Beratungs-/Unterstützungsdienstleistungen Informationssicherheit bei IT.NRW

Kurze Beschreibung

Für die Aufrechterhaltung und den Ausbau eines Informationssicherheitsmanagementsystems sind verschiedene Themenbereiche zu bearbeiten, um die Anforderungen des BSI-Grundschutzes und des Datenschutzgesetzes NRW (DSG NW) sowie der EU-DSGVo wirksam umsetzen zu können. Hierfür sind entsprechende Unterstützungsleistungen erforderlich.

Hauptstandort oder Erfüllungsort

Land NRW vertreten durch den Landesbetrieb Information und Technik NRW Mauerstraße 51 40476 Düsseldorf Die vom Auftragnehmer zu erbringenden Dienstleistungen erfolgen in den Räumlichkeiten von IT.NRW (Standorte Düsseldorf, Hagen), in den Dienstgebäuden anderer Behörden und Einrichtungen der Landesverwaltung NRW am Standort Düsseldorf (ggfs. weitere nur nach vorheriger Absprache) oder nach Absprache aus den Räumlichkeiten des Auftragnehmers.

Beschreibung der Beschaffung

Unterstützungsleistungen u.a. zu folgenden Themen:
— eine Beratung zu speziellen Fragestellungen des BSI-Grundschutzes bis hin zur aktiven Behandlung aller Arbeitsschritte nach dem Vorgehensmodell des BSI-IT-Grundschutzes (Sicherheitskonzepte, Grundschutzchecks, Risikoanalysen etc.),
— Beratung und Unterstützung beim Ausbau des Zertifizierungsverbunds bei IT.NRW um neue Komponenten, Technologien und/oder Netzbereiche
— Beratung und Unterstützung bei der Ausrichtung des etablierten Informationssicherheitsrisikomanagements auf Basis des Standards 200-4,
— Beratung und Unterstützung beim Auf- und Ausbau des etablierten IT-Notfallmanagements,
— Durchführung von Revisionen (IS-Kurzrevisionen und Audits),
— die Fortführung eines vollständigen Schulungs- und Sensibilisierungskonzepts gemäß BSI-Grundschutz und DSG NW sowohl für IT.NRW selbst als auch für die landesweite Sensibilisierungskampagne,
— die Durchführung solcher Schulungen und/oder Sensibilisierungsmaßnahmen nach Absprache für IT.NRW selbst und für den Landes-CISO als Auftraggeber des landesweiten Schulungs- und Sensibilisierungskonzepts sowie
— eine Begleitung der Informationssicherheit bei IT.NRW bei den Überwachungsaudits und der Vorbereitung zur Rezertifizierung von IT.NRW nach 3 weiteren Jahren.
Ziel der vorliegenden Ausschreibung ist es daher, neue oder nicht vollständig umgesetzt Bausteine und Konzepte (IT-Sicherheit, Schulung- und Sensibilisierung etc.) der Ebenen 1 bis 5 des BSI-Grundschutzes zu füllen, nachzuhalten, zu verbessern, im Rahmen eigener interner Audits zu auditieren und IT.NRW auf eine Rezertifizierung in 3 Jahren vorzubereiten.

