Projektowane postanowienia umowy (PPU) Przedmiot Umowy
Projektowane postanowienia umowy (PPU)
§ 1
Przedmiot Umowy
W ramach Umowy, Wykonawca zobowiązuje się na rzecz Zamawiającego do:
przeprowadzenia szkolenia przygotowującego do egzaminu Certified Information Systems Security Professional (CISSP) dla dwóch osób,
przeprowadzenia egzaminu certyfikującego Certified Information Systems Security Professinal (CISSP) dla dwóch osób.
Szczegółowy Opis Przedmiotu Zamówienia zawiera Załącznik nr 1 do umowy.
Miejsce przeprowadzenia szkoleń pozostaje do wyboru Wykonawcy, z zastrzeżeniem, że musi się znajdować na terenie Warszawy.
§ 2
Termin realizacji Umowy
W terminie do 5 dni roboczych od zawarcia Umowy, Wykonawca jest zobowiązany do wskazania co najmniej jednego terminu przeprowadzenia szkolenia i egzaminu do wyboru Zamawiającego.
Wykonawca zobowiązuje się do przeprowadzenia szkolenia w terminie nie później niż do 31 grudnia 2021 roku.
Wykonawca zobowiązuje się do przeprowadzenia egzaminu nie wcześniej niż 2 miesiące i nie później niż 6 miesięcy licząc od dnia zakończenia szkolenia.
Przeprowadzenie szkolenia i egzaminu zostanie potwierdzone odpowiednim protokołem, podpisanym przez Zamawiającego, w terminie do 7 dni od dnia zakończenia szkolenia lub egzaminu, zgodnie ze wzorami stanowiącymi Załącznik nr 2 i nr 3 do Umowy.
§ 3
Wynagrodzenie oraz warunki płatności
Za wykonanie całego przedmiotu umowy, Zamawiający zapłaci Wykonawcy wynagrodzenie w wysokości …………………… zł brutto/netto* (słownie: …………………………………………), w tym:
za przeprowadzenie szkolenia dla 1 osoby w wysokości: ………….. zł brutto/netto* (słownie: ………….),
za przeprowadzenie egzaminu dla 1 osoby w wysokości: ………………… zł brutto/netto* (słownie: …………..).
*niepotrzebne skreślić
Wynagrodzenie całkowite określone w ust. 1 zawiera wszelkie koszty związane z realizacją Umowy, w tym opłaty, podatki i należności wynikające z obowiązujących przepisów prawa, jak również koszt przeprowadzenia szkolenia i egzaminu, zgodnie z wyszczególnionymi w Opisie Przedmiotu Zamówienia wytycznymi.
Wynagrodzenie płatne będzie po przeprowadzeniu szkolenia w wysokości określonej w ust. 1 pkt 1 oraz po przeprowadzeniu egzaminu w wysokości określonej w ust. 1 pkt 2.
Podstawą do wystawienia faktury będzie podpisany bez zastrzeżeń przez Zamawiającego odpowiedni protokół odbioru.
Płatność dokonana będzie na podstawie faktury wystawionej na Ministerstwo Sprawiedliwości, al. Ujazdowskie 11, 00-950 Warszawa, NIP 5261673166, przelewem bankowym z rachunku Zamawiającego na rachunek Wykonawcy wskazany na fakturze, w terminie 21 dni od otrzymania prawidłowo wystawionej faktury.
Za dzień zapłaty uważa się dzień obciążenia rachunku bankowego Zamawiającego.
§ 4
Osoby do kontaktu
Ze strony Zamawiającego, osobami odpowiedzialnymi za realizację Umowy oraz upoważnionymi do kontaktu i do podpisania protokołów odbioru są:
- …………………… tel. ……………………, e-mail ……………………,
- …………………… tel. ……………………, e-mail ……………………. .
Ze strony Wykonawcy, osobą odpowiedzialną za realizację Umowy oraz upoważnionymi do kontaktów jest:
- …………………… tel. ……………………, e-mail ……………………. .
Zmiana osób i danych wskazanych w ust. 1 i 2 nie wymaga zawarcia aneksu do Umowy i dla swej skuteczności wymaga pisemnego powiadomienia drugiej Strony.
§ 5
Obowiązki Wykonawcy
Wykonawca oświadcza, że posiada wszelkie niezbędne kwalifikacje, uprawnienia, doświadczenie i środki materialne oraz urządzenia niezbędne do wykonania Umowy.
Wykonawca zobowiązuje się do wykonania Przedmiotu Umowy zgodnie z parametrami i wymaganiami określonymi w Załączniku nr 1 do Umowy.
