חזרה לעמוד הקודם

בקשה לקבלת הצעות – מרכז להגנת סייבר למשתמשים פרטיים ועסקים קטנים

שירות ייעוץ בנושא אבטחת מידע והגנת סייבר למרכז להגנת סייבר למשתמשים פרטיים ועסקים קטנים

לתשומת לבכם: לאור פניות שקיבלנו, מועד הגשת ההצעות נדחה ליום 24.7.2016

קראו שאלות ותשובות נפוצות

מבוא

איגוד האינטרנט הישראלי (ע"ר) (להלן – "האיגוד"מבקש בזאת לקבל הצעות מחיר (להלן – "RFP") למתן שירותי ייעוץ בנושאי אבטחת מידע והגנת סייבר מגופים המתמחים בתחום הגנת הסייבר, לצורך הפעלתו של מרכז לסיוע בהגנת סייבר למשתמשים פרטיים ועסקים קטנים ובינוניים (להלן – "המרכז").

תיאור מתאר הפעולה של המרכז מצ"ב כנספח א' ל-RFP זה. המתואר בנספח א' הוא עקרון הפעולה המתוכנן, אך יתכנו שינויים במתאר והיקף הפעולה בהתאם להתפתחות המרכז.

מי רשאי להגיש הצעה לבקשה זו?

תנאי הסף להגשת הצעות ל-RFP זה הינם:

  • תאגיד או עוסק מורשה (להלן – "תאגיד") שתחום עיסוקו המרכזי הוא מתן שירותי הגנת סייבר בדרך של ייעוץ ו/או אינטגרציה ו/או הפעלת מרכז הגנת סייבר.
  • בתאגיד מועסקים לפחות חמישה עובדים במשרה מלאה העוסקים במתן שירותי הגנת סייבר כאמור באופן מלא.
  • התאגיד מספק שירותי ייעוץ אבטחת מידע על בסיס קבוע לשלושה לקוחות לפחות מהרשימה הבאה: תאגיד בנקאי המפוקח על ידי בנק ישראל, חברת ביטוח המפוקחת על ידי אגף שוק ההון במשרד האוצר, גוף המנוי בתוספת הרביעית של החוק להסדרת הביטחון בגופים ציבוריים, התשנ"ח-1998 (להלן – "הרשימה").

מהם תנאי הכשירות של עובד התאגיד אשר יספק שירותים במסגרת המענה ל-RFP זה?

התאגיד יפרט בהצעתו את שמם של העובדים הספציפיים שיוקצו לצורך מתן הייעוץ והמענה לאיגוד (להלן – "העובד") ואת עמידתם בתנאי הכשירות הנדרשים, כמפורט להלן. כמו כן, יפרט התאגיד את דרכי הייעוץ והמענה שיינתנו במידה והעובד לא יהיה זמין או יפסיק את עבודתו בתאגיד. לאיגוד תהא זכות לסרב לאשר עובד של התאגיד שיוצע כחליף לעובד שאושר, או לדרוש את החלפתו של עובד שאושר בשל אי שביעות רצון מרמתו המקצועית והתאמתו לתפקיד.

  • כל עובד שיספק שירותים במסגרת המענה יהיה בעל ניסיון מוכח של חמש שנים לפחות בייעוץ הגנת סייבר ואבטחת מידע.
  • התאגיד יספק פרטי איש קשר אצל אחד מלקוחותיו מהרשימה המכיר את העובד, לצורך קבלת המלצות.
  • רצוי שהעובד יהיה מעורב בפעילות של ייעוץ הגנת סייבר אצל לקוח מהרשימה במקביל לתקופת ההתקשרות עם האיגוד.
  • רצוי כי לעובד יהיה הסמכה מקובלת בתחומי הגנת סייבר ואבטחת מידע, כגון תעודת CISSP, CISM, CISO וכד'.

מהם השירותים הנדרשים במסגרת ההצעה?

  • הובלת התהליך המקצועי של הכנת חומרים אודיו-ויזואליים וטקסטואליים בנושאי הגנת סייבר ואבטחת מידע לציבור הרחב ולעסקים קטנים לצורך העלאה לאתר האינטרנט של המרכז. בין היתר, יידרש התאגיד לאתר חומרים ממדינות אחרות הראויים לתרגום/גיור, כתיבת תסריטים לסרטוני הדרכה בסוגיות שונות של הגנת סייבר ואבטחת מידע וכתיבת חומרי הסבר על סוגיות שונות בהגנת סייבר ואבטחת מידע הרלוונטיות לציבור אליו פונה המרכז.
  • גיבוש מבנה המידע של אתר האינטרנט של המרכז, בו יועמדו לרשות הציבור החומרים הנ"ל והעלאת חומרים באופן שוטף אליו. יובהר כי בניית האתר ותחזוקו התפעולית תעשה על ידי האיגוד, תוך תיאום עם נותן השירות..
  • ניהול שוטף של פורום אינטרנטי להגנת סייבר ואבטחת מידע לציבור אותו יפעיל המרכז – מעקב אחר הסוגיות המועלות באתר, וידוא שהמלצות peer-to-peerשניתנות בפורום על ידי גולשים אינן מזיקות או עוינות, מענה על בעיות שלא נענו וכד'. שירות זה יינתן לפחות בהיקף של 12 שעות בימים א-ה ו-8 שעות בימי ו'.
  • מעקב שוטף אחר איומי סייבר ממקורות שונים ופרסומם לציבור הרחב באופן ברור ופשוט באמצעות האתר ומערכת ההפצה.
  • קבלת החלטות לגבי העמקת טיפול וקיום הליך בירור במקרים חשודים והפעלת המעבדה הפורנזית לבדיקת נוזקות, או העברת המידע החשוד לשותפים מקרב קהילת הגנת הסייבר ואבטחת המידע שיצטרפו לפעילות המרכז.
  • ניהול הממשק המקצועי בין המרכז לגופי סייבר מדינתיים (הרשות להגנת הסייבר, רא"ם, מטה הסייבר וכד'), חברות אבטחת מידע שותפות במרכז וגופי אכיפה.
  • סיוע באפיון ויישום מערכות המידע הייעודיות הנדרשות לתפעול המרכז.

כל השירותים שיינתנו יבוצעו בתיאום עם הגורם הרלוונטי באיגוד האינטרנט אשר ינהל את המרכז.

יובהר כי כל זכויות הקנין הרוחני, לרבות זכויות יוצרים, סימני מסחר, פטנטים וכד' שיווצרו כתוצאה ממתן השירותים על ידי התאגיד יהיו של האיגוד בלבד.

היקף ואופן ההצעה

  • יש לתת הצעה למחיר חודשי למתן השירותים הנדרשים.
  • תוקף ההתקשרות הראשונית יהא שנה מיום חתימת חוזה ההתקשרות, אשר יכול להיות מוארך על ידי האיגוד לשנה נוספת.
  • יש לפרט בהצעה את מירב המידע על אודות התאגיד ועל אודות העובד/ים שהתאגיד מתחייב להקצות למילוי ההתחייבות.
  • יש לספק קורות חיים מפורטים לכל עובד כאמור, ותיעוד של השכלה אקדמית ו/או הכשרה מקצועית.
  • בנוסף, יש לצרף רשימה של שלושה ממליצים על התאגיד מגופים ברשימה, שהתאגיד מספק להם שירותים כאמור במועד הגשת ההצעה.

שקלול ובחירת ההצעה

איגוד האינטרנט הישראלי יבחן את ההצעות שיתקבלו באמצעות ועדת משנה, אשר תכלול את יו"ר ועדת היגוי לתשתיות באיגוד, מנכ"ל האיגוד, סמנכ"לית קשרי קהילה ורגולציה, מזכיר האיגוד ויועץ משפטי.

בהערכת ההצעות יינתן משקל של 50% לאיכות ההצעה (הערכת האיכות המקצועית של החברה המציעה, הערכת האיכות המקצועית של העובד/ים אשר יוקצו למשימה וכד') ו-50% למחיר.

אין התחייבות של האיגוד לבחירת הצעה כלשהי, מכל סיבה שהיא. דיני המכרזים אינם חלים על מענה ל-RFP זה.

האיגוד רשאי לנהל מו"מ עם מציעים אשר עברו סף ציון של 75/100 בהערכת האיכות לשיפור הצעתם הכספית.

ועדת המשנה תהא רשאית לזמן לראיון מציע/י הצעה/ות לצורך התרשמות ובירור עובדות.

על חברי הוועד המנהל, עובדי האיגוד ובני משפחותיהם מדרגה ראשונה נאסר להציע הצעות.

תהליך הגשת ההצעות

על ההצעות להתקבל באיגוד לא יאוחר  מתאריך 24/7/2016.

שאלות להבהרה יש לשלוח לדוא"ל: cyber-rfp@isoc.org.il.

את ההצעות יש לשלוח כקובץ PDF לכתובת הדוא"ל הנ"ל.

בקשה לקבלת הצעות – שירותי ייעוץ הגנת סייבר לאיגוד האינטרנט הישראלי

מתאר הפעולה של המרכז – נספח א'

 

שאלות ותשובות:

שאלה: "קבלת החלטות לגבי העמקת טיפול וקיום הליך בירור במקרים חשודים והפעלת המעבדה הפורנזית לבדיקת נוזקות, או העברת המידע החשוד לשותפים מקרב קהילת הגנת הסייבר ואבטחת המידע שיצטרפו לפעילות המרכז." – משתמשים עלולים להפנות עם שאלות על אנומאליות שיכולות גם להיווצר מתקלות- יש פה פוטנציאל לריבוי פניות- איך מבטיחים גידור של הנושא?

