81279577-Globaler Aufbau und Umsetzung eines ISMS, Los 3: Durchführung Qualitätssicherungsmaßnahmen und Handlungsempfehlungen

Kurze Beschreibung

Bitte beachten Sie, dass es sich um eine Losausschreibung mit 3 Fachlosen handelt. Aus technischen Gründen erfolgt die Ausschreibung der Lose in separaten Verfahren über diesen Vergabemarktplatz. Hier ausgeschrieben ist Los 3: Durchführung von Qualitätssicherungsmaßnahmen und Ableitung von Handlungsempfehlungen.
Die GIZ engagiert sich weltweit für eine lebenswerte Zukunft. Die Informationssicherheit nimmt eine Schlüsselrolle für die Aufgabenerfüllung der GIZ ein, denn ihre Geschäftsprozesse werden in Zeiten der Digitalisierung und globalen Vernetzung durch den Austausch von Informationen und den Einsatz von IT-Systemen bestimmt. Informationen stellen grundlegende Werte für die GIZ dar, deren angemessener Schutz unverzichtbar ist.
Um konkurrenzfähig handeln zu können, sind besonders die außerhalb Deutschlands liegenden GIZ-Strukturen auf eine schnelle Reaktionsfähigkeit und ein hohes Maß an Flexibilität angewiesen. Gleichzeitig begründet der weltweite Aktionsradius der GIZ zusammen mit der Digitalisierung steigende Anforderungen an die Informationssicherheit. Die Bewahrung der Wettbewerbsfähigkeit der GIZ sowie der Schutz der Interessen ihrer Gesellschafter*innen, Auftraggeber*innen, Partner*innen und Mitarbeitenden bilden den Handlungsrahmen für das Informationssicherheitsmanagement.
Der Zweck des ISMS ist die Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit von Informationen in sämtlichen Geschäftsprozessen. Die Aufrechterhaltung dieser Schutzziele ist nur dann erreichbar, wenn Informationssicherheit integraler Bestandteil der weltweiten Organisationsstruktur und -abläufe der GIZ wird.
Deshalb hat die GIZ einen umfassenden Transformationsprozess definiert, der von einem Change-Projekt gesteuert und umgesetzt wird. Ziel ist ein zertifizierungsreifes Informationssicherheitsmanagementsystem (ISMS) zu entwickeln. Zugrunde liegt ein eng getakteter Zeitplan mit festgelegten Zertifizierungs-Meilensteinen:
- Bis Ende 2022: Testat nach der Basis-Absicherung des IT-Grundschutzes des BSI für das ISMS der GIZ (Innenstruktur).
- Bis Ende 2023: Dachzertifizierung des ISMS der GIZ nach ISO 27001 "nativ" für die Innenstruktur und für ca. 20 weitere Länder.
- Bis Ende 2024: Für die Innenstruktur eine ISO 27001-Zertifizierung auf Basis von IT-Grundschutz des BSI nach der Standardabsicherung.
- Bis Ende 2026: Dachzertifizierung des ISMS der GIZ nach ISO 27001 "nativ" für alle GIZ-Strukturen weltweit.
Die Arbeit dieses Change Projekts soll durch den/die Auftragnehmer maßgeblich begleitet und unterstützt werden. Dabei geht es vor allem darum, den Gesamtprozess zu entwerfen, zu steuern und regelmäßig anzupassen sowie die Umsetzung der notwendigen Maßnahmen mit der erforderlichen Fachexpertise zu begleiten. Gemeinsam werden im Einzelnen u. a.
- die für ein ISMS notwendigen Grundlagen (weiter-)entwickelt,
- ein geeignetes Informationssicherheitsrisikomanagement konzipiert,
- notwendige Maßnahmen zur Erfüllung der Anforderungen insb. aus ISO 27001 und IT-Grundschutz des BSI abgeleitet,
- deren Umsetzung im In- und Ausland gesteuert und mit Expertise begleitet,
- Regelprozesse definiert,
- wo notwendig Entscheidungsfindungsprozesse gesteuert und moderiert und
- die am ISMS beteiligten Einheiten und Kolleg*innen mit Training, Change Management und Kommunikation unterstützt und befähigt.
Ausschreibungsgegenstand ist das Projekt "Globaler Aufbau und Umsetzung eines Informationssicherheitsmanagementsystems", für das die Erbringung von Dienstleistungen zur Beratung und Unterstützung der GIZ gesucht wird.
Die Schätzmenge der Abrufe dieses Rahmenvertrages für Los 3 beträgt 882 Fachkrafttage zuzüglich des Schätzwertes für das vorgegebene Reisekostenbudget in Höhe von 81.563,00 EUR.
Die Höchstmenge der Abrufe dieses Rahmenvertrages beträgt 970 Fachkrafttage zuzüglich des Höchstwertes für das vorgegebene Reisekostenbudget in Höhe von 89.720,00 EUR

