04.05.2011
Ogłoszenie o zamówieniu - Usługa wdrożenia i przygotowania do certyfikacji systemu zarządzania bezpieczeństwem informacji

Zamieszczanie ogłoszenia: obowiązkowe.

Ogłoszenie dotyczy: zamówienia publicznego.

SEKCJA I: ZAMAWIAJĄCY

I. 1) NAZWA I ADRES: Pomorski Uniwersytet Medyczny w Szczecinie , ul. Rybacka 1, 70-204 Szczecin, woj. zachodniopomorskie, tel. 91 4800703, faks 91 4800705.

I. 2) RODZAJ ZAMAWIAJĄCEGO: Uczelnia publiczna.

SEKCJA II: PRZEDMIOT ZAMÓWIENIA

II.1) OKREŚLENIE PRZEDMIOTU ZAMÓWIENIA

II.1.1) Nazwa nadana zamówieniu przez zamawiającego: Usługa wdrożenia i przygotowania do certyfikacji systemu zarządzania bezpieczeństwem informacji zgodnie z wymaganiami normy PN-ISO/IEC 27001 oraz zaleceniami norm: PN-ISO/IEC 17799 i PN-ISO/IEC 27799.

II.1.2) Rodzaj zamówienia: usługi.

II.1.3) Określenie przedmiotu oraz wielkości lub zakresu zamówienia: Usługa wdrożenia i przygotowania do certyfikacji systemu zarządzania bezpieczeństwem informacji zgodnie z wymaganiami normy PN-ISO/IEC 27001 oraz zaleceniami norm: PN-ISO/IEC 17799 i PN-ISO/IEC 27799.

II.1.4) Czy przewiduje się udzielenie zamówień uzupełniających: nie.

II.1.5) Wspólny Słownik Zamówień (CPV): 71.24.10.00-9, 73.22.00.00-0.

II.1.6) Czy dopuszcza się złożenie oferty częściowej: nie.

II.1.7) Czy dopuszcza się złożenie oferty wariantowej: nie.

II.2) CZAS TRWANIA ZAMÓWIENIA LUB TERMIN WYKONANIA: Zakończenie: 31.03.2014.

SEKCJA III: INFORMACJE O CHARAKTERZE PRAWNYM, EKONOMICZNYM, FINANSOWYM I TECHNICZNYM

III.2) ZALICZKI

• Czy przewiduje się udzielenie zaliczek na poczet wykonania zamówienia: nie

III.3) WARUNKI UDZIAŁU W POSTĘPOWANIU ORAZ OPIS SPOSOBU DOKONYWANIA OCENY SPEŁNIANIA TYCH WARUNKÓW

• III. 3.1) Uprawnienia do wykonywania określonej działalności lub czynności, jeżeli przepisy prawa nakładają obowiązek ich posiadania

  Opis sposobu dokonywania oceny spełniania tego warunku

  • Ocena spełniania warunków uczestnictwa w postępowaniu dokonana zostanie na zasadzie spełnia/nie spełnia.

• III.3.2) Wiedza i doświadczenie

  Opis sposobu dokonywania oceny spełniania tego warunku

  • Ocena spełniania warunków uczestnictwa w postępowaniu dokonana zostanie na zasadzie spełnia/nie spełnia.

• III.3.3) Potencjał techniczny

  Opis sposobu dokonywania oceny spełniania tego warunku

  • Ocena spełniania warunków uczestnictwa w postępowaniu dokonana zostanie na zasadzie spełnia/nie spełnia.

• III.3.4) Osoby zdolne do wykonania zamówienia

  Opis sposobu dokonywania oceny spełniania tego warunku

  • Ocena spełniania warunków uczestnictwa w postępowaniu dokonana zostanie na zasadzie spełnia/nie spełnia.

• III.3.5) Sytuacja ekonomiczna i finansowa

  Opis sposobu dokonywania oceny spełniania tego warunku

  • Ocena spełniania warunków uczestnictwa w postępowaniu dokonana zostanie na zasadzie spełnia/nie spełnia.

III.4) INFORMACJA O OŚWIADCZENIACH LUB DOKUMENTACH, JAKIE MAJĄ DOSTARCZYĆ WYKONAWCY W CELU POTWIERDZENIA SPEŁNIANIA WARUNKÓW UDZIAŁU W POSTĘPOWANIU ORAZ NIEPODLEGANIA WYKLUCZENIU NA PODSTAWIE ART. 24 UST. 1 USTAWY

• III.4.1) W zakresie wykazania spełniania przez wykonawcę warunków, o których mowa w art. 22 ust. 1 ustawy, oprócz oświadczenia o spełnieniu warunków udziału w postępowaniu, należy przedłożyć:

  • wykaz wykonanych, a w przypadku świadczeń okresowych lub ciągłych również wykonywanych, dostaw lub usług w zakresie niezbędnym do wykazania spełniania warunku wiedzy i doświadczenia w okresie ostatnich trzech lat przed upływem terminu składania ofert albo wniosków o dopuszczenie do udziału w postępowaniu, a jeżeli okres prowadzenia działalności jest krótszy - w tym okresie, z podaniem ich wartości, przedmiotu, dat wykonania i odbiorców, oraz załączeniem dokumentu potwierdzającego, że te dostawy lub usługi zostały wykonane lub są wykonywane należycie
  • wykaz osób, które będą uczestniczyć w wykonywaniu zamówienia, w szczególności odpowiedzialnych za świadczenie usług, kontrolę jakości lub kierowanie robotami budowlanymi, wraz z informacjami na temat ich kwalifikacji zawodowych, doświadczenia i wykształcenia niezbędnych dla wykonania zamówienia, a także zakresu wykonywanych przez nie czynności, oraz informacją o podstawie do dysponowania tymi osobami

• III.4.2) W zakresie potwierdzenia niepodlegania wykluczeniu na podstawie art. 24 ust. 1 ustawy, należy przedłożyć:

  • oświadczenie o braku podstaw do wykluczenia
  • aktualny odpis z właściwego rejestru, jeżeli odrębne przepisy wymagają wpisu do rejestru, w celu wykazania braku podstaw do wykluczenia w oparciu o art. 24 ust. 1 pkt 2 ustawy, wystawiony nie wcześniej niż 6 miesięcy przed upływem terminu składania wniosków o dopuszczenie do udziału w postępowaniu o udzielenie zamówienia albo składania ofert, a w stosunku do osób fizycznych oświadczenie w zakresie art. 24 ust. 1 pkt 2 ustawy
  • aktualne zaświadczenie właściwego naczelnika urzędu skarbowego potwierdzające, że wykonawca nie zalega z opłacaniem podatków lub zaświadczenie, że uzyskał przewidziane prawem zwolnienie, odroczenie lub rozłożenie na raty zaległych płatności lub wstrzymanie w całości wykonania decyzji właściwego organu - wystawione nie wcześniej niż 3 miesiące przed upływem terminu składania wniosków o dopuszczenie do udziału w postępowaniu o udzielenie zamówienia albo składania ofert
  • wykonawca powołujący się przy wykazywaniu spełniania warunków udziału w postępowaniu na potencjał innych podmiotów, które będą brały udział w realizacji części zamówienia, przedkłada także dokumenty dotyczące tego podmiotu w zakresie wymaganym dla wykonawcy, określonym w pkt III.4.2.

• III.4.3) Dokumenty podmiotów zagranicznych

  Jeżeli wykonawca ma siedzibę lub miejsce zamieszkania poza terytorium Rzeczypospolitej Polskiej, przedkłada:

  III.4.3.1) dokument wystawiony w kraju, w którym ma siedzibę lub miejsce zamieszkania potwierdzający, że:

  • nie otwarto jego likwidacji ani nie ogłoszono upadłości - wystawiony nie wcześniej niż 6 miesięcy przed upływem terminu składania wniosków o dopuszczenie do udziału w postępowaniu o udzielenie zamówienia albo składania ofert
  • nie zalega z uiszczaniem podatków, opłat, składek na ubezpieczenie społeczne i zdrowotne albo że uzyskał przewidziane prawem zwolnienie, odroczenie lub rozłożenie na raty zaległych płatności lub wstrzymanie w całości wykonania decyzji właściwego organu - wystawiony nie wcześniej niż 3 miesiące przed upływem terminu składania wniosków o dopuszczenie do udziału w postępowaniu o udzielenie zamówienia albo składania ofert
  • nie orzeczono wobec niego zakazu ubiegania się o zamówienie - wystawiony nie wcześniej niż 6 miesięcy przed upływem terminu składania wniosków o dopuszczenie do udziału w postępowaniu o udzielenie zamówienia albo składania ofert

• III.4.3.2) zaświadczenie właściwego organu sądowego lub administracyjnego miejsca zamieszkania albo zamieszkania osoby, której dokumenty dotyczą, w zakresie określonym w art. 24 ust. 1 pkt 4-8 ustawy - wystawione nie wcześniej niż 6 miesięcy przed upływem terminu składania wniosków o dopuszczenie do udziału w postępowaniu o udzielenie zamówienia albo składania ofert - albo oświadczenie złożone przed notariuszem, właściwym organem sądowym, administracyjnym albo organem samorządu zawodowego lub gospodarczego odpowiednio miejsca zamieszkania osoby lub kraju, w którym wykonawca ma siedzibę lub miejsce zamieszkania, jeżeli w miejscu zamieszkania osoby lub w kraju, w którym wykonawca ma siedzibę lub miejsce zamieszkania, nie wydaje się takiego zaświadczenia

III.6) INNE DOKUMENTY

Inne dokumenty niewymienione w pkt III.4) albo w pkt III.5)

Formularz ofertowy - wypełniony załącznik nr 1 do SIWZ

III.7) Czy ogranicza się możliwość ubiegania się o zamówienie publiczne tylko dla wykonawców, u których ponad 50 % pracowników stanowią osoby niepełnosprawne: nie

SEKCJA IV: PROCEDURA

IV.1) TRYB UDZIELENIA ZAMÓWIENIA

IV.1.1) Tryb udzielenia zamówienia: przetarg nieograniczony.

IV.2) KRYTERIA OCENY OFERT

IV.2.1) Kryteria oceny ofert: najniższa cena.

IV.2.2) Czy przeprowadzona będzie aukcja elektroniczna: nie.

IV.3) ZMIANA UMOWY

Czy przewiduje się istotne zmiany postanowień zawartej umowy w stosunku do treści oferty, na podstawie której dokonano wyboru wykonawcy: nie

IV.4) INFORMACJE ADMINISTRACYJNE

IV.4.1) Adres strony internetowej, na której jest dostępna specyfikacja istotnych warunków zamówienia: www.pum.edu.pl
Specyfikację istotnych warunków zamówienia można uzyskać pod adresem: Pomorski Uniwersytet Medyczny w Szczecinie, Dział Zaopatrzenia, ul. Rybacka 1, 70-204 Szczecin.

IV.4.4) Termin składania wniosków o dopuszczenie do udziału w postępowaniu lub ofert: 16.05.2011 godzina 10:00, miejsce: Pomorski Uniwersytet Medyczny w Szczecinie, ul. Rybacka 1, 70-204 Szczecin Sekretariat Kanclerza PUM pokój 108, I piętro.

IV.4.5) Termin związania ofertą: okres w dniach: 30 (od ostatecznego terminu składania ofert).

IV.4.16) Informacje dodatkowe, w tym dotyczące finansowania projektu/programu ze środków Unii Europejskiej: Budowa infrastruktury informatycznej spełniającej standardy umożliwiające współpracę biobanku onkologicznego z europejskimi sieciami naukowo - badawczymi; Nr umowy: UDA-POIG.02.03.02-00-077/10-00.

IV.4.17) Czy przewiduje się unieważnienie postępowania o udzielenie zamówienia, w przypadku nieprzyznania środków pochodzących z budżetu Unii Europejskiej oraz niepodlegających zwrotowi środków z pomocy udzielonej przez państwa członkowskie Europejskiego Porozumienia o Wolnym Handlu (EFTA), które miały być przeznaczone na sfinansowanie całości lub części zamówienia: nie

SIWZ.doc 

Wg rozdzielnika

www.pum.edu.pl

Dotyczy:             przetarg nieograniczony na usługę wdrożenia i przygotowania do certyfikacji systemu zarządzania bezpieczeństwem informacji zgodnie z wymaganiami normy PN-ISO/IEC 27001 oraz zaleceniami norm: PN-ISO/IEC 17799 i PN-ISO/IEC 27799 - Z-7/18/PN-EU</2010.

Pomorski Uniwersytet Medyczny w Szczecinie informuje, iż w związku z nadesłaniem licznych zapytań dotyczących przedmiotu zamówienia, działając w oparciu o przepisy art. 38 ustawy z dnia 29 stycznia 2004 r. – Prawo zamówień publicznych, wyznaczony zostaje nowy termin składania i otwarcia ofert, i tak:

- termin składania ofert zostaje wyznaczony na dzień 20.05.2011 r. godz. 10⁰⁰,

- termin otwarcia ofert zostaje wyznaczony na dzień 20.05.2011 r. godz. 11⁰⁰.

W imieniu Zamawiającego:

Kanclerz PUM

Ogłoszenie powiązane:

Numer ogłoszenia: 136989 - 2011; data zamieszczenia: 13.05.2011

OGŁOSZENIE O ZMIANIE OGŁOSZENIA

Ogłoszenie dotyczy: Ogłoszenia o zamówieniu.

Informacje o zmienianym ogłoszeniu: 129077 - 2011 data 04.05.2011 r.

SEKCJA I: ZAMAWIAJĄCY

Pomorski Uniwersytet Medyczny w Szczecinie, ul. Rybacka 1, 70-204 Szczecin, woj. zachodniopomorskie, tel. 91 4800703, fax. 91 4800705.

SEKCJA II: ZMIANY W OGŁOSZENIU

II.1) Tekst, który należy zmienić:

• Miejsce, w którym znajduje się zmieniany tekst: IV.4.4.
• W ogłoszeniu jest: 16.05.2011.
• W ogłoszeniu powinno być: 20.05.2011.

Szczecin, dnia 16.05.2011 r.

Wg rozdzielnika

www.pum.edu.pl

Dotyczy:         przetarg nieograniczony na usługę wdrożenia i przygotowania do certyfikacji systemu zarządzania bezpieczeństwem informacji zgodnie z wymaganiami normy PN-ISO/IEC 27001 oraz zaleceniami norm: PN-ISO/IEC 17799 i PN-ISO/IEC 27799 - Z-7/18/PN-EU</2010.

W Y J A Ś N I E N I E

treści Specyfikacji Istotnych Warunków Zamówienia

Zamawiający – Pomorska Uniwersytet Medyczny w Szczecinie, działając na podstawie art. 38 ust. 1, 2 ustawy z dnia 29 stycznia 2004 r. Prawo zamówień publicznych ze zm., niniejszym wyjaśnia treść Specyfikacji Istotnych Warunków Zamówienia postępowania o udzielenie zamówienia publicznego na usługę wdrożenia i przygotowania do certyfikacji systemu zarządzania bezpieczeństwem informacji zgodnie z wymaganiami normy PN-ISO/IEC 27001 oraz zaleceniami norm: PN-ISO/IEC 17799 i PN-ISO/IEC 27799 – Z-7/18/PN-EU</2010 i tak:

Dotyczy części II SIWZ:

1. Prosimy o wskazanie liczby systemów operacyjnych/serwerów, których konfiguracja ma zostać przeanalizowana (4.8.9)?

Odpowiedź:

Urządzenia będące w posiadaniu Zamawiającego, których konfiguracja zostanie przeananlizowana: 3 serwery, 5 switch-y, 2 routery. W ramach realizowanego projektu zostanie dokupionych jeszcze 3 serwery z dodatkami.

Dotyczy części II SIWZ:

2. Prosimy o wskazanie liczby baz danych/serwerów, których konfiguracja ma zostać przeanalizowana (4.8.10)?

Odpowiedź:

17 baz istniejących. W wyniku realizacji projektu powstaną trzy nowe, a ilość istniejących zostanie zredukowana.

