Wykonawca wykaże, że w okresie ostatnich 3 lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy w tym okresie, wykonał co najmniej trzy usługi przeprowadzenia audytu bezpieczeństwa w jednostkach reprezentujących sektor publiczny w zakresie spełnienia wymagań wynikających z norm PN- EN ISO/IEC 27001 lub wymagań Rozporządzenia z dnia 12 kwietnia 2012 roku w sprawie Krajowym Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.
Pomijając fakt, że została podana nieobowiązująca podstawa prawna (październik 2024) bo rozporządzenie uległo zmianie w maju 2024 r., to samo wymaganie nie ma sensu. Czemu akurat 3 lata i czemu ma to świadczyć o doświadczeniu wykonawcy? Rozporządzenie KRI, o którym tu mowa weszło w życie w pierwotnym kształcie w 2012 r. Ostatnia norma ISO 27001 regulująca zasady wprowadzania SZBI była publikowana w 2017 r., a ostatnia jest z 2023 r. Czemu nie można uznać, że każdy oferent, który wdrażał SZBI od czasu wejścia w życie rozporządzenia KRI w 2012 roku spełnia wymagania? Nie wiadomo.
Wykonawca wykaże, że w okresie ostatnich trzech lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności gospodarczej jest krótszy, w tym okresie – co najmniej 5 usług polegających na opracowaniu dokumentacji Systemu Zarządzania Bezpieczeństwem Informacji.
Czemu akurat 5 usług i czemu trzy lata? Podobny przypadek jak powyżej. Bezsensowne ograniczanie konkurencyjności. Czasem lepiej zrobić jedną usługę doskonale, niż 5 byle jak, kopiując z poprzednich projektów. Takie zapisy świadczą o tym, że zamawiający nie wie, co zamawia. To jest dramat, że wykonawca często sam decyduje o środkach i metodach zabezpieczeń, a właściciel informacji się tym zbytnio nie interesuje.
Wykonawca wykaże, że wdrażał system zarządzania bezpieczeństwem informacji w co najmniej 5 jednostkach administracji publicznej mających co najmniej 200 pracowników.
To dotyczy też innych zadań: wykonywanie testów bezpieczeństwa, penetracyjnych, audytów itp. Wdrażanie systemów zarządzania nie jest uzależnione od ilości pracowników, a przynajmniej nie bezpośrednio. I tak trzeba opracować i wdrożyć niezbędne polityki,, zrobić szacowanie ryzyka, powiadomić pracowników żeby się zapoznali z zasadami i dokonywać przeglądu systemu. Oczywiście, czasem rozmiar organizacji ma znaczenie, w szczególności gdy posiada więcej niż jedną lokalizację albo ma bardzo rozbudowaną strukturę. Powiedzmy, że w organizacjach publicznych mających do 200 pracowników takie działania (kryteria) są bez znaczenia ilu pracowników ma organizacja – 20 czy 200. Ważniejsze wydaje się udokumentowanie procesów biznesowych wewnątrz organizacji niż uzależnienie wyboru wykonawców od liczby pracowników, albo od innych dziwnych kryteriów. Równie dobrze można uzależnić wybór wykonawcy od powierzchni budynku zamawiającego, bo czemu nie?
Kryteria oceny oferty – 100% cena
To jest dramat sam w sobie w przypadku usług i słabo opisanych wymagań. Bez żadnych kryteriów jakościowych nie ma szans na dobrego wykonawcę i jakościowy produkt. Zamawiający powinien dokładnie opisać czego oczekuje (nie hasłowo) i dodatkowo punktować ekstra kryteria, jak doświadczenie, jakość dokumentacji, gwarancję, dodatkowe działania itp. Przy słabym opisie przedmiotu zamówienia i kryterium cena 100% końcowy produkt będzie spełniał oczekiwania, że projekt został wykonany ale jakość nie będzie satysfakcjonująca.
Nasz komentarz: