Beschreibung der Beschaffung
Ausgangslage:
Derzeit setzt die Deutsche Bundesbank keinen singulären markgängigen Standard an Regelwerken ein. Dem IT-Risikomanagement liegen derzeit unterschiedliche Frameworks zu Grunde. Somit entstand eine ganz eigene, bundesbankspezifische Vorgehensweise, die sich zwar an verschiedenen Standards orientiert, aber keinen Standard konsequent umsetzt.
Mit dem Projekt RING wird die Deutsche Bundesbank ihr IT-Risikomanagement auf Basis gültiger Standards konzeptionell erneuern und die bestehenden Prozesse und Regelungen unter Einbeziehung eines geeigneten ISMS-Tools überarbeiten.
Im Projekt RING werden somit die folgenden Ziele verfolgt:
— Auswahl eines marktgängigen Standards, der die Vorgaben des BSI-Grundschutzes in Compliance zu KRITIS und UP Bund erfüllt, als zukünftig gültigen Standard für das IT-Risikomanagement und das Regelwerk der IT-Sicherheit in der Bundesbank,
— Anpassung der internen Regelwerke sowie der bestehenden Prozesse (IT-Risikomanagementprozess, IT-Regelwerksprozess) an diesen Standard,
— Digitalisierung des IT-Risikomanagementprozesses durch Einführung eines ISMS-Tools.
In der Voruntersuchungsphase des Projekts RING entschied sich die Deutsche Bundesbank für den IT-Grundschutz des BSI als maßgeblichen Standard für das IT-Risikomanagement, wobei strengere Vorgaben aus dem Europäischen System der Zentralbanken (ESZB) zur IT-Sicherheit integriert werden.
Für die sich anschließenden Phasen Hauptuntersuchung und Durchführung wird ebenfalls externe Unterstützung benötigt.
Auftragsbeschreibung:
Es wird eine Beratungskraft sowie eine Vertretung benötigt. Unbenommen bleibt dem Auftragnehmer – bei Bedarf – ggf. weitere Beratungskräfte hinzuzuziehen.
Im Wesentlichen sind folgende Beratungs- und Unterstützungsleistungen zu erbringen:
— Umsetzung des IT-Grundschutzes des BSI,
— Anpassung der bestehenden Regelungen zur IT-Sicherheit in der Bundesbank sowie die bestehenden internen Prozesse mit dem Ziel der Konformität zum BSI-Grundschutz,
— Erarbeitung einer mit dem BSI-Grundschutz konformen Vorgehensweise, damit einhergehend Prüfung, Anpassung und ggf. Neugestaltung von bisherigen bundesbankspezifischen Festlegungen,
— Festlegung einer Strategie für die Einführung des BSI-Grundschutzes in der Bundesbank,
— Auswahl und Implementierung eines softwaregestützten Systems zum Management der Informationssicherheit („ISMS-Tool"),
— Untersuchung der IT-Landschaft der Bundesbank nach dem BSI-Grundschutz und der Ergebnisse im neuen ISMS Tool.
Die Kommunikation im Rahmen der Aufgabenerfüllung erfolgt in deutscher Sprache auf Geschäftsniveau. Alle Ergebnisdokumente sind auf Deutsch zu verfassen. Zusätzlich übergibt der Auftraggeber Referenzdokumente in englischer Sprache, die von der eingesetzten Beratungskraft bei der Leistungserbringung zu berücksichtigen sind.