Dotyczy części II SIWZ:

3. Prosimy o wskazanie liczby urządzeń sieciowych, których konfiguracja ma zostać przeanalizowana (4.8.12)?

Odpowiedź:

3 serwery, 5 switch-y, 2 routery, 1 I(DS, 1 IPS, 1 UTM, 1 firewall.

Dotyczy części II SIWZ:

4. Jaki jest zakładany zakres wdrażanego systemu SZBI – ilu pracowników oraz ile lokalizacji fizycznych obejmie ten system?

Odpowiedź:

70 pracowników (na dzień dzisiejszy). 3 fizyczne lokalizacje (w tym 1 nowa – na ukończeniu).

Dotyczy części II SIWZ:

5. Przeprowadzenie audytów wewnętrznych oraz przeglądu SZBI jest warunkiem koniecznym w celu uzyskania certyfikatu. Czy Zamawiający dopuszcza możliwość przesunięcia procesu certyfikacji po realizacji Etapu VI?

Odpowiedź:

W zapytaniu chyba wystąpił błąd literowy i pytający miał na myśli audyt zewnętrzny, a nie audyty wewnętrzne - w kontekście certyfikacji. Certyfikacja jest przewidziana w ostatnim etapie realizacji przedsięwzięcia, a audyt zerowy jednostki certyfikującej po V etapie służy ocenie stopnia przygotowania / gotowości jednostki do procesu certyfikacji. Da on pogląd (i czas) jednostce co do tego, czy funkcjonujący w niej system jest wystarczająco dopracowany, aby mogła go zgłosić do certyfikacji.

Dotyczy części III SIWZ:

6. W §7 pkt 1 ppkt 2 SIWZ Zamawiający zawarł następujący zapis dotyczący warunków udziału w postępowaniu: „posiadają wiedzę i doświadczenie, w szczególności zrealizowali przy najmniej jedną usługę podobną do przedmiotu zamówienia, tj. polegającą na wdrożeniu systemu zarządzania bezpieczeństwem informacji” natomiast  w pkt 3 ppkt 5 tego paragrafu Zamawiający by Wykonawca przedstawił „Wykaz minimum trzech wykonanych, a w przypadku świadczeń okresowych lub ciągłych również wykonywanych, usług podobnych do przedmiotu zamówienia w okresie ostatnich trzech lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy – w tym okresie, z podaniem ich wartości, przedmiotu, dat wykonania i odbiorców – wypełniony Załącznik nr 3 do SIWZ; (celem potwierdzenia spełnienia wymagań zamawiającego wobec wykonawcy określonych ust. 1 pkt 2); Proszę o wyjaśnienie realizacją ilu usług musi wykazać się Wykonawca i co Zamawiający rozumie przez usługi podobne do przedmiotu zamówienia.
7. Czy Wykonawca ma się wykazać zrealizowaniem przynajmniej 1, czy przynajmniej 3 usług podobnych do przedmiotu zamówienia, tj. polegających na wdrożeniu systemu zarządzania bezpieczeństwem informacji?

Odpowiedź

Zamawiający informuje, że Cześć I SIWZ §7 ust. 3 pkt 5 otrzymuje nowe następujące brzmienie:

„Wykaz wykonanych, a w przypadku świadczeń okresowych lub ciągłych również wykonywanych, usług podobnych do przedmiotu zamówienia w okresie ostatnich trzech lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy – w tym okresie, z podaniem ich wartości, przedmiotu, dat wykonania i odbiorców – wypełniony Załącznik nr 3 do SIWZ; (celem potwierdzenia spełnienia wymagań zamawiającego wobec wykonawcy określonych ust. 1 pkt 2);”

Dotyczy części III SIWZ:

8. Jaką kwotę zamawiający zamierza przeznaczyć na realizację zamówienia?

Odpowiedź:

Zamawiający informuje, że na realizację zamówienia zamierza przeznaczyć kwotę nie większą niż 237 107,00 zł brutto.

Dotyczy części III SIWZ:

9. Czy Zamawiający dopuszcza że oferent wykonał usługę wdrożenia SZBI we własnej firmie? (byłem kierownikiem projektu wewnętrznego zakończonego uzyskaniem certyfikatu ISO 27001 - do sprawdzenia na stronie www.asseco.pl).

Odpowiedź:

Zamawiający dopuszcza wykonanie usługi wdrożenia SZBI we własnej firmie pod warunkiem, ze wykonawca spełnia pozostałe wymogi SIWZ.

Dotyczy części II SIWZ:

10. Co Zamawiający rozumie pod "certyfikat auditora wewnętrznego lub auditora wiodącego technik informatycznych zgodnie ze specyfikacją normy PN-ISO/IEC 17799". Posiadam cetryfikat audytora wiodącego ISO 27001, ale o certyfikacie audytora ISO 17799 nie słyszałem. Nie wymieni go również Rozporządzenie MSWiA w sprawie wykazu certyfikatów.
11. 6 ust 1 pkt 3) lit. b) Zwracamy uwagę, że nie jest możliwe przeprowadzenie audytu zgodności z normą zawierającą REKOMENDACJE/ZALECENIA, jaką w tym wypadku jest norma PN-ISO/IEC 17799, stąd certyfikat żadnej uznanej organizacji audytorskiej lub jednostki certyfikującej potwierdzający umiejętności audytorskie w zakresie zgodności z tą normą nie jest dostępny na rynku, ponieważ jest bezzasadny.  Prosimy Zamawiającego  o wykreślenie tego wymagania albo zastąpienie wymagania koniecznością posiadania przez osobę uczestniczącą w realizacji Zamówienia certyfikatu potwierdzającego kompetencje w zakresie bezpieczeństwa technik informatycznych.

Odpowiedź:

Zamawiający podtrzymuje wymogi postawione w SIWZ.

Dotyczy części I SIWZ:

12. §6 ust 1 pkt 3) Czy każda z osób zgłoszonych przez Wykonawcę do realizacji Zamówienia ma obowiązek spełnienia wszystkich wymagań tego punktu?

Odpowiedź:

Zamawiający wyjaśnia, że o udzielenie zamówienia mogą ubiegać się wykonawcy, którzy dysponują osobą (lub osobami), która będzie uczestniczyć w wykonywaniu zamówienia i spełnia wymogi, o których mowa w §7 ust. 1 pkt 3 lit. a, b. Wymóg ten nie dotyczy każdej osoby biorącej udział w realizacji zamówienia.

Dotyczy części II SIWZ pkt 4.3 i 4.8 wraz z podpunktami:

13. Czy przy ocenie spełnienia wymagań normy ISO/IEC 27001 oraz załącznika A tej normy Zamawiający dopuszcza metodę oceny bezpieczeństwa na podstawie wyboru próbki w odniesieniu do:

Odpowiedź:

Zamawiający wyjaśnia, że przy wyborze metody oceny bezpieczeństwa na podstawie wyboru próbki odnosimy się do wszystkich możliwych aspektów, czyli: lokalizacji i budynków, systemów operacyjnych, baz danych, urządzeń sieciowych, aplikacji i serwerów, stacji roboczych, komputerów przenośnych i nośników danych.

Dotyczy części II SIWZ pkt. 4.4:

14. Co Zamawiający rozumie pod określeniem „inwentaryzacja aktywów informacyjnych i ocena ryzyka”? Jakie czynności i w jakim zakresie ma zrealizować Wykonawca?

Odpowiedź:

Określenie wszelkich przyjmowanych, przetwarzanych i tworzonych istotnych informacji, mają być objęte ochroną w zakresie poufności, dostępności, integralności i rodzielczości.
Ich grupowanie, przyporządkowywanie oraz rozpoznanie i ocena zagrożenia bezpieczeństwa tych aktywów ze strony zdarzeń,  osób, rzeczy. Wykonawca dokona inwentaryzacji opracuje pełną analizę  ryzyka ,sporządzi raport zgodności i niezgodności z normą oraz opracuje zalecenia i wraz z pracownikami Zamawiającego je wdroży.

 Dotyczy części II SIWZ pkt. 4.5:

15. Prosimy o podanie liczby lokalizacji oraz liczby budynków, w których ma być przeprowadzony audyt zerowy.

Odpowiedź:

3 fizyczne lokalizacje (w tym 1 nowa – na ukończeniu) – czyli 3 budynki.

Dotyczy części II SIWZ pkt 4.8.2:

16. Co Zamawiający rozumie pod określeniem „określenie rodzaju połączeń”? Jakie czynności i w jakim zakresie ma zrealizować Wykonawca?

Odpowiedź:

Określenie rodzaju połączeń  systemu informatycznego – rodzaj i stan techniczny i organizacyjny pomiędzy jednostka Zleceniodawcy, której zlecenie dotyczy, a jednostkami zewnętrznymi, z którymi ta jednostka współpracuje szczególnie w zakresie medycznym. Wykonawca określi stan istniejący, sporządzi raport zgodności i niezgodności z normą oraz opracuje zalecenia i wraz z pracownikami Zamawiającego je wdroży.

Dotyczy części II SIWZ pkt 4.8.3:

17. Co Zamawiający rozumie pod określeniem „określenie segmentów sieci”? Jakie czynności i w jakim zakresie ma zrealizować Wykonawca?

Odpowiedź:

Określenie segmentów sieci systemu informatycznego z punktu widzenia fizyczno-technicznego jak i programowo-sprzętowego. technicznie/logicznie określone segmenty sieci (podział, adresy, dostępy). Wykonawca określi stan istniejący, sporządzi raport zgodności i niezgodności z normą i z dobrą praktyką inżynierską oraz opracuje zalecenia
i wraz z pracownikami Zamawiającego je wdroży.

Dotyczy części II SIWZ pkt 4.8.4:

18. Co Zamawiający rozumie pod określeniem „środowisko informatyczne”?  Prosimy o zdefiniowanie pojęcia „środowisko Informatyczne”

Odpowiedź:

Środowisko przetwarzania danych – sposób i warunki przetwarzania danych w formie elektronicznej.

Dotyczy części II SIWZ pkt 4.8.4:

19. Co Zamawiający rozumie pod określeniem „przeprowadzenie oceny środowiska informatycznego”? Jakie czynności i w jakim zakresie ma zrealizować  Wykonawca?

Odpowiedź:

Określenie stanu zastanego, sporzadzenie raportu zgodności i niezgodności z normą i z dobrą praktyką inżynierską oraz opracowanie zaleceń i pomoc pracownikom w ich wdrożeniu.

Dotyczy części II SIWZ pkt 4.8.7:

20. Ile systemów backupowych i jakie wchodzą w zakres audytu zerowego?

Odpowiedź:

3 – przestarzałe.

Dotyczy części II SIWZ pkt 4.8.8:

21. Co Zamawiający rozumie pod  pojęciem „określenie miejsc redundancji  w sieci i systemach informatycznych”? Jakie czynności i w jakim zakresie ma zrealizować  Wykonawca?

Odpowiedź:

Określenie miejsc, gdzie elementy systemu powinny być zdublowane, a nie są.  Wykonawca określi stan istniejący, sporządzi raport zgodności i niezgodności z normą i z dobrą praktyką inżynierską oraz opracuje zalecenia i wraz z pracownikami Zamawiającego je wdroży.

Dotyczy części II SIWZ pkt 4.8.9:

22. Prosimy o wyspecyfikowanie, jakie wersji wskazanych systemów operacyjnych oraz ilości serwerów z podziałem na systemy operacyjne i ich wersje, podlegających audytowi zerowemu.

Odpowiedź:

–        Windows Server -serwer zarządzający oraz serwer backupu, Windows Server Datacenter, Windows Server CAL, SQL Server, System Center Data Protection Manager, System automatycznej identyfikacji pracowników, przyrządów, sprzętu i dokumentów za pomocą kodów kreskowych (lub RFID),  czytniki kodów kreskowych, 

ü  drukarki kodów kreskowych   

ü  specjalistyczne oprogramowanie 

ü  integracja z LIMS                   

–        System kontroli dostępu do pomieszczeń

–        System monitoringu parametrów środowiskowych (temperatura, wilgotność, inne).

–        W związku z tym, że wdrożenie SZBI jest jednym z elementów projektu informatycznego – systemy operacyjne będą zakupywane i/lub tworzone na nowo – Zamawiający nie może wyczerpująco odpowiedzieć na to pytanie.

Dotyczy części II SIWZ pkt 4.8.10:

23. Prosimy o wyspecyfikowanie, jakie motory baz danych  oraz jakie wersje tych motorów oraz ilości systemów w każdej wersji  motorów baz danych, podlegających audytowi zerowemu.

Odpowiedź:

W związku z tym, że wdrożenie SZBI jest jednym z elementów projektu informatycznego – systemy operacyjne będą zakupywane i/lub tworzone na nowo – Zamawiający nie może wyczerpująco odpowiedzieć na to pytanie – w założeniu mogą to być: MS SQL, Oracle, Firebird, plikowych DBx, MS Access.

Dotyczy części II SIWZ pkt 4.8.11:

24. Prosimy o wyspecyfikowanie liczby przełączników, ruterów, IDS. IPS, UTM oraz firewalli, wraz z podaniem producenta oraz wersji zainstalowanego systemu operacyjnego dla urządzeń podlegających audytowi zerowemu.

Odpowiedź:

–        3 serwery, 5 switch-y, 2 routery, 1 I(DS, 1 IPS, 1 UTM, 1 firewall funkcjonujące dziś i do zakupienia: Serwer zarządzający klastrem / kontroler domeny, Serwer backupu, Serwery będące węzłami klastra (2 sztuki), Macierz dyskowa w standardzie FC, z dwoma redundantnymi kontrolerami, Urządzenia aktywne oraz okablowanie FC, zapewniające pełną redundancję połączeń między macierzą a serwerami, Biblioteka taśmowa.

–        W związku z tym, że nowe urządzenia nie zostały jeszcze zakupione Zamawiający nie może w pełni odpowiedzieć na pytanie.

Dotyczy części II SIWZ pkt 4.8.14:

25. Jakie testy penetracyjne wewnętrzne (typ testu oraz zakres) przewiduje Zamawiający  do wykonania w ramach audytu zerowego?

Odpowiedź:

Zamawiający nie jest specjalistą w tym temacie, i propozycji zakresu testów będzie oczekiwał od specjalistów, a jeśli chodzi o typ, to krzyżowo stosując zarówno technikę opartą na protokołach TCP/IP, jak i z zastosowanie technologii bezprzewodowych, a także z zastosowaniem technik inżynierii społecznej.

Dotyczy części II SIWZ pkt 4.8.15:

26. Jakie testy penetracyjne zewnętrzne (typ testu oraz zakres) przewiduje Zamawiający  do wykonania w ramach audytu zerowego?

Odpowiedź:

Zamawiający nie podjął jeszcze ostatecznej decyzji w tej sprawie, nie jest też specjalistą
w tym temacie, i propozycji zakresu testów będzie oczekiwał od specjalistów. Typ - najprawdopodobniej white-box, zakres nie został jeszcze sprecyzowany.

Dotyczy części II SIWZ pkt 4.10-12:

27. Prosimy o określenie, ile godzin /dni konsultacji Zamawiający określa w tym punkcie.

Odpowiedź:

Około 30 dni.

Dotyczy części II SIWZ pkt 4.10:

28. Co oznacza pojecie „infrastruktura systemu informatycznego”?

Odpowiedź:

Zasoby informacyjne w postaci elektronicznej, zasoby informacyjne w postaci papierowej,  sprzęt: nośniki i urządzenia przetwarzania elektronicznego, oprogramowanie, telekomunikacja.

Dotyczy części II SIWZ pkt 4.10:

29. Prosimy o określenie, jaki system informatyczny Zamawiający wskazuje w tym punkcie.

Odpowiedź:

Istniejący, czyli MS SQL, FIREBIRD, MS ASSES i DBx.

Dotyczy części II SIWZ pkt 4.11:

30. Prosimy o określenie, jaką aplikację Zamawiający wskazuje w tym punkcie.

Odpowiedź:

FIREBIRD.

Dotyczy części II SIWZ pkt 4.10-21:

31. Czy Zamawiający przewiduje możliwość połączenia Etapów II i III i IV?

Odpowiedź:

Nie.

Dotyczy części II SIWZ pkt 4.17:

32. Zwracamy uwagę, że pkt. 4.17 realizujący wymaganie  4.2.1 g) normy ISO/IEC 27001 nie jest możliwy do realizacji bez wykonania punktu 4.20, który realizuje  wymaganie 4.2.1 d-f) ww. normy. Z tego wynika, że Etapu III nie można zamknąć przed zakończeniem Etapu IV, co powoduje sprzeczność z harmonogramem i trybem odbioru Etapów (zob. pkt 4 cz. II SIWZ). Prosimy o przeniesienie punktu 4.17 za punkt 4.20, do etapu IV.  

Odpowiedź:

Zamawiający zgadza się argumentacją i jednocześnie wyjaśnia, że zadania określone w punkcie 4.20 powinno być wykonane wcześniej aniżeli punkt 4.17.

Dotyczy części II SIWZ pkt 4.19:

33. Jaki Zamawiający rozumie określenie „wraz z pracownikami”? Jakie czynności ma realizować Wykonawca, a jakie pracownicy Zamawiającego?

Odpowiedź:

Udział pracowników w tym zakresie jest niezbędny na ich wiedzę merytoryczną dotyczącą bezpośrednio aktywów, wiedzę co do stanu posiadania, jak i uprawnienia dostępu do aktywów, a Wykonawca – jako specjalista w swoim zakresie – zinwentaryzuje i sklasyfikuje aktywa informacyjne.

Dotyczy części II SIWZ pkt 4.22:

34. Jak Zamawiający rozumie określenie „wspólnie z pracownikami”? Jakie czynności ma realizować Wykonawca, a jakie pracownicy Zamawiającego?

Odpowiedź:

Zamawiający nie jest specjalistą nie tylko w opracowywaniu wymaganych procedur i instrukcji, ale w ogóle w temacie SZBI i oczekuje od Wykonawcy znaczącej pomocy w tym zakresie deklarując jednocześnie udział swoich pracowników w części wymagającej ich merytorycznej znajomości specyfiki branży, w której pracują.

Dotyczy części II SIWZ pkt 4.22.2:

35. Czy dokument przywołany w tym punkcie to Instrukcja Zarządzania Systemem informatycznym służącym do przetwarzania danych osobowych, w rozumieniu odnośnych przepisów prawa? Jeśli nie, to jaki dokument w rozumieniu normy ISO/IEC 27001 jest tu przywoływany?

Odpowiedź:

Zamawiający ma na myśli zarówno dane osobowe, jak i w szczególności dane medyczne, a w związku z tym przepisy związane z:

• ochroną danych osobowych,
• ochroną danych osobowych zawartych w dokumentacji medycznej,
• ochroną osobowych danych medycznych,
• ochroną danych medycznych

Zamawiający ma na myśli również dane naukowe.

Dotyczy części II SIWZ pkt 4.22.10

36. Jak Zamawiający rozumie określenie „wraz z pracownikami”? Jakie czynności ma realizować Wykonawca, a jakie pracownicy Zamawiającego?

Odpowiedź:

Odpowiedź jak w pkt 34.

Dotyczy części II SIWZ pkt 4.23

37. Jaki dokument wynikający z wymagań normy ISO/IEC 27001 wskazuje tu Zamawiający?

Odpowiedź:

Żadnego dokumentu wynikającego z normy. Opracowanie wskazane w pkt 4.23 wynika z założeń i harmonogramu projektu realizowanego przez Zamawiającego.

Wdrożenie i certyfikacja SZBI jest jednym z zadań realizowanych w ramach projektu: „Budowa infrastruktury informatycznej spełniającej standardy umożliwiające współpracę biobanku onkologicznego z europejskimi sieciami naukowo-badawczymi.”

Celem głównym projektu jest poprawa efektywności i bezpieczeństwa dostępu i wymiany gromadzonych w Ośrodku Nowotworów Dziedzicznych  danych, co jest niezbędne do spełnienia współczesnych standardów współpracy pomiędzy europejskimi ośrodkami naukowymi.

Proces wdrażanie SZBI musi być skoordynowany z następującymi zadaniami:

1. Dostosowanie infrastruktury informatycznej do potrzeb realizacji projektu, w tym:

Rozbudowa środowiska serwerów bezpośrednio wykorzystywanych przez Zakład Zleceniodawcy (pocztowy, DNS, backup, dodatkowy WWW).

Budowa platformy wysokiej dostępności (klaster HA) dla nowej aplikacji typu LIMS oraz dotychczas używanych baz danych, przeniesionych do  środowiska wirtualnego.

Zakup urządzeń umożliwiających bezpieczne połączenie internetowe dwóch lokalizacji przy wykorzystaniu istniejącego wydzielonego kanału VPN

2. Integracja baz danych, w tym:

zakup licencji do projektowania systemu, umożliwiający autoryzowanym użytkownikom konfigurowanie, wzbogacanie i modyfikowanie systemu wraz z licencją dla użytkowników oraz licencją Systemu Zarządzania Dokumentacją Naukową, zakup licencji przeznaczonej dla genetyki, zakup licencji przeznaczonej dla biologii molekularnej.

Na tym etapie wdrażania SZBI Zamawiający będzie posiadał juz komplet informacji co do aplikacji, systemów i uruchomionych celów i będzie można stopień realizacji i ewentualne potrzeby w zakresie SZBI.

Dotyczy części II SIWZ pkt 4.26-27

38. Zwracamy uwagę, że zgłoszenie i przeprowadzenie audytu certyfikacyjnego w tym punkcie jest NIEMOŻLIWE. Aby SZBI był gotowy do certyfikacji, musi być zrealizowany ETAP  VI i VII. W związku z tym prosimy Zamawiającego o przeniesienie pkt. 4.26 i 4.27 do etapu VII oraz odpowiednie zmiany w umowie (zob. pytania i informacje dot. cz III SIWZ poniżej).

Odpowiedź:

Zamawiający nie zgadza się z argumentacją wykonawcy. Zamawiającemu zależy zarówno na efektywnym wykorzystaniu środków, jak i uzyskaniu certyfikatu. Zewnętrzny audyt w przewidzianym terminie pozwoli na ocenę stanu przygotowania do audytu certyfikującego a jednocześnie pozostawi margines czasowy do takiego udoskonalenia SZBI, aby uzyskanie certyfikatu było możliwe. Zamawiający podtrzymuje wymogi SIWZ.

Dotyczy części II SIWZ pkt 4.28, 4.30

39. Czy  pojęcie „pracownicy organizacji” oznacza „pracownicy Zamawiającego”?

Odpowiedź:

Organizacja jest częścią struktur Zamawiającego, więc pracownicy organizacji są jednocześnie pracownikami Zamawiającego.

Dotyczy części II SIWZ pkt 4.28, 4.30

40. Jak Zamawiający rozumie określenie „wraz z pracownikami”? Jakie czynności ma realizować Wykonawca, a jakie pracownicy Zamawiającego?

Odpowiedź:

Odpowiedź jak w pkt. 34

Dotyczy części II SIWZ pkt 4

41. Pomyłka numeracji – powinien być pkt. 5. cz II SIWZ. Prosimy o poprawienie.

Odpowiedź:

Zamawiający wyjaśnia, że błąd w numeracji to oczywista omyłka pisarska, która została poprawiona w SIWZ po zmianach z dnia 13.05.2011 r.

Dotyczy części III SIWZ – wzoru umowy

42. We wzorze umowy jest nieciągłość numeracji paragrafów. Prosimy o poprawienie. Uwaga: w dalszej części dokumentu powołania odnoszą się do aktualnej numeracji.

Odpowiedź:

W związku z treścią zapytania Zamawiający dokonuje zmiany numeracji Wzoru Umowy.

Dotyczy części III SIWZ

43. §6 ust. 4 i 5 Czy pod pojęcie „Zleceniobiorca” oznacza „Wykonawcę”?

