Dosje javnega naročila NMV6056/2015
Naročnik: MJU 
Storitve: Storitve načrtovanja na področju sistemskega zagotavljanja kakovosti
ZJN-2: postopek naročila male vrednosti

NMV6056/2015 - Obvestilo o naročilu male vrednosti (NMV1), objavljeno dne 24.09.2015
NMV7923/2015 - Obvestilo o oddaji naročila male vrednosti (NMV2), objavljeno dne 10.12.2015
    NMV6056/2015 Obvestilo o naročilu male vrednosti (NMV1)
   Dodatna pojasnila
OBVESTILO O NAROČILU MALE VREDNOSTI

Storitve

Storitve načrtovanja na področju sistemskega zagotavljanja kakovosti

Datum objave: 24. 9. 2015
Številka objave: NMV6056/2015


Naročilo male vrednosti se oddaja na podlagi:30.a člen ZJN-2.
I.1)IME, NASLOVI IN KONTAKTNA(-E) TOČKA(-E): MJU, Tržaška cesta 21, Kontakt: Direktorat za javno naročanje, SI-1000 Ljubljana.
Tel. +386 13695794. Telefaks +386 13695314. E-pošta gp.mju@gov.si.
Internetni naslovi: http://www.djn.mju.gov.si/direktorat-za-javno-narocanje
I.2)NASLOV NAROČILA, KI GA JE DOLOČIL NAROČNIK: Izdelava načrta za vzpostavitev sistema upravljanja storitev IT - DRO skladno z zahtevami standarda ISO 20000:20011
I.3)VRSTA NAROČILA: Storitve.
I.4)INFORMACIJE O JAVNEM NAROČILU, OKVIRNEM SPORAZUMU, DINAMIČNEM NABAVNEM SISTEMU ALI E-DRAŽBI: Obvestilo se nanaša na javno naročilo.
Naročilo bo oddano na elektronski dražbi: Ne.
I.5)KRATEK OPIS NAROČILA ALI NABAVE: Izdelava načrta za vzpostavitev sistema upravljanja storitev IT - DRO skladno z zahtevami standarda ISO 20000:20011
I.6)ENOTNI BESEDNJAK JAVNIH NAROČIL (CPV): 72224200 (Storitve načrtovanja na področju sistemskega zagotavljanja kakovosti)
I.7)RAZDELITEV NA SKLOPE: Ne.
I.8)MERILA ZA IZBIRO PONUDBE: Ekonomsko najugodnejša ponudba.
I.9)OBJAVA JE HKRATI RAZPISNA DOKUMENTACIJA: Ne.
Internetni naslov dokumentacije: http://www.djn.mju.gov.si/javna-naročila
I.10)ROK ZA SPREJEMANJE PONUDB ALI PRIJAV ZA SODELOVANJE: Datum: 6. 10. 2015
Čas: 10:00
I.11)POGOJI ODPIRANJA PONUDB: Datum: 6. 10. 2015
Čas: 12:00
Kraj: Ljubljana
I.12)DODATNE INFORMACIJE O NAROČILU:I.13)ROK ZA SPREJEMANJE PONUDNIKOVIH VPRAŠANJ: Datum: 30. 9. 2015
Čas: 10:00
I.14)DATUM ODPOŠILJANJA TEGA OBVESTILA: 24. 9. 2015
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

OBJAVE, VEZANE NA TO OBJAVO
  • NMV7923/2015, Storitve: Storitve načrtovanja na področju sistemskega zagotavljanja kakovosti; datum objave: 10. 12. 2015

.


   Dodatna pojasnila
Datum objave: 28.09.2015   10:13
PONUDNIKOVO VPRAŠANJE:
Spoštovani, v razpisni dokumentaciji v dokumentu NMVDRO-18_2015 - Navodila ponudnikom.pdf je na strani 8 točka 4. je zapisano:
"Ponudnik je v zadnjih treh letih od objave naročila na portalu javnih naročil uspešno (kar pomeni v skladu z zahtevami referenčnega naročnika) izvedel dve postavitvi delujočih IBM Control desk 7.5.x ..." , ker takšnih implementacij ni bilo zaslediti na portalu, nas zanima a veljajo tudi implemenatcije, ki niso bile objavljene na portalu. Hvala za odgovor.

ODGOVOR:
Vprašanje se nanaša na postopek z oznako NMVDRO-18/2015. Predmetni postopek nosi oznako NMVISO-17/2015.

Datum objave: 29.09.2015   16:39
PONUDNIKOVO VPRAŠANJE:
Spoštovani,

Prosim za odgovore na spodnja vprašanja:
• Ali štejejo reference pri kapitalsko povezanih podjetjih?
• Ali štejejo notranje reference (npr. notranje revidiranje, notranje presoje, vzpostavljanje sistema vodenja znotraj podjetja)?
• Ali naročnik kot dodatne certifikate v okviru 10. Merila upošteva tudi ITIL certifikate zaposlenih?

Hvala za odgovore.