תשובה: הכוונה שהקו הראשון של התשובות לפונים יהיה דרך הפורום במוד של Peer to peer, ולכן אנחנו לא נידרש לתת תשובות, אלא רק לפקח מלמעלה שלא ניתנות תשובות מזיקות (כגון הפניה לאתר או פתרון שידוע כמזיק, כדוגמא). זה כמובן סיכון שאנחנו ערים לו (ולכן בחרנו במודל של אתר אינטרנט ולא מענה 24X7 אנושי כפי שאנחנו נותנים ב"מרכז לאינטרנט בטוח" (www.safe.org.il). אנחנו נמצא את הדרך לגדר אותו בפעולה של המרכז, אך ניתן לקבוע בהצעה לאיזה היקף אתם מתחייבים, ומה יקרה אם הדרישה לשירות תחרוג מההיקף המוצע.

שאלה: האם אחריותנו להביא את הקובץ הנכון מהלקוח למעבדה? האם מדובר במקרים שבהם הלקוח מביא לנו את הקובץ והאחריות שלנו להעביר הלאה? אנחנו מניחים שאין כוונה שנבצע פעילות לצורך מציאת הקובץ במחשבו של הפונה- האם הנחה זו נכונה?

תשובה: ההנחה נכונה, במקרה הספציפי הכוונה שהמרכז ינחה את הנפגע לשלוח את המידע (בין אם כקובץ .MSG, בין אם באיתור קובץ מסויים במערכת הפעלה וכ') לשרת מאובטח מטעם המרכז, שיוודא שקבלתו /או הפעלתו לא פוגעים וזולגים החוצה. במקרים שבהם לא ניתן יהיה בקלות לקבל את הפוגען, נפנה את האזרח למעבדה על חשבונו ובחירתו, אלא אם יהא חשד שיש פה משהו ברמה המדינתית ואז ייתכן שנפנה את המקרה לרשות להגנת הסייבר או רא"ם, בהתאם לעניין.

שאלה: בהמשך להעברת הקובץ לבדיקה- על מי האחריות לנהל את הקשר עם הלקוח? כלומר מי מנהל את ה-"פרוייקט" ומוודא שהנושא מטופל ע"י הגורם האחראי, חוזר לעדכן את האזרח וכד'?

תשובה: המרכז, באמצעות חברת אבטחת המידע שתבחר. הכוונה שהמקרים האלה יהיו נדירים (ואם יסתבר שזה לא המצב, נצטרך לגבש מודל שלפיו האזרח ו/או גוף מדינה ישלמו על התהליך). אם כבר החל תהליך כזה, אנחנו נרכז את העבודה, וניידע בסופו (או אם תדרשנה פעולות נוספות ממנו, במהלך הבדיקה) את האזרח. עיקר העבודה תהיה מול המדינה ו/או חברות אבטחת מידע שיתרמו שעות.

שאלה: ב-RFP: סיוע באפיון ויישום מערכות המידע הייעודיות הנדרשות לתפעול המרכז. מצריך הבהרה- מה הכוונה? האם הכוונה לסיוע באפיון מערכות לניהול האתר והקשר אל מול קהל הפונים? למשל: ניהול שירות, צ'טים, מערכת לניהול SLA וטיקטים, CRM- ניהול הקשר מול הלקוחות וניהול הקשר מול שותפים?

תשובה: רק ההיבטים שהם ייחודיים לסוגיות אבטחת המידע – בין אם אבטחת המידע של הפרוייקט, ובין אם ממשקים לגופים אחרים וכד'. את ה-flow של הטיפול בלקוח האיגוד יגדיר, אך כמובן שחברת אבטחת המידע הזוכה תהיה חלק מתהליך האפיון כ-user במערכת.

שאלה: האם מעבדת הסייבר כוללת מוצר למטרת חקירת הקבצים שמעלים המשתמשים או לחילופין בחינה ידנית לכל קובץ ?

תושבה: מעבדת הסייבר אמורה לאפשר בחינה בטוחה וידנית של נוזקות שיתקבלו מהאזרחים לצורך קבלת החלטה האם נדרשת העברה של הדוגמה לגורם חיצוני (חברת אבטחה שתבקש לתרום למיזם שעות חקירה פורנזית או גופי מדינה), או שמדובר במשהו מוכר שניתן לתת לגביו עזרה מיידית.  אם רוצים להציע מוצר במסגרת השירות, ניתן להציעו בנפרד מהשירות, ולתמחר בהתאם. על פניו, אין כוונה של האיגוד לקנות מוצר ועדיף שיהיה שימוש בשירות ו/או טכנולוגיה וידע הקיימים אצל המציע.

שאלה: האם ניתן להגיש הצעה משותפת של 2 מציעים ?

תשובה: שני מציעים יכולים להגיש, ולבד שהם עומדים ביחד בתנאי הסף ושאלה נשמרים לכל אורך ההתקשרות.

שאלה: יש פורמט מוגדר להצעה או שאפשר לשלוח הצעת מחיר בפורמט שיראה לנו לנכון ?

תשובה: אין פורמט מוגדר.

שאלה: עד איזו שעה עלינו להגיש את הצעתינו?

תשובה:  ניתן להגיש את ההצעה עד סוף יום ראשון [24.7.2016]; קרי – עד חצות.