Odpowiedź:

Zamawiający informuje, iż pojęcie „Zleceniobiorca” we Wzorze umowy jest tożsame z pojęciem „Wykonawca”.  Zamawiający dokonuje zmiany we Wzorze umowy zastępując słowo „Zleceniobiorca” słowem „Wykonawca”. 

Dotyczy części III SIWZ

44. §7  ust. 5. Zwracamy uwagę, że przeprowadzenie audytu zgodności z normami PN-ISO/IEC 17799 oraz PN-ISO/IEC 27799 jest NIEMOŻLIWE, ponieważ normy te zawierają REKOMENDACJE/ZALECENIA. Prosimy o wykreślenie tych norm z 1. zdania cytowanego ustępu i pozostawienie jedynie PN-ISO/IEC 27001.

Odpowiedź:

Przedmiotem umowy jest USŁUGA WDROŻENIA I PRZYGOTOWANIA DO CERTYFIKACJI SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI ZGODNIE Z WYMAGANIAMI NORMY PN-ISO/IEC 27001 ORAZ ZALECENIAMI NORM: PN-ISO/IEC  17799 i PN-ISO/IEC 27799 w par. 7 ust.  5 Wzoru umowy zwrot: "zgodności z wymaganiami prawnymi oraz normami" w domyśle zawierał wymagania normy PN-ISO/IEC 27001 i zalecenia norm PN-ISO/IEC  17799 i PN-ISO/IEC 27799.

Zamawiający zmienia treść par. 4 ust. 2 i 3 Wzoru Umowy (par. 7ust.2 i 3 przed zmianą numeracji), na treść o nast. brzmieniu: ust.2 „Wykonawca zobowiązuje się określenia stanu faktycznego zabezpieczeń danych w systemach informatycznych poprzez audyt sprawdzający spełnienie zaleceń norm PN ISO/IEC 17799, PN ISO/IEC 27799 oraz wymagań normy
PN ISO/IEC 27001, praktyki inżynierskiej oraz wymagań prawnych nałożonych na organizację, między innymi dotyczących ochrony danych osobowych.”

ust.3 „Wykonawca zobowiązuje się do opracowania dokumentacji zgodnej z wymaganiami normy PN ISO/IEC 27001 oraz zaleceniami norm PN ISO/IEC 17799, PN-ISO/IEC 27799 oraz wymaganiami prawnymi nałożonymi na organizację, między innymi dotyczącymi ochrony danych osobowych”

Zamawiający zmienia treść par. 4 ust. 5 Wzoru Umowy (par. 7ust.5 przed zmianą numeracji), na treść o nast. brzmieniu „Wykonawca zobowiązuje się do opracowania raportu z oceny zabezpieczeń informatycznych oraz ich zgodności z wymaganiami prawnymi oraz zaleceniami norm ISO/IEC 17799, PN ISO/IEC 27799 oraz wymaganiami normy
PN ISO/IEC 27001. W raporcie zawarte będą propozycje w postaci projektu zmian w strukturze zabezpieczeń i opisy rozwiązań wykrytych problemów z bezpieczeństwem wraz ze schematami sieci oraz funkcjonalnościami urządzeń.”

Dotyczy części III SIWZ

45. §7  ust. 7. Zwracamy uwagę, ze zapis umowy przewiduje odpowiedzialność Wykonawcy za działania Zamawiającego, na które Wykonawca nie ma wpływu tzn. „zatwierdzenie dokumentacji przez kierownictwo Zamawiającego”. Prosimy o wprowadzenie zmiany (nowe zdanie): „ Dokumentację uważa się za wdrożoną także w przypadku, gdy brak zatwierdzenia przez Kierownictwo Zamawiającego było spowodowane przyczynami nie leżącymi po stronie Wykonawcy.”

Odpowiedź:

Zamawiający informuje, iż nie jest możliwym wdrożenie w PUM jakiegokolwiek dokumentu będącego efektem działań Wykonawcy, który byłby niezgodny z obowiązującym w PUM prawem, polityką PUM. Tym samym zatwierdzenie dokumentacji przez Kierownictwo Zamawiającego, o której mowa w par. 7 ust. 7 Wzoru umowy jest niezbędne. Należy zauważyć, iż Zamawiający zakłada, iż ewentualne rozbieżności będą korygowane w drodze „consensusu”, mając na uwadze cel przeprowadzenia postępowania o udzielenie zamówienia publicznego.

Dotyczy części III SIWZ

46. §8 ust. 1 Prosimy o uzupełnienie zdania:  „PUM zobowiązuje się umożliwić dostęp Wykonawcy do posiadanego sprzętu, oprogramowania, pomieszczeń oraz dokumentów potrzebnych do wykonania przedmiotu umowy.”

Odpowiedź:

Zamawiający dokonuje zmiany treści par. 5 ust.1 Wzoru umowy ( par.8 ust.1 przed zmianą numeracji) na treść o nast. brzmieniu: „PUM zobowiązuje się umożliwić dostęp Wykonawcy do posiadanego sprzętu, oprogramowania, pomieszczeń potrzebnych do wykonania przedmiotu umowy, dokumentów niezbędnych do wykonania przedmiotu Umowy, w zakresie niezbędnym do wykonania przedmiotu umowy.”

Dotyczy części III SIWZ

47. §9 ust. 1. Z powodów, o których jest mowa w pkt. 28 spełnienie zapisu tego ustępu jest niemożliwe. Proponujemy zmianę: „z realizacji V etapu” na „z realizacji VII etapu”.

Odpowiedź:

Zgodnie z posiadaną przez Zamawiającego wiedzą możliwe jest przeprowadzenie  zewnętrznego audytu zerowego po ukończeniu V-ego etapu, który w przewidzianym terminie  pozwoli ocenić stan przygotowania do audytu certyfikującego, a jednocześnie pozostawi wystarczający okres czasu do takiego udoskonalenia SZBI, które pozwoli na uzyskanie certyfikatu. Zamawiający dokonuje zmiany treści par. 6 ust.1 (par.9 ust.1 przed zmianą numeracji) Wzoru mowy na treść o nast. brzmieniu: „PUM informuje, iż pod pojęciem „pozytywnego sprawozdania” z realizacji V etapu należy rozumieć uzyskanie pozytywnej oceny z zewnętrznego audytu zerowego.”

Dotyczy części III SIWZ

48. §9 ust. 3. Co Zamawiający rozumie pod pojęciem „zespół oceniający”?

Odpowiedź:

Pod pojęciem „zespołu oceniającego” Zamawiający rozumie grupę audytorów powołanych przez instytucję certyfikującą upoważnionych do przeprowadzenia oceny
w ramach audytu zerowego.

Dotyczy części III SIWZ

49. §9 ust. 3 Zapis tego ustępu  powoduje sprzeczność  z zapisami wcześniejszymi (§2 ust 3), ponieważ wcześniejsze etapy zostały zakończone na podstawie „pozytywnego sprawozdania”, co oznacza  stwierdzenie należytego wykonania i na tej podstawie wypłacenie Wykonawcy wynagrodzenia. Proponujemy zmianę tego ustępu:
    „W przypadku stwierdzenia przez audytorów instytucji certyfikującej tzw. niezgodności dużej - takiej, która w ocenie zespołu oceniającego ma istotny wpływ na jakość wyników działań lub stwarza poważne zagrożenie interesów klientów ocenianej organizacji lub innych zainteresowanych stron przyjmuje się, iż Wykonawca nie wykonał należycie zamówienia opisanego w etapach od I-V, co skutkuje odstąpieniem przez PUM od Umowy z przyczyn leżących po stronie Wykonawcy zgodnie z § 10 ust.3 umów, Wykonawca ma obowiązek usunięcia niezgodności w terminie 30 dni od daty przekazania przez Zamawiającego informacji o niezgodności, jeśli niezgodność powstała z przyczyn leżących po stronie Wykonawcy lub udzielenia wsparcia dla Zamawiającego przy usunięciu niezgodności, jeśli niezgodność nie była spowodowana działaniami lub brakiem działań Wykonawcy.”
50. §9 (nowy ustęp). Proponujemy dopisanie nowego ustępu: „W wypadku, gdy niezgodność nie zostanie usunięta z przyczyn leżących po stronie Wykonawcy, PUM może odstąpić od Umowy z przyczyn leżących po stronie Wykonawcy zgodnie z § 10 ust.3 umowy”.

