowej (maksymalnie 7 grup).• kadra kierownicza – szkolenie specjalistyczne na poziomie zarządczym (1 grupa).• 1 administrator sieci 2) Czas trwania:• szkolenie ogólne – 4 godziny na grupę,• szkolenie kadry kierowniczej – 6 godzin.• Pracownik IT – 12 godzin3) Forma:• zajęcia stacjonarne w sali udostępnionej przez Zamawiającego,• prowadzone przez trenera posiadającego doświadczenie w szkoleniach z zakresu cyberbezpieczeństwa i ochrony danych osobowych,• z wykorzystaniem prezentacji multimedialnych, materiałów szkoleniowych i przykładów praktycznych.3. Zakres merytoryczny szkolenia dla pracowników (4 godziny)Temat: Cyberbezpieczeństwo i socjotechniki w administracji publicznej – jak chronić siebie i urząd.Plan szkolenia:1) Wprowadzenie do cyberbezpieczeństwa (1h)• Pojęcia i podstawowe zagrożenia w sieci.• Najczęstsze błędy użytkowników i ich konsekwencje.• Obowiązki pracowników urzędu w zakresie ochrony informacji.2) Zagrożenia w codziennej pracy urzędnika (1h)• Phishing, ransomware, złośliwe oprogramowanie.• Bezpieczne korzystanie z poczty elektronicznej, Internetu i nośników danych.3) Socjotechniki i manipulacja informacją (1h)• Techniki oszustw i manipulacji w kontaktach elektronicznych.• Studium przypadków (realne incydenty w administracji publicznej).• Ćwiczenia praktyczne – analiza przykładowych e-maili i wiadomości.4) Postępowanie w przypadku incydentu (1h)• Jak rozpoznać incydent bezpieczeństwa.• Obowiązek zgłoszenia i procedury postępowania.• Kanały raportowania zagrożeń w organizacji.4. Zakres merytoryczny szkolenia dla kadry kierowniczej (6 godzin)Temat: Cyberbezpieczeństwo na poziomie zarządczym – zarządzanie ryzykiem i odpowiedzialność kierownicza.Plan szkolenia:1. Rola kierownictwa w systemie cyberbezpieczeństwa (1h)• Obowiązki kadry zarządzającej w świetle RODO, KSC i NIS2.• Budowa kultury bezpieczeństwa w urzędzie.2. Zarządzanie ryzykiem i incydentami (2h)• Ocena ryzyka w obszarze IT i danych osobowych.• Wdrażanie planów ciągłości działania (BCP) i reagowania na incydenty.3. Bezpieczeństwo strategiczne urzędu (2h)• Polityka bezpieczeństwa informacji jako element zarządzania.• Analiza przypadków ataków na samorządy i wnioski praktyczne.4. Zarządzanie personelem i świadomością użytkowników (1h)• Motywowanie i kontrola przestrzegania zasad cyberhigieny.• Budowa efektywnego modelu szkoleń okresowych.5. Zakres merytoryczny szkolenia dla pracownika IT - 12 godzinTemat: Ochrona zasobów sieciowych z wykorzystaniem urządzeń FortinetPlan szkolenia:1) Budowa i optymalizacja reguł zapory sieciowej.2) Konfiguracja systemu wykrywania włamań (IDS/IPS).3) Polityki zapory sieciowej.4) Monitorowanie wykorzystania aplikacji i blokowanie malware/ransomware5) Zarządzanie wyciekiem danych DLP.6) Konfiguracja połączeń tunelowych Site-to-Site IPsec VPN.7) Zaawansowana analiza logów i zdarzeń.8) Diagnostyka i rozwiązywanie problemów.9) Wdrożenie FortiSwitch.10) Dobre praktyki w zarządzaniu Fortigate.6. Wymagania wobec wykonawcy1) Prowadzący szkolenie musi posiadać minimum 3-letnie doświadczenie w zakresie szkoleń z cyberbezpieczeństwa, potwierdzone referencjami.2) Wykonawca zapewnia materiały szkoleniowe w formie drukowanej lub elektronicznej.3) Po zakończeniu szkolenia Wykonawca dostarczy:• listy obecności,• ankiety ewaluacyjne,• raport podsumowujący z realizacji szkolenia,• certyfikaty potwierdzające uczestnictwo – dla każdego uczestnika szkolenia.7. Miejsce i termin realizacji• Szkolenia odbędą się w siedzibie Urzędu Gminy lub w pomieszczeniach wskazanych przez Zamawiającego.• Szkolenie dla pracownika IT może odbyć się poza siedzibą zamawiającego lub zdalnie. Dopuszcza się udział w szkoleniu zorganizowanym dla szerszego grona osób z zastrzeżeniem spełnienia wymagań zakresu merytorycznego.• Termin realizacji: do 60 dni od podpisania umowy.• Harmonogram zostanie uzgodniony z Zamawiającym po podpisaniu umowy.4.5. Wymagania w zakresie zatrudnienia na podstawie stosunku pracy, w okolicznościach, o których mowa w art. 95 (dla części nr I-II):Stosownie do treści art. 95 ust. 1 ustawy Pzp Zamawiający wymaga zatrudnienia na podstawie umowy o pracę przez wykonawcę lub podwykonawcę, osoby wykonujących czynności takie jak: prowadzenie szkolenia dot. części nr I-II.