Wykonawca ponosi całkowitą odpowiedzialność za skutki działania lub zaniechania osób, przy udziale których lub z pomocą których realizuje niniejszą Umowę.
Wykonawca zobowiązany jest wykonać Umowę z zachowaniem najwyższej staranności wymaganej od czołowych przedsiębiorców świadczących na terytorium Rzeczypospolitej Polskiej usługi szkoleniowe.
Wykonawca ponosi całkowitą odpowiedzialność za własne działania lub zaniechania związane z realizacją Umowy, chyba że szkoda nastąpiła wskutek siły wyższej albo wyłącznie z winy Zamawiającego lub osoby trzeciej.
Wykonawca oświadcza, że wszystkie dostarczone materiały szkoleniowe stanowią jego wyłączną własność i nie są obciążone prawami osób trzecich.
Przeniesienie przez Wykonawcę jakichkolwiek praw lub zobowiązań związanych z wykonaniem Umowy na osobę trzecią wymaga pisemnej zgody Zamawiającego pod rygorem nieważności.
§ 6
Odpowiedzialność za niewykonanie lub nienależyte wykonanie Umowy
Wykonawca zapłaci Zamawiającemu karę umowną:
za odstąpienie Wykonawcy od Umowy z przyczyn niezależnych od Zamawiającego albo w przypadku odstąpienia przez Zamawiającego od Umowy z przyczyn leżących po stronie Wykonawcy – w wysokości 20% całkowitego wynagrodzenia brutto określonego w § 3 ust. 1,
w razie opóźnienia w wykonaniu przedmiotu umowy w terminie określonym w § 2 ust. 2 lub w §2 ust. 3 - w wysokości 0,5% całkowitego wynagrodzenia brutto określonego w § 3 ust. 1 za każdy dzień opóźnienia,
w przypadku ujawnienia jakiejkolwiek informacji lub innego naruszenia bezpieczeństwa informacji w okresie obowiązywania Umowy lub po wygaśnięciu lub rozwiązaniu Umowy – w wysokości 10% całkowitego wynagrodzenia brutto określonego w § 3 ust. 1 za każdy stwierdzony przypadek ujawnienia informacji lub innego naruszenia bezpieczeństwa informacji.
Zamawiający ma prawo na zasadach ogólnych dochodzić odszkodowania przenoszącego wysokość zastrzeżonych kary umownej.
Kary umowne mogą być naliczane niezależnie i podlegają sumowaniu.
Strony ustalają, iż naliczona przez Zamawiającego kara umowna może być przez niego potracona z wynagrodzenia należnego Wykonawcy, wskazanego w § 3 ust. 1, na co niniejszym Wykonawca wyraża nieodwołalną zgodę.
§ 7
Bezpieczeństwo Informacji
Informacją w rozumieniu Umowy są wszystkie dane, materiały lub dokumenty, pisemne, elektroniczne lub ustne, przekazane lub pozyskane przez Wykonawcę w związku z realizacją Umowy oraz wytworzone przez Wykonawcę na potrzeby realizacji Umowy.
Informacje stanowią wyłączną własność Ministerstwa Sprawiedliwości.
Wykonawca może przetwarzać powierzone mu przez Zamawiającego informacje tylko przez okres obowiązywania Umowy.
Wykonawca zobowiązuje się po zakończeniu realizacji Umowy do zwrotu Zamawiającemu wszelkich udostępnionych oraz wytworzonych przez siebie w związku z realizacją Umowy informacji, wraz z nośnikami. W przypadku utrwalenia na nośnikach należących do Wykonawcy informacji uzyskanych w związku z realizacją Umowy, Wykonawca zobowiązuje się do usunięcia z nośników tych informacji, w tym również sporządzonych kopii zapasowych, oraz zniszczenia wszelkich danych, dokumentów mogących posłużyć do odtworzenia, w całości lub części, informacji.
Wykonawca zobowiązuje się do zachowania w tajemnicy wszystkich informacji, a także sposobów zabezpieczenia informacji, zarówno w trakcie trwania niniejszej Umowy, jak i po jej wygaśnięciu lub rozwiązaniu. Wykonawca ponosi pełną odpowiedzialność za zachowanie w tajemnicy ww. informacji przez osoby, którymi się posługuje przy realizacji Umowy.