Odpowiedź:

Celem przeprowadzenia postępowania jest wybór Wykonawcy, który ma przygotować jednostki Zamawiającego do certyfikacji systemu bezpieczeństwa informacji. Pojęcie „pozytywnego sprawozdania” związane jest z realizacją poszczególnych punktów przedmiotu zamówienia, natomiast merytoryczna weryfikacja pracy wykonanej przez Wykonawcę, „vide” stwierdzenie należytego wykonania przedmiotu umowy zostanie „de facto” przeprowadzona/stwierdzone przez audytorów instytucji certyfikującej. Pojęcia „pozytywnego sprawozdania” nie należy utożsamiać ze stwierdzeniem należytego wykonania umowy. 

Zamawiający dokonuje zmiany treści par. 6 ust. 2 ( par. 9 ust.2 przed zmianą numeracji) Wzoru umowy na treść o nast. brzmieniu: „W przypadku stwierdzenia przez audytorów instytucji certyfikującej podczas audytu zerowego małych lub średnich niezgodności Wykonawca zobowiązuje się do podjęcia wspólnie z pracownikami PUM czynności naprawczych celem uzyskania pozytywnej oceny z audytu, a tym samym „pozytywnego sprawozdania” z realizacji V etapu. Wykonawca ma obowiązek usunięcia niezgodności w terminie 30 dni od daty przekazania przez Zamawiającego informacji o niezgodności.
W przypadku, gdy niezgodność nie została usunięta w powyższym terminie z przyczyn leżących po stronie Wykonawcy, PUM może odstąpić od Umowy z przyczyn lezących po stronie wykonawcy, zgodnie z par. 7 ust.3 Umowy.”

Zamawiający dokonuje zmiany treści par. 6 ust. 3 ( par. 9 ust.3 przed zmianą numeracji) Wzoru umowy na treść o nast. brzmieniu „W przypadku stwierdzenia przez audytorów instytucji certyfikującej podczas audytu zerowego tzw. niezgodności dużej - takiej, która w ocenie zespołu oceniającego ma istotny wpływ na jakość wyników działań lub stwarza poważne zagrożenie interesów klientów ocenianej organizacji lub innych zainteresowanych stron Wykonawca ma obowiązek usunięcia niezgodności w terminie 60 dni od daty przekazania przez Zamawiającego informacji o niezgodności. W przypadku, gdy niezgodność nie została usunięta w powyższym terminie z przyczyn leżących po stronie Wykonawcy, PUM odstępuje od Umowy z przyczyn lezących po stronie wykonawcy, zgodnie z par. 7 ust.3 Umowy”.

Ponadto Zamawiający na podstawie art. 38 ust.4 Pzp wprowadza następującą treść par. 1 Wzoru umowy:

„Przedmiotem umowy jest usługa wdrożenia i przygotowania do certyfikacji systemu zarządzania bezpieczeństwem informacji zgodnie z wymaganiami normy PN-ISO/IEC 27001 oraz zaleceniami norm: PN-ISO/IEC  17799 i PN-ISO/IEC 27799 zgodnie ze złożoną ofertą i treścią SIWZ w przetargu nieograniczonym znak: Z-7/18/PN-EU</2011.”

Dotyczy Załącznika nr 3 do SIWZ

51. Zgodnie z postanowieniami umów, nie mam możliwości ujawniania szczegółów,
    w tym wynagrodzenia umownego. Umowy zezwalają wyłącznie „na wykorzystanie informacji o podpisanej umowie do celów marketingowych”.

Czy istnieje możliwość zapisania takiego uzasadnienia w załączniku bez podawania wspomnianych kwot? Inny problem stanowi usługa, która jest w trakcie wykonywania, w której ostatecznego wynagrodzenia jeszcze nie znam.

Odpowiedź:

Wymóg podania wartości zamówienia w wykazie zamówień podobnych do przedmiotu zamówienia zrealizowanych w ciągu ostatnich trzech lat wynika z treści par. 1 ust.1 pkt 3 ROZPORZĄDZENIA PREZESA RADY MINISTRÓW z dnia 30 grudnia 2009 r. w sprawie rodzajów dokumentów, jakich może żądać zamawiający od wykonawcy, oraz form, w jakich te dokumenty mogą być składane (Dz. U. z dnia 31 grudnia 2009 r.). Nie podanie w załączniku Nr 3 kwot realizowanych zamówień powoduje, iż taki dokument nie jest dokumentem w pełni potwierdzającym spełnienie warunków udziału w postępowaniu - zawiera błędy i wymaga uzupełnienia na podstawie art. 26 ust.3 Pzp.

Odnośnie wskazania w wykazie usługi będącej w trakcie wykonywania informuję, iż par. 1 ust.1 pkt 3 w/w rozporządzenia dopuszcza możliwość wskazania w wykazie usługi będącej w trakcie realizacji, ale jedynie w przypadku, gdy przedmiotem usługi sa świadczenia okresowe lub ciągłe, a nie jednorazowe. Jednakże i  w tym przypadku Wykonawca obowiązany jest podać w wykazie ich wartość, przedmiot, daty wykonania i odbiorców, oraz załączyć dokument potwierdzający, że te dostawy lub usługi są wykonywane należycie.

Dotyczy części I SIWZ

52. Czy należy wnieść wadium? Jeżeli tak to w jakiej wysokości? Niektóre sformułowania SIWZ odnoszą się do wadium, nie ma jednak nigdzie wpisanej kwoty wadium.

Odpowiedź:

Zamawiający nie wymagał by Wykonawcy wnosili wadium.

Dotyczy części III SIWZ

53.    Czy można wprowadzić zmiany do umowy i zawrzeć zmieniony tekst umowy
w ofercie?

Odpowiedź:

Zamawiający i Wykonawca, którego oferta okazała się być najkorzystniejszą podpisują umowę w kształcie wskazanym w III cz. SIWZ-u – Wzór umowy. Jakiekolwiek samodzielne zmiany Wzoru umowy poczynione przez Wykonawcę są niedopuszczalne.

Dotyczy części II SIWZ pkt 4.1

54.    Czy projekt będzie w całości realizowany w Szczecinie? Czy też będzie konieczność realizacji projektu w innych lokalizacjach – w jakich lokalizacjach i ile będzie tych lokalizacji?

Odpowiedź:

Projekt będzie realizowany w Szczecinie w 3 lokalizacjach:

a)                                             Rektorat PUM przy ul. Rybackiej 1,

b)                                            Zakład Genetyki i Patomorfologii PUM, przy ul. Powstańców Wlkp. 72,

c)                                             Centrum Nowych Technologii przy ul. Unii Lubelskiej 1.

Dotyczy części II SIWZ pkt 4.2

55.    Dotyczy punktu … „Określenie stanu spełnienia wymagań prawnych nałożonych na organizację w zakresie ochrony informacji. Rozumiemy, że chodzi o ustawę
o ochronie danych osobowych.” Pytanie: Czy ten punkt obejmuje również ustawę
o informacji niejawnej? Jakie inne ustawy obejmuje ten punkt?

Odpowiedź:

Zamawiający ma na myśli zarówno dane osobowe, jak i w szczególności dane medyczne, a w związku z tym przepisy związane z:

• ochroną danych osobowych,
• ochroną danych osobowych zawartych w dokumentacji medycznej,
• ochroną osobowych danych medycznych,
• ochroną danych medycznych.

Zamawiający ma na myśli również dane naukowe.

Dotyczy części II SIWZ pkt 4.4

56.     Jaka jest szacowana liczba aktywów podlegających inwentaryzacji?

Odpowiedź:

17 baz danych medycznych i osobowych pacjentów (ponad 6.000.000 rekordów) oraz baza biorobotów o aktualnym rozmiarze 300 MB (serwer posiada duży zapas pojemności, bo RAID5 = 1TB).

