Prüfung und Sicherstellung der Ordnungsmäßigkeit von SAP-Systemen

Landeshauptstadt München, IT@M, Geschäftsbereich Zentrale Dienste, Geschäftsleitung, Servicebereich Vergabe

Bei der Landeshauptstadt München (LHM) und ihren Eigenbetrieben sind derzeit zehn (10) produktive SAP-Systeme im Einsatz. Mit diesen Systemen arbeiten derzeit 3 500 SAP Named-User. Der Betrieb dieser Systeme liegt beim zentralen IT-Dienstleister it@M und beim Abfallwirtschaftsbetrieb München (AWM), beide sind Eigenbetriebe der LHM.
Die Beschaffung und Einführung einer Software SAP Governance für eine automatisierte, kontextsensitive Prüfung von SAP Rollen und Berechtigungen stellt ein strategisches Ziel von it@M für 2016 dar. Es soll die Qualität und die Sicherheit in den SAP-Systemen und bei den SAP-User-Berechtigungen erhöht werden. Zugleich müssen die manuellen Aufwände zur Pflege und Prüfung (inkl. Revisionsaufwände) reduziert werden.
Die SAP Governance ist ein Teil des IT-Sicherheitsmanagement der LHM. Zuständig dafür ist die Hauptabteilung III des Direktoriums „IT-Strategie und IT-Steuerung / IT-Controlling“ (STRAC).
An diese produktiven SAP-Systeme sind Entwicklungs-, Konsolidierungs- und Schulungs-Systeme angeschlossen (SAP-Systemlandschaften). Mit der zu beschaffenden Software werden vorwiegend die Produktivsysteme überwacht, eine Prüfung der gesamten Systemlandschaft muss aber auch im Bedarfsfall möglich sein.
Die technischen Rahmenbedingungen ergeben sich aus den vorhandenen SAP-Systemlandschaften und der Infrastruktur.
Die einzelnen SAP-Systeme müssen nachhaltig sicher und konform sein. Die Prüfung und Sicherstellung der Ordnungsmäßigkeit der SAP-Systeme (Governance, Risk and Compliance von SAP-Systemen) erfolgt durch die SAP-Basisadministration des IT-Dienstleisters it@M und die SAP Systemverantwortlichen der Referate und Eigenbetriebe. Die Überwachung der relevanten Sicherheitseinstellungen in den SAP Systemen erfolgt derzeit manuell und ist mit einem hohen zeitlichen Aufwand verbunden.
Beschreibung und Umfang des Auftragsgegenstandes
Der IT-Dienstleister it@M plant den Erwerb einer Standardsoftware zur automatisierten Prüfung und Sicherstellung der Ordnungsmäßigkeit von SAP-Systemen. Diese Software muss die Einhaltung der Regeln der Security und Compliance überwachen.
Verbindlich abzurufende Leistungen:
Die Software muss Risiken in SAP-Systemen ( z. B. Berechtigungen falsch gesetzt, wie SAP_ALL) und falsche SAP-Parameter erkennen, Prüfregeln definieren, Analysen durchführen, Schwachstellen (z. B. Qualität der Benutzerstammdaten) beseitigen und zusätzliche Kontrollen definieren.
Mit der Software werden die Berechtigungsverantwortlichen und für die Revision zuständigen Mitarbeiterinnen und Mitarbeiter der Fachreferate und Eigenbetriebe arbeiten.
Die Software muss in die bestehenden SAP-Systemlandschaften ohne zusätzliche Hardware eingebettet werden.
Die zu liefernde Software ist seitens des Auftragnehmers bei it@M und den AWM zu installieren und die Lauffähigkeit herbeizuführen (inkl. Demonstration der Betriebsbereitschaft). Dies erfolgt in Zusammenarbeit mit den Mitarbeiterinnen und Mitarbeitern von it@M und AWM.
Die Berechtigungsverantwortlichen und die für die Sicherheit der SAP-Systeme zuständigen Mitarbeiterinnen und Mitarbeiter der Referate, Eigenbetriebe und des Revisionsamts müssen in die Software geschult werden.
Ein ausführliches Betriebs- und Benutzerhandbuch muss in deutscher Sprache als PDF-Dokument zur Verfügung gestellt werden.
Das Betriebs- und Benutzerhandbuch muss kontinuierlich fortgeführt werden und muss mindestens enthalten:
— Beschreibung der Software-Funktionalitäten,
— Darstellung der Prüfungen (textuell und grafisch),
— Frequently asked questions (FAQ),
— Inhalts- und Stichwortverzeichnis.
Für die Zeit nach der Herstellung der Bereitschaft muss der Service, hierbei insbesondere die Releasefestigkeit zu SAP, sichergestellt sein. Die Programmfehler müssen vom Auftragnehmer innerhalb einer festgelegten Reaktions- und Wiederherstellungszeit beseitigt werden.
Während der Servicezeit von it@M und AWM muss eine telefonische Beratung und Unterstützung (Hotline) gewährleistet sein. Dabei muss auch eine Unterstützung z. B. bei Bedienungsproblemen und bei Fehlern erfolgen (s. u.).
Die Software muss die verschiedenen bei it@M und AWM im Einsatz befindlichen Software- bzw. Infrastrukturlösungen (s. IT-Infrastrukturbeschreibung der LHM und des AWM) unterstützen.
Optional abzurufende Leistungen:
Der geschätzte Aufwand für zusätzliche Dienstleistungen über die Vertragslaufzeit beläuft sich auf ca. 6 Personentage im Jahr.
Im Rahmen des Abrufs der Dienstleistung ist der Auftragnehmer angehalten, der Auftraggeber zu beraten und zu unterstützen. Der inhaltliche Kontext der Unterstützung kann unterschiedlich sein, z. B. Unterstützung der Administration bei einem Update der Software oder der Anpassung der Prüfregeln. Der Auftragnehmer wird eine Woche vor Inanspruchnahme der Dienstleistung vom Auftraggeber über den inhaltlichen Bedarf der Unterstützung informiert.

Deadline
Die Frist für den Eingang der Angebote war 2016-06-03. Die Ausschreibung wurde veröffentlicht am 2016-03-30.

Anbieter
Die folgenden Lieferanten werden in Vergabeentscheidungen oder anderen Beschaffungsunterlagen erwähnt:
Wer?

Wie?

Wo?

Geschichte der Beschaffung
Datum Dokument
2016-03-30 Auftragsbekanntmachung
2016-08-25 Bekanntmachung über vergebene Aufträge