Передсертифікаційний аудит системи управління інформаційною безпекою Національного банку України - 72810000-1

ПОВІДОМЛЕННЯ з вимогою про усунення невідповідностей 1. Перелік виявлених невідповідностей: у тендерній пропозиції учасника ТОВ “ДКС СЕРТИФІК УКРАЇНА” на закупівлю “Передсертифікаційний аудит системи управління інформаційною безпекою Національного банку України - 72810000-1” (оголошення UA-2024-06-14-002918-a), встановлені невідповідності в інформації та/або документах, що подані ним у своїй тендерній пропозиції, а саме: - у складі тендерної пропозиції учасника не надано сертифікати, видані відповідним органом сертифікації, які підтверджують право проводити оцінку відповідності (аудит) системи управління інформаційною безпекою вимогам міжнародного стандарту ISO/IEC 27001 на фахівців Кравченко Олександр, Рой Яніна, Гьохан Доган, зазначених у довідці про працівників віл 24.06.2024. Замість них надані сертифікати про призначення на Кравченко Олександр, Рой Яніна, Гьохан Доган, які є внутрішніми документами компанії DQS Holding GmbH, що інформують про призначення персоналу аудиторами компанії DQS, що не відповідає вимогам пункту 2.2 Додатку 1 до тендерної документації; - у складі тендерної пропозиції учасника надано сертифікат про акредитацію D-ZM-16074-01-00 від 16.12.2019 та додаток до атестату про часткову акредитацію від 22.09.2023, видані компанії DQS GmbH (файли «4.1_Атестат акредитація DAkkS_DQS GmbH +переклад.pdf», «4.1_Додаток до Атестату акредитації + переклад.pdf»), які засвідчують право DQS GmbH проводити сертифікацію систем управління інформаційною безпекою на відповідність міжнародному стандарту ISO/IEC 27001:2022. В свою чергу учасник (ТОВ “ДКС СЕРТИФІК УКРАЇНА”) не є органом сертифікації чи представником органу сертифікації, оскільки надана у складі тендерної пропозиції ліцензійна угода №3 від 02.01.2021 (не у повному обсязі), засвідчує, що ТОВ “ДКС СЕРТИФІК УКРАЇНА” є ліцензіатом DQS Holding GmbH. Разом з тим, учасником не надано у складі тендерної пропозиції сертифікат з акредитації, виданий на DQS Holding GmbH, що не відповідає вимогам пункту 4.1 Додатку 1 до тендерної документації; - у складі тендерної пропозиції учасника надано документ «License agreement/Лицензионное соглашение» (мовою оригіналу) № 3 від 02.01.2021 (файл «4.1_Ліцензійна угода DQS від 2 січня 2021 року.pdf» не у повному обсязі (1, 2, 5 та 24 сторінки), а також без автентичного перекладу українською мовою, що не відповідає вимогам пункту 7 «Інформація про мову (мови), якою (якими) повинні бути складені тендерні пропозиції» розділу І. Загальні положення тендерної документації; - у складі тендерної пропозиції учасника надана довідка про наявність досвіду виконання аналогічних договорів (Форма 2) від 24.06.2024, в якій у пункті 12 ПАТ НЕК “Укренерго” у стовпчику 3 та 4 вказано версію стандарту, за яким відбувався аудит «ISO/IEC 27001:2013», при цьому у стовпчику 5 вказано іншу версію «ISO/IEC 27001:2022». Також у пункті б/н (між пунктами 15 та 16), замовник ПАТ НЕК “Укренерго” стовпчику 4 вказано версію стандарту, за яким відбувався аудит «ISO/IEC 27001:2012», при цьому у стовпчиках 3 та 5 вказано іншу версію «ISO/IEC 27001:2022», що не відповідає вимогам пункту 2.3 Додатку 1 до тендерної документації; - у складі тендерної пропозиції учасника надана довідка про наявність досвіду виконання аналогічних договорів (Форма 2) від 24.06.2024. При цьому, до вищезазначеної довідки не