Einführung eines Information Security Management Systems gem. ISO/IEC 27001
Stadtwerke Düsseldorf AG
Einführung eines Information Security Management Systems (ISMS) bei der Unternehmensgruppe Stadtwerke Düsseldorf AG (SWD).
Die SWD sind Betreiber von kritischen Infrastrukturen. Nach Ablauf der Übergangfristen des IT-Sicherheitsgesetzes (IT-SiG) werden daher durch die SWD besondere Anforderungen im Bereich der Informationssicherheit zu erfüllen sein.
Es wurde bereits eine umfassende Gap-Analyse zur Feststellung und fachlichen Bewertung der Abweichungen zwischen dem vorhandenen und einem nach ISO/IEC 27001 zertifizierungsfähigen Stand des Informationssicherheitsicherheitsmanagements durchgeführt. Dabei wurde ein sechsstufiges, an Capability Maturity Model Integration (CMMI) angelehntes, Reifegradmodell zugrunde gelegt. Auf der Skala von 0 (keine Umsetzung) bis 5 (gemessene, optimierte Prozesse mit kontinuierlicher Verbesserung) wurde ein zu erreichender Reifegrad von 4 für die erste Zertifizierung angenommen. Die Untersuchungsergebnisse lagen im Durchschnitt bei einem Wert von 2,08.
Der Auftragnehmer (AN) soll:
— eigenständig – in enger Abstimmung mit dem AG – ein integriertes, zentrales und zertifizierungsreifes Informationssicherheitsmanagementsystem (ISMS) nach dem Standard ISO/IEC 27001 beim AG aufbauen und einführen. Der initiale Geltungsbereich des ISMS hat alle kritischen Infrastrukturen der Unternehmensgruppe Stadtwerke Düsseldorf AG gemäß der „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“ (BSI-Kritis-V) zu umfassen. Als kritische Infrastrukturen der SWD werden, basierend auf dem Referentenentwurf der Rechtsverordnung vom 13.1.2016, die Bereiche Strom (Erzeugung, Verteilung, Messung, Netzleitung, Handelssystem) Gas (Verteilung), Wasser (Gewinnung, Aufbereitung, Verteilung, Netzleitung) und Fernwärme (Erzeugung) sowie die jeweiligen Nebeneinrichtungen, Systeme und Verfahrensschritte angenommen, die in einem betriebstechnischen Zusammenhang zu den kritischen Dienstleistungen stehen.
— die für den Betrieb des ISMS vorgesehenen Mitarbeiter des AG befähigen, das aufgebaute ISMS nach der Einführung eigenständig betreiben und weiterentwickeln zu können.
— den AG zu gesetzlichen und regulatorischen Anforderungen für die Betreiber von kritischen Infrastrukturen sowie deren branchentypische Umsetzung und entsprechenden Best Practices beraten.
— die Umsetzung der Anforderungen des IT-Sicherheitskatalogs gem. §11 Abs. 1a Energiewirtschaftsgesetz (EnWG) beim AG unterstützen.
— die Zertifizierung des Netzbetreibers auf Einhaltung des IT-Sicherheitskatalogs gem. §11 Abs. 1a EnWG begleiten und unterstützen.
— die Beseitigung von ggf. bei der Zertifizierung aufgefundenen Mängeln durchführen bzw. unterstützen.
Das Projekt soll nach Auftragsvergabe schnellstmöglich, spätestens jedoch zum 01. Juni 2016 beginnen.
Die Zertifizierungsreife des ISMS mit dem initialen Geltungsbereich ist bis spätestens zum 31. Oktober 2017 zu erreichen.
Die sonstigen Leistungen sind bis zum 31. Januar 2018 abzuschließen und zu dokumentieren.
Die Frist für den Eingang der Angebote war 2016-03-23. Die Ausschreibung wurde veröffentlicht am 2016-02-22.
AnbieterDie folgenden Lieferanten werden in Vergabeentscheidungen oder anderen Beschaffungsunterlagen erwähnt:
Wer? Wie?- • Strategische Prüfung und Planung im Bereich Informationssysteme oder -technologie › Informationstechnologiedienste
- • Strategische Prüfung und Planung im Bereich Informationssysteme oder -technologie › Strategische Prüfung von Informationssystemen oder -technologie
- • Systemberatung und technische Beratung › Prüfung von Informationstechnologieanforderungen
Geschichte der Beschaffung
| Datum | Dokument |
|---|---|
| 2016-02-22 | Auftragsbekanntmachung |
| 2016-06-30 | Bekanntmachung über vergebene Aufträge |
Auftragsbekanntmachung (2016-02-22)
Objekt
Umfang der Beschaffung
Titel: IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung
Metadaten der Bekanntmachung
Originalsprache: Deutsch 🗣️
Dokumenttyp: Auftragsbekanntmachung
Art des Auftrags: Dienstleistungen
Verordnung: Europäische Union
Gemeinsames Vokabular für öffentliche Aufträge (CPV)
Code: IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung 📦
Verfahren
Verfahrensart: Verhandlungsverfahren
Angebotsart: Angebot für alle Lose
Vergabekriterien
Wirtschaftlichstes Angebot
Öffentlicher Auftraggeber
Identität
Land: Deutschland 🇩🇪
Art des öffentlichen Auftraggebers: Versorgungsunternehmen
Name des öffentlichen Auftraggebers: Stadtwerke Düsseldorf AG
Postanschrift: Höherweg 200
Postleitzahl: 40233
Postort: Düsseldorf
Kontakt
Internetadresse: http://www.swd-ag.de 🌏
E-Mail: mpuffer@swd-ag.de 📧
Telefon: +49 211-821-2379 📞
Fax: +49 211-821-772379 📠
Referenz
Daten
Absendedatum: 2016-02-22 📅
Einreichungsfrist: 2016-03-23 📅
Veröffentlichungsdatum: 2016-02-26 📅
Kennungen
Bekanntmachungsnummer: 2016/S 040-066169
ABl. S-Ausgabe: 40
Zusätzliche Informationen
Objekt
Umfang der Beschaffung
Dienstleistungskategorie: 7
Kurze Beschreibung:
Es werden Varianten akzeptiert ✅
Referenznummer: 0468
Ort der Leistung
Hauptstandort oder Erfüllungsort: Düsseldorf.
Rechtliche, wirtschaftliche, finanzielle und technische Informationen
Bedingungen für die Teilnahme
Befähigung zur Berufsausübung:
Wirtschaftliche und finanzielle Leistungsfähigkeit:
Technische und berufliche Fähigkeiten:
Auftragsausführung
Wichtigste Finanzierungsbedingungen und Zahlungsmodalitäten und/oder Verweis auf die einschlägigen Bestimmungen, die sie regeln: Finanzierungs- und Zahlungsbedingungen nach Vertrag.
