Umowa nr MS/……..

zawarta w dniu ……………………… roku w Warszawie pomiędzy:

Skarbem Państwa reprezentowanym przez Ministra Sprawiedliwości z siedzibą w Warszawie (kod 00- 950) przy Al. Ujazdowskich 11, NIP: 000-00-00-000, Regon: 000319150, zwany dalej „Zamawiającym” w imieniu którego działa na podstawie upoważnienia Ministra Sprawiedliwości nr MS/94/201 z dnia 24.XI.2019

Xxx Xxx Xxxxxxxxx – Dyrektor. ………..

(kod pocztowy ………………), przy ulicy …………………….. wpisaną do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy …… ……………………….., XIII Wydział Gospodarczy, pod nr KRS ……………, o kapitale zakładowym w wysokości ………………. ………………………….. zł NIP ………………., REGON ……………….., zwaną/ym dalej „Wykonawcą”, reprezentowaną przez:

Pana ……………. ………..

łącznie zwanymi dalej „Stronami” lub każda z osobna „Stroną” .

Uprawnienie do reprezentacji Wykonawcy ustalono na podstawie odpisu z Rejestru Przedsiębiorców KRS* / wydruk zaświadczenia Centralnej Ewidencji i Informacji o Działalności Gospodarczej Wykonawcy* aktualnego na dzień zawierania Umowy, którego odpis stanowi Załącznik nr 4
do Umowy.

W wyniku udzielenia zamówienia publicznego w oparciu o art. 4 pkt 8 ustawy z dnia 29 stycznia 2004 r. Prawo zamówień publicznych (x.x. Xx. U. z 2019 r. poz. 1843), Strony zawierają Umowę o następującej treści:

§ 1

Przedmiot Umowy

Przedmiot umowy obejmuje wykonanie przez Wykonawcę na rzecz Zamawiającego następujących usług:
1. przeprowadzenia szkolenia dla dwóch pracowników Zamawiającego, przygotowującego do egzaminu Certified Information Systems Security Professional,
2. przeprowadzenia egzaminu certyfikującego Certified Information Systems Security Professional dla osób wskazanych w pkt. 1.
Szczegółowy Opis Przedmiotu Zamówienia zawiera Załącznik nr 1 do umowy.
Szkolenie musi zostać przeprowadzone na terenie Warszawy.

Wykonawca zobowiązany jest do przekazania Zamawiającemu, Harmonogramu realizacji Przedmiotu mowy. Ustalenia dotyczące sposobu przekazania tego Harmonogramu zostaną ustalone w trybie roboczym.

§ 2

Termin realizacji Umowy

Wykonawca zobowiązuje się do przeprowadzenia szkolenia w terminie nie później niż do 27 marca 2020 roku.

Wykonawca zobowiązuje się do przeprowadzenia egzaminu nie wcześniej niż 2 miesiące i nie później niż 6 miesięcy licząc od dnia zakończenia szkolenia.
Przeprowadzenie szkolenia i egzaminu zostanie potwierdzone odpowiednim protokołem, podpisanym przez Zamawiającego, w terminie do 7 dni od dnia zakończenia szkolenia lub egzaminu, zgodnie ze wzorami stanowiącymi Załącznik nr 2 i nr 3 do Umowy.

§ 3

Wynagrodzenie oraz warunki płatności

Za wykonanie całego przedmiotu umowy, Zamawiający zapłaci Wykonawcy wynagrodzenie w wysokości …………………………. ~~brutto~~/netto* (słownie: ……………………………………………….), w tym:

za przeprowadzenie szkolenia dla 2 osób w wysokości: …………………… ~~brutto~~/netto* (słownie: ………………………………..),
za przeprowadzenie egzaminu dla 2 osób w wysokości: ………………… zł ~~brutto~~/netto* (słownie: …………………………………).

*niepotrzebne skreślić

Wynagrodzenie całkowite określone w ust. 1 zawiera wszelkie koszty związane z realizacją Umowy, w tym opłaty, podatki i należności wynikające z obowiązujących przepisów prawa, jak również koszt przeprowadzenia szkolenia i egzaminu, zgodnie z wymaganiami wyszczególnionymi w Opisie Przedmiotu Zamówienia.
Wynagrodzenie płatne będzie na podstawie wystawionej faktury po przeprowadzeniu szkolenia w wysokości określonej w ust. 1 pkt 1 oraz po przeprowadzeniu egzaminu w wysokości określonej w ust. 1 pkt 2.
Podstawą do wystawienia faktury będzie podpisany bez zastrzeżeń przez Zamawiającego odpowiedni protokół odbioru.
Płatność dokonana przelewem bankowym z rachunku Zamawiającego na rachunek Wykonawcy wskazany na fakturze, w terminie 21 dni od otrzymania prawidłowo wystawionej faktury.
Za dzień zapłaty uważa się dzień obciążenia rachunku bankowego Zamawiającego.