Liste und kurze Beschreibung der Auswahlkriterien

Für jede der geforderten Rollen sind durch den Anbieter jeweils genau die Anzahl an Mitarbeiterprofilen beizulegen sowie die dazugehörigen Profilmatrizen auszufüllen.
Der Anbieter muss bis zu 11 geeignete Personen innerhalb eines Monats entsprechend der einzunehmenden Rollen auf Anforderung des Auftraggebers für ein Projekt bzw. Auftrag im Bereich der IT-Sicherheit bereitstellen.
Falls eine bereitgestellte Person sich während eines Einsatzes als ungeeignet herausstellt, muss der Anbieter diese Person in einer für die bekannt zu gebende Planungsinstanz akzeptablen Zeit (10 Werktage) durch eine andere Person, die über die geforderte Qualifikation verfügt, ersetzen.
Der Anbieter muss seit mindestens drei Jahren kontinuierlich die geforderten Unterstützungsleistungen am Markt anbieten. Es müssen alle ausgeschriebenen Leistungen vom Unternehmen angeboten werden.
Der Anbieter muss ein Qualitätssicherungssystem anwenden.
Der Anbieter muss nach einem IT-Sicherheitsstandard arbeiten.
Der Anbieter muss mindestens eine der folgenden Zertifizierungen nachweisen:
— ISO 9001
— ISO 27001
— ISO 27001 auf Basis IT-Grundschutz
Aus Sicherheitsgründen sind die Mitarbeiter bei Beauftragung namentlich bekannt zu geben.
Die Mitarbeiter müssen sich, je nach Aufgabenstellung (z.B. für Polizeiverfahren), einer Sicherheitsüberprüfung unterziehen.
Der Anbieter hat einer Verpflichtung seiner Mitarbeiter gemäß der "Verpflichtung nicht beamteter Personen" zuzustimmen und diese zu unterzeichnen.
Es sind mindestens 3 Referenzen anzugeben, deren Projekte vergleichbar zur ausgeschriebenen Leistung innerhalb der letzten drei Jahre abschließend durchgeführt wurden. Davon muss mindestens eine Referenz mit einem Öffentlichen Auftraggeber genannt werden.
Der Nachweis der rollenspezifischen Mindestanforderungen erfolgt zum einen durch das Einreichen von Mitarbeiterprofilen pro Rolle und
Jeweils pro Mitarbeiter und Rolle ein Hinweis auf ein Projekt, das die Erfahrung eindeutig belegt, z.B. durch Beschreibung der Tätigkeiten, die diese Kenntnisse voraussetzen. Davon stammt mindestens ein Projekt aus dem öffentlichen Bereich.
Rolle 1: Consultant ITSK:
Studiengang / Ausbildung des Mitarbeiters:
Studium der Informatik, Wirtschaftsinformatik oder eines Stu-diengangs mit Nebenfach Informatik oder abgeschlossene Be-rufsausbildung als Mathematische(r) Assistent(in), Fachinfor-matiker(in) oder vergleichbar zu obigen Ausbildungen.
Mind. 2 Jahre Erfahrungen des im Bereich der aktiven Behandlung aller Arbeitsschritte nach dem Vorgehensmodell des BSI-IT-Grundschutzes.
Zertifizierung als "IT-Grundschutz-Berater" oder vergleichbar (mind. 2. Stufe des Zertifizierungsprogramms des BSI.
Fundierte Ausbildung im BSI-Grundschutz, z.B. "IT-Grundschutz-Praktiker" oder vergleichbar (1. Stufe des Zertifizierungsprogramms des BSI.
Rolle 2: Spezialist BSI-Grundschutz:
Studiengang / Ausbildung des Mitarbeiters:
Studium der Informatik, Wirtschaftsinformatik oder eines Stu-diengangs mit Nebenfach Informatik oder abgeschlossene Be-rufsausbildung als Mathematische(r) Assistent(in), Fachinfor-matiker(in) oder vergleichbar zu obigen Ausbildungen.
Mind. 3 Jahre Erfahrungen des Mitarbeiters in der konzeptionellen Ausarbeitung und Umsetzung im Umfeld des BSI-Grundschutzkompendiums.
Praktische Erfahrungen und Kenntnisse des Mitarbeiters in der Umsetzung von Maßnahmen der GS-Schichten 3+4, insbesondere in den Themen Virtualisierung, PKI, VPN oder Netzwerkinfrastruktur.
Zertifizierung als "BSI-Revisor" oder vergleichbar.
Zertifizierung als "IT-Grundschutz-Berater" oder vergleichbar (mind. 2. Stufe des Zertifizierungsprogramms des BSI.
Rolle 3: Consultant Zertifizierung:
Studiengang / Ausbildung des Mitarbeiters:
Studium der Informatik, Wirtschaftsinformatik oder eines Stu-diengangs mit Nebenfach Informatik oder abgeschlossene Be-rufsausbildung als Mathematische(r) Assistent(in), Fachinfor-matiker(in) oder vergleichbar zu obigen Ausbildungen.
Mind. 3 Jahre Erfahrungen des Mitarbeiters im Bereich der Re-zertifizierungsvorbereitung nach BSI Grundschutz bzw. ISO 27001.
Zertifizierung als "BSI-Lead-Auditor" oder vergleichbar und tätig als Auditteamleiter.
Zertifizierung als "IT-Grundschutz-Berater" oder vergleichbar (mind. 2. Stufe des Zertifizierungsprogramms des BSI.
Rolle 4: Consultant Schulung und Sensibilisierung
Studiengang / Ausbildung des Mitarbeiters:
Studium der Informatik, Wirtschaftsinformatik oder eines Stu-diengangs mit Nebenfach Informatik oder abgeschlossene Be-rufsausbildung als Mathematische(r) Assistent(in), Fachinfor-matiker(in) oder vergleichbar zu obigen Ausbildungen.
Mind. 3 Jahre Erfahrungen des Mitarbeiters in der Erstellung von Schulungs- und Sensibilierungskonzepten zur Informationssicherheit und dem Datenschutz insbesondere im öffentlichen Bereich (keine Schulungen zum BSI-Grundschutz!).
Kompetenzen des Mitarbeiters in der Erstellung und anschaulichen Aufbereitung entsprechender Inhalte in Flyern, Präsentationen, Wikis, Intranetauftritten etc., insbesondere im öffentlichen Bereich.
Fundierte Ausbildung im BSI-Grundschutz, z.B. "IT-Grundschutz-Praktiker" oder vergleichbar (1. Stufe des Zertifizierungsprogramms des BSI.
Rolle 5: Dozent Schulung und Sensibilisierung:
Studiengang / Ausbildung des Mitarbeiters:
Studium der Informatik, Wirtschaftsinformatik oder eines Stu-diengangs mit Nebenfach Informatik oder abgeschlossene Be-rufsausbildung als Mathematische(r) Assistent(in), Fachinfor-matiker(in) oder vergleichbar zu obigen Ausbildungen.
Mind. 2 Jahre Erfahrungen des Mitarbeiters in der Vorbereitung und Durchführung von regelmäßigen oder anlassbezogenen Workshops oder Schulungen gemäß einem abgestimmten Schulungs- und Sensibilisierungskonzept zur Informationssicherheit (keine Schulungen zum BSI.Grundschutz!).
Qualifizierungen im Rahmen der Dozententätigkeit im Umfeld der Security-Awareness (z.B. vergleichbare Ausbildungsnachweise; Zertifikate zu Didaktik, Rhetorik o.ä.