Rechtsform der Gruppe von Wirtschaftsteilnehmern, an die der Auftrag vergeben werden soll:
Verfahren
Sprachen
Sprache: Deutsch 🗣️
Öffentlicher Auftraggeber
Kontakt
Kontaktperson: Herrn Puffer
Internetadresse: www.swd-ag.de 🌏
Ergänzende Informationen
Körper überprüfen
Name: Vergabekammer Rheinland – Spruchkörper Düsseldorf
Postanschrift: Am Bonneshof 35
Postort: Düsseldorf
Postleitzahl: 40474
Land: Deutschland 🇩🇪
E-Mail: vergabekammer@brd.nrw.de 📧
Telefon: +49 211-4753131 📞
Fax: +49 211-4753989 📠
Informationen zu Fristen für Nachprüfungsverfahren:
Quelle: OJS 2016/S 040-066169 (2016-02-22)
Objekt
Umfang der Beschaffung
Titel: IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung
Metadaten der Bekanntmachung
Originalsprache: Deutsch 🗣️
Dokumenttyp: Auftragsbekanntmachung
Art des Auftrags: Dienstleistungen
Verordnung: Europäische Union
Gemeinsames Vokabular für öffentliche Aufträge (CPV)
Code: IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung 📦
Verfahren
Verfahrensart: Verhandlungsverfahren
Angebotsart: Angebot für alle Lose
Vergabekriterien
Wirtschaftlichstes Angebot
Öffentlicher Auftraggeber
Identität
Land: Deutschland 🇩🇪
Art des öffentlichen Auftraggebers: Versorgungsunternehmen
Name des öffentlichen Auftraggebers: Stadtwerke Düsseldorf AG
Postanschrift: Höherweg 200
Postleitzahl: 40233
Postort: Düsseldorf
Kontakt
Internetadresse: http://www.swd-ag.de 🌏
E-Mail: mpuffer@swd-ag.de 📧
Telefon: +49 211-821-2379 📞
Fax: +49 211-821-772379 📠
Referenz
Daten
Absendedatum: 2016-02-22 📅
Einreichungsfrist: 2016-03-23 📅
Veröffentlichungsdatum: 2016-02-26 📅
Kennungen
Bekanntmachungsnummer: 2016/S 040-066169
ABl. S-Ausgabe: 40
Zusätzliche Informationen
Zum Zeitpunkt der Auftragsbekanntmachung liegen dem Auftraggeber noch nicht die erforderlichen Gremienbeschlüsse für das Auftrags- bzw. Beschaffungsvorhaben vor. Daher steht dieses Vergabeverfahren unter dem Vorbehalt, dass die erforderlichen Gremienbeschlüsse des Auftraggebers erteilt werden. Sollten die erforderlichen Gremien ihre Zustimmung nicht erteilen, kann der Auftraggeber dieses Vergabeverfahren aufheben bzw. einstellen.
Am Auftrag interessierte Unternehmen haben sich mit einem Teilnahmeantrag um Teilnahme am Verhandlungsverfahren zu bewerben. Der Teilnahmeantrag mit den unter Ziffer III.2) geforderten Angaben und Unterlagen zur Beurteilung der Eignung ist schriftlich in einem verschlossenen Umschlag mit der Aufschrift „nicht öffnen, Teilnahmeantrag Webportal Netze 0461“ bis zu dem unter Ziffer IV.3.4) genannten Terminen bei der unter Ziffer I.1) genannten Stelle einzureichen. Bewerbungen, die verspätet eingehen werden nicht berücksichtigt.
Unvollständige Unterlagen und/oder Angaben können zum Ausschluss vom Verfahren führen.
Bei ausreichender Anzahl geeigneter Bewerber werden mindestens 3 Bewerber am weiteren Verhandlungsverfahren beteiligt. Die Höchstzahl der Bewerber kann für das weitere Verfahren auf 8 beschränkt werden.
Die Bewerberauswahl erfolgt in einem dreistufigen Verfahren:
1. Es wird überprüft, ob der Teilnahmeantrag alle geforderten Angaben und Unterlagen enthält. Fehlende Angaben und Unterlagen sind auf Verlangen des AG innerhalb einer Frist von 5 Kalendertagen nachzureichen. Teilnahmeanträge, die auch bei Ablauf der Nachfrist noch unvollständig sind, werden nicht berücksichtigt.
2. Es wird geprüft, ob der Bewerber/die Bewerbergemeinschaft anhand der von Ihm/Ihr eingereichten Angaben und Unterlagen grundsätzlich geeignet erscheint, die zu vergebenen Leistungen vertragsgerecht auszuführen. Soweit sich ein Bewerber/eine Bewerbergemeinschaft zum Nachweis der wirtschaftlichen und finanziellen Leistungsfähigkeit und/oder der technischen Leistungsfähigkeit auf die Kapazitäten anderer Unternehmen bezieht, hat er/sie auf Verlangen innerhalb von 5 Kalendertagen nachzuweisen, dass ihm/ihr im Auftragsfall die Mittel dieser Unternehmen grundsätzlich zur Verfügung stehen. Dies kann unter anderem durch entsprechende Verpflichtungserklärungen des oder der anderen Unternehmen erfolgen (vgl. § 20 Abs. 3 SektVO).