Dotyczy części II SIWZ pkt 4.8.6

57.     Ilu użytkowników korzysta z systemu informatycznego?

Odpowiedź:

Około 70 osób.

Dotyczy części II SIWZ pkt 4.8.9

58.     Ile jest serwerów do sprawdzenia po kątem bezpieczeństwa?

Odpowiedź:

3 serwery na dzień dzisiejszy. W wyniku inwestycji dojdą jeszcze trzy.

Dotyczy części II SIWZ pkt 4.8.10

59.     Ile jest baz danych do sprawdzenia po kątem bezpieczeństwa?

Odpowiedź:

17.

Dotyczy części II SIWZ pkt 4.8.11

60.     Ile jest aplikacji do sprawdzenia po kątem bezpieczeństwa?

Odpowiedź:

Istniejących 4 -5.

Dotyczy części II SIWZ pkt 4.8.11

61.                 Ile jest serwerów WWW do sprawdzenia pod kątem bezpieczeństwa?

Odpowiedź:

1.

Dotyczy części II SIWZ pkt 4.8.12

62.                 Ile jest urządzeń sieciowych do sprawdzenia po kątem bezpieczeństwa?

Odpowiedź:

9.

Dotyczy części II SIWZ pkt 4.8.17

63.                 Ile jest stacji roboczych, których zabezpieczenia należy sprawdzić?

Odpowiedź:

Około 50.

Dotyczy części II SIWZ pkt 4.8.18

64.                 Ile jest komputerów przenośnych, których zabezpieczenia należy sprawdzić?

Odpowiedź:

8.

Dotyczy części II SIWZ pkt 4.8.21

65.                 Ile jest procedur zarządzania ciągłością działania?

Odpowiedź:

Procedura zostanie opracowana z Wykonawcą.

Dotyczy części II SIWZ pkt 4.11

66.    "Współpraca oraz konsultacje z podwykonawcami podczas projektowania aplikacji do obsługi danych medycznych w zakresie tworzenia mechanizmów zapewnienia bezpieczeństwa przechowywania i przetwarzania danych" - prośba o określenie zakresu systemu, jego celu, przeznaczenia etc.

Odpowiedź:

Wdrożenie i certyfikacja SZBI jest jednym z zadań realizowanych w ramach projektu: „Budowa infrastruktury informatycznej spełniającej standardy umożliwiające współpracę biobanku onkologicznego z europejskimi sieciami naukowo-badawczymi.”

Celem głównym projektu jest poprawa efektywności i bezpieczeństwa dostępu i wymiany gromadzonych w Ośrodku Nowotworów Dziedzicznych  danych, co jest niezbędne do spełnienia współczesnych standardów współpracy pomiędzy europejskimi ośrodkami naukowymi.

Proces wdrażanie SZBI musi być skoordynowany z następującymi zadaniami:

1. Dostosowanie infrastruktury informatycznej do potrzeb realizacji projektu, w tym:

Rozbudowa środowiska serwerów bezpośrednio wykorzystywanych przez Zakład Zleceniodawcy (pocztowy, DNS, backup, dodatkowy WWW).

Budowa platformy wysokiej dostępności (klaster HA) dla nowej aplikacji typu LIMS oraz dotychczas używanych baz danych, przeniesionych do  środowiska wirtualnego.

Zakup urządzeń umożliwiających bezpieczne połączenie internetowe dwóch lokalizacji przy wykorzystaniu istniejącego wydzielonego kanału VPN

2. Integracja baz danych, w tym:

zakup licencji do projektowania systemu, umożliwiający autoryzowanym użytkownikom konfigurowanie, wzbogacanie i modyfikowanie systemu wraz z licencją dla użytkowników oraz licencją Systemu Zarządzania Dokumentacją Naukową, zakup licencji przeznaczonej dla genetyki, zakup licencji przeznaczonej dla biologii molekularnej

Zakup licencji będzie związany również z ich wdrożeniem, a do budowy platformy typu LIMS i dotychczasowych baz danych zostaną zatrudnieni informatycy i to są podwykonawcy, o których mowa, a integracja baz danych jest projektowaną aplikacją.

Dotyczy części II SIWZ pkt 4.13

67.     Ile osób należy przeszkolić?

Odpowiedź:

10.

Dotyczy części II SIWZ pkt 4.13

68.     W jakich miejscowościach mają odbywać się szkolenia?

Odpowiedź:

W Szczecinie.

Dotyczy części II SIWZ pkt 4.18

69.     Ile osób należy przeszkolić?

Odpowiedź:

70.

Dotyczy części II SIWZ pkt 4.18

70.     Ile jakich miejscowościach mają odbywać się szkolenia?

Odpowiedź:

W Szczecinie.

Dotyczy części II SIWZ pkt 4.25

71.     Ile osób należy przeszkolić?

Odpowiedź:

70.

Dotyczy części II SIWZ pkt 4.25

72.     W jakich miejscowościach mają odbywać się szkolenia?

Odpowiedź:

W Szczecinie.

Dotyczy części II SIWZ pkt 4.26

73.     Ile osób należy przeszkolić?

Odpowiedź:

70.

Dotyczy części II SIWZ pkt 4.26

74.     W jakich miejscowościach mają odbywać się szkolenia?

Odpowiedź:

W Szczecinie.

Dotyczy części II SIWZ pkt 4.28

75.     Czy przeprowadzenie audytu wewnętrznego wraz z pracownikami obejmuje szkolenie pracowników z zasad przeprowadzenia audytu wewnętrznego?

Odpowiedź:

Tak – również.

Dotyczy części II SIWZ pkt 4.32

76.     Ile osób należy przeszkolić?

Odpowiedź:

70.

Dotyczy części II SIWZ pkt 4.32

77.     W jakich miejscowościach mają odbywać się szkolenia?

Odpowiedź:

W Szczecinie.

Dotyczy części II SIWZ pkt 5

78.     W Czy termin zakończenia I etapu – koniec drugiego kwartału 2011 – jest aktualny?

Odpowiedź:

Zamawiający nie ma jeszcze poglądu w tym temacie, ale istnieje prawdopodobieństwo przesunięcia na III kwartał 2011.

Jednocześnie zamawiający działając na podstawie art. 38 ust. 4 ustawy Pzp informuje, że zmianie ulega treść § 19 Części I SIWZ – „Opis sposobu obliczania ceny”, który otrzymuje nowe następujące brzmienie:

1.  Zaoferowana cena powinna być wyrażona w polskiej walucie (PLN) oraz powinna obejmować wszystkie upusty i rabaty.

2.  Wykonawca winien podać tylko jedną cenę, która będzie wynagrodzeniem ryczałtowym Wykonawcy. Cena oferty winna zawierać podany w przedmiocie zamówienia zakres prac oraz uwzględniać wszelkie, według Wykonawcy konieczne do wykonania nakłady pomocnicze wymagane technologią i organizacją. Cena ta powinna uwzględniać wszelkie koszty Wykonawcy niezbędne do należytego wykonania umowy. Nie dopuszcza się określania cen w sposób alternatywny. Cena oferowana jest ostateczną ceną ryczałtową brutto (tj. wraz z podatkiem VAT).

3.    Jeżeli złożono ofertę, której wybór prowadziłby do powstania obowiązku podatkowego zamawiającego zgodnie z przepisami o podatku od towarów i usług w zakresie wewnątrzwspólnotowego nabycia towarów, zamawiający w celu oceny takiej oferty dolicza do przedstawionej w niej ceny podatek od towarów i usług, który miałby obowiązek wpłacić zgodnie z obowiązującymi przepisami.

Pozostałe zapisy SIWZ pozostają bez zmian. W załączeniu specyfikacja istotnych warunków zamówienia po zmianach z dnia 16.05.2011 r.

W imieniu Zamawiającego:

Kanclerz PUM

Przedłużenie terminu składania ofert - pismo z dnia 13.05.11.doc

Odpowiedzi n a pytania wykonawców - pismo z dnia 16.05.11.doc

SIWZ po zmianach z dnia 16.05.11.doc