Wykonawca zobowiązany jest do zastosowania wszelkich niezbędnych środków technicznych i organizacyjnych zapewniających ochronę przetwarzania informacji, a w szczególności powinien zabezpieczyć informacje przed ich udostępnieniem osobom nieuprawnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem postanowień Umowy, zmianą, utratą, uszkodzeniem lub zniszczeniem.
Wykonawca zobowiązuje się do dołożenia najwyższej staranności w celu zabezpieczenia informacji przed bezprawnym dostępem, rozpowszechnianiem lub przekazaniem osobom trzecim.
Wykonawca zobowiązany jest zapewnić wykonanie obowiązków w zakresie bezpieczeństwa informacji, w szczególności dotyczącego zachowania w tajemnicy informacji, także przez jego pracowników oraz osoby, które realizują Umowę w imieniu Wykonawcy. Odpowiedzialność za naruszenie powyższego obowiązku spoczywa na Wykonawcy. Naruszenie bezpieczeństwa informacji, w szczególności ujawnienie jakiejkolwiek informacji w okresie obowiązywania Umowy, uprawnia Zamawiającego do odstąpienia od Umowy.
Wykonawca może udostępniać informacje jedynie tym swoim pracownikom, którym będą one niezbędne do wykonania powierzonych im czynności i tylko w zakresie, w jakim muszą mieć do nich dostęp dla celów określonych w niniejszej Umowie.
Wykonawca ponosi wszelką odpowiedzialność, tak wobec osób trzecich, jak i wobec Zamawiającego, za szkody powstałe w związku z nienależytą realizacją obowiązków dotyczących informacji.
Wykonawca zobowiązuje się do ścisłego przestrzegania warunków niniejszej Umowy, które wiążą się z ochroną informacji, w szczególności nie może bez pisemnego upoważnienia Zamawiającego wykorzystywać informacji w celach niezwiązanych z realizacją Umowy.
Wykonawca może przetwarzać informacje tylko w wersji elektronicznej.
W przypadku wystąpienia incydentu związanego z bezpieczeństwem informacji lub z naruszeniem obowiązków wynikających z Umowy, Zamawiający może przeprowadzić kontrolę wykonywanych przez Wykonawcę czynności. Kontrola może być realizowana przez Zamawiającego lub podmioty przez niego uprawnione.
Wykonawca zobowiązany jest współpracować z Zamawiającym w odpowiednim zakresie z podmiotami przeprowadzającymi kontrolę.
Wyniki kontroli zostaną przekazane Wykonawcy po jej zakończeniu. Zamawiający może wskazać niezbędne działania, jakie Wykonawca musi podjąć w celu wprowadzenia określonych zmian lub podjęcia określonych czynności.
Wykonawca zobowiązany jest do natychmiastowego powiadamiania o nieuprawnionym ujawnieniu lub udostępnieniu informacji oraz o innym naruszeniu bezpieczeństwa informacji, a następnie raportowania Zamawiającemu o podjętych działaniach w powyższym zakresie:
telefonicznie, na numer telefonu ………;
na adres email …………………….;
faksem, na numer ……………….. .
Powiadomienie dokonane telefonicznie musi zostać potwierdzone poprzez jeden ze sposobów wskazanych w pkt 2 – 3 w terminie jednej godziny od dokonania powiadomienia.
Wykonawca nie może zwielokrotniać, rozpowszechniać, korzystać w celach niezwiązanych z realizacją Umowy oraz ujawniać informacji osobom trzecim, bez uzyskania w powyższym zakresie pisemnej zgody Zamawiającego, o ile takie informacje nie zostały już podane do publicznej wiadomości lub nie są publicznie dostępne.
Wykonawca zobowiązany jest:
zapewnić kontrolę nad tym, jakie informacje, kiedy, przez xxxx oraz komu są przekazywane, zwłaszcza gdy przekazuje się je za pomocą teletransmisji danych;
zapewnić, aby osoby, o których mowa w pkt 1, zachowywały w tajemnicy informacje oraz sposoby ich zabezpieczeń.
Wykonawca nie może powierzyć przetwarzania informacji innym podmiotom bez uprzedniego uzyskania w tym przedmiocie pisemnej zgody Zamawiającego.
W przypadku powierzenia przez Wykonawcę informacji, Wykonawca odpowiada za działania i zaniechania tych podmiotów, jak za własne działania lub zaniechania.
Wykonawca zobowiązuje się do zachowania w tajemnicy wszystkich informacji uzyskanych przez niego w związku z zawarciem Umowy. Wykonawca ponosi pełną odpowiedzialność za zachowanie w tajemnicy ww. informacji przez podmioty, przy pomocy których wykonuje Xxxxx.