надано документальне підтвердження виконання договору, зазначеному в пункті 16 (замовник послуг: ТОВ “ВІН ІНТЕРАКТІВ”; вид аудиту: ресертифікаційний; рік надання послуг: 2024), а саме: лист(-и)-відгук(-и) та/або рекомендаційний(-) лист(-и), та/або договір(-и), та/або акт(-и) про приймання-передавання наданих послуг з оцінки відповідності (сертифікаційних/ ресертифікаційних/ наглядових аудитів) систем управління інформаційною безпекою вимогам міжнародного стандарту ISO/IEC 27001, що не відповідає вимогам пункту 2.4 Додатку 1 до тендерної документації. 2. Посилання на вимогу (вимоги) тендерної документації, щодо якої (яких) виявлені невідповідності: пункти 2.2, 2.3, 2.4, 4.1 Додатку 1, Додатку 1.1 до тендерної документації та пункт 7 «Інформація про мову (мови), якою (якими) повинні бути складені тендерні пропозиції» розділу І. Загальні положення тендерної документації. 3. Перелік інформації та/або документів, які повинен подати учасник для усунення виявлених невідповідностей: - до вищезазначеної довідки учасник повинен надати на кожного фахівця, зазначеного в довідці актуальні сертифікати, видані відповідним органом сертифікації, який/які підтверджує(-ють) право проводити оцінку відповідності (аудит) системи управління інформаційною безпекою вимогам міжнародного стандарту ISO/IEC 27001. У разі надання учасником вказаних вище сертифікатів іноземною мовою, окрім англійської, вони повинні бути перекладені українською мовою. Переклад повинен бути засвідчений підписом уповноваженої особи учасника (якщо учасником є фізична особа, підписами перекладача та учасника – фізичної особи/ фізичної-особи підприємця). - довідка учасника, завірена підписом уповноваженої особи учасника, з інформацією про наявність в учасника досвіду виконання аналогічного(-их) договору(-ів) з проведення оцінки відповідності (сертифікаційних/ ресертифікаційних/ наглядових аудитів) системи управління інформаційною безпекою на відповідність вимогам міжнародного стандарту ISO/IEC 27001 за 4 роки, що передують даті подання тендерних пропозицій за встановлено формою 2. *Хоча б один із договорів на надання послуг, із зазначених в довідці, має бути на проведення оцінки відповідності (сертифікаційних/ ресертифікаційних/ наглядових аудитів) системи управління інформаційною безпекою вимогам міжнародного стандарту ISO/IEC 27001 версії 2022 року. - учасник додатково до вищезазначеної довідки повинен надати по кожному договору, зазначеному в довідці, документальне підтвердження його/їх виконання, а саме: лист(-и)-відгук(-и) та/або рекомендаційний(-) лист(-и), та/або договір(-и), та/або акт(-и) про приймання-передавання наданих послуг з оцінки відповідності (сертифікаційних/ ресертифікаційних/ наглядових аудитів) систем управління інформаційною безпекою вимогам міжнародного стандарту ISO/IEC 27001. - документ, підтверджуючий акредитацію учасника або організації, представником якої є учасник, для проведення оцінки відповідності (сертифікаційного аудиту) систем управління інформаційною безпекою вимогам міжнародного стандарту ISO/IEC 27001:2022, підтверджену органом акредитації, який є членом International Accreditation Forum, Inc., IAF. - ліцензійну угоду № 3 від 02.01.2021 у повному обсязі та її автентичний переклад українською мовою. Переклад повинен бути засвідчений підписом учасника (якщо учасником є фізична особа – підписами перекладача та учасника-фізичної особи). Визначальним є текст, викладений українською мовою.