3. Überschreitet die Anzahl geeigneter Bewerber die Anzahl der Bewerber, die am weiteren Verfahren beteiligt werden soll, wird eine differenzierte Eignungsprüfung vorgenommen. Der AG behält sich daraufhin vor, den Bewerberkreis auf die maximal 8 aufzufordernden Bewerber zu reduzieren. Diese Prüfung erfolgt anhand der Angaben zu bereits erbrachten Leistungen (Referenzen) vergleichbarer Art gemäß Ziffer III.2.3) dieser Bekanntmachung.
Mehr anzeigen
Objekt
Umfang der Beschaffung
Dienstleistungskategorie: 7
Kurze Beschreibung:
Einführung eines Information Security Management Systems (ISMS) bei der Unternehmensgruppe Stadtwerke Düsseldorf AG (SWD).
Die SWD sind Betreiber von kritischen Infrastrukturen. Nach Ablauf der Übergangfristen des IT-Sicherheitsgesetzes (IT-SiG) werden daher durch die SWD besondere Anforderungen im Bereich der Informationssicherheit zu erfüllen sein.
Es wurde bereits eine umfassende Gap-Analyse zur Feststellung und fachlichen Bewertung der Abweichungen zwischen dem vorhandenen und einem nach ISO/IEC 27001 zertifizierungsfähigen Stand des Informationssicherheitsicherheitsmanagements durchgeführt. Dabei wurde ein sechsstufiges, an Capability Maturity Model Integration (CMMI) angelehntes, Reifegradmodell zugrunde gelegt. Auf der Skala von 0 (keine Umsetzung) bis 5 (gemessene, optimierte Prozesse mit kontinuierlicher Verbesserung) wurde ein zu erreichender Reifegrad von 4 für die erste Zertifizierung angenommen. Die Untersuchungsergebnisse lagen im Durchschnitt bei einem Wert von 2,08.
Mehr anzeigen
Der Auftragnehmer (AN) soll:
— eigenständig – in enger Abstimmung mit dem AG – ein integriertes, zentrales und zertifizierungsreifes Informationssicherheitsmanagementsystem (ISMS) nach dem Standard ISO/IEC 27001 beim AG aufbauen und einführen. Der initiale Geltungsbereich des ISMS hat alle kritischen Infrastrukturen der Unternehmensgruppe Stadtwerke Düsseldorf AG gemäß der „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“ (BSI-Kritis-V) zu umfassen. Als kritische Infrastrukturen der SWD werden, basierend auf dem Referentenentwurf der Rechtsverordnung vom 13.1.2016, die Bereiche Strom (Erzeugung, Verteilung, Messung, Netzleitung, Handelssystem) Gas (Verteilung), Wasser (Gewinnung, Aufbereitung, Verteilung, Netzleitung) und Fernwärme (Erzeugung) sowie die jeweiligen Nebeneinrichtungen, Systeme und Verfahrensschritte angenommen, die in einem betriebstechnischen Zusammenhang zu den kritischen Dienstleistungen stehen.
Mehr anzeigen
— die für den Betrieb des ISMS vorgesehenen Mitarbeiter des AG befähigen, das aufgebaute ISMS nach der Einführung eigenständig betreiben und weiterentwickeln zu können.
— den AG zu gesetzlichen und regulatorischen Anforderungen für die Betreiber von kritischen Infrastrukturen sowie deren branchentypische Umsetzung und entsprechenden Best Practices beraten.
— die Umsetzung der Anforderungen des IT-Sicherheitskatalogs gem. §11 Abs. 1a Energiewirtschaftsgesetz (EnWG) beim AG unterstützen.
— die Zertifizierung des Netzbetreibers auf Einhaltung des IT-Sicherheitskatalogs gem. §11 Abs. 1a EnWG begleiten und unterstützen.
— die Beseitigung von ggf. bei der Zertifizierung aufgefundenen Mängeln durchführen bzw. unterstützen.