Wykonawca zobowiązany jest zapewnić wykonywanie postanowień umownych przez podwykonawców na takich samych warunkach jak określone w niniejszej Umowie.
§ 8
Zmiany umowy
Zmiana Umowy może nastąpić w zakresie zasad bezpieczeństwa informacji i odpowiedzialności za naruszenie powyższych zasad w przypadku zmian wymagań bezpieczeństwa informacji obowiązujących u Zamawiającego.
Wszelkie zmiany Umowy, jej uzupełnienie lub rozwiązanie za zgodą obu stron, jak również odstąpienie od niej albo za jej wypowiedzenie wymaga zachowania formy pisemnej, pod rygorem nieważności.
Zamawiający dopuszcza możliwość zmiany umowy w zakresie formy przeprowadzenia szkolenia przypadku zmiany sytuacji sanitarno-epidemiologicznej, uniemożliwiającej przeprowadzenie szkolenia w formie stacjonarnej.
§ 9
Odstąpienie od Umowy
Zamawiający może odstąpić od części lub całości Umowy w przypadkach określonych
w przepisach obowiązującego prawa, w szczególności Kodeksu cywilnego.Jeżeli Wykonawca opóźnia się z rozpoczęciem lub zakończeniem wykonania Umowy tak dalece, że nie jest prawdopodobne, żeby zdołał ją ukończyć w czasie umówionym, Zamawiający może, bez wyznaczenia terminu dodatkowego, od Umowy odstąpić jeszcze przed upływem terminu wykonania Umowy
Zamawiający może odstąpić od Umowy, z przyczyn leżących po stronie Wykonawcy, w przypadku:
złożenia wniosku o ogłoszenie upadłości lub otwarcia likwidacji Wykonawcy,
zmiany formy organizacyjnej Wykonawcy, utrudniającej wykonanie Umowy, pod warunkiem, że nowy Wykonawca nie spełnia warunków udziału w postępowaniu, zachodzą wobec niego podstawy wykluczenia oraz pociąga to za sobą inne istotne zmiany Umowy - w ciągu 14 dni od dnia powzięcia wiadomości o takiej okoliczności.
Zamawiający może odstąpić od Umowy w przypadku zaistnienia istotnej zmiany okoliczności powodującej, że wykonanie Umowy nie leży w interesie publicznym, czego nie można było przewidzieć w chwili zawarcia Umowy, w ciągu 30 dni od dnia powzięcia wiadomości o tej okoliczności.
W przypadku odstąpienia od Umowy określonego w ust. 3 i 4 Wykonawca może żądać jedynie wynagrodzenia należnego mu z tytułu faktycznego wykonania części Umowy.
Odstąpienie od Umowy następuje w formie pisemnej pod rygorem nieważności, ze wskazaniem przyczyny odstąpienia.
Skorzystanie z prawa odstąpienia od Umowy nie znosi odpowiedzialności z tytułu zastrzeżonych w niej kar umownych i nie wyłącza uprawnienia do ich dochodzenia.
§ 10
Przetwarzanie danych osobowych
Zamawiający oświadcza, że będzie przetwarzał dane osobowe przekazane przez Wykonawcę w związku z realizacją przedmiotu umowy oraz, że posiada wdrożone odpowiednie środki techniczne i organizacyjne wymagane na mocy art. 32 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE oraz przepisów ustawy o ochronie danych osobowych.