§ 4

Osoby do kontaktu

Ze strony Zamawiającego, osobami odpowiedzialnymi za realizację Umowy oraz upoważnionymi do kontaktu i do podpisania protokołów odbioru jest:

- Xxxxxxxx Xxxxxxx tel. 000-000-000, e-mail: xxxxxxxx.xxxxxxx@xx.xxx.xx.

Ze strony Wykonawcy, osobą odpowiedzialną za realizację Umowy oraz upoważnionymi do kontaktów jest:

- …………………………………………………………………….

Zmiana osób i danych wskazanych w ust. 1 i 2 nie wymaga zawarcia aneksu do Umowy i dla swej skuteczności wymaga pisemnego powiadomienia drugiej Strony.

§ 5

Obowiązki Wykonawcy

Wykonawca oświadcza, że posiada wszelkie niezbędne kwalifikacje, uprawnienia, doświadczenie i środki materialne oraz urządzenia niezbędne do wykonania Umowy.
Wykonawca zobowiązuje się do wykonania Przedmiotu Umowy zgodnie
z wymaganiami określonymi w Załączniku nr 1 do Umowy.
Wykonawca ponosi całkowitą odpowiedzialność za skutki działania lub zaniechania osób, przy udziale których lub z pomocą których realizuje niniejszą Umowę.
Wykonawca zobowiązany jest wykonać Umowę z zachowaniem najwyższej staranności wymaganej od czołowych przedsiębiorców świadczących na terytorium Rzeczypospolitej Polskiej usługi szkoleniowe w zakresie objętym Przedmiotem umowy.
Wykonawca ponosi całkowitą odpowiedzialność za własne działania lub zaniechania związane z realizacją Umowy, chyba że szkoda nastąpiła wskutek siły wyższej albo wyłącznie z winy Zamawiającego lub osoby trzeciej.
Wykonawca oświadcza, że wszystkie dostarczone materiały szkoleniowe stanowią jego wyłączną własność i nie są obciążone prawami osób trzecich.
Przeniesienie przez Wykonawcę jakichkolwiek praw lub zobowiązań związanych z wykonaniem Umowy na osobę trzecią wymaga pisemnej zgody Zamawiającego pod rygorem nieważności.

§ 6

Odpowiedzialność za niewykonanie lub nienależyte wykonanie Umowy

Wykonawca zapłaci Zamawiającemu karę umowną:
1. za odstąpienie przez Wykonawcę od Umowy z przyczyn niezależnych od Zamawiającego albo w przypadku odstąpienia przez Zamawiającego od Umowy z przyczyn leżących po stronie Wykonawcy – w wysokości 20% całkowitego wynagrodzenia brutto określonego w § 3 ust. 1,
2. w razie opóźnienia w wykonaniu przedmiotu umowy w terminie określonym w § 2 ust. 2 lub w §2 ust. 3 - w wysokości 0,5% całkowitego wynagrodzenia brutto określonego w § 3 ust. 1 za każdy dzień opóźnienia. Kara będzie liczona odrębnie za opóźnienie w wykonaniu szkolenia lub przeprowadzenia egzaminu.
3. w przypadku ujawnienia jakiejkolwiek informacji lub innego naruszenia bezpieczeństwa informacji w okresie obowiązywania Umowy lub po wygaśnięciu lub rozwiązaniu Umowy – w wysokości 10% całkowitego wynagrodzenia brutto określonego w § 3 ust. 1 za każdy stwierdzony przypadek ujawnienia informacji lub innego naruszenia bezpieczeństwa informacji.
Zamawiający ma prawo na zasadach ogólnych dochodzić odszkodowania przenoszącego wysokość zastrzeżonych kary umownej.
Kary umowne mogą być naliczane niezależnie i podlegają sumowaniu.
Strony ustalają, iż naliczona przez Zamawiającego kara umowna może być przez niego potrącona z wynagrodzenia należnego Wykonawcy, wskazanego w § 3 ust. 1, na co niniejszym Wykonawca wyraża nieodwołalną zgodę.
W przypadku wystąpienia osoby trzeciej przeciwko Zamawiającemu z roszczeniami z tytułu naruszenia praw autorskich w związku z realizacją niniejszej Umowy, Wykonawca ponosi pełną odpowiedzialność z tego tytułu i zobowiązuje się do zaspokojenia roszczeń osób trzecich
i zwolnienia Zamawiającego z obowiązku świadczenia z tego tytułu.

§ 7

Bezpieczeństwo Informacji

Informacją w rozumieniu Umowy są wszystkie dane, materiały lub dokumenty, pisemne, elektroniczne lub ustne, przekazane lub pozyskane przez Wykonawcę w związku z realizacją Umowy.
Informacje stanowią wyłączną własność Ministerstwa Sprawiedliwości.
Wykonawca może przetwarzać powierzone mu przez Zamawiającego informacje tylko przez okres obowiązywania Umowy.
Wykonawca zobowiązuje się po zakończeniu realizacji Umowy do zwrotu Zamawiającemu wszelkich udostępnionych oraz wytworzonych przez siebie w związku z realizacją Umowy informacji, wraz z nośnikami. W przypadku utrwalenia na nośnikach należących do Wykonawcy informacji uzyskanych w związku z realizacją Umowy, Wykonawca zobowiązuje się do usunięcia z nośników tych informacji, w tym również sporządzonych kopii zapasowych, oraz zniszczenia wszelkich danych, dokumentów mogących posłużyć do odtworzenia, w całości lub części, takich informacji.
Wykonawca zobowiązuje się do zachowania w tajemnicy wszystkich informacji, a także sposobów zabezpieczenia informacji, zarówno w trakcie trwania niniejszej Umowy, jak i po jej wygaśnięciu lub rozwiązaniu. Wykonawca ponosi pełną odpowiedzialność za zachowanie w tajemnicy ww. informacji przez osoby, którymi się posługuje przy realizacji Umowy.
Wykonawca zobowiązany do dołożenia najwyższej staranności w celu zabezpieczenia informacji przed bezprawnym dostępem, rozpowszechnianiem lub przekazaniem osobom trzecim w tym do zastosowania wszelkich niezbędnych środków technicznych i organizacyjnych zapewniających ochronę przetwarzania informacji, a w szczególności powinien zabezpieczyć informacje przed ich udostępnieniem osobom nieuprawnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem postanowień Umowy, zmianą, utratą, uszkodzeniem lub zniszczeniem.
Wykonawca zobowiązany jest zapewnić wykonanie obowiązków w zakresie bezpieczeństwa informacji, w szczególności dotyczącego zachowania w tajemnicy informacji, także przez jego pracowników oraz osoby, które realizują Umowę w imieniu Wykonawcy. Odpowiedzialność za naruszenie powyższego obowiązku spoczywa na Wykonawcy. Naruszenie bezpieczeństwa informacji, w szczególności ujawnienie jakiejkolwiek informacji w okresie obowiązywania Umowy, uprawnia Zamawiającego do naliczenia kary umownej o której mowa w § 6 ust 1 pkt. 3 oraz do odstąpienia od Umowy.
Wykonawca może udostępniać informacje jedynie tym swoim pracownikom, którym będą one niezbędne do wykonania powierzonych im czynności i tylko w zakresie, w jakim muszą mieć do nich dostęp dla celów określonych w niniejszej Umowie.
Wykonawca ponosi wszelką odpowiedzialność, tak wobec osób trzecich, jak i wobec Zamawiającego, za szkody powstałe w związku z nienależytą realizacją obowiązków dotyczących ochrony informacji.
Wykonawca zobowiązuje się do ścisłego przestrzegania warunków niniejszej Umowy,
w szczególności nie może bez pisemnego upoważnienia Zamawiającego wykorzystywać informacji w celach niezwiązanych z realizacją Umowy.
Wykonawca może przetwarzać informacje tylko w wersji elektronicznej .
W przypadku wystąpienia incydentu związanego z bezpieczeństwem informacji lub z naruszeniem obowiązków wynikających z Umowy, Zamawiający może przeprowadzić kontrolę wykonywanych przez Wykonawcę czynności. Kontrola może być realizowana przez Zamawiającego lub podmioty przez niego uprawnione.
Wykonawca zobowiązany jest współpracować z Zamawiającym w odpowiednim zakresie z podmiotami przeprowadzającymi kontrolę.
Wyniki kontroli zostaną przekazane Wykonawcy po jej zakończeniu. Zamawiający może wskazać niezbędne działania, jakie Wykonawca musi podjąć w celu wprowadzenia określonych zmian lub podjęcia określonych czynności.
Wykonawca zobowiązany jest do natychmiastowego pisemnego powiadamiania o nieuprawnionym ujawnieniu lub udostępnieniu informacji oraz o innym naruszeniu bezpieczeństwa informacji, a następnie raportowania Zamawiającemu o podjętych działaniach w powyższym zakresie:
1. telefonicznie, na numer telefonu 000-000-000;
2. na adres email xxxxxxxx.xxxxxxx@xx.xxx.xx;

Powiadomienie dokonane telefonicznie musi zostać potwierdzone poprzez jeden ze sposobów wskazanych w pkt 2. w terminie jednej godziny od dokonania powiadomienia.

