Liste und kurze Beschreibung der Auswahlkriterien
Los 1:
a) Erfahrung mit Penetrationstests für Web Anwendungen: Der Bieter weist anhand von 3 Referenzen des Unternehmens nach, dass er innerhalb der letzten drei Jahre Penetrationstests nach OSSTMM V3 oder vergleichb. Standards durchgeführt hat. Die getesteten Prüfgegenstände müssen umfassen: Web Anwendungen und Web Services (APIs). Die Prüfdauer darf 4 Tage nicht unterschreiten. Die verwendeten Standards und die Prüfgegenstände sind anzugeben.
b) Erfahrung mit Penetrationstests für Infrastruktur: Der Bieter weist anhand von 3 Referenzen des Unternehmens nach, dass er innerhalb der letzten drei Jahre Penetrationstests für Infrastruktur nach OSSTMM V3 oder vergleichb. Standards durchgeführt hat. Die Prüfdauer darf 4 Tage nicht unterschreiten. Die verwendeten Standards und die getesteten Komponenten sind anzugeben.
c) Erfahrung mit Penetrationstests für Cloud Komponenten: Der Bieter weist anhand von 3 Referenzen des Unternehmens nach, dass er innerhalb der letzten drei Jahre Penetrationstests für Cloud Komponenten nach OSSTMM V3 oder vergleichb. Standards durchgeführt hat. Die Prüfdauer darf 4 Tage nicht unterschreiten. Die verwendeten Standards und die getesteten Komponenten sind anzugeben.
d) Erfahrung mit Konfigurationsprüfungen: Der Bieter weist anhand von 3 Referenzen des Unternehmens aus den letzten drei Jahren nach, dass er über Erfahrung in der Durchführung von Konfigurationsprüfungen verfügt. Das Prüfobjekt ist vom Bieter anzugeben.
e) Erfahrung mit Prüfungen von Mobile Apps: Der Bieter weist anhand von 3 Referenzen des Unternehmens aus den letzten drei Jahren nach, dass er über Erfahrung in der Durchführung von Penetrationstests zu Mobile Apps verfügt. Der angewendete Prüfstandard ist anzugeben.
f) Erfahrung mit Technischer Risikobewertung: Der Bieter weist anhand von 3 Referenzen des Unternehmens aus den letzten drei Jahren nach, dass er über Erfahrung mit Technischen Risikobewertungen verfügt, die er als Grundlage für die technischen Prüfungen nutzt. Der angewendete Bewertungsstandard ist anzugeben.
g) Erfahrung im Markt der Gesetzlichen Krankenversicherungen: Der Bieter weist durch 2 Referenzprojekte des Unternehmens aus den letzten drei Jahren nach, dass er über Erfahrungen mit technischen Sicherheitsprüfungen im Markt der GKV verfügt.
h) Interaktion: Der Bieter weist anhand von einer Referenz des Unternehmens aus den letzten drei Jahren nach, dass er Erfahrung im Umgang mit Kunden mit einer größeren Anzahl von Subunternehmern hat.
Los 2:
a) Erfahrung zum Incident Management: Der Bieter weist anhand von 2 Referenzen des Unternehmens aus den letzten drei Jahren nach, dass er über Projekterfahrung zum Umgang, Bearbeitung und Maßnahmenableitung zu sicherheitsrelevanten Vorfällen verfügt.
b) Erfahrung zur Bewertung von Sicherheitsarchitekturen: Der Bieter weist anhand von 2 Referenzen des Unternehmens aus den letzten drei Jahren nach, dass er über Projekterfahrung zur Bewertung von Sicherheitsarchitekturen verfügt.
c) Erfahrung mit der Erstellung und Prüfung von Sicherheitskonzepten: Der Bieter weist anhand von 2 Referenzen des Unternehmens aus den letzten drei Jahren nach, dass er über Projekterfahrung zur Erstellung und Prüfung von Sicherheitskonzepten verfügt.