Beschreibung der Beschaffung

Als Dienstleister der internationalen Zusammenarbeit für nachhaltige Entwicklung und internationalen Bildungsarbeit engagiert sich die GIZ weltweit für eine lebenswerte Zukunft. Die Informationssicherheit nimmt immer mehr eine Schlüsselrolle für die Aufgabenerfüllung der GIZ ein, denn ihre Geschäftsprozesse werden in Zeiten der Digitalisierung und globalen Vernetzung durch den Austausch von Informationen und den Einsatz von informationsverarbeitenden Systemen (IT-Systeme) bestimmt. Informationen stellen grundlegende Werte für die GIZ dar, deren angemessener Schutz unverzichtbar ist.
Um konkurrenzfähig handeln zu können, sind besonders die außerhalb Deutschlands liegenden GIZ-Strukturen auf eine schnelle Reaktionsfähigkeit und ein hohes Maß an Flexibilität angewiesen. Gleichzeitig begründet der weltweite Aktionsradius der GIZ zusammen mit der Digitalisierung steigende Anforderungen an die Informationssicherheit. Die Bewahrung der Wettbewerbsfähigkeit der GIZ sowie der Schutz der Interessen ihrer Gesellschafter*innen, Auftraggeber*innen, Partner*innen und Mitarbeitenden bilden den Handlungsrahmen für das Informationssicherheitsmanagement.
Der Zweck des ISMS ist die Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit von Informationen in sämtlichen Geschäftsprozessen der GIZ. Die Aufrechterhaltung dieser Schutzziele ist nur dann erreichbar, wenn Informationssicherheit integraler Bestandteil der weltweiten Organisationsstruktur und -abläufe der GIZ wird.
Deshalb hat die GIZ einen umfassenden Transformationsprozess definiert, der von einem Change-Projekt gesteuert und umgesetzt wird. Ziel ist ein zertifizierungsreifes Informationssicherheitsmanagementsystem (ISMS) zu entwickeln. Zugrunde liegt ein eng getakteter Zeitplan mit festgelegten Zertifizierungs-Meilensteinen:
- Bis Ende 2022: Testat nach der Basis-Absicherung des IT-Grundschutzes des BSI für das ISMS der GIZ (Innenstruktur).
- Bis Ende 2023: Dachzertifizierung des ISMS der GIZ nach ISO 27001 "nativ" für die Innenstruktur und für ca. 20 weitere Länder.
- Bis Ende 2024: Für die Innenstruktur eine ISO 27001-Zertifizierung auf Basis von IT-Grundschutz des BSI nach der Standardabsicherung.
- Bis Ende 2026: Dachzertifizierung des ISMS der GIZ nach ISO 27001 "nativ" für alle GIZ-Strukturen weltweit.
Die Arbeit dieses Change Projekts soll durch den/die Auftragnehmer maßgeblich begleitet und unterstützt werden. Dabei geht es vor allem darum, den Gesamtprozess zu entwerfen, zu steuern und regelmäßig anzupassen sowie die Umsetzung der notwendigen Maßnahmen mit der erforderlichen Fachexpertise zu begleiten. Gemeinsam werden im Einzelnen u. a.
- die für ein ISMS notwendigen Grundlagen (weiter-)entwickelt,
- ein geeignetes Informationssicherheitsrisikomanagement konzipiert,
- notwendige Maßnahmen zur Erfüllung der Anforderungen insb. aus ISO 27001 und IT-Grundschutz des BSI abgeleitet,
- deren Umsetzung im In- und Ausland gesteuert und mit Expertise begleitet,