Wykonawca nie może zwielokrotniać, rozpowszechniać, korzystać w celach niezwiązanych z realizacją Umowy oraz ujawniać informacji osobom trzecim, bez uzyskania w powyższym zakresie pisemnej zgody Zamawiającego, o ile takie informacje nie zostały już podane do publicznej wiadomości lub nie są publicznie dostępne.
Wykonawca zobowiązany jest:
1. zapewnić kontrolę nad tym, jakie informacje, kiedy, przez xxxx oraz komu są przekazywane, zwłaszcza gdy przekazuje się je za pomocą teletransmisji danych;
2. zapewnić, aby osoby, o których mowa w pkt 1, zachowywały w tajemnicy informacje oraz sposoby ich zabezpieczeń.
Wykonawca nie może powierzyć przetwarzania informacji innym podmiotom bez uprzedniego uzyskania w tym przedmiocie pisemnej zgody Zamawiającego.
W przypadku powierzenia przez Wykonawcę informacji, Wykonawca odpowiada za działania i zaniechania tych podmiotów, jak za własne działania lub zaniechania.
Wykonawca zobowiązuje się do zachowania w tajemnicy wszystkich informacji uzyskanych przez niego w związku z zawarciem Umowy. Wykonawca ponosi pełną odpowiedzialność za zachowanie w tajemnicy ww. informacji przez podmioty, przy pomocy których wykonuje Xxxxx.
Wykonawca zobowiązany jest zapewnić wykonywanie postanowień umownych przez podwykonawców na takich samych warunkach jak określone w niniejszej Umowie.

§ 8

Zamawiający oświadcza, że będzie przetwarzał dane osobowe przekazane przez Wykonawcę w związku z realizacją przedmiotu umowy oraz, że posiada wdrożone odpowiednie środki techniczne i organizacyjne wymagane na mocy art. 32 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE oraz przepisów ustawy o ochronie danych osobowych.
Zamawiający informuje, że zgodnie z art. 13 rozporządzenia Parlamentu Europejskiego
i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych
w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
Dz. Urz. UE L 119/1:

1) administratorem danych osobowych osób reprezentujących Wykonawcę jest Minister Sprawiedliwości z siedzibą w Warszawie, Al. Ujazdowskie 11,

2) dane osobowe osób, o których mowa w punkcie 1, to w szczególności: imię i nazwisko, xxxx kontaktowe,

3) kontakt z Inspektorem Ochrony Danych – Xxxxxx Xxxxxxxx, tel. 00 00 00 000,
e-mail:xxx@xx.xxx.xx,

4) dane osobowe osób, o których mowa w punkcie 1, przetwarzane będą w celu realizacji umowy - na podstawie art. 6 ust. 1 lit. b ogólnego rozporządzenia o ochronie danych,

5) odbiorcami danych osobowych osób, o których mowa w punkcie 1, będą: - organy kontrolne i nadzorcze oraz audyt, w tym ZUS, US,

6) dane osobowe osób, o których mowa w punkcie 1, przechowywane będą zgodnie
z postanowieniami instrukcji kancelaryjnej Ministerstwa Sprawiedliwości,

7) osoby, o których mowa w punkcie 1, posiadają prawo do żądania od administratora dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, 8) osoby, o których mowa w punkcie 1, mają prawo wniesienia skargi do organu nadzorczego, tj. Prezesa Urzędu Ochrony Danych Osobowych (adres: xx. Xxxxxx 0, 00-000 Xxxxxxxx),

W stosunku do danych osobowych przekazanych Wykonawcy przez Zamawiającego, Wykonawca oświadcza, że zgodnie z art. 13 rozporządzenia Parlamentu Europejskiego
i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych
w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
Dz. Urz. UE L 119/1:

posiada wdrożone odpowiednie środki techniczne i organizacyjne wymagane na mocy art. 32 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE oraz przepisów ustawy o ochronie danych osobowych.
będzie przetwarzał dane osobowe przekazane przez Xxxxxxxxxxxxx dane osobowe w tym dane dot. uczestników szkolenia tylko w celach związanych z realizacją przedmiotu umowy na podstawie art. 6 ust. 1 lit. b ogólnego rozporządzenia o ochronie danych,
administratorem danych osobowych przekazanych przez Zamawiającego jest,
dane osobowe osób, o których mowa w pkt 2, to w szczególności: imię
i nazwisko, xxxx kontaktowe,
osoby, o których mowa w punkcie 2, posiadają prawo do żądania od administratora dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania,
osoby, o których mowa w punkcie 1, mają prawo wniesienia skargi do organu nadzorczego, tj. Prezesa Urzędu Ochrony Danych Osobowych (adres: xx. Xxxxxx 0, 00-000 Xxxxxxxx).