Zamawiający informuje, że zgodnie z art. 13 rozporządzenia Parlamentu Europejskiego
i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych
w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) Dz. Urz. UE L 119/1:
1) administratorem danych osobowych osób reprezentujących Wykonawcę jest Minister Sprawiedliwości z siedzibą w Warszawie, Al. Ujazdowskie 11,
2) dane osobowe osób, o których mowa w punkcie 1, to w szczególności: imię i nazwisko, xxxx kontaktowe,
3)
kontakt z Inspektorem Ochrony Danych – Xxxxxx Xxxxxxxx, tel. 00 00
00 000,
e-mail: xxx@xx.xxx.xx,
4) dane osobowe osób, o których mowa w punkcie 1, przetwarzane będą w celu realizacji umowy - na podstawie art. 6 ust. 1 lit. b ogólnego rozporządzenia o ochronie danych,
5) odbiorcami danych osobowych osób, o których mowa w punkcie 1, będą: - organy kontrolne i nadzorcze oraz audyt, w tym ZUS, US,
6)
dane osobowe osób, o których mowa w punkcie 1, przechowywane będą
zgodnie
z postanowieniami instrukcji kancelaryjnej Ministerstwa
Sprawiedliwości, tj. wynikające
z umowy cywilnoprawnej bez
ZUS - lat 5, a z umowy cywilnoprawnej z ZUS - lat 50,
7) osoby, o których mowa w punkcie 1, posiadają prawo do żądania od administratora dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania,
8) osoby, o których mowa w punkcie 1, mają prawo wniesienia skargi do organu nadzorczego, tj. Prezesa Urzędu Ochrony Danych Osobowych (adres: xx. Xxxxxx 0, 00-000 Xxxxxxxx),
W stosunku do danych osobowych przekazanych Wykonawcy przez Zamawiającego, Wykonawca oświadcza, że:
będzie przetwarzał dane osobowe przekazane przez Zamawiającego tylko
w celach związanych z realizacją przedmiotu umowy na podstawie art. 6 ust. 1
lit. b ogólnego rozporządzenia o ochronie danych,administratorem danych osobowych osób reprezentujących Zamawiającego jest Xxxxxx Xxxxxxxx, tel. 00 00 00 000, e-mail: xxx@xx.xxx.xx
dane osobowe osób, o których mowa w pkt 1, to w szczególności: imię
i nazwisko, xxxx kontaktowe,osoby, o których mowa w punkcie 1, posiadają prawo do żądania
od administratora dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania,osoby, o których mowa w punkcie 1, mają prawo wniesienia skargi do organu nadzorczego, tj. Prezesa Urzędu Ochrony Danych Osobowych
(adres: xx. Xxxxxx 0, 00-000 Xxxxxxxx).
§ 11
Postanowienia końcowe
Prawem właściwym dla Umowy jest prawo polskie.
Żadna ze Stron Umowy nie może przenieść praw i obowiązków wynikających z niniejszej Umowy na osobę trzecią bez uprzedniego uzyskania zgody drugiej Strony, wyrażonej w formie pisemnej pod rygorem nieważności.
Sądem właściwym do rozstrzygnięcia sporów wynikłych z realizacji postanowień niniejszej Umowy będzie sąd miejscowo właściwy dla siedziby Zamawiającego.
Umowę sporządzono w trzech jednobrzmiących egzemplarzach, w tym dwa egzemplarze dla Zamawiającego i jeden dla Wykonawcy.
Załączniki:
Załącznik nr 1 – Opis Przedmiotu Zamówienia
Załącznik nr 2 – Wzór Protokołu odbioru szkolenia
Załącznik nr 3 – Wzór Protokołu odbioru egzaminu
ZAMAWIAJĄCY WYKONAWCA
Załącznik nr 1 do umowy nr … z dnia …………
Opis przedmiotu zamówienia
I. Przedmiot zamówienia:
Przeprowadzenie szkoleń z zakresu egzaminu Certified Information Systems Security Professional oraz organizacja egzaminu certyfikacyjnego.
II. Termin wykonania zamówienia:
Od dnia zawarcia umowy do dnia 30 czerwca 2022 roku.
III. Zakres i wymagania szczegółowe Certified Information Systems Security Professional (CISSP)
Szkolenia i egzamin zostaną przeprowadzone na terenie Warszawy. Wykonawca zobowiązany jest do przeprowadzenia szkoleń do 31 grudnia 2021 roku, a egzaminów w terminie od 2 miesięcy od zakończenia szkolenia, do sześciu miesięcy od momentu podpisania umowy.
W szkoleniu i egzaminach uczestniczyć będzie dwóch pracowników Zamawiającego.
Każdy uczestnik otrzyma dokument poświadczający ukończenie szkolenia.
Szkolenia i egzaminy muszą zostać przeprowadzone w języku polskim lub angielskim.
Wykonawca zobowiązuje się do zaproponowania co najmniej jednego terminu szkolenia do wyboru przez Zamawiającego do 5 dni roboczych od zawarcia umowy.