Die Kommunikation zwischen Bieter und Vergabestelle erfolgt ausschließlich über den Kommunikationsbereich im Projektraum zu dieser Ausschreibung auf dem Vergabemarktplatz des Landes NRW (www.evergabe.nrw.de).
Bekanntmachungs-ID: CXPNYDRD40E

Genaue Informationen über Fristen für Überprüfungsverfahren

Gem. § 160 Abs. 3 Nr. 4 GWB ist ein Nachprüfungsantrag unzulässig, soweit mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind.

Hauptstandort oder Erfüllungsort

Land NRW vertreten durch den Landesbetrieb Information und Technik NRW
Mauerstraße 51
40476 Düsseldorf
Die vom Auftragnehmer zu erbringenden Dienstleistungen erfolgen in den Räumlichkeiten von IT. NRW (Standorte Düsseldorf, Hagen), in den Dienstgebäuden anderer Behörden und Einrichtungen der Landesverwaltung NRW am Standort Düsseldorf (ggfs. weitere nur nach vorheriger Absprache) oder nach Absprache aus den Räumlichkeiten des Auftragnehmers.

Beschreibung der Beschaffung

Unterstützungsleistungen u. a. zu folgenden Themen:
— eine Beratung zu speziellen Fragestellungen des BSI-Grundschutzes bis hin zur aktiven Behandlung aller Arbeitsschritte nach dem Vorgehensmodell des BSI-IT-Grundschutzes (Sicherheitskonzepte, Grundschutzchecks, Risikoanalysen etc.),
— Beratung und Unterstützung beim Ausbau des Zertifizierungsverbunds bei IT.NRW um neue Komponenten, Technologien und / oder Netzbereiche,
— Beratung und Unterstützung bei der Ausrichtung des etablierten Informationssicherheitsrisikomanagements auf Basis des Standards 200-4,
— Beratung und Unterstützung beim Auf- und Ausbau des etablierten IT-Notfallmanagements,
— Durchführung von Revisionen (IS-Kurzrevisionen und Audits),
— die Fortführung eines vollständigen Schulungs- und Sensibilisierungskonzepts gemäß BSI-Grundschutz und DSG NW sowohl für IT.NRW selbst als auch für die landesweite Sensibilisierungskampagne,
— die Durchführung solcher Schulungen und / oder Sensibilisierungsmaßnahmen nach Absprache für IT. NRW selbst und für den Landes-CISO als Auftraggeber des landesweiten Schulungs- und Sensibilisierungskonzepts sowie
— eine Begleitung der Informationssicherheit bei IT.NRW bei den Überwachungsaudits und der Vorbereitung zur Rezertifizierung von IT. NRW nach 3 weiteren Jahren.
Ziel der vorliegenden Ausschreibung ist es daher, neue oder nicht vollständig umgesetzt Bausteine und Konzepte (IT-Sicherheit, Schulung- und Sensibilisierung etc.) der Ebenen 1 bis 5 des BSI-Grundschutzes zu füllen, nachzuhalten, zu verbessern, im Rahmen eigener interner Audits zu auditieren und IT. NRW auf eine Rezertifizierung in 3 Jahren vorzubereiten.

Die Kommunikation zwischen Bieter und Vergabestelle erfolgt ausschließlich über den Kommunikationsbereich im Projektraum zu dieser Ausschreibung auf dem Vergabemarktplatz des Landes NRW (www.evergabe.nrw.de).
Bekanntmachungs-ID: CXPNYDRDER1.