W przypadku naruszenia przez Wykonawcę zasad ochrony powierzonych mu do przetwarzania danych osobowych, Wykonawca ponosi pełną odpowiedzialność wobec Zamawiającego oraz osób, których dane osobowe będzie przetwarzał w związku z realizacją Przedmiotu Umowy.

§ 9

Zmiany umowy

W przypadku zmian wymagań bezpieczeństwa informacji obowiązujących u Zamawiającego Strony dopuszczają wprowadzenie zmian do Umowy w zakresie postanowień dotyczących zasad bezpieczeństwa informacji i odpowiedzialności Wykonawcy za naruszenie określonych w Umowie zasad.
Strony dopuszczają możliwość zmiany terminu wykonania Umowy jedynie w przypadku gdy spowodowane to jest przyczynami leżącymi po Stronie Zamawiającego.
Wszelkie zmiany Umowy, jej uzupełnienie lub rozwiązanie za zgodą obu stron, jak również odstąpienie od niej albo za jej wypowiedzenie wymaga zachowania formy pisemnej, pod rygorem nieważności.

§ 10

Odstąpienie od Umowy

Zamawiający może odstąpić od części lub całości Umowy w przypadkach określonych
w przepisach obowiązującego prawa, w szczególności Kodeksu cywilnego.
Jeżeli Wykonawca opóźnia się z rozpoczęciem lub zakończeniem wykonania Umowy tak dalece, że nie jest prawdopodobne, żeby zdołał ją ukończyć w czasie umówionym, Zamawiający może, bez wyznaczenia terminu dodatkowego, od Umowy odstąpić jeszcze przed upływem terminu wykonania Umowy
Zamawiający może odstąpić od Umowy, z przyczyn leżących po stronie Wykonawcy, w przypadku:

złożenia wniosku o ogłoszenie upadłości lub otwarcia likwidacji Wykonawcy,
gdy w uzasadnionej ocenie Zamawiającego wykonawstwo przedmiotu umowy odbiega od opisu i wymagań określonych w Załączniku nr 1,
nieterminowego wykonania przedmiotu umowy przez Wykonawcę
tj., gdy Wykonawca opóźnia się z przeprowadzeniem szkolenia lub egzaminu, o co najmniej 7 dni w stosunku do terminu umownego określonego w § 2,
w przypadku zaistnienia istotnej zmiany okoliczności powodującej, że wykonanie Umowy nie leży w interesie publicznym, czego nie można było przewidzieć w chwili zawarcia Umowy, w ciągu 30 dni od dnia powzięcia wiadomości o tej okoliczności.

W przypadku odstąpienia od Umowy określonego w ust. 3 Wykonawca może żądać jedynie wynagrodzenia należnego mu z tytułu faktycznego wykonania części Umowy.
Odstąpienie od Umowy następuje w formie pisemnej pod rygorem nieważności, ze wskazaniem przyczyny odstąpienia. Oświadczenie Zamawiającego dotyczące odstąpienia od umowy, (z wyłączeniem postanowień ust.3 pkt. 6) powinno być złożone na piśmie w terminie do 7 dni od daty powzięcia informacji o przyczynach odstąpienia.
Skorzystanie z prawa odstąpienia od Umowy nie znosi odpowiedzialności z tytułu naliczonych przed odstąpieniem kar umownych i nie wyłącza uprawnienia Zamawiającego do ich dochodzenia.

§ 10

Postanowienia końcowe

Prawem właściwym dla Umowy jest prawo polskie.
Żadna ze Stron Umowy nie może przenieść praw i obowiązków wynikających z niniejszej Umowy na osobę trzecią bez uprzedniego uzyskania zgody drugiej Strony, wyrażonej w formie pisemnej pod rygorem nieważności.
Sądem właściwym do rozstrzygnięcia sporów wynikłych z realizacji postanowień niniejszej Umowy będzie sąd miejscowo właściwy dla siedziby Zamawiającego.
Umowę sporządzono w trzech jednobrzmiących egzemplarzach, w tym dwa egzemplarze dla Zamawiającego i jeden dla Wykonawcy.

Załączniki:

Załącznik nr 1 – Opis Przedmiotu Zamówienia

Załącznik nr 2 – Wzór Protokołu odbioru szkolenia

Załącznik nr 3 – Wzór Protokołu odbioru egzaminu

Załącznik nr 4 – Uprawnienie do reprezentacji Wykonawcy

ZAMAWIAJĄCY WYKONAWCA

Załącznik nr 1 do umowy nr … z dnia …………

Opis przedmiotu zamówienia

I. Przedmiot zamówienia:

Przeprowadzenie szkoleń z zakresu egzaminu Certified Information Systems Security Professional oraz organizacja egzaminu certyfikacyjnego.

II. Zakres i wymagania szczegółowe szkolenia w zakresie Certified Information Systems Security Professional (CISSP)

W szkoleniu i egzaminach uczestniczyć będzie dwóch pracowników Zamawiającego.
Każdy uczestnik otrzyma dokument poświadczający ukończenie szkolenia.
Szkolenia muszą zostać przeprowadzone w języku polskim.
Materiały szkoleniowe mogą być w języku polskim lub angielskim.
Egzaminy muszą zostać przeprowadzone w języku polskim lub angielskim
Wykonawca zobowiązuje się do zaproponowania co najmniej dwóch terminów szkoleń i egzaminów do wyboru przez Zamawiającego.
Zakres merytoryczny szkolenia przygotowującego do egzaminu CISSP CAT musi obejmować wszystkie tematy wyszczególnione w dokumencie „CISSP Exam Outline”, dostępnym na oficjalnej stronie (ISC)², to jest:
1. security and risk management:
  1. understand and apply security governance principles: alignment of security function to business strategy, goals, mission and objectives; organizational processes (e. g. acquisitions, divestitures, governance comittiees), organizational roles and responsibilites; security control frameworks; due care/due diligience,
  2. determine compliance requirements: contractual, legal, industry standards, and regulatory requirements; privacy requirements;
  3. understand legal and regulatory issues that pertain to information security in global context: cyber crimes and data breaches; licensing and intellectual property requirements; import/export controls; trans-border data flow; privacy;
  4. understand, adhere to and promote professional ethics: (ISC)^2 code of professional ethics; organizational code of ethics;
  5. develop, document and implement security policy standards, procedures and guidelines,
  6. identify, analyze and proritize business continuity (BC) requirements: develop and document scope and plan; business impact analysis (BIA);
  7. contribute to and enforce personnel security policies and procedures: candidate screening and hiring; employment agreements and policies; onboarding and termination processes; vendor, consultant and contractor agreement and controls; compliance policy requirements; privacy policy requirements;
  8. understand and apply risk management concepts: identify threats and vulnerabilities; risk assessment/analysis; risk response; countermeasures selection and implementation; applicable types of controls (e. g., preventive, detective, corrective); security control assessment (SCA); monitoring and measurement; asses valuation; reporting; continuous improvement; risk frameworks;
  9. understand and apply threat modeling concepts and methodologies: threat modeling methodologies; threat modeling concepts;
  10. apply risk-based management concepts to the supply chain: risk associated with hardware, software and services; third-party assessment and monitoring; minimum security requirements; service-level requirements;
  11. establish and maintain a security awareness, education and training program: methods and techniques to present awareness and training; periodic content reviews; program effectiveness evaluation;
2. asset security:
  1. identify and classify information and assets: data classification, asset classification;
  2. determine and maintain information and asset ownership;
  3. protect privacy: data owners; data processers; data remanence; collection limitation;
  4. ensure appropriate asset retention;
  5. determine data security controls: understand data states; scoping and tailoring; standards selection; data protection methods;
  6. establish information and asset handling requirements;
3. security architecture and engineering:
  1. implement and manage engineering processes using secure design principles;
  2. understand the fundamental concepts of security models;
  3. select controls based upon systems security requirements;
  4. understand security capabilities of information systems (e.g., memory protection, Trusted Platform Module (TPM), encryption/decryption);
  5. assess and mitigate the vulnerabilities of security architectures, designs and solution elements: client-based systems; server-based systems; database systems; cryptographic systems; industrial control systems (ICS); cloud-based systems; distributed systems; internet of things (IoT);
  6. assess and mitigate vulnerabilities in web-based systems;
  7. assess and mitigate vulnerabitilies in mobile systems;
  8. assess and mitigate vulnerabilities in embedded devices;
  9. apply cryptography: cryptographic life cycle (e.g., key management, algorithm selection); cryptographic methods (e.g., symmetric, asymmetric, elliptic curves); Public Key Infrastructure (PKI); key management practices; digital signatures; non-repudiation; integrity (e.g., hashing); understand methods of cryptoanalytic attacks; digital rights management (DRM);
  10. apply security principles to site and facility design;
  11. implement site and facility security console controls: wiriting closets/intermediate distribution facilities; server rooms/data centers; media storage facilities; evidence storage; restricted and work area security; utilities and heating, ventilation, and air conditioning (HVAC); environmental issues; fire prevention, detection and suppression;
4. communication and network security:
  1. open system interconnection (OSI) and transmission control protocol/internet protocol (TCP/IP) models; internet protocol (IP) networking; implications of multilayer protocols; converged protocols; software-defined networks; wireless networks;
  2. secure network components: operation of hardware; transmission media; network access control (NAC); endpoint security; content-distribution networks;
  3. implement secure communication channels according to design: voice; multimedia collaboration; remote access; data communications; virtualized networks;
5. identity and access management (IAM):
  1. control physical and logical access to assets: information, systems, devices, facilities;
  2. manage identification and authentication of people, devices and services: identity management implementation, single/multi-factor authentication; accountabilitiy; session management; registration and proofing of identity; federated identity management (FIM); credential management systems;
  3. integrate identity as a third-party service: on-premise; cloud; federated;
  4. implement and manage authorization mechanisms: role based access control (RBAC); rule-based access control, mandatory access control (MAC); discretionary access control (DAC); attribute based access control (ABAC);
  5. manage the identity and access provisioning cycle: user access review; system account access review; provisioning and deprovisioning;
6. security assessment and testing:
  1. design and validate assessment, test, and audit strategies: internal; external; third-party;
  2. conduct security control testing: vulnerability assessment; penetration testing; log reviews; synthetic transactions; code review and testing; misuse case testing; test coverage analysis; interface testing;
  3. collect security process data (e.g., technical and administrative): account management; management review and approval; key performacne and risk indicators; backup verification data; training and awareness; disaster recovery (DR) and business continuity (BC);
  4. analyze test output and generate report;
  5. conduct or facilitate security audits: internal; external; third-party;
7. security operations:
  1. understand and support investigations: evidence collection and handling; reporting and documentation; investigate techniques; digital forensics tools, tactics, and procedures;
  2. understand requirements for investigation types: administrative; criminal; civil; regulatory; industry standards;
  3. conduct logging and monitoring activities: intrusion detection and prevention; security information and event management (SIEM); continuous monitoring; egress monitoring;
  4. securely provisioning resources: asset inventory; asset management; configuration management;
  5. understand and apply founfdational security operations concepts: need-to-know/least privileges; separation of duties and responsibilities; privileged account management; job rotation; information lifecycle; service level agreements (SLA);
  6. apply resource protection techniques: media management; hardware and software asset management;
  7. conduct incident management: detection; response; mitigation; reporting; recovery; remediation; lessons learned;
  8. operate and maintaing detective and preventative measures: firewall;s intrusion detection and prevention systems; whitelisting/blacklisting; third-party provided security services; sandboxing; honeypots/honeynets; anti-malware;
  9. implement and support patch and vulnerability management;
  10. understand and participate in change management processes;
  11. implement recovery strategies: backup storage strategies; recovery site strategies; multiple processing sites; system resilience, high availability, quality of service (QoS), and fault tolerance;
  12. implement disaster recovery (DR) processes: response; personnel; communications; assessment; restoration; training and awareness;
  13. test disaster recovery plans (DRP): read-through/tabletop; walkthrough; simulation; parallel; full interruption;
  14. participate in business continuity (BC) planning and exercises;
  15. implement and manage physical security: perimeter security controls; internal security controls;
  16. address personnel safety and security concerns: travel; security and training awareness; emergency management; duress;
8. software development security:
  1. understand and integrate security in the software development life cycle (SDLC): development methodologies; maturity models; operation and maintenance; change management; integrated product team;
  2. identify and apply security controls in development environments: security of the software evnironments; configuration management as an aspect of secure coding; security of code repositories;
  3. assess the effectiveness of software security: auditing and logging of changes; risk and analysis mitigation;
  4. assess security impact of acquired software;
  5. define and apply secure coding guidelines and standards: security weaknesses and vulnerabilities at the source-code level; security of application programming interfaces; secure coding practices;

