Beschreibung der Beschaffung
Zielsetzung:
Ziel ist die systemgestützte unternehmensweite, integrierte Steuerung von nicht finanziellen Risiken (NFR). Zu diesem Zweck soll ein Governance, Risk and Compliance (GRC) Tool beschafft und in die Prozess- und Systemlandschaft des KfW Konzerns integriert werden.
Hierbei sind zunächst folgende Bereiche des Non-Financial Risk Management zu integrieren und abzudecken: Business Continuity Management (BCM), Informationssicherheitsmanagement (ISMS) und Datenschutz.
Methoden und Verfahren sind dabei effizient, automatisiert und digital zu operationalisieren; Prozesse, Methoden und Daten zu kombinieren und zu verknüpfen. Die Implementierung erfolgt in der KfW und der KfW IPEX und umfasst die gesamte Organisation.
Übergreifende wesentliche Anforderungen an das NFR-Tool sind:
— Risiko Assessment und Dokumentation (u. a. Abbildung von Risiko-Frameworks, Workflow basiertes Risiko Assessment, Werteerhebung, Business Impact Analyse, Audit Dokumente)
— Verfahren zur Risikobehandlung, -inventarisierung, Notfallplanung, Notfalltest und -übungen.
— Verfahren zur Risikoanalyse, -messung und -berichterstattung, einschl. der Analyse und Dokumentation von Informationssicherheitsvorfällen bzw.forensischen Analysen
Auftragsgegenstand:
Der Auftragnehmer schuldet die Herstellung des vertragsgemäß funktionierenden Gesamtsystems einschließlich der Einräumung der Nutzungsrechte in den vereinbarten Metriken als Werkleistung unter überwiegender Verwendung von Standard-Software. Alle Anforderungen der Leistungsbeschreibung an das geschuldete Gesamtsystem sind vom Auftragnehmer durch eine technisch integrierte, einheitliche Softwarelösung abzudecken. Diese kann auch über Module auf einer gemeinsamen Plattform abgebildet werden, aber nicht durch verschiedene eigenständige
Softwareprodukte, die lediglich über Schnittstellen miteinander verbunden sind.
Der Auftragnehmer schuldet der KfW darüber hinaus nach erfolgreicher Erbringung der werkvertraglichen Leistung der Erstellung des Gesamtsystems die Wartung und Pflege des Gesamtsystems, also der lizensierten und angepassten Standard-Software.
Die Leistungsverpflichtung des Auftragnehmers umfasst somit insbesondere folgende Teilleistungen:
1) Herstellung und Lizensierung des funktionsfähigen Gesamtsystems (insbesondere Einräumung der Softwarelizenzen für die Standard-Software, sowie Vornahme der ggf. nötigen Anpassungen und des Customizings einschließlich Einräumung der Nutzungsrechte an diesem Gesamtsystem,
2) Leistungen während der Testphase/n,
3) Konzeption und Durchführung von Schulungen,
4) Sofern vom der KfW erbeten und beauftragt: Weitere Leistungen im Zusammenhang mit dem Auftragsgegenstand,
5) Wartung und Pflege der Software.