- Regelprozesse definiert,
- wo notwendig Entscheidungsfindungsprozesse gesteuert und moderiert und
- die am ISMS beteiligten Einheiten und Kolleg*innen mit Training, Change Management und Kommunikation unterstützt und befähigt.
Ausschreibungsgegenstand ist das Projekt "Globaler Aufbau und Umsetzung eines Informationssicherheitsmanagementsystems", für das die Erbringung von Dienstleistungen zur Beratung und Unterstützung der GIZ gesucht wird. Die Vergabe erfolgt in drei Losen:
- Los 1: Beratung des Gesamtprozesses
- Los 2: Dezentrale Beratungs- und Unterstützungsleistungen für das Gesamtunternehmen zur Implementierung der erforderlichen ISMS Aufbaumaßnahmen
- Los 3: Durchführung von Qualitätssicherungsmaßnahmen und Ableitung von Handlungsempfehlungen
Die Dienstleister nehmen eine zentrale Rolle bei der Umsetzung ein. Zusammen mit dem GIZ Personal verantworten sie die Erreichung der Meilensteine. Neben konzeptionellen und beratenden Tätigkeiten nehmen die Dienstleister auch Aufgaben der fachlichen und technischen Umsetzung wahr.
Basierend auf ISO 27001 (betrifft die Innen- und Außenstruktur der GIZ) und IT Grundschutz (betrifft nur die Innenstruktur der GIZ) werden im Projekt zwar Zertifizierungen nach zwei verschiedenen Standards angestrebt, jedoch soll organisationsweit ein einheitliches ISMS entwickelt und umgesetzt werden. Die für den Aufbau und die Umsetzung des ISMS wesentlichen Themenfelder und spezifischen Aspekte für die Innen und Außenstruktur sind für Los 1 entsprechende Arbeitspakete dargelegt.
Dieser mitunter auch fluktuierende Personalbedarf soll insb. durch das vorliegende Los 2 aufgefangen werden. Los 2 dient also als verlängerte Werkbank für die Umsetzung der ISMS-Aufbaumaßnahmen unternehmensweit und weltweit. Die für die dezentralen Beratungs und Unterstützungsleistungen wesentlichen Themenfelder und spezifischen Aspekte für die Innen und Außenstruktur sind auch für Los 2 in Arbeitspakete untergliedert.
Das vorliegend ausgeschriebene Projekt ist für die GIZ eine zentrale Herausforderung, um die Wettbewerbsfähigkeit des Unternehmens auch künftig sicherzustellen. Gleichzeitig ist das Projekt mit einer hohen Komplexität und zahlreichen Risiken behaftet. Aus diesen Gründen soll mit Los 3 über den gesamten Projektlebenszyklus hinweg eine unabhängige Instanz etabliert werden, die gesamthaft und kontinuierlich den Projektfortschritt und die Qualität der externen Beratung überwacht. Relevante Abweichungen beim Projektfortschritt sollen frühzeitig erkannt und Handlungsoptionen erarbeitet und kommuniziert werden.
Die für die Durchführung der Qualitätssicherungsmaßnahmen und die Ableitung der Handlungsempfehlungen wesentlichen Themenfelder und spezifischen Aspekte für die Innen und Außenstruktur sind auch für das Los 3 in Arbeitspaketen festgehalten.
Eine Vergabe der Lose 1 und 2 an denselben Anbieter ist möglich. Das Los 3 wird im Rahmen des Vergabeverfahrens an einen anderen Auftragnehmer vergeben als die Lose 1 und 2.