d) Erfahrung mit Technischer Risikobewertung: Der Bieter weist anhand von mind. 2 Referenzen des Unternehmens aus den letzten drei Jahren nach, dass er über Erfahrung mit Technischen Risikobewertungen verfügt, die er als Grundlage für seine Beratungs- und Dienstleistungen zur Informationssicherheit genutzt hat. Der angewendete Bewertungsstandard ist anzugeben.
e) Erfahrung mit der Erstellung von Konzepten zum sicheren Betrieb: Der Bieter weist anhand von einer Referenz des Unternehmens aus den letzten drei Jahren nach, dass er neben Sicherheitskonzepten auch über Erfahrungen in Projekten zur Erstellung und/oder Pflege von Betriebskonzepten, bspw. Datensicherungs-, Rollen- und Berechtigungs- oder Betriebskonzepten mit Schwerpunkt IT-Sicherheit, verfügt. Die Referenz muss dabei die Erstellung oder Pflege von Rollen- und Berechtigungskonzepten beinhalten.
f) Erfahrungen in Projekten zur Identifizierung sicherheitsrelevanter Anforderungen an neue Produkte und Technologien: Der Bieter weist anhand von einer Referenz des Unternehmens aus den letzten drei Jahren nach, dass er über Erfahrungen in Projekten zur Identifizierung sicherheitsrelevanter Anforderungen an neue Produkte und Technologien wie z.B. WebRTC, Container, Kubernetes verfügt.
g) Erfahrungen hinsichtlich der Vorbereitung und Durchführung von Workshops mit administrativem Personal zum sicheren IT-Betrieb: Der Bieter weist anhand von einer Referenz des Unternehmens aus den letzten drei Jahren nach, dass er über Erfahrungen hinsichtlich der Vorbereitung und Durchführung von Workshops mit administrativem Personal zum sicheren IT-Betrieb gem. Leistungsschein Kapiteln 4.3, 4.4 und 4.5 verfügt.
h) Erfahrung im Markt der Gesetzlichen Krankenversicherungen: Der Bieter weist durch 2 Referenzprojekte des Unternehmens aus den letzten drei Jahren nach, dass er über Erfahrungen in der Beratung zu einem sicheren IT-Betrieb gem. Leistungsschein Kapitel 4.3, 4.4 und 4.5 im Markt der Gesetzlichen Krankenversicherungen verfügt.
Los 3:
a) Erfahrungen zur Reifegradermittlung: Der Bieter weist durch 2 Referenzen des Unternehmens aus den letzten drei Jahren nach, dass er bereits Reifegradermittlungen zu Softwareentwicklungsprozessen nach CMMI, SPICE oder vergleichbar durchgeführt hat. Das angewendete Reifegradmodell ist anzugeben.
b) Erfahrung in der Durchführung von Quelltextaudits: Der Bieter weist durch 3 Referenzen des Unternehmens aus den letzten drei Jahren nach, dass er über Erfahrung bei der Durchführung von Quelletextaudits und Risikomanagement verfügt. Die Referenzen müssen den Umfang der Prüfung (Function Points und/oder Lines of Code) sowie die auditierte Programmiersprache beinhalten.
c) Erfahrungen mit der Erstellung von Coding Guidelines: Der Bieter weist durch 3 Referenzen des Unternehmens nach, dass er innerhalb der letzten drei Jahre bereits Projekte zur Erstellung von Coding Guidelines durchgeführt hat.
d) Erfahrungen mit der Erstellung und Durchführung von Schulungen: Der Bieter weist durch 3 Referenzen des Unternehmens nach, dass er innerhalb der letzten drei Jahre bereits Schulungen zur Softwareentwicklung durchgeführt hat. Bei den als Referenzen angegebenen Schulungen müssen verschiedene Themenfelder aus dem Bereich der Softwareentwicklung, wie z.B. Absicherung der Anwendungen (Broken Access Control, Injection, Security Misconfiguration) oder Security Testing und Continous Integration adressiert worden sein.
e) Erfahrung im Markt der Gesetzlichen Krankenversicherungen: Der Bieter weist durch 2 Referenzprojekte des Unternehmens aus den letzten drei Jahren nach, dass er über Erfahrungen mit sicherer Anwendungsentwicklung im Markt der Gesetzlichen Krankenversicherungen verfügt.