ПОВІДОМЛЕННЯ з вимогою про усунення невідповідностей 1. Перелік виявлених невідповідностей: у тендерній пропозиції учасника ТОВ “ІНТЕРНЕШНЛ МЕНЕДЖМЕНТ СІСТЕМС” на закупівлю “Передсертифікаційний аудит системи управління інформаційною безпекою Національного банку України - 72810000-1” (оголошення UA-2024-06-14-002918-a), встановлені невідповідності в інформації та/або документах, що подані ним у своїй тендерній пропозиції, а саме: - надано документ лист щодо наявності працівників відповідної кваліфікації № 62 від 25.06.2024, який не містить інформації про кількість днів аудиту (стовпець 4)), місяця проведення аудиту (лише рік) (стовпець 8), не вказана інформація щодо трудових відносин, а саме в штатному розкладі учасника чи залучається на договірній основі (стовпець 3), що не відповідає вимогам пункту 2.1 Додатку 1, Додатку 1.1 до тендерної документації. Також, документ містить не вірну назву, а саме надано лист «Щодо наявності працівників відповідної кваліфікації» замість «Довідка про працівників» (Форма 1 Додатку 1.1 до тендерної документації); - до вищезазначеної довідки не надано сертифікати, видані відповідним органом сертифікації, які підтверджують право проводити оцінку відповідності (аудит) системи управління інформаційною безпекою вимогам міжнародного стандарту ISO/IEC 27001 на фахівців Сільвестров Руслан, Масло Олена, Козлова Ірина, Сергій Давиденко. Замість них надані документи (файл “Сертифікати аудиторів”), що засвідчують лише факт проходження працівниками навчання, яке потрібне для подальшої сертифікації на право проводити оцінку відповідності (аудит) системи управління інформаційною безпекою вимогам міжнародного стандарту ISO/IEC 27001. Також сертифікати на фахівців Давиденко Сергій, Магун Михайло видані Bureau Veritas Certification №IS/16/UA/2953 та №IS/16/UA/2960 від 19.04.2016 відповідно, містять інформацію про те що сертифікати дійсні 3 роки для сертифікації аудиторів в IRSA, отже строки їх дії закінчилися (не актуальні), що не відповідає вимогам пункту 2.2 Додатку 1 до тендерної документації та пункту 1 розділу ІІІ. Інструкція з підготовки тендерної пропозиції тендерної документації. - надано лист щодо наявності досвіду аналогічних договорів №63 від 25.06.2024, в якому у пункті 2 у стовпчику 3 «Предмет закупівлі» вказано версію «ISO/IEC 27001:2013», при цьому у стовпчиках 4 та 5 вказано іншу версію «ISO 27001:2022», що не відповідає вимогам пункту 2.3 Додатку 1 до тендерної документації. Також, документ містить не вірну назву, а саме надано лист «Щодо наявності досвіду аналогічних договорів» замість «Довідка про наявність досвіду виконання аналогічного(-их) договору(-ів)» (Форма 2 згідно п.2.3 Додатку 1 до тендерної документації); - учасником надано додаток до сертифікату з акредитації D-ZM-12007-01-06 від 12.10.2023, якій містить умову: “Цей додаток до сертифікату дійсний лише разом із сертифікатом, виданим у письмовій формі, і відображає статус на момент дати видачі” (файл “Акредитація TUV NORD.pdf”), при цьому у складі тендерної пропозиції відсутній сертифікат з акредитації, що не відповідає вимогам пункту 4.1 Додатку 1 до тендерної документації; Крім того, додаток до сертифікату про акредитацію D-ZM-12007-01-06 від 12.10.2023, виданий компанії ТЮФ НОРД СЕРТ ГмбХ, який засвідчує право ТЮФ НОРД СЕРТ ГмбХ проводити сертифікацію систем управління інформаційною безпекою на відповідність міжнародному стандарту ISO/IEC 27001:2022. В свою чергу учасник (ТОВ “ІНТЕРНЕШНЛ МЕНЕДЖМЕНТ СІСТЕМС”) не є органом сертифікації чи представником органу сертифікації, оскільки надане Свідоцтво представника (файл “Сертифікат представництва TUV.pdf”) засвідчує, що ТОВ “ІНТЕРНЕШНЛ МЕНЕДЖМЕНТ СІСТЕМС” є представником ТЮФ НОРД БОЛГАРІЯ ЛТД. Разом з тим, учасником не надано у складі тендерної пропозиції сертифікатів про акредитацію на компанію ТЮФ НОРД БОЛГАРІЯ ЛТД. Також, у складі тендерної пропозиції учасника надано Свідоцтво представника, який містить некоректний переклад, згідно з яким свідоцтво видане ТОВ “Міжнародні Системи Управління”, а не на учасника процедури закупівлі ТОВ “ІНТЕРНЕШНЛ МЕНЕДЖМЕНТ СІСТЕМС”. Дане свідоцтво мало б засвідчити, що учасник є представником організації, що має належну акредитацію. 