Zakres merytoryczny szkolenia przygotowującego do egzaminu CISSP CAT musi obejmować wszystkie tematy wyszczególnione w dokumencie „CISSP Exam Outline”, dostępnym na oficjalnej stronie (ISC)², to jest:
security and risk management:
understand and apply security governance principles: alignment of security function to business strategy, goals, mission and objectives; organizational processes (e. g. acquisitions, divestitures, governance comittiees), organizational roles and responsibilites; security control frameworks; due care/due diligience,
determine compliance requirements: contractual, legal, industry standards, and regulatory requirements; privacy requirements;
understand legal and regulatory issues that pertain to information security in global context: cyber crimes and data breaches; licensing and intellectual property requirements; import/export controls; trans-border data flow; privacy;
understand, adhere to and promote professional ethics: (ISC)^2 code of professional ethics; organizational code of ethics;
develop, document and implement security policy standards, procedures and guidelines,
identify, analyze and proritize business continuity (BC) requirements: develop and document scope and plan; business impact analysis (BIA);
contribute to and enforce personnel security policies and procedures: candidate screening and hiring; employment agreements and policies; onboarding and termination processes; vendor, consultant and contractor agreement and controls; compliance policy requirements; privacy policy requirements;
understand and apply risk management concepts: identify threats and vulnerabilities; risk assessment/analysis; risk response; countermeasures selection and implementation; applicable types of controls (e. g., preventive, detective, corrective); security control assessment (SCA); monitoring and measurement; asses valuation; reporting; continuous improvement; risk frameworks;
understand and apply threat modeling concepts and methodologies: threat modeling methodologies; threat modeling concepts;
apply risk-based management concepts to the supply chain: risk associated with hardware, software and services; third-party assessment and monitoring; minimum security requirements; service-level requirements;
establish and maintain a security awareness, education and training program: methods and techniques to present awareness and training; periodic content reviews; program effectiveness evaluation;
asset security:
identify and classify information and assets: data classification, asset classification;
determine and maintain information and asset ownership;
protect privacy: data owners; data processers; data remanence; collection limitation;
ensure appropriate asset retention;
determine data security controls: understand data states; scoping and tailoring; standards selection; data protection methods;
establish information and asset handling requirements;
security architecture and engineering:
implement and manage engineering processes using secure design principles;
understand the fundamental concepts of security models;
select controls based upon systems security requirements;
understand security capabilities of information systems (e.g., memory protection, Trusted Platform Module (TPM), encryption/decryption);
assess and mitigate the vulnerabilities of security architectures, designs and solution elements: client-based systems; server-based systems; database systems; cryptographic systems; industrial control systems (ICS); cloud-based systems; distributed systems; internet of things (IoT);
assess and mitigate vulnerabilities in web-based systems;
assess and mitigate vulnerabitilies in mobile systems;
assess and mitigate vulnerabilities in embedded devices;
apply cryptography: cryptographic life cycle (e.g., key management, algorithm selection); cryptographic methods (e.g., symmetric, asymmetric, elliptic curves); Public Key Infrastructure (PKI); key management practices; digital signatures; non-repudiation; integrity (e.g., hashing); understand methods of cryptoanalytic attacks; digital rights management (DRM);
apply security principles to site and facility design;
implement site and facility security console controls: wiriting closets/intermediate distribution facilities; server rooms/data centers; media storage facilities; evidence storage; restricted and work area security; utilities and heating, ventilation, and air conditioning (HVAC); environmental issues; fire prevention, detection and suppression;
communication and network security:
open system interconnection (OSI) and transmission control protocol/internet protocol (TCP/IP) models; internet protocol (IP) networking; implications of multilayer protocols; converged protocols; software-defined networks; wireless networks;
secure network components: operation of hardware; transmission media; network access control (NAC); endpoint security; content-distribution networks;
implement secure communication channels according to design: voice; multimedia collaboration; remote access; data communications; virtualized networks;
identity and access management (IAM):
control physical and logical access to assets: information, systems, devices, facilities;
manage identification and authentication of people, devices and services: identity management implementation, single/multi-factor authentication; accountabilitiy; session management; registration and proofing of identity; federated identity management (FIM); credential management systems;
integrate identity as a third-party service: on-premise; cloud; federated;
implement and manage authorization mechanisms: role based access control (RBAC); rule-based access control, mandatory access control (MAC); discretionary access control (DAC); attribute based access control (ABAC);