Das Projekt soll nach Auftragsvergabe schnellstmöglich, spätestens jedoch zum 01. Juni 2016 beginnen.
Die Zertifizierungsreife des ISMS mit dem initialen Geltungsbereich ist bis spätestens zum 31. Oktober 2017 zu erreichen.
Die sonstigen Leistungen sind bis zum 31. Januar 2018 abzuschließen und zu dokumentieren.
Referenznummer: 0468
Ort der Leistung
Hauptstandort oder Erfüllungsort: Düsseldorf.
Rechtliche, wirtschaftliche, finanzielle und technische Informationen
Bedingungen für die Teilnahme
Befähigung zur Berufsausübung:
— Organigramm Unternehmensorganisation,
— Anzahl Mitarbeiter,
— Auflistung Produkt- und Leistungspalette des Bewerbers,
— Auszug aus dem Handelsregister (nicht älter als 3 Monate),
— Eigenerklärung folgenden Inhalts: „Hiermit erklären wir, dass im Bezug auf unser Unternehmer keine
Ausschlussgründe im Sinne des § 21 Abs. 1 und Abs. 4 SektVO vorliegen.“ Der Auftraggeber behält sich vor,
bei Zweifeln an der Richtigkeit der Erklärung Fremdbescheinigungen über das Nichtvorliegen der vorgenannten
Ausschlussgründe nachzufordern.
— Eigenerklärung, dass die vom Bewerber vorgesehenen Mitarbeiter die deutsche Sprache fließend in Wort und
Schrift beherrschen, da die gesamte Projektkommunikation und Dokumentation in deutscher Sprache erfolgt.
— TVgG-NRW Erklärungen (ILO-Kernarbeitsnormen, Frauenförderung, Tariftreue/Mindestlohn) in der aktuellen
Fassung (erhältlich z. B. unter http://www.swd-ag.de/unternehmen/beschaffung/index.php)
Unvollständige Unterlagen oder Angaben können zum Ausschluss vom Verfahren führen.
Der AG behält sich vor, die Qualifikation des Bewerbers in einem Qualifizierungsverfahren zu überprüfen.
— Bonitätsnachweis (veröffentlichter Jahresabschluss und GuV der letzten 3 Jahre (Kurzübersicht) oder Selbstauskunft einer anerkannten Wirtschaftsauskunftei z. B. Creditreform, D&B) mit einem Rating von max. 250 (Creditreform) oder mind. 75 (D&B) gemessen am deutschen Markt)
Mehr anzeigen
— Angabe der Umsatzzahlen des Unternehmens in den letzten 3 Jahren, woraus hervorgeht, dass das Unternehmen einen Vertrag dieser Größenordnung abwickeln kann,
— Bestätigung durch Eigenerklärung, dass sich der Bewerber nicht in einem Insolvenz- oder Vergleichsverfahren befindet, die Eröffnung nicht beantragt wurde und der Antrag auch nicht mangels Masse abgelehnt wurde,
— Nachweis einer Haftpflichtversicherung mit Nennung der Höhe der Deckungssumme (min. 3 000 000 EUR),
— aktuelle Unbedenklichkeitsbescheinigung (nicht älter als 3 Monate) der Berufsgenossenschaften, Sozialversicherung, Finanzämter.
Unvollständige Unterlagen oder Angaben können zum Ausschluss vom Verfahren führen. Der AG behält sich vor, die Qualität des Bewerbers in einem Qualifizierungsverfahren zu überprüfen.
— Nachweis von Referenzen über vergleichbare (auch aktuell laufende) Projekte in der Energieversorgungsbranche in Deutschland mit vergleichbarem Leistungsumfang in den letzten bis zu 3 Jahren (jeweils mit Angabe des Auftraggebers, Ansprechpartner, Projektbezeichnung, Leistungsinhalte, Auftragsvolumen, Leistungsort)
Mehr anzeigen
Unvollständige Unterlagen oder Angaben können zum Ausschluss vom Verfahren führen.
