Einführung eines Information Security Management Systems gem. ISO/IEC 27001
Einführung eines Information Security Management Systems (ISMS) bei der Unternehmensgruppe Stadtwerke Düsseldorf AG (SWD).
Die SWD sind Betreiber von kritischen Infrastrukturen. Nach Ablauf der Übergangfristen des IT-Sicherheitsgesetzes (IT-SiG) werden daher durch die SWD besondere Anforderungen im Bereich der Informationssicherheit zu erfüllen sein.
Es wurde bereits eine umfassende Gap-Analyse zur Feststellung und fachlichen Bewertung der Abweichungen zwischen dem vorhandenen und einem nach ISO/IEC 27001 zertifizierungsfähigen Stand des Informationssicherheitsicherheitsmanagements durchgeführt. Dabei wurde ein sechsstufiges, an Capability Maturity Model Integration (CMMI) angelehntes, Reifegradmodell zugrunde gelegt. Auf der Skala von 0 (keine Umsetzung) bis 5 (gemessene, optimierte Prozesse mit kontinuierlicher Verbesserung) wurde ein zu erreichender Reifegrad von 4 für die erste Zertifizierung angenommen. Die Untersuchungsergebnisse lagen im Durchschnitt bei einem Wert von 2,08.
Der Auftragnehmer (AN) soll:
— eigenständig – in enger Abstimmung mit dem AG – ein integriertes, zentrales und zertifizierungsreifes Informationssicherheitsmanagementsystem (ISMS) nach dem Standard ISO/IEC 27001 beim AG aufbauen und einführen. Der initiale Geltungsbereich des ISMS hat alle kritischen Infrastrukturen der Unternehmensgruppe Stadtwerke Düsseldorf AG gemäß der „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“ (BSI-Kritis-V) zu umfassen. Als kritische Infrastrukturen der SWD werden, basierend auf dem Referentenentwurf der Rechtsverordnung vom 13.1.2016, die Bereiche Strom (Erzeugung, Verteilung, Messung, Netzleitung, Handelssystem) Gas (Verteilung), Wasser (Gewinnung, Aufbereitung, Verteilung, Netzleitung) und Fernwärme (Erzeugung) sowie die jeweiligen Nebeneinrichtungen, Systeme und Verfahrensschritte angenommen, die in einem betriebstechnischen Zusammenhang zu den kritischen Dienstleistungen stehen.
— die für den Betrieb des ISMS vorgesehenen Mitarbeiter des AG befähigen, das aufgebaute ISMS nach der Einführung eigenständig betreiben und weiterentwickeln zu können.
— den AG zu gesetzlichen und regulatorischen Anforderungen für die Betreiber von kritischen Infrastrukturen sowie deren branchentypische Umsetzung und entsprechenden Best Practices beraten.
— die Umsetzung der Anforderungen des IT-Sicherheitskatalogs gem. §11 Abs. 1a Energiewirtschaftsgesetz (EnWG) beim AG unterstützen.
— die Zertifizierung des Netzbetreibers auf Einhaltung des IT-Sicherheitskatalogs gem. §11 Abs. 1a EnWG begleiten und unterstützen.
— die Beseitigung von ggf. bei der Zertifizierung aufgefundenen Mängeln durchführen bzw. unterstützen.
Das Projekt soll nach Auftragsvergabe schnellstmöglich, spätestens jedoch zum 01. Juni 2016 beginnen.
Die Zertifizierungsreife des ISMS mit dem initialen Geltungsbereich ist bis spätestens zum 31. Oktober 2017 zu erreichen.
Die sonstigen Leistungen sind bis zum 31. Januar 2018 abzuschließen und zu dokumentieren.
Deadline
Die Frist für den Eingang der Angebote war 2016-03-23.
Die Ausschreibung wurde veröffentlicht am 2016-02-22.
Anbieter
Die folgenden Lieferanten werden in Vergabeentscheidungen oder anderen Beschaffungsunterlagen erwähnt:
Wer?
Wie?
Wo?
Geschichte der Beschaffung
| Datum |
Dokument |
| 2016-02-22
|
Auftragsbekanntmachung
|
| 2016-06-30
|
Bekanntmachung über vergebene Aufträge
|