IV. Warunki przeprowadzania szkolenia w zakresie Certified Information Systems Security Professional (CISSP)

Wykonawca, przygotuje harmonogram szkolenia oraz program szkolenia i dostarczy je w terminie nie później niż 7 dni roboczych przed dniem rozpoczęcia szkolenia do akceptacji przez Zamawiającego. Harmonogram zajęć powinien zawierać informacje dotyczące czasu i miejsca realizacji szkolenia. .Akceptacja Harmonogramu przez zamawiającego nastąpi w uzgodnionym miedzy Stronami trybie roboczym.
Wykonawca przygotuje i zapewni materiały szkoleniowe dla każdego uczestnika szkolenia, pozwalające na samodzielną edukację z zakresu tematyki szkolenia (np. opracowania, wydruki materiałów szkoleniowych, podręcznik etc.).
Komplet materiałów szkoleniowych dla każdego uczestnika szkolenia obejmuje papierową wersję lub elektroniczną materiałów szkoleniowych. Zamawiający dopuszcza dostarczenie materiałów w formie elektronicznej, np. dokumenty w standardzie PDF, w miejsce materiałów papierowych.
Wykonawca dostarczy uczestnikom szkolenia ww. materiały szkoleniowe najpóźniej w dniu rozpoczęcia szkolenia..
Koszty opracowania, powielenia i transportu materiałów szkoleniowych ponosi Wykonawca.
Wszystkie materiały, wykorzystane w trakcie szkolenia lub materiały źródłowe, do których jakiekolwiek prawa zostały lub zostaną nabyte przez Wykonawcę celem realizacji przedmiotu umowy, nie naruszają praw autorskich osób trzecich, przepisów ustawy o ochronie danych osobowych oraz uprawnień jakichkolwiek osób związanych z rozpowszechnianiem ich wizerunku, są wolne od niedozwolonych zapożyczeń oraz nie mają miejsca żadne inne okoliczności, które mogłyby narazić Zamawiającego na odpowiedzialność wobec osób trzecich w wyniku ich wykorzystania w trakcie szkolenia.
Wykonawca dla uczestników szkolenia zapewni wyżywienie, o którym mowa w ust. 7. Posiłki serwowane będą w odpowiednim pomieszczeniu, wyposażonym w niezbędną liczbę stołów i krzeseł. Zamawiający nie dopuszcza serwowania posiłków w tej samej sali, w której odbywają się szkolenia. Miejsce posiłku nie powinno być oddalone dalej niż 10 minut drogi pieszo od miejsca szkolenia; obiady powinny być zróżnicowane, dany zestaw obiadowy nie powinien powtarzać się częściej niż raz na 3 dni szkoleniowe; Wykonawca zapewni co najmniej 2 przerwy kawowe podczas jednego dnia szkoleniowego.
W zakresie wyżywienia uczestników szkolenia, Wykonawca zapewni:
Wykonawca zobowiązany jest do:
Czas na przerwy kawowe i obiadowe należy doliczyć do założonej liczby godzin szkolenia.
Koszty posiłków, dowozu, sprzętu i obsługi ponosi Wykonawca.

V. Warunki i wymagania dotyczące przeprowadzania egzaminów w zakresie Certified Information Systems Security Professional (CISSP)

Wykonawca zapewni na cele realizacji przedmiotu zamówienia bazę egzaminacyjną z odpowiednimi pomieszczeniami wraz z zapleczem do przeprowadzenia egzaminów dla osób dorosłych, tj. sale dostosowane do przeprowadzania egzaminów, dobrze oświetlone (światło dzienne i sztuczne), wentylowane (z dostępem do świeżego powietrza), posiadające odpowiednie warunki sanitarne, bezpieczeństwa i higieny pracy, wyposażone w akustyczne i jakościowe narzędzia i urządzenia, a także oprogramowanie i pomoce dydaktyczne niezbędne do wykonania zamówienia.
W pobliżu sali egzaminacyjnej (w tym samym budynku) powinny znajdować się łazienki z węzłem sanitarnym.
Egzamin zostanie przeprowadzony nie wcześniej niż 2 miesiące i nie później niż 6 miesięcy po zakończeniu szkolenia.
Egzamin odbędzie się w dzień powszedni od poniedziałku do piątku, w godzinach od 8:00 do 17:00.
Egzamin zostanie przeprowadzony na terenie Warszawy.
Do egzaminu przystąpi dwóch pracowników Zamawiającego, którzy ukończyli szkolenie.
Każdy uczestnik otrzyma dokument potwierdzający przystąpienie do egzaminu wraz z jego wynikami.
Egzamin będzie przeprowadzony w języku polskim lub angielskim.
Wykonawca zobowiązuje się do wskazania trzech terminów egzaminu do wyboru przez Xxxxxxxxxxxxx.
Podmiot przeprowadzający egzamin CISSP musi posiadać status podmiotu egzaminującego autoryzowanego przez (ISC)2.

Załącznik nr 2 do umowy nr … z dnia …………

Protokół odbioru szkolenia

Warszawa, dnia …………

Protokół z przeprowadzonego szkolenia Certified Information Systems Security Professional

W dniach ……… - ……… odbyło się szkolenie z zakresu egzaminu Certified Information Systems Security Professional.

Plan szkolenia:

Dnia …:
1. …
2. …
3. etc.
Dnia …:
1. …
2. …
3. etc.
etc.

W szkoleniu udział wzięli:

Dnia …:
1. …
2. …
3. etc.
Dnia …:
1. …
2. …
3. etc.
etc.

………………………………………………………………… ………………………………………………………

podpis osoby przeprowadzającej szkolenie podpis osoby odbierającej szkolenie

Załącznik nr 3 do umowy nr … z dnia …………

Protokół odbioru egzaminu

Warszawa, dnia …………

Protokół z przeprowadzonego egzaminu Certified Information Systems Security Professional

W dniach ……… - ……… odbył się egzamin Certified Information Systems Security Professional.

W egzamine udział wzięli:

………………………………………………………………… ………………………………………………………

podpis osoby przeprowadzającej egzamin podpis osoby odbierającej egzamin

Document Metadata

Table of Contents

Umowa nr MS/……..

Document Metadata