manage the identity and access provisioning cycle: user access review; system account access review; provisioning and deprovisioning;
security assessment and testing:
design and validate assessment, test, and audit strategies: internal; external; third-party;
conduct security control testing: vulnerability assessment; penetration testing; log reviews; synthetic transactions; code review and testing; misuse case testing; test coverage analysis; interface testing;
collect security process data (e.g., technical and administrative): account management; management review and approval; key performacne and risk indicators; backup verification data; training and awareness; disaster recovery (DR) and business continuity (BC);
analyze test output and generate report;
conduct or facilitate security audits: internal; external; third-party;
security operations:
understand and support investigations: evidence collection and handling; reporting and documentation; investigate techniques; digital forensics tools, tactics, and procedures;
understand requirements for investigation types: administrative; criminal; civil; regulatory; industry standards;
conduct logging and monitoring activities: intrusion detection and prevention; security information and event management (SIEM); continuous monitoring; egress monitoring;
securely provisioning resources: asset inventory; asset management; configuration management;
understand and apply founfdational security operations concepts: need-to-know/least privileges; separation of duties and responsibilities; privileged account management; job rotation; information lifecycle; service level agreements (SLA);
apply resource protection techniques: media management; hardware and software asset management;
conduct incident management: detection; response; mitigation; reporting; recovery; remediation; lessons learned;
operate and maintaing detective and preventative measures: firewall;s intrusion detection and prevention systems; whitelisting/blacklisting; third-party provided security services; sandboxing; honeypots/honeynets; anti-malware;
implement and support patch and vulnerability management;
understand and participate in change management processes;
implement recovery strategies: backup storage strategies; recovery site strategies; multiple processing sites; system resilience, high availability, quality of service (QoS), and fault tolerance;
implement disaster recovery (DR) processes: response; personnel; communications; assessment; restoration; training and awareness;
test disaster recovery plans (DRP): read-through/tabletop; walkthrough; simulation; parallel; full interruption;
participate in business continuity (BC) planning and exercises;
implement and manage physical security: perimeter security controls; internal security controls;
address personnel safety and security concerns: travel; security and training awareness; emergency management; duress;
software development security:
understand and integrate security in the software development life cycle (SDLC): development methodologies; maturity models; operation and maintenance; change management; integrated product team;
identify and apply security controls in development environments: security of the software evnironments; configuration management as an aspect of secure coding; security of code repositories;
assess the effectiveness of software security: auditing and logging of changes; risk and analysis mitigation;
assess security impact of acquired software;
define and apply secure coding guidelines and standards: security weaknesses and vulnerabilities at the source-code level; security of application programming interfaces; secure coding practices;
IV. Warunki przeprowadzania szkoleń
Wykonawca, przygotuje harmonogram szkolenia oraz program szkolenia i dostarczy je w terminie nie później niż 7 dni roboczych przed dniem rozpoczęcia szkolenia do akceptacji przez Zamawiającego. Harmonogram zajęć powinien zawierać informacje dotyczące czasu i miejsca realizacji danego szkolenia.
Wykonawca przygotuje i zapewni materiały szkoleniowe dla każdego uczestnika szkolenia, pozwalające na samodzielną edukację z zakresu tematyki szkolenia (np. opracowania, wydruki materiałów szkoleniowych).
Komplet materiałów szkoleniowych dla każdego uczestnika szkolenia obejmuje papierową wersję materiałów szkoleniowych. Zamawiający dopuszcza dostarczenie materiałów w formie elektronicznej, np. dokumenty w standardzie PDF, w miejsce materiałów papierowych.
Wykonawca dostarczy uczestnikom szkolenia ww. materiały szkoleniowe najpóźniej w dniu rozpoczęcia szkolenia..
Koszty opracowania, powielenia i transportu materiałów szkoleniowych ponosi Wykonawca.
Wykonawca dla uczestników szkolenia zapewni wyżywienie, o którym mowa w ust. 7. Posiłki serwowane będą w odpowiednim pomieszczeniu, wyposażonym w niezbędną liczbę stołów i krzeseł. Zamawiający nie dopuszcza serwowania posiłków w tej samej sali, w której odbywają się szkolenia. Miejsce posiłku nie powinno być oddalone dalej niż 10 minut drogi pieszo od miejsca szkolenia; obiady powinny być zróżnicowane, dany zestaw obiadowy nie powinien powtarzać się częściej niż raz na 3 dni szkoleniowe; Wykonawca zapewni co najmniej 2 przerwy kawowe podczas jednego dnia szkoleniowego.
W zakresie wyżywienia uczestników szkolenia, Wykonawca zapewni:
obiad dla wszystkich uczestników szkolenia. Zestaw obiadowy obejmuje co najmniej: zupę, gorące danie główne (rybne lub mięsne) z dodatkami skrobiowymi oraz surówką lub sałatkami; kawę i herbatę wraz z dodatkami (co najmniej cukier, mleczko do kawy, cytryna); wodę mineralną gazowaną i niegazowaną;
serwis kawowy, na który składać się będą: woda gazowana i niegazowana w butelkach, herbata, kawa parzona z zaparzacza lub ekspresu, dodatki (cukier, mleko do kawy, cytryna) i dodatki np. ciastka/wafelki/ciasto/inne słodycze.