Objektive Kriterien für die Auswahl der begrenzten Anzahl von Bewerbern

Der öffentliche Auftraggeber wird von den geeigneten Bewerbern mindestens drei, nach seiner freien Wahl auch mehr als drei, höchstens aber fünf Bewerber zur Abgabe eines Erstangebots auffordern und damit zum Bieterwettbewerb zulassen. Die Auswahl und Rangbildung unter allen geeigneten Bewerbern erfolgt dann nach der Höhe der erreichten Punkte auf Grund objektiver und nichtdiskriminierender Eignungskriterien, siehe unten in diesem Abschnitt. Der Auftraggeber behält sich vor bei fünf oder weniger geeigneten Teilnahmeanträgen auf die Bildung einer Rangfolge zu verzichten, sofern diese geeigneten Unternehmen alle zur Abgabe eines Erstangebots aufgefordert werden sollen.
Beispiel: Fünf von sechs Bewerbern erfüllen die Mindestanforderungen und sind geeignet. Der Auftraggeber bildet nach Punkten nun eine Rangfolge und lässt die nach Rangfolge ersten drei Bewerber zum Bieterwettbewerb zu, drei Bewerber erhalten dagegen ein Absageschreiben.
Sofern die Zahl geeigneter Bewerber unter der Mindestzahl liegt, kann der öffentliche Auftraggeber das Vergabeverfahren fortführen, indem er den oder die Bewerber einlädt, die über die geforderte Eignung verfügen. Andere Unternehmen, die sich nicht um die Teilnahme beworben haben, oder Bewerber, die nicht über die geforderte Eignung verfügen, dürfen dann nicht zu demselben Verfahren zugelassen werden, § 51 Abs. 3 Satz 3 VgV. Sollten weniger als 2 geeignete Teilnahmeanträge eingehen, behält sich der Auftraggeber vor, das Verfahren aufzuheben.
Insgesamt werden pro Bewerber maximal 20 geeignete Projektreferenzen bewertet. Geeignet ist eine Referenz, wenn es sich um ein Projekt zu Qualitätssicherung und Audit für die Einführung und Weiterentwicklung von Informationssicherheitsmanagementsystemen nach ISO 27001 (nativ) und/oder nach ISO 27001 auf Basis von IT-Grundschutz handelt, die Projektlaufzeit mindestens vier (4) Monate betrug und der Projektabschluss nicht mehr als drei (3) Jahre in der Vergangenheit liegt. Es sollen daher insgesamt nicht mehr als 20 Referenzprojekte eingereicht werden. Bitte beachten Sie, dass auch im Falle einer Bewerber-/Bietergemeinschaft insgesamt nur bis zu 20 Referenzprojekte angegeben werden sollen. Auch die für Teil zum Beleg der technischen und beruflichen Leistungsfähigkeit eingereichten geeigneten Referenzprojekte werden unter diesem Abschnitt bepunktet. Eine geeignete Projektreferenz kann auch mehrere der nachfolgend genannten Kriterien gleichzeitig erfüllen. Es können somit insgesamt maximal 140 Punkte erreicht werden.
- Einreichung geeigneter Referenzen (1 Punkt für jede geeignete Projektreferenz, die das Kriterium erfüllt, maximal 20 Punkte).
- Einreichung geeigneter Referenzen mit einer Projektzeit von mindestens 24 Monaten (2 Punkte für jede geeignete Projektreferenz, die das Kriterium erfüllt, maximal 40 Punkte).
- Einreichung geeigneter Referenzen mit einem Gesamtauftragswert ohne Umsatzsteuer von mindestens 1.000.000,00 Euro (2 Punkte für jede geeignete Projektreferenz, die das Kriterium erfüllt, maximal 40 Punkte).
- Einreichung geeigneter Referenzen, die Qualitätssicherungs- und Auditleistungen für mindestens 2 Kundenstandorte außerhalb Deutschlands umfassen (2 Punkte für jede Projektreferenz, die das Kriterium erfüllt, maximal 40 Punkte).

Liste und kurze Beschreibung der Bedingungen

1. Eigenerklärung zur Eintragung ins Handelsregister oder gleichwertigem Register nach den Rechtsvorschriften des Herkunftslands
2. Eigenerklärung, dass keine Ausschlussgründe nach § 123, § 124 GWB vorliegen
3. Verpflichtungserklärung Nachunternehmer (falls zutreffend)
4. Erklärung der Bewerbergemeinschaft (falls zutreffend).

Liste und kurze Beschreibung der Auswahlkriterien

1. Durchschnittlicher Jahresumsatz in den Sparten IT-Beratung und Informationssicherheitsberatung zusammen in den letzten drei Geschäftsjahren von mindestens 2.000.000,00 EUR
2. Erklärung darüber, dass der Bewerber spätestens bei Beginn der Leistung über eine marktübliche Berufs-/ Betriebshaftpflichtversicherung unter Angabe der Deckungssummen verfügt. Mindestanforderung ist der Nachweis einer Betriebshaftpflichtversicherung mit einer Deckungssumme von mindestens 500.000,00 EUR je Schadensfall für Personen- und Sachschäden sowie 500.000,00 EUR je Schadensfall für Vermögensschäden (jeweils pro Jahr 2-fach maximiert) oder eine Erklärung, dass der Bewerber eine solche Versicherung spätestens bis zur Auftragserteilung abgeschlossen haben wird.

Zu 1: Durchschnittlicher Jahresumsatz in den Sparten IT-Beratung und Informationssicherheitsberatung zusammen in den letzten drei Geschäftsjahren von mindestens 2.000.000,00 EUR
Zu 2: Mindestanforderung ist der Nachweis einer Betriebshaftpflichtversicherung mit einer Deckungssumme von mindestens 500.000,00 EUR je Schadensfall für Personen- und Sachschäden sowie 500.000,00 EUR je Schadensfall für Vermögensschäden (jeweils pro Jahr 2-fach maximiert) oder eine Erklärung, dass der Bewerber eine solche Versicherung spätestens bis zur Auftragserteilung abgeschlossen haben wird.