Los 4:
a) Erfahrungen mit der strategischen Vorbereitung von forensischen Analysen: Der Bieter weist anhand von 2 Referenzen des Unternehmens nach, dass er innerhalb der letzten drei Jahre Projekte zur strategischen Vorbereitung forensischer Analysen erfolgreich umgesetzt hat.
b) Erfahrungen mit forensischen Analysen: Der Bieter bestätigt mit 2 Referenzen des Unternehmens, dass er innerhalb der letzten drei Jahre forensische Analysen bei Kunden mit einer Unternehmensgröße ab 1000 Mitarbeitern durchgeführt hat.
Los 5:
a) Erfahrungen mit Beratung zu normativen Themen der ISO 27001: Der Bieter weist durch 3 Referenzen des Unternehmens aus den letzten drei Jahren nach, dass er umfangreiche Erfahrung (500 Stunden) in der Beratung zu normativen Themen der ISO 27001 hat.
b) Erfahrungen in der Praxis in Konzeption, Aufbau und Betrieb eines ISMS nach ISO/IEC 27000ff: Der Bieter weist durch 3 Referenzen des Unternehmens nach, dass er innerhalb der letzten drei Jahre zu der Konzeption, dem Aufbau und dem Betrieb eines ISMS nach ISO/IEC 27000ff umfassend beraten hat.
c) Erfahrungen mit den gängigen Sicherheitsstandards: Der Bieter weist anhand von 3 Referenzen des Unternehmens nach, dass er innerhalb der letzten drei Jahre Erfahrungen mit den gängigen Sicherheitsstandards wie ISO/IEC 27002, ISO/IEC 27005 und IT-Grundschutz des BSI hat.
d) Erfahrungen mit Erstellung von Gutachten zur Umsetzung der KritisV sowie dem BSIG: Der Bieter weist anhand von 3 Referenzen des Unternehmens aus den letzten drei Jahren nach, dass er über Erfahrungen mit der Erstellung von Gutachten zur Umsetzung der KritisV sowie dem BSIG verfügt.
e) Erfahrung im Markt der Gesetzlichen Krankenversicherungen: Der Bieter weist durch 2 Referenzprojekte des Unternehmens aus den letzten drei Jahren nach, dass er über Erfahrungen in der Beratung im Bereich der im Rahmen von Informationssicherheit und KRITIS im Markt der Gesetzlichen Krankenversicherungen verfügt.
Los 6:
a) Der Bieter ist eine aktive DAkkS akkreditierte Stelle und weist dies nach durch entsprechende Nachweise/Unterlagen der DAkkS nach.
b) Erfahrungen mit Zertifizierungsaudits und Überwachungsaudits nach ISO 27001:2013: Der Bieter weist anhand von 3 Referenzen des Unternehmens nach, dass er innerhalb der letzten drei Jahre Zertifizierungsaudits und Überwachungsaudits nach ISO 27001:2013 durchgeführt hat für Unternehmen oder Organisationen mit mehr als 1000 Mitarbeitern.
c) Erfahrungen mit Audits außerhalb der ISO 27001:2013 Zertifizierung: Der Bieter weist anhand von einer Referenz des Unternehmens nach, dass er innerhalb der letzten drei Jahre neben der ISO 27001:2013 Zertifizierung auch Audits zu einem anderen anerkannten Standard durchgeführt hat
Hinweis für alle Lose: Werden Unternehmensreferenzen gefordert, sind diese anhand des Formblatts "Unternehmensreferenzen_IT-Sicherheit" zu erstellen und einzureichen.