(z wyłączeniem osób fizycznych nieprowadzących działalności gospodarczej osobiście wykonujących daną czynność oraz osób fizycznych samodzielnie wykonujących daną czynność w ramach jednoosobowej działalności gospodarczej tzw. „samozatrudnienie” lub prowadzących działalność w formie spółki cywilnej albo spółki osobowej i czynność będą wykonywały osoby będące wspólnikami tej spółki).4.6. W trakcie realizacji zamówienia zamawiający uprawniony jest do wykonywania czynności kontrolnych wobec wykonawcy odnośnie spełniania przez wykonawcę lub podwykonawcę wymogu zatrudnienia na podstawie umowy o pracę osób wykonujących wskazane w punkcie 4.5 czynności. Zamawiający uprawniony jest w szczególności do: a) żądania oświadczeń i dokumentów w zakresie potwierdzenia spełniania ww. wymogów i dokonywania ich oceny,b) żądania wyjaśnień w przypadku wątpliwości w zakresie potwierdzenia spełniania ww. wymogów,c) przeprowadzania kontroli na miejscu świadczenia pracy.4.7. W trakcie realizacji zamówienia na każde wezwanie zamawiającego w wyznaczonym w tym wezwaniu terminie wykonawca przedłoży zamawiającemu wskazane poniżej dowody w celu potwierdzenia spełnienia wymogu zatrudnienia na podstawie umowy o pracę przez wykonawcę lub podwykonawcę osób wykonujących wskazane w punkcie 4.5 czynności w trakcie realizacji zamówienia:• oświadczenie wykonawcy lub podwykonawcy o zatrudnieniu na podstawie umowy o pracę osób wykonujących czynności, których dotyczy wezwanie zamawiającego. Oświadczenie to powinno zawierać w szczególności: dokładne określenie podmiotu składającego oświadczenie, datę złożenia oświadczenia, wskazanie, że objęte wezwaniem czynności wykonują osoby zatrudnione na podstawie umowy o pracę wraz ze wskazaniem liczby tych osób, imion i nazwisk tych osób, rodzaju umowy o pracę i wymiaru etatu oraz podpis osoby uprawnionej do złożenia oświadczenia w imieniu wykonawcy lub podwykonawcy;• poświadczoną za zgodność z oryginałem odpowiednio przez wykonawcę lub podwykonawcę kopię umowy/umów o pracę osób wykonujących w trakcie realizacji zamówienia czynności, których dotyczy ww. oświadczenie wykonawcy lub podwykonawcy (wraz z dokumentem regulującym zakres obowiązków, jeżeli został sporządzony). Kopia umowy/umów powinna zostać zanonimizowana w sposób zapewniający ochronę danych osobowych pracowników, zgodnie z przepisami ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tj. w szczególności bez adresów, nr PESEL pracowników). Imię i nazwisko pracownika nie podlega anonimizacji. Informacje takie jak: data zawarcia umowy, rodzaj umowy o pracę i wymiar etatu powinny być możliwe do zidentyfikowania;• zaświadczenie właściwego oddziału ZUS, potwierdzające opłacanie przez wykonawcę lub podwykonawcę składek na ubezpieczenia społeczne i zdrowotne z tytułu zatrudnienia na podstawie umów o pracę za ostatni okres rozliczeniowy;• poświadczoną za zgodność z oryginałem odpowiednio przez wykonawcę lub podwykonawcę kopię dowodu potwierdzającego zgłoszenie pracownika przez pracodawcę do ubezpieczeń, zanonimizowaną w sposób zapewniający ochronę danych osobowych pracowników, zgodnie z przepisami ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Imię i nazwisko pracownika nie podlega anonimizacji.4.8. Z tytułu niespełnienia przez wykonawcę lub podwykonawcę wymogu zatrudnienia na podstawie umowy o pracę osób wykonujących wskazane w punkcie 4.5 czynności zamawiający przewiduje sankcję w postaci obowiązku zapłaty przez wykonawcę kary umownej w wysokości określonej w umowie w sprawie zamówienia publicznego. Niezłożenie przez wykonawcę w wyznaczonym przez zamawiającego terminie żądanych przez zamawiającego dowodów w celu potwierdzenia spełnienia przez wykonawcę lub podwykonawcę wymogu zatrudnienia na podstawie umowy o pracę traktowane będzie jako niespełnienie przez wykonawcę lub podwykonawcę wymogu zatrudnienia na podstawie umowy o pracę osób wykonujących wskazane w punkcie 4.5 czynności.4.9. W przypadku uzasadnionych wątpliwości co do przestrzegania prawa pracy przez wykonawcę lub podwykonawcę, zamawiający może zwrócić się o przeprowadzenie kontroli przez Państwową Inspekcję Pracy.