Rahmenvertrag Auditunterstützung Informationssicherheit

Kurze Beschreibung

Zur Überprüfung des Status der Informationssicherheit bei Helmholtz Munich und zur Sicherstellung der Einhaltung regulatorischer Vorschriften ist die Durchführung technischer und organisatorischer Audits in Bezug auf Informationssicherheit zwingend erforderlich. Wegen der personellen Unterbesetzung sowie zur Gewährleistung einer neutralen Einschätzung und Beurteilung des Status der Auditobjekte wird ein Dienstleister gesucht, der technische und organisatorische Audits auf Basis der Planung der Informationssicherheit bei Helmholtz München mit Hilfe der bei Helmholtz Munich definierten Prozessen und Ergebnistypen durchführt, dokumentiert und präsentiert. Die einzelnen Audits werden jeweils in Form von Projekten geplant und durchgeführt.

Die geschätzte Gesamtmenge an benötigten Beratungstagen beläuft sich für die Vertragslaufzeit von 4 Jahren auf insgesamt 200 Personentage (PT). Diese Angaben werden aufgrund der aktuell vorliegenden Bedarfs- und Haushaltslage getroffen und begründen keine Abnahmeverpflichtung gegenüber dem künftigen Auftragnehmer.

Beschreibung der Beschaffung

Dienstleistungserbringung für 1 Jahr. Das HMGU hat das einseitige Optionsrecht, den Vertrag bis zu 3-mal um je ein Jahr zu verlängern. Der Vertrag endet somit spätestens nach 4 Jahren.

Liste und kurze Beschreibung der Auswahlkriterien

Unternehmensdarstellung/Firmenprofil
Die Darstellung muss das Leistungsspektrum des Bieters bezogen auf die beschriebene Leistung darstellen und muss auf alle nachfolgenden Punkte eingehen:

(1) Name des Unternehmens
(2) Geschäftsführer
(3) Geschäftssitz
(4) alle Niederlassungen
(5) Gesellschaftsform
(6) Gründungsdatum

Die Unternehmensdarstellung ist in einem separaten Dokument hochzuladen und dient der Prüfung der geforderten Eignung bezogen auf den Leistungsgegenstand.


Referenzen
Es müssen mindestens 3 Referenzen über vergleichbare Leistungen bezogen auf den Leistungsgegenstand (Anforderungen im Leistungsverzeichnis unbedingt beachten!) in den letzten 3 Jahren abgegeben werden.

Weniger als 3 Referenzen führen zum Ausschluss.

In jeder Referenz muss auf die nachfolgenden Punkte eingegangen werden:

(1) Auftraggeber (öffentlich oder privatrechtlich)
(2) Ansprechpartner der Referenz (Telefon, E-Mail, Funktion)
(3) Art der Leistung
(4) Volumen (PT oder Euro)
(5) Zeitraum

Die Referenzen sind in einem separaten Dokument hochzuladen und dienen der Prüfung der geforderten Eignung bezogen auf den Leistungsgegenstand.

Mitarbeiterprofil "organisatorischer Auditor"
(1) Name
(2) Mindestens 3 Jahre Berufserfahrung im Informations- bzw. IT-Sicherheitsmanagement (Nachweis im Mitarbeiterprofil durch Projektname/Tätigkeit, Kunde, Zeitraum, Inhalt)
(3) Mindestens 5 durchgeführte organisatorische Audits im Kontext von Informationssicherheit (Nachweis im Mitarbeiterprofil durch Projektname/Tätigkeit, Kunde bzw. Arbeitgeber, Zeitraum, Inhalt)
(4) Fundierte Kenntnisse im Bereich Informationssicherheit (Nachweis durch Zertifikat, z.B. CISM, ISMS 27001: Security Officer bzw. Security Auditor oder gleichwertig)
(5) Sehr gute Kenntnisse im Projektmanagement (Nachweis durch Zertifikat, z.B. PMI, IPMA oder PRINCE2 oder gleichwertig oder durch Projektname/Tätigkeit, Kunde, Zeitraum im Mitarbeiterprofil)
(6) Sehr gute Kenntnisse in Präsentations-, Moderations- und Gesprächstechniken sowie MS Office (Word, PowerPoint, Excel, Project)
(7) Sehr gute Deutsch- und Englisch-Kenntnisse in Wort und Schrift

Mitarbeiterprofile "technischer Auditor"
(1) Name
(2) Mindestens 3 Jahre Berufserfahrung im Informations- bzw. IT-Sicherheitsmanagement (Nachweis im Mitarbeiterprofil durch Projektname/Tätigkeit, Kunde, Zeitraum, Inhalt)
(3) Mindestens 5 durchgeführte technische Audits im Kontext von Informationssicherheit (Nachweis im Mitarbeiterprofil durch Projektname/Tätigkeit, Kunde, Zeitraum, Inhalt)
(4) Fundierte Kenntnisse im Bereich Informationssicherheit (Nachweis durch Zertifikat, z.B. CISM, ISMS 27001: Security Officer bzw. Security Auditor oder gleichwertig)
(5) Fundierte Kenntnisse im Bereich IT-Sicherheit (Nachweis durch Zertifikat, z. CISA, CISP, CCSP oder gleichwertig), unter anderem sehr gute Kenntnisse von IT-Security Technologien (Firewalls, IDS, IPS, VPN, Web Proxy) und IP-Netzwerken und Kommunikationsprotokollen (TCP/IP, UDP, DHCP, DNS, SNMP, OSPF, etc. und deren Sicherheitseigenschaften)
(6) Sehr gute Kenntnisse im Projektmanagement (Nachweis durch Zertifikat, z.B. PMI, IPMA oder PRINCE2 oder gleichwertig oder durch Projektname/Tätigkeit, Kunde, Zeitraum im Mitarbeiterprofil)
(7) Sehr gute Kenntnisse in Präsentations-, Moderations- und Gesprächstechniken sowie MS Office (Word, PowerPoint, Excel, Project)
(8) Sehr gute Deutsch- und Englisch-Kenntnisse in Wort und Schrift

Die Mitarbeiterprofile ist in einem separaten Dokument hochzuladen und dient der Prüfung der geforderten Eignung bezogen auf den Leistungsgegenstand

Haftpflichtversicherung
Eine Betriebshaftpflichtversicherung für Personen-, Sach- und Vermögensschäden besteht bei folgendem Versicherungsunternehmen (Bezeichnung, Deckungssumme pro Versicherungsjahr sind zu benennen).

AVV und TOM
Formblatt Scientology
Formblatt Eignung
Formblatt Artikel 5k

Genaue Informationen über Fristen für Überprüfungsverfahren

Gemäß § 160 Abs. 3 Satz 1 des Gesetzes gegen Wettbewerbsbeschränkungen (GWB) ist ein Nachprüfungsantrag unzulässig, soweit: 
- der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und gegenüber dem Auftraggeber nicht innerhalb einer Frist von 10 Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Abs. 2 GWB bleibt unberührt, 
- Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden, 
- Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden, 
- mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind. Satz 1 gilt nicht bei einem Antrag auf Feststellung der Unwirksamkeit des Vertrags nach§ 135 Abs. 1 Nr. 2 GWB. § 134 Abs. 1 Satz 2 GWB bleibt unberührt. 
Gemäß § 134 Abs. 1 GWB haben öffentliche Auftraggeber die Bieter, deren Angebote nicht berücksichtigt werden sollen, über den Namen des Unternehmens, dessen Angebot angenommen werden soll, über die Gründe der vorgesehenen Nichtberücksichtigung ihres Angebots und über den frühesten Zeitpunkt des Vertragsschlusses unverzüglich in Textform zu informieren. Dies gilt auch für Bewerber, denen keine Information über die Ablehnung ihrer Bewerbung zur Verfügung gestellt wurde, bevor die Mitteilung über die Zuschlagsentscheidung an die betroffenen Bieter ergangen ist. 
Gemäß § 134 Abs. 2 GWB darf ein Vertrag erst 10 Kalendertage nach Absendung (per Telefax, E-Mail oderelektronisch über das E-Vergabe-Portal) der Information nach 134 Abs. 1 GWB geschlossen werden. Die Fristbeginnt am Tag nach der Absendung der Information durch den Auftraggeber; auf den Tag des Zugangs beim betroffenen Bieter und Bewerber kommt es nicht an.