Beschreibung der Beschaffung
Aufgabenstellung für den Auftragnehmer
Gegenstand dieser Ausschreibung ist die Erbringung von Beratungsleistungen zur Informationssicherheit während der Vertragslaufzeit.
Als interner Dienstleister berät das Kompetenzcenter Digital Gesellschaft verschiedene Vorhaben (Projekte im Bereich der Leistungserbringung), die mit politischen Partnern der GIZ in Partnerländern der Entwicklungszusammenarbeit durchgeführt werden. Der AN berät das Kompetenzcenter Digitale Gesellschaft (KC) oder gemeinsam mit Kolleg*innen des KC GIZ-Vorhaben zu Informationssicherheit.
Ziel der Beratungen zur Informationssicherheit ist die Verbesserung der Informationssicherheit in spezifischen Projektkonstellationen. Dies erfolgt durch zwei Beratungsangebote an Projekte:
Ein sogenannter "Qualitätscheck": hierunter wird ein standardisierter Beratungsansatz verstanden. Ziel des Qualitätschecks ist es, den Informationsverbund des Projektes im Groben zu verstehen, Teile in ihren Risiken einzuschätzen und Empfehlungen für eine weitergehende Beratung innerhalb der GIZ oder über externe Dienstleister zu erteilen. Die Empfehlungen sind einer Zusammenfassung zu dokumentieren. Qualitätschecks werden als virtuelle Workshops stattfinden.
Beratungen zu spezifischen Anfragen mit Informationssicherheitsbezug aus Projekten, die von der Schutzbedarfsanalyse über Betriebskonzepte bis hin zur Beratung zu einem Informationssicherheitsmanagementsystem reichen können.
Wo möglich sollen dem AN Erkenntnisgewinne durch entsprechende Wissensdokumente zur Verfügung gestellt werden. Dies ist Gegenstand der Ausschreibung. Die Beratungsleistung wird in enger Abstimmung und Kooperation mit dem Auftraggeber GIZ, KC Digitale Gesellschaft (AG), erbracht. Der AN unterstützt den AG bei Anfragen von Vorhaben an das KC in den aufgeführten Schwerpunkten unter Position 2.1. Der AG beauftragt entsprechend und wählt aus den eingehenden Anfragen bzw. Aufgabenstellungen diejