2026/03 - Public tenders for Computer audit and testing services (CPV 72800000-8)

Przedmiotem zamówienia jest przeprowadzenie przez Wykonawcę na rzecz Zamawiającego audytu powykonawczego w zakresie cyberbezpieczeństwa w Mazowiecki Szpital Wojewódzki im. św. Jana Pawła II w Siedlcach Sp. z o.o., obejmującego w szczególności:a) Weryfikację zgodności wdrożonych rozwiązań i procedur z obowiązującymi normami bezpieczeństwa informacji, w tym ISO/IEC 27001:2013, oraz przepisami prawa dotyczącymi ochrony danych pacjentów i systemów medycznych;b) Ocenę skuteczności wdrożonych mechanizmów ochrony infrastruktury IT, systemów medycznych oraz procesów zarządzania incydentami cyberbezpieczeństwa;c) Identyfikację luk i ryzyk w obszarach kontroli dostępu, zarządzania użytkownikami, ochrony danych, monitoringu zdarzeń, kopii zapasowych oraz ciągłości działania kluczowych usług szpitalnych;d) Weryfikację procedur ciągłości działania oraz przygotowanie rekomendacji do optymalizacji planów awaryjnych, w tym dla usług krytycznych, takich jak zarządzanie lekami, produktami leczniczymi i wyrobami medycznymi;e) Sporządzenie raportu audytowego zawierającego ocenę stanu bezpieczeństwa, rekomendacje działań naprawczych oraz plan działań korygujących dla zwiększenia odporności na zagrożenia cybernetyczne.Szczegółowy opis asortymentu wskazany w załączniku nr 2 – Oferta techniczna z podziałem na 2 pakiety w ramach jednego zadania, bez możliwości składania ofert częściowych.

Przedmiotem zamówienia jest przeprowadzenie zewnętrznych kompleksowych testów penetracyjnych i testów bezpieczeństwa platformy Małopolskiego Systemu Informacji Medycznej (MSIM).Obszary testowe (perspektywa zewnętrzna – blackbox):1) Testy bezpieczeństwa aplikacji i uwierzytelniania2) Testy autoryzacji i kontroli dostępu3) Testy podatności aplikacyjnych4) Testy bezpieczeństwa API5) Testy kryptografii i ochrony danych6) Testy konfiguracji i komponentów7) Testy odporności i dostępności8) Testy monitorowania i logowania9) Testy zgodności i prywatności10) Testy warstwy ekspozycji.

1. Przedmiotem zamówienia jest Zakup sprzętu, oprogramowania, usług wraz z wdrożeniem w ramach projektu Cyberbezpieczny Samorząd Gminy Nagłowice. Zamówienie będzie realizowane ze środków Funduszy Europejskich na Rozwój Cyfrowy 2021-2027 (FERC) Priorytet II: Zaawansowane usługi cyfrowe, Działanie 2.2. – Wzmocnienie krajowego systemu cyberbezpieczeństwa konkurs grantowy w ramach Projektu grantowego „Cyberbezpieczny Samorząd” o numerze FERC.02.02-CS.01-001/23”2. Przedmiot zamówienia obejmuje zakup sprzętu, oprogramowania, usług wraz z wdrożeniem:a) Wdrożenie usługi Active Directory i przeprowadzenie testów penetracyjnych.b) Zakup sprzętu komputerowego i oprogramowania obejmuje dostawę następujących urządzeń: serwer wraz z oprogramowaniem typu 1 – 1 szt. serwer wraz z oprogramowaniem typu 2 – 1 szt. serwer NAS – 1 szt. dyski twarde do macierzy dyskowej typu 1 – 8 szt. dyski twarde do macierzy dyskowej typu 2 – 4 szt. zarządzalne urządzenia sieciowe typu 1 – 4 szt. zarządzalne urządzenia sieciowe typu 2 – 1 szt. zarządzalne urządzenia sieciowe typu 3 – 2 szt. oprogramowanie do zarządzania tożsamością i dostępem – 5 szt. UPS do stacji roboczych – 26 szt. UPS do serwerów – 3 szt.  Oprogramowanie antywirusowe wraz licencją. Zabezpieczające urządzenia sieciowe (UTM) wraz licencją i wdrożeniem - 2 szt.Szczegółowy opis zawarty został w załączniku nr 9 do SWZ3. W zakresie przedmiotu zamówienia Wykonawca zobowiązany jest do: 1) dostarczenia na własny koszt i ryzyko przedmiotu zamówienia, a także do jego rozładowania oraz wniesienia do miejsca wskazanego przez Zamawiającego - Urząd Gminy w Nagłowicach, 28-362 Nagłowice, ul. Mikołaja Reja 9 2) dostarczenia sprzętu wraz: a) kartami gwarancyjnymi b) ze wszystkimi akcesoriami stanowiącymi komplet sprzedażowy; 3) zawiadomienia przedstawiciela Zamawiającego o planowanym terminie dostawy sprzętu, nie później niż na 3 dni przed tym terminem. Dostawa winna nastąpić w godzinach 8-14 w dni powszednie (od poniedziałku do piątku) 4) uzgodnienia z przedstawicielem Zamawiającego terminu dostawy sprzętu, w przypadku zgłoszenia przez przedstawiciela Zamawiającego uwag, co do terminu zaproponowanego przez Wykonawcę 5) montażu i konfiguracji serwerów po wcześniejszym ustaleniu terminu z Zamawiającym – jednakże nie później niż w terminie 30 dni od dnia dostawy 6) przygotowania protokołu odbioru, stanowiącego podstawę odbioru; 7) współpracy z Zamawiającym w trakcie realizacji umowy, a w szczególności udzielania wszelkich niezbędnych wyjaśnień i informacji dotyczących przedmiotu umowy na każde żądanie Zamawiającego lub osoby wskazanej przez Zamawiającego. 5. Dostarczany sprzęt musi być fabrycznie nowy, pochodzić z oficjalnego kanału dystrybucyjnego producenta, nie powystawowy, kompletny, nie używany do prezentacji, wolny od wad fizycznych i prawnych oraz oryginalnie zapakowany, w sposób zabezpieczający przed przypadkowym uszkodzeniem. Niedopuszczalne są produkty prototypowe, nie dopuszcza się urządzeń długotrwale magazynowanych (rok produkcji nie starszy niż 2023) oraz pochodzących z programów wyprzedażowych producenta. Urządzenia nie mogą znajdować się na liście „end-of-sale” oraz „end-of-support” producenta. Wykonawca jest odpowiedzialny za skonfigurowanie połączeń fizycznych, logicznych, podłączenie i skonfigurowanie urządzeń do działania, pozwalające na rozpoczęcie pracy

1. Przedmiotem zamówienia jest dostawa i wdrożenie sprzętu, oprogramowania informatycznego oraz innych rozwiązań cyberbezpieczeństwa w ramach konkursu grantowego „Cyberbezpieczny Samorząd” dla Gminy RepkiDostawa I usługa realizowana będzie pod adresem: Urząd Gminy Repki; ul. Parkowa 7; 08-307 Repki Przedmiot zamówienia obejmuje:„Opracowanie i wdrożenie SZBI, szkolenia pracowników, audyt”2. Szczegółowo przedmiot zamówienia i sposób jego wykonania określają: 1) opis przedmiotu zamówienia – załącznik nr 1 do SWZ, 2) projektowane postanowienia umowy – załącznik nr 5 do SWZ. 3. Zamawiający dopuszcza składania ofert częściowych.4. Wykonawca może złożyć tylko jedną ofertę.

Część II:1) Audyt, testy bezpieczeństwa;Szczegółowe wymagania w zakresie wykonania przedmiotu zamówienia zawiera załącznik nr 1 i 2 do niniejszej SWZ.

4.1. Przedmiotem niniejszego zamówienia jest : dostawa oprogramowania zwiększającego odporność na cyberataki i wycieki danych wraz z wdrożeniem i dostawa wraz z wdrożeniem systemów zasilania awaryjnego w ramach części I zamówienia oraz w ramach części II zamówienia przeprowadzenie audytu bezpieczeństwa informacji w urzędzie gminy, opracowanie i wdrożenie SZBI oraz przeprowadzenie szkoleń dla pracowników urzędu i dla Administratora IT urzędu w ramach realizacji grantu „Cyberbezpieczny Samorząd”. W związku z powyższym przedmiot zamówienia podzielony został na dwie części :4.1.2. Część II – Audyt zgodności z KRI, przygotowanie SZBI i przeprowadzenie szkoleń, tj. :a) Audyt zgodności z KRI;b) Przygotowanie dokumentacji SZBI;c) Szkolenia z zakresu bezpieczeństwa informacji dla pracowników;d) Szkolenie specjalistyczne dla Administratora IT. 4.3. Szczegółowy opis przedmiotu zamówienia znajduje się w załączniku Nr 6A do SWZ dla części I i w załączniku Nr 6B do SWZ dla części II.4.7 Zamawiający informuje, że jeżeli w opisie podano nazwy towarowe produktów, wskazano znaki towarowe, patenty lub pochodzenie, źródło lub szczególny proces, który charakteryzuje produkt, dostarczany przez konkretnego Wykonawcę to odnoszą się one jedynie do jakości, typu produktu, a Zamawiający nie może z przyczyn obiektywnych opisać przedmiotu zamówienia w wystarczająco precyzyjny i zrozumiały sposób, w związku z czym wskazaniu takiemu towarzyszą wyrazy „lub równoważny”. 4.8 W każdym przypadku użycia w opisie przedmiotu zamówienia norm, ocen technicznych, specyfikacji technicznych i systemów referencji technicznych, o których mowa w art. 101 ust. 1 pkt 2 oraz 3 ustawy PZP, Zamawiający dopuszcza składanie ofert zawierających towary (materiały i urządzenia równoważne), a wszelkie towary (materiały i urządzenia) określone w dokumentacji, pochodzące od konkretnych producentów, określają minimalne parametry jakościowe i cechy użytkowe, jakim muszą odpowiadać towary, aby spełniać wymagania stawiane przez Zamawiającego. Wykonawca może powołać się w ofercie na zastosowanie towarów (materiałów i urządzeń) równoważnych opisywanych w SWZ, składając wykaz towarów (materiałów i urządzeń) równoważnych. W takim przypadku Wykonawca jest obowiązany wykazać, że oferowane przez niego towaru (materiały i urządzenia), spełniają określone przez Zamawiającego wymagania (kryteria równoważności). Wykonawca, który zastosuje urządzenia lub materiały równoważne będzie obowiązany wykazać w trakcie realizacji zamówienia, że zastosowane przez niego urządzania i materiały spełniają wymagania określone przez Zamawiającego.

Przedmiotem zamówienia jest przeprowadzenie audytu bezpieczeństwa sieci i systemów teleinformatycznych Urzędu Patentowego RP

Zwiększenie poziomu cyberbezpieczeństwa przeprowadzone poprzez:Przeprowadzenie audytu bezpieczeństwa zgodnie z OPZ oraz wzorem umowy dla pakietu 6.

Część II:1) Audyt, testy bezpieczeństwa;2. Szczegółowe wymagania w zakresie wykonania przedmiotu zamówienia zawiera załącznik nr 1 i 2 do niniejszej SWZ.

Przedmiot zamówienia obejmuje: Wykonanie audytu systemu bezpieczeństwa informacji SZBI wdrożonego w 14 jednostkach wraz z wykonaniem testów penetracyjnych w 3 jednostkach w ramach projektu pn.: Cyberbezpieczny samorząd w Gminie Czersk.I. JEDNOSTKI AUDYTOWANE: 1. Urząd Miejski w Czersku, ul. Kościuszki 27, 89-650 Czersk2. AZK (Administracja Zasobów Komunalnych) w Czersku, ul. Tucholska 1, 89-650 Czersk3. Centrum Usług Społecznych w Czersku, ul. Przytorowa 22, 89-650 Czersk4. Gminne Centrum Kultury w Czersku, ul. Szkolna 11, 89-650 Czersk5. Przedszkole Samorządowe nr 1 im. Kubusia Puchatka w Czersku, ul. Dąbrowskiego 4, 89-650 Czersk6. Przedszkole Samorządowe nr 2 im. Jana Brzechwy w Czersku, ul. Chojnicka 5, 89-650 Czersk7. Szkoła Podstawowa nr 1 im. Janusza Korczaka w Czersku , ul. Dworcowa 8, 89-650 Czersk8. Szkoła Podstawowa nr 2 im. Jana Pawła II w Czersku, ul. Kościuszki 6, 89-650 Czersk9. Szkoła Podstawowa w Gotelpiu Gotelp 12, 89-651 Gotelp10. Środowiskowy Dom Samopomocy w Czersku, ul. Pomorska 12, 89-650 Czersk11. Zespół Obsługi Finansowej, ul. Dworcowa 31 89-650 Czersk12. Zespół Szkół w Łęgu, ul. Chojnicka 2A, 89-652 Łąg13. Zespół Szkół w Rytlu, ul. Ks. Kowalkowskiego 6, 89-642 Rytel14. Zespół Żłobków i Klubu Dziecięcego w Czersku, ul. Chojnicka 5A, 89-650 CzerskII. ZAKRES PRAC AUDYTOWYCH 1. Przeprowadzenie:1) audytu wdrożonego w Jednostce systemu bezpieczeństwa informacji SZBI,2) analizę efektywności działań w zakresie monitorowania, pomiarów, analizy i oceny SZBI, w tym przegląd wskaźników ryzyka i zgodności.2. Audyt powinien obejmować:1) Analiza wstępna i określenie zakresu audytua) Zdefiniowanie obszarów, lokalizacji oraz jednostek organizacyjnych objętych SZBI.b) Weryfikacja ewidencji obszaru przetwarzania informacji, w tym dokładność danych dotyczących lokalizacji, kondygnacji i adresów.c) Sprawdzenie, czy zakres SZBI jest zgodny z wymaganiami norm ISO/IEC 27001 oraz potrzebami organizacji.2) Weryfikacja dokumentacji systemoweja) Wprowadzenie do SZBI: Ocena, czy dokumentacja zawiera podstawowe zasady zarządzania bezpieczeństwem informacji i zgodność z cyklem PDCA (Plan-Do-Check-Act).b) Terminy i definicje: Sprawdzenie, czy wszystkie istotne pojęcia są zdefiniowane i zgodne z normami.c) Kontekst organizacji: Analiza czynników wewnętrznych i zewnętrznych oraz ich wpływu na SZBI, w tym analiza ryzyk.3) Zarządzanie ryzykiema) Ocena procesu identyfikacji i analizy ryzyk, w tym dokumentacji dotyczącej szacowania ryzyk.b) Analiza działań zaradczych i korygujących dla zidentyfikowanych ryzyk.4) Zabezpieczenia i deklaracja stosowaniaa) Weryfikacja, czy deklaracja stosowania zabezpieczeń jest zgodna z Załącznikiem A normy ISO/IEC 27001.b) Ocena skuteczności wdrożonych zabezpieczeń oraz uzasadnienia ewentualnych wyłączeń.5) Dokumentacja operacyjnaa) Polityki i procedury: Sprawdzenie polityk bezpieczeństwa (np. kryptografii, zarządzania dostępem, bezpieczeństwa zasobów ludzkich) i ich zgodności z wymaganiami normatywnymi.b) Ewidencje i rejestry: Ocena kompletności i aktualności ewidencji aktywów, obszarów przetwarzania informacji oraz rejestrów incydentów i zgłoszeń.c) Zarządzanie dostępem: Sprawdzenie procedur przyznawania, zmiany i odbierania dostępu oraz zgodności z dokumentacją.6) Zarządzanie incydentami i ciągłością działaniaa) Ocena polityki zarządzania incydentami, w tym procedur zgłaszania, oceny i reagowania na incydenty.b) Sprawdzenie planów zarządzania ciągłością działania i odtwarzania po katastrofie, w tym testów i analiz RTO, RPO, MTPD i MBCO.7) Zgodność z przepisami i ochroną danych osobowycha) Ocena dokumentacji dotyczącej przetwarzania danych osobowych, w tym zgodności z RODO.8) Dokumentacja operacyjnaa) Analiza polityk i procedur dotyczących korzystania z systemów, urządzeń i sieci.b) Weryfikacja zasad postępowania z nośnikami informacji, tworzenia haseł i korzystania z Internetu oraz poczty elektronicznej.9) Zarządzanie dostawcamia) Sprawdzenie polityk i procedur związanych z bezpieczeństwem informacji w relacjach z dostawcami.10) Zgodność z wymaganiami prawnymia) Weryfikacja dokumentacji dotyczącej monitorowania i przestrzegania wymagań prawnych, regulacyjnych i umownych.b) Analiza zgodności z politykami zgodności oraz audytami technicznymi.III. DO ZADAŃ WYKONAWCY AUDYTU BĘDZIE NALEŻEĆ:1. Przeprowadzenie szczegółowej analizy i oceny SZBI, obejmującej:1) Identyfikację niezgodności i słabości w dokumentacji oraz wdrożeniu systemu.2) Przeprowadzenie wywiadów z wybranym personelem, w tym z Burmistrzem, Zastępcą Burmistrza, Sekretarzem i Pełnomocnikiem ds. Bezpieczeństwa Informacji.2. Przekazanie dla Kierownika/Dyrektora Jednostki oraz dla Zamawiającego podpisanego przez audytora raportu z audytu wdrożonego w Jednostce systemu bezpieczeństwa informacji SZB. 3. Wykonawca udokumentuje wykonanie zadania poprzez okazanie protokołu odbioru.IV. UPRAWNIENIA DO PRZEPROWADZENIA AUDYTU 1. Potencjał kadrowy Wykonawcy: osoba/-y, która/-e będzie/będą wykonywały audyt - posiada/-ją przynajmniej jeden z certyfikatów określonych w rozporządzeniu Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu (Dz.U.2018 poz. 1999):1) Certified Internal Auditor (CIA); 2) Certified Information System Auditor (CISA); 3) Certyfikat audytora wiodącego systemu zarządzania bezpieczeństwem informacji według normy PN-EN ISO/IEC 27001 wydany przez jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku (Dz. U. z 2017 r. poz. 1398 oraz z 2018 r. poz. 650 i 1338), w zakresie certyfikacji osób; 4) Certyfikat audytora wiodącego systemu zarządzania ciągłością działania PN-EN ISO 22301 wydany przez jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku, w zakresie certyfikacji osób; 5) Certified Information Security Manager (CISM); 6) Certified in Risk and Information Systems Control (CRISC); 7) Certified in the Governance of Enterprise IT (CGEIT); 8) Certified Information Systems Security Professional (CISSP); 9) Systems Security Certified Practitioner (SSCP); 10) Certified Reliability Professional; 11) Certyfikaty uprawniające do posiadania tytułu ISA/IEC 62443 Cybersecurity Expert2. Zamawiający zastrzega możliwość weryfikacji uprawnień audytorów (ważności uprawnień, akredytacja jednostki wydającej uprawnienia).I. TESTY PENETRACYJNE Jednostki podlegające testom penetracyjnym: 1. Urząd Miejski w Czersku , ul. Kościuszki 27, 89-650 Czersk2. Centrum Usług Społecznych w Czersku, ul. Przytorowa 22, 89-650 Czersk3. Zespół Obsługi Finansowej, ul. Dworcowa 31 89-650 CzerskWykonawca posiada potencjał techniczny i osobowy niezbędny do wykonania zamówienia. Potencjał techniczny przedstawia się poprzez posiadanie narzędzi takich jak automatyczny skaner podatności posiadający funkcje pozwalające na:1) wykonanie skanowań z wykorzystaniem wbudowanych szablonów;2) skanowanie sieciowe (wykrywanie otwartych portów i rozpoznanie uruchomionych na nich usług, wskazywanie listy podatności na wykryte usługi); 3) weryfikacje domyślnych haseł według zadanego słownika;4) skanowanie systemów operacyjnych z uwierzytelnieniem (sprawdzenie wersji systemu, zainstalowanych na nim aplikacji, brakujących aktualizacji, wskazywanie listy podatności na wykryte systemy i aplikacje) oraz weryfikację uprawnień zadanego użytkownika;5) ustawienia harmonogramu skanowań;6) możliwość porównania wyników poszczególnych skanowań;7) możliwość konfigurowania zawartości raportu ze skanowania oraz dobieranie różnych formatów wyjściowych raportów (w tym HTML, CVS i XML);8) możliwość wyświetlania wyników na bieżąco oraz możliwość grupowania podobnej klasy podatności i możliwość sortowania po IP i podatnościach.Aplikacje do testów stron i aplikacji internetowych posiadającej funkcje pozwalające na:1) przechwytywanie wszystkich zapytań i odpowiedzi pomiędzy przeglądarką a aplikacją docelową, nawet gdy używany jest HTTPS;2) przeglądanie, edytowanie oraz upuszczanie pojedynczych wiadomości, w celu manipulacji komponentami aplikacji po stronie serwera lub klienta;3) dodawanie adnotacji do poszczególnych elementów w celu ich oznaczenia do późniejszego sprawdzenia;4) wykonywanie różnych automatycznych modyfikacji odpowiedzi w calu ułatwienia testowania;5) tworzenie reguł dopasowywania i zastępowania do automatycznego stosowania własnych modyfikacji do żądań i odpowiedzi przechodzących przez serwer Proxy;6) precyzyjna konfiguracja reguł przechwytywania wiadomości;7) możliwość wyeliminowania ostrzeżeń bezpieczeństwa przeglądarki, mogących się pojawiać podczas przechwytywania połączeń HTTPS;8) pokazanie całej zawartości odkrytej podczas testowania umieszczana na mapie skanowanej witryny. Treść prezentowana w widoku drzewa, odpowiadającego strukturze stron URL;9) żądania i odpowiedzi dostępne w edytorze http;10) narzędzie do ręcznej edycji i ponownego wstawiania żądań;11) narzędzie do analizy statystycznej tokenów sesji;12) możliwość zapisu pracy na poszczególnych etapach w czasie rzeczywistym oraz powrót do zapisanego miejsca;13) biblioteka konfiguracji do szybkiego uruchomienia ukierunkowanego skanowania z różnymi ustawieniami;14) możliwość ręcznego umieszczania punktów wstawiania w dowolnych miejscach żądania, w celu poinformowania skanera o niestandardowych formatach danych i wejściach;15) skanowanie na żywo podczas przeglądania, zapewniające pełną kontrolę nad działaniami wykonywanymi dla żądań;16) możliwość analizy docelowej aplikacji internetowych.17) narzędzie do automatycznego przechwytywania szczegółowych wyników o niestandardowych atakach na aplikacje. UWAGA. W związku z ograniczoną liczbą znaków pełen opis przedmiotu zamówienia znajduje się w zał. nr 6 do SWZ