Der AG behält sich vor, die Qualifikation des Bewerbers in einem Qualifizierungsverfahren zu überprüfen(Erhebungsbogen, Auditierung etc.).
Wichtigste Finanzierungsbedingungen und Zahlungsmodalitäten und/oder Verweis auf die einschlägigen Bestimmungen, die sie regeln: Finanzierungs- und Zahlungsbedingungen nach Vertrag.
Rechtsform der Gruppe von Wirtschaftsteilnehmern, an die der Auftrag vergeben werden soll:
Bietergemeinschaften werden nur zugelassen, wenn:
— eine verbindliche Erklärung zur Gründung einer Arbeitsgemeinschaft im Falle der Auftragserteilung,
— Benennung aller Mitglieder der Arbeitsgemeinschaft,
— Benennung der bevollmächtigten Personen,
— Benennung der Aufgabenverteilung innerhalb der Arbeitsgemeinschaft und
— eine verbindliche Erklärung der gesamtschuldnerischen Haftung aller Mitglieder der Arbeitsgemeinschaft
vorgelegt und
— jedes Mitglied der Arbeitsgemeinschaft die Teilnahmebedingungen gem. Punkt III.2.1) und III.2.2) erfüllt.
Verfahren
Sprachen
Sprache: Deutsch 🗣️
Öffentlicher Auftraggeber
Kontakt
Kontaktperson: Herrn Puffer
Internetadresse: www.swd-ag.de 🌏
Ergänzende Informationen
Körper überprüfen
Name: Vergabekammer Rheinland – Spruchkörper Düsseldorf
Postanschrift: Am Bonneshof 35
Postort: Düsseldorf
Postleitzahl: 40474
Land: Deutschland 🇩🇪
E-Mail: vergabekammer@brd.nrw.de 📧
Telefon: +49 211-4753131 📞
Fax: +49 211-4753989 📠
Informationen zu Fristen für Nachprüfungsverfahren:
Ein Nachprüfungsantrag ist unter anderem unzulässig, soweit der Antragsteller den aus seiner Sicht erfolgten Verstoß gegen Vergabevorschriften nicht gegenüber dem Auftraggeber unverzüglich gerügt hat oder mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen,
Mehr anzeigen
vergangen sind (vgl. hierzu im Einzelnen §107 Abs. 3 GWB mit den dort festgelegten Rügefristen). Der Auftraggeber sieht eine Rüge als „unverzüglich“ im Sinne von §107 Abs. 3 Nr. 1 GWB an, wenn sie innerhalb von 5 Kalendertagen bei offensichtlichen Fehlern, im übrigen innerhalb von 10 Kalendertagen nach Kenntnis des Bewerbers vom vermeindlichen Verstoß gegen eine Vergabebestimmung erfolgt.
Mehr anzeigen
Bekanntmachung über vergebene Aufträge (2016-06-30)
Objekt
Metadaten der Bekanntmachung
Dokumenttyp: Bekanntmachung über vergebene Aufträge
Verfahren
Angebotsart: Entfällt
Referenz
Daten
Absendedatum: 2016-06-30 📅
Veröffentlichungsdatum: 2016-07-05 📅
Kennungen
Bekanntmachungsnummer: 2016/S 127-229101
Verweist auf Bekanntmachung: 2016/S 040-066169
ABl. S-Ausgabe: 127
Quelle: OJS 2016/S 127-229101 (2016-06-30)
Objekt
Metadaten der Bekanntmachung
Dokumenttyp: Bekanntmachung über vergebene Aufträge
Verfahren
Angebotsart: Entfällt
Referenz
Daten
Absendedatum: 2016-06-30 📅
Veröffentlichungsdatum: 2016-07-05 📅
Kennungen
Bekanntmachungsnummer: 2016/S 127-229101
Verweist auf Bekanntmachung: 2016/S 040-066169
ABl. S-Ausgabe: 127
Quelle: OJS 2016/S 127-229101 (2016-06-30)
Neue Beschaffungen in verwandten Kategorien 🆕
- IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung (>20 neue Beschaffungen)