ODGOVOR:
1. Referenčni projekti morajo pripadati prijavljenim kadrom (gl. točko 9.1.2. Povabila in navodil). Reference so lastnosti, ki so vezane na konkreten kader (ali ponudnika) in samo dejstvo, da se dve družbi štejeta za povezani družbi v smislu korporacijskega prava, naročniku ne daje zanesljivega dejstva o tem, da bo povezana družba dejansko sodelovala pri izvedbi javnega naročila oz. uporabila reference. Izjemoma pa je dopustno sklicevanje na že izvedene enake ali podobne posle, ki jih je izvedla npr. kapitalsko povezana družba, če ponudnik razpolaga z istimi kadri, ki so že izvajali podobne posle v imenu kapitalsko povezanega podjetja.
2. Naročnik bo upošteval tudi notranje reference, če so te nastale v enakih pogojih:
- da prijavljeni kader je že sodeloval pri izvedbi vsaj enega (1) referenčnega projekta svetovanja/certificiranja s področja upravljanja informacijskih sistemov (izvajalci sistemske podpore, integratorji) ali finančnih storitev (bančništvo, zavarovalništvo, borzne hiše),
- prijavljena najmanj dva (2) kadra sta že sodelovala pri izvedbi vsaj treh (3) revizij varnosti informacijskih sistemov v organizacijah z več kot 90 zaposlenimi.
3. Pri izbiri bomo v okviru 10. merila upoštevali poleg obveznih CISA in ISO 27001 tudi certifikat ITIL.

Datum objave: 01.10.2015   09:34
PONUDNIKOVO VPRAŠANJE:
V zvezi z vprašanjem in odgovorom »• Ali štejejo reference pri kapitalsko povezanih podjetjih?«: vprašanje je bilo mišljeno: Ali štejejo reference, ki so jih zaposleni ponudnika opravili v kapitalsko povezanih podjetjih, npr. zaposleni podjetja A je vzpostavil sistem upravljanja v kapitalsko povezanem podjetju B?

ODGOVOR:
Da.

Datum objave: 01.10.2015   16:20
PONUDNIKOVO VPRAŠANJE:
Spoštovani,

• V zvezi z »Analizo razkoraka med naročnikovim obstoječim sistemom, obvladovanja procesov, kontrol in tveganj ter pričakovanji po standardu ISO 27005«: standard 27005 podaja tehnike za upravljanje tveganj na področju varovanja informacij. Standard 27005 je vsebinsko povezan s standardoma ISO/IEC 27001 in ISO/IEC 27002. Ali naročnik želi, da se izvede:
1. Upravljanje tveganj na področju varovanja informacij v skladu s standardom ISO/IEC 27005, v istem obsegu znotraj katerega se vpeljuje sistem upravljanja IT storitev v skladu s standardnom ISO/IEC 20000? Opomba: v tem primeru ne gre za analizo razkoraka, standard 270005 pokriva specifično področje upravljanja tveganj, kot kombinacijo ocenjevanja tveganj (risk assessment), obravnave tveganj (risk treatment), sprejemnaja tveganj (risk acceptance), sporočanja tveganj (risk communication) in spremljanja tveganj (risk monitoring)
2. Analizo razkoraka med naročnikovim obstoječim sistemom obvladovanja procesov, implementacijo kontrol in neobvladovanih obstoječih tveganj, vse z vidika upravljanja IT storitev v smislu standarda ISO 20000?
3. Analizo razkoraka med naročnikovim obstoječim sistemom obvladovanja procesov, implementacijo kontrol in neobvladovanih obstoječih tveganj, vse z vidika upravljanja varovanja informacij v smislu ISO/IEC 27001? Opomba: del ocenjevanja tveganj v ISO 27005 bi pogojno lahko izvedli kot analizo razkoraka, slednja pa ne pokriva celovito ostalih navedenih sestavnih delov ISO 27005 (točka 1. Zgoraj).
4. Nekaj drugega, kaj?
• V zvezi z »Izdelava vzorca načrta obvladovanja tveganj v skladu s priporočili ISO 27002 in ISO 27005« - ali je mišljen vzorec za dokument načrta obvladovanja tveganj (angl. risk treatment plan) v smislu kot ga zahteva standard ISO/IEC 27001:2013 v točki 6.1.3 e »formulate an information security risk treatment plan«? Opomba: standard 27002 ne podaja dodatnih informacij za strukturo in obliko načrta obvladovanja tveganj, 27005 pa podaja smernice za metodologijo, ki je združljiva z zahtevami 27001.
• V zvezi z »Izdelava vzorca načrta obvladovanja kontrol po predlogu standarda ISO 27001 in predlogu ISO 27017« - ali je mišljen vzorec dokumenta Statement of Applicability, kot ga zahteva ISO/IEC 27001:2013 v točki 6.1.3.d, z navedenimi dodatnimi kontrolami iz predloga FDIS 27017? Na to vprašanje se navezujejo podvprašanja:
1. Ali naj upoštevamo le kontrole, kjer FDIS 27017 podaja dodatne informacije glede na 27002, ali tudi osnovne kontrole iz ISO 27002:2013?
2. Kako naj upoštevamo tista priporočila 27002, ki se NE nanašajo na ponudnika oblačnih storitev, temveč zgolj na uporabnika oblačnih storitev? Ali jih lahko izpustimo, glede na to da DRO nastopa kot ponudnik storitev?


ODGOVOR:
1. Naročnik pričakuje izvedbo naročila v skladu z opisom ponudnika v točki 3, torej v smislu ISO/IEC 27001
2. Vzorec za dokument načrta obvladovanja tveganj (angl. risk treatment plan) v smislu kot ga zahteva standard ISO/IEC 27001:2013 v točki 6.1.3 e »formulate an information security risk treatment plan« bi bil primeren in sprejemljiv za naročnika.
3. Potrebno je upoštevati tudi osnovne kontrole iz ISO 27002:2013.
4. Naročnik bo pri nekaterih storitvah infrastrukturne narave, hkrati tudi uporabnik (IaaS, PaaS, SBaaS, ...). Zato bi bilo potrebno smiselno upoštevati tudi tista priporočila, ki se v infrastrukturnem delu nanašajo na "uporabnika".