2. Посилання на вимогу (вимоги) тендерної документації, щодо якої (яких) виявлені невідповідності: пункти 2.1, 2.2, 2.3, 4.1 Додатку 1, Додатку 1.1 до тендерної документації та пункт 1 розділу ІІІ. Інструкція з підготовки тендерної пропозиції тендерної документації. 3. Перелік інформації та/або документів, які повинен подати учасник для усунення виявлених невідповідностей: 3.1.) Довідка за формою Додатку 1.1 до тендерної документації, завірена підписом уповноваженої особи учасника, з інформацією про наявність в учасника не менше трьох працівників (зазначити прізвище та ініціали/ім’я) відповідної кваліфікації, які будуть включені до команди для надання послуг Національному банку та які мають необхідні знання і досвід проведення оцінки відповідності (сертифікаційних/ ресертифікаційних/ наглядових аудитів) системи управління інформаційною безпекою вимогам міжнародного стандарту ISO/IEC 27001 за 4 роки (що передують даті подання тендерних пропозицій) для виконання умов договору (форма №1 зазначена у Додатку 1.1 до тендерної документації). *Зазначені в довідці працівники мають володіти українською мовою, або учасник має залучати перекладачів без додаткової оплати замовником. Хоча б один із працівників, зазначений в довідці, повинен мати досвід проведення оцінки відповідності (сертифікаційних/ ресертифікаційних/ наглядових аудитів) системи управління інформаційною безпекою на відповідність вимогам міжнародного стандарту ISO/IEC 27001 версії 2022 року. 3.2.) До вищезазначеної довідки учасник повинен надати на кожного фахівця, зазначеного в довідці актуальні сертифікати, видані відповідним органом сертифікації, який/які підтверджує(-ють) право проводити оцінку відповідності (аудит) системи управління інформаційною безпекою вимогам міжнародного стандарту ISO/IEC 27001. У разі надання учасником вказаних вище сертифікатів іноземною мовою, окрім англійської, вони повинні бути перекладені українською мовою. Переклад повинен бути засвідчений підписом уповноваженої особи учасника (якщо учасником є фізична особа, підписами перекладача та учасника – фізичної особи/ фізичної-особи підприємця). 3.3.) Довідка учасника, завірена підписом уповноваженої особи учасника, з інформацією про наявність в учасника досвіду виконання аналогічного(-их) договору(-ів) з проведення оцінки відповідності (сертифікаційних/ ресертифікаційних/ наглядових аудитів) системи управління інформаційною безпекою на відповідність вимогам міжнародного стандарту ISO/IEC 27001 за 4 роки, що передують даті подання тендерних пропозицій за формою 2, визначеною у п.2.3 Додатку 1 до тендерної документації. *Хоча б один із договорів на надання послуг, із зазначених в довідці, має бути на проведення оцінки відповідності (сертифікаційних/ ресертифікаційних/ наглядових аудитів) системи управління інформаційною безпекою вимогам міжнародного стандарту ISO/IEC 27001 версії 2022 року. 3.4) Документ, підтверджуючий акредитацію учасника або організації, представником якої є учасник, для проведення оцінки відповідності (сертифікаційного аудиту) систем управління інформаційною безпекою вимогам міжнародного стандарту ISO/IEC 27001:2022, підтверджену органом акредитації, який є членом International Accreditation Forum, Inc., IAF Усі документи, які подаються учасником, мають бути чинними на момент розкриття тендерних пропозицій.

найбільш економічно вигідна пропозиція є меншою на 40 або більше відсотків від середньоарифметичного значення ціни/приведеної ціни тендерних пропозицій інших учасників на початковому етапі аукціону / найбільш економічно вигідна пропозиція є меншою на 30 або більше відсотків від наступної ціни/приведеної ціни тендерної пропозиції за результатами проведеного електронного аукціону