Beschreibung der Beschaffung
Die ITSCare konzentriert die strategischen Komponenten der Informationssicherheit im Stabsstellenbereich „IT-Security“ der ITSCare. Das eingeführte ISMS wurde Ende 2017 erfolgreich nach dem Standard der ISO/IEC 27001:2013 zertifiziert. Die dauerhafte Aufrechterhaltung dieser Zertifizierung ist ein strategisches Ziel der ITSCare und ihrer Gesellschafter.
Die Zielsetzung und Grundsätze des ISMS wurden dabei in einem ISMS-Handbuch intern veröffentlicht. Neben der Beratung der Fachbereiche und Kunden der ITSCare, führt der Bereich regelmäßige Schulungen und Prüfungen durch.
Das Team wird fachlich durch den IT-Sicherheitsbeauftragten (ISB) der ITSCare geführt. Für die operative Arbeit steht dem ISB dabei externe Beratungsleistung zur Verfügung. Gleichzeitig ist der Risikomanager der ITSCare ebenfalls im Stabsstellenbereich „IT-Security“ verortet.
Die vom Auftraggeber ausgeschriebene Beratungsleistung wird dem Grundsatz des „IT-Security as a Service“ folgen und umfasst die fachlichen Komponenten des „IT-Sicherheitsanalyst“ sowie des „Penetrationstester“.
IT-Sicherheitsanalyst:
Der Auftragnehmer stellt den Auftraggeber operative Beratungsleistung mit Skill-Level „IT-Sicherheitsanalyst“ als Service zur Verfügung. Die Leistung dieser Beratung umfassen u. a. (nicht abschließend):
— Erfahrung in der Bewertung und ggf. Behandlung von Sicherheitsvorfällen; Koordination mit Dienstleistern,
— Erfahrung in der Bewertung von Sicherheitskonzepten, Prozessbeschreibung und Verfahren,
— Erfahrung in der Koordination und Durchführung von Sicherheitsaudits und überprüfen der Umsetzung der daraus resultierenden regulatorischen Vorgaben,
— Erfahrung in der Definition von Maßnahmen bezüglich Kritikalität und Risiko unter Einbeziehung des ISB,
— Erfahrung in der Beratung des ISB zu regulatorischen Anforderungen, Erarbeitung von Konzepten ISMS Kontext,
— Erfahrung in der Überwachung der Risikoentwicklung (inkl. Maßnahmenverfolgung) und Pflege des IT-Risikoinventars als wesentliches Steuerungsinstrument des Bereichs IT,
— Erfahrung in der Weiterentwicklung und Überwachung von Vorgaben des ISMS,
— Mitarbeit in und für Gremien innerhalb und außerhalb ITSCare,
— Beratung und aktiver Austausch mit dem IT-Management zu den Themengebieten IT-Risiko, IT-Notfall und IT-Security und bei der Entwicklung risikoreduzierender Maßnahmen,
— Erfahrung in der Entwickelung von Cyber-Strategien, Begleiten von Transformationen und Durchführung von Security-Assessments,
— Erfahrung in der Durchführung von Cyber-Trainings und Awareness-Maßnahmen,
— Erfahrung im Review, Verbesserung und Implementierung der Information-Security-Management-Systeme (ISMS) nach ISO 27001.
Penetrationstester:
Der Auftragnehmer stellt den Auftraggeber operative Beratungsleistung mit Skill-Level „Penetrationstester“ als Service zur Verfügung. Die Leistung dieser Beratung umfassen u. a. (nicht abschließend):
— Erfahrung in der Planung und Durchführung von Penetrationstests und Schwachstellenanalysen auf die Systeme, Netzwerke und (Web-)Applikationen nach OSSTMM, OWASP bzw. im Projekt-Scope besprochener Vorgaben,
— Erfahrung in der Beratung bei der Absicherung von Systemen und Netzwerken,
— Erfahrung in der Aufbereitung, Dokumentation und Präsentation der Ergebnisse in einem schriftlichen Bericht.
Die Zuordnung der entstehenden Aufgaben zu internen Ressourcen des Auftragnehmers ist vom Auftragnehmer frei zu gestalten, sofern die erforderlichen Vorrausetzungen (Skill-Anforderungen) gegeben sind. Eine abgestimmte aber regelmäßige Anwesenheit am Sitz der Gesellschaft in Frankfurt ist erforderlich. Im Bedarfsfall kann der Einsatz an allen Standorten der ITSCare erforderlich sein.