Liste und kurze Beschreibung der Auswahlkriterien

1. Es sind geeignete Referenzen über früher ausgeführte Aufträge mit Angabe des Auftraggebers, des Auftragszeitraums, des Auftragsvolumens und des Auftragsinhalts einzureichen. Geeignet ist eine Referenz, wenn es sich um ein Projekt zu Qualitätssicherung und Audit für die Einführung und Weiterentwicklung von Informationssicherheitsmanagementsystemen nach ISO 27001 (nativ) und/oder nach ISO 27001 auf Basis von IT-Grundschutz handelt, die Projektlaufzeit mindestens vier (4) Monate betrug und der Projektabschluss nicht mehr als drei (3) Jahre in der Vergangenheit liegt.

Bedingungen für die Teilnahme (technische und berufliche Fähigkeiten)

Zu 1:
- Der Bewerber hat mindestens vier (4) geeignete Referenzen einzureichen;
- Mindestens zwei (2) geeignete Projektreferenzen weisen einen Gesamtauftragswert ohne Umsatzsteuer von jeweils mindestens 100.000 Euro auf:
- Mindestens zwei (2) geeignete Projektreferenzen umfassen jeweils Qualitätssicherungs- und Auditleistungen für einen oder mehrere Kundenstandorte außerhalb Deutschlands

Im Falle von Rahmenvereinbarungen ist eine Begründung für eine Laufzeit von mehr als 8 Jahren vorzulegen

Die Laufzeit der Rahmenvereinbarung beträgt 5 Jahre, da dieser Zeitraum für den Zertifizierungsprozess benötigt wird. Ein Wechsel des Rahmenvertragspartners während der Laufzeit des Zertifizierungsprozesses wäre unzweckmäßig, es wäre seitens des Auftraggebers mit einem immensen Mehraufwand zu rechnen, den Auftragnehmer zu wechseln. Der Einarbeitungsaufwand eines neuen Auftragnehmers führt zu einer erheblichen Kostensteigerung. Ein laufender Zertifizierungsprozess müsste übernommen werden, d.h. ein Projekt müsste künstlich ohne Erreichung des Projektziels unterbrochen werden. Die Übernahme eines laufenden Projekts wäre zudem mit Unwägbarkeiten verbunden und gefährdet den Projekterfolg, nämlich die Erreichung der Zertifizierung. Für den Wettbewerb wäre es kaum attraktiv, ein Projekt nur zu gewissen Teilen zu übernehmen oder in ein laufendes Projekt einzusteigen. Eine Neuausschreibung müsste zudem nach spätestens 3 Jahren geplant und umgesetzt werden, zu einem Zeitpunkt also, wenn die begrenzten Personalressourcen des Auftraggebers mit der Projektausführung bereits stark ausgelastet sind. Ein Wechsel des Auftragnehmers mitten im Projekt dürfte zudem zu nicht unerheblichen Reibungsverlusten führen, da neue Dienstleister erst sämtliche vom vorherigen Dienstleister erstellten Funktionen kennenlernen und sich einarbeiten müssen. Auch ein Wissensverlust dürfte trotz Dokumentation mit dem Wechsel einhergehen. Somit liegt im Ergebnis ein Sonderfall nach § 21 Abs. 6 VgV vor.

Bitte beachten Sie, dass es sich um eine Losausschreibung mit 3 Fachlosen handelt. Aus technischen Gründen erfolgt die Ausschreibung der Lose in separaten Verfahren über diesen Vergabemarktplatz. Hier ausgeschrieben ist Los 3: Durchführung von Qualitätssicherungsmaßnahmen und Ableitung von Handlungsempfehlungen.
Die Zahl der Lose, auf die ein einzelner Bieter den Zuschlag erhalten kann, ist beschränkt . Ein Bieter kann nicht gleichzeitig den Zuschlag für Los 1 und Los 3 oder Los 2 und Los 3 erhalten. Los 1 und Los 2 können an einen Bieter vergeben werden. Ist das Angebot eines Bieters sowohl für Los 1 oder 2, als auch für Los 3 das wirtschaftlichste, erhält dieser Bieter für das Los mit der höheren Höchstmenge gemäß Auftragsbekanntmachung den Zuschlag.
Die Kommunikation findet ausschließlich über die Vergabeplattform statt.
Bekanntmachungs-ID: CXTRYY6YK17

Genaue Informationen über Fristen für Überprüfungsverfahren

Ein Nachprüfungsantrag ist gemäß § 160 Abs. 3 GWB unzulässig, soweit
1. der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und gegenüber dem Auftraggeber nicht innerhalb einer Frist von zehn Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Absatz 2 bleibt unberührt,
2. Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,
3. Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,
4. mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind.
Satz 1 gilt nicht bei einem Antrag auf Feststellung der Unwirksamkeit des Vertrags nach § 135 Absatz 1 Nummer 2. § 134 Absatz 1 Satz 2 bleibt unberührt.