Wykonawca zobowiązany jest do:
terminowego przygotowania i podania posiłków, zgodnie z ramowym programem szkolenia,
zachowania zasad higieny i obowiązujących przepisów przy przygotowaniu posiłków i ich podawaniu,
przygotowania posiłków zgodnie z zasadami racjonalnego wyżywienia, urozmaiconych z pełnowartościowych, świeżych produktów z ważnymi terminami przydatności do spożycia,
przestrzegania w trakcie realizacji usług wchodzących w zakres przedmiotu umowy obowiązujących przepisów sanitarnych, w tym ustawy z dnia 25 sierpnia 2006 r. o bezpieczeństwie żywności i żywienia. (Dz.U. z 2019 r. poz. 1252).
Czas na przerwy kawowe i obiadowe należy doliczyć do założonej liczby godzin szkolenia.
Koszty posiłków, dowozu, sprzętu i obsługi ponosi Wykonawca.
V. Warunki i wymagania dotyczące przeprowadzania egzaminów
Wykonawca zapewni na cele realizacji przedmiotu zamówienia bazę egzaminacyjną z odpowiednimi pomieszczeniami wraz z zapleczem do przeprowadzenia egzaminów dla osób dorosłych, tj. sale dostosowane do przeprowadzania egzaminów, dobrze oświetlone (światło dzienne i sztuczne), wentylowane (z dostępem do świeżego powietrza), posiadające odpowiednie warunki sanitarne, bezpieczeństwa i higieny pracy, wyposażone w akustyczne i jakościowe narzędzia i urządzenia, a także oprogramowanie i pomoce dydaktyczne niezbędne do wykonania zamówienia.
W pobliżu sali egzaminacyjnej (w tym samym budynku) powinny znajdować się łazienki z węzłem sanitarnym.
Egzamin zostanie przeprowadzony nie wcześniej niż 2 miesiące i nie później niż 6 miesięcy po zakończeniu szkolenia.
Egzamin odbędzie się w dzień powszedni od poniedziałku do piątku, w godzinach od 8:00 do 17:00.
Egzamin zostanie przeprowadzony na terenie Warszawy.
Do egzaminu przystąpi dwóch pracowników Zamawiającego, którzy ukończyli szkolenie.
Każdy uczestnik otrzyma dokument potwierdzający przystąpienie do egzaminu wraz z jego wynikami.
Egzamin będzie przeprowadzony w języku polskim lub angielskim.
Wykonawca zobowiązuje się do wskazania trzech terminów egzaminu do wyboru przez Xxxxxxxxxxxxx.
Podmiot przeprowadzający egzamin CISSP musi posiadać status podmiotu egzaminującego autoryzowanego przez (ISC)2.
Załącznik nr 2 do umowy nr … z dnia …………
Warszawa, dnia …………
Protokół z przeprowadzonego szkolenia Certified Information Systems Security Professional
W dniach ……… - ……… odbyło się szkolenie z zakresu egzaminu Certified Information Systems Security Professional.
Plan szkolenia:
Dnia …:
…
…
etc.
Dnia …:
…
…
etc.
etc.
W szkoleniu udział wzięli:
Dnia …:
…
…
etc.
Dnia …:
…
…
etc.
etc.
………………………………………………………………… ………………………………………………………
podpis osoby przeprowadzającej szkolenie podpis osoby odbierającej szkolenie
Załącznik nr 3 do umowy nr … z dnia …………
Protokół odbioru egzaminu
Warszawa, dnia …………
Protokół z przeprowadzonego egzaminu Certified Information Systems Security Professional
W dniach ……… - ……… odbył się egzamin Certified Information Systems Security Professional.
W egzamine udział wzięli:
…
…
………………………………………………………………… ………………………………………………………
podpis osoby przeprowadzającej egzamin podpis osoby odbierającej egzamin
FORMULARZ SZACOWANIA WARTOŚCI ZAMÓWIENIA
na realizację zamówienia:
Przeprowadzenie szkolenia i egzaminu CISSP
DANE DOTYCZĄCE OFERENTA:
Nazwa podmiotu |
|
Adres siedziby |
|
Numer NIP |
|
Numer REGON |
|
Telefon kontaktowy |
|
Adres e-mail |
|
CAŁKOWITA SZACOWANA WARTOŚĆ ZAMÓWIENIA:
………………………………. zł. brutto Słownie: …………………………………………………………………………………. |
………………………………. zł. netto Słownie: …………………………………………………………………………………. |
_________________________
Podpis osoby upoważnionej