Bedingungen für die Teilnahme (technische und berufliche Fähigkeiten)
4) Die gegenständlichen Dienstleistungen beinhalten die Auftragsdatenverarbeitung personenbezogener Daten folgender Schutzstufen nach BSI Standard 200-2:
Vertraulichkeit – hoch; Integrität – hoch
Verfügbarkeit – normal Entsprechend den Vorgaben des BSI-Grundschutz sind mindestens folgende technischen und organisatorischen Maßnahmen durch den Auftragnehmer zu gewährleisten, deren Umsetzung im Rahmen der Angebotsprüfung vor Ort überprüft werden können. Im Falle einer Verneinung ist jeweils zu begründen, dass und welche Maßnahmen einen mindestens gleichwertigen Schutz gewährleisten.
Zur Plausibilisierung der Maßnahmen bitten wir um Überlassung von Dokumentationen (z. B. IT-Sicherheitskonzept, Datenschutzrichtlinie) oder einschlägige Zertifizierungen über die Sicherheitseinrichtungen (z. B. BSI IT-Grundschutz-Zertifikat oder ISO/IEC 27001). Soweit dergleichen nicht zur Verfügung stehen, ist die detaillierte Gestaltung der Maßnahmen – mit Bezug auf den Grundschutzkatalog des BSI – auf gesondertem Blatt darzustellen.
1) Zugangskontrolle – Unbefugten wird der Zugang zu den Datenverarbeitungsanlagen, mit denen Personenbezogene Daten verarbeitet werden, verwehrt:
a) Perimeterschutz [BSI M 1.55];
b) Sicherheitsdienst/Zutrittskontrolle Gebäude [BSI M 2.17];
c) Zutrittskontrolle DV-Räumlichkeiten [BSI M 1.73, M 2.17].
2) Speicherkontrolle – Verhinderung unbefugter Kenntnisnahme, Veränderung oder Löschung gespeicherter personenbezogener Daten Personenbezogene Authentifizierung [BSI M 2.6, M 2.7, M 2.8];
3) Benutzerkontrolle – Verhinderung der Nutzung der Datenverarbeitungssysteme durch Unbefugte:
a) Management zur Informationssicherheit (z. B. BSI 200-2);
b) IT-Sicherheitskonzept und Umsetzung der Maßnahmen;
c) Personenbezogene Authentifizierung [BSI M 2.6, M 2.7].
4) Zugriffskontrolle – Gewährleistung, des Zugriffs der zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten Personenbezogene Authentisierung – Rechte/Rollen [BSI M 2.8];
5) Übermittlungskontrolle – Gewährleistung der Prüfbarkeit und Feststellbarkeit, an welche Stellen personenbezogene Daten durch Einrichtungen zur Datenübertragung übermittelt werden können System- und Verarbeitungsprotokolle [z. B. BSI M 4.81, M 4.106].
6) Eingabekontrolle – Gewährleistung der nachträglichen Prüfbarkeit und Feststellbarkeit, welche personenbezogenen Daten zu welcher Zeit von wem in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind System- und Verarbeitungsprotokolle [BSI M 4.106];
7) Auftragskontrolle – Gewährleistung der Verarbeitung personenbezogener Daten im Auftrag nur entsprechend den Weisungen des Auftraggebers Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen [BSI M 3.2];
8) Transportkontrolle – Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens personenbezogener Daten bei deren Übertragung:
a) Sicherheitsmaßnahmen für ftp-Server [BSI M 5.21];
b) Verschlüsselung des Datentransfers [BSI M 4.34, M 5.68].
9) Behandlung von Sicherheitsvorfällen – Sicherstellen, dass Datenschutzverletzungen erkannt, erfasst, analysiert und behoben werden:
a) Etablierte Vorgehensweise bei Sicherheitsvorfällen [BSI M 6.58, M 6.60];
b) Behebung von Sicherheitsvorfällen und Benachrichtigung betroffener Stellen [BSI M 6.64, M 6.65].
Der Bieter benennt als Ansprechpartner für Fragen des Datenschutzes:
Der Bieter benennt als Ansprechpartner für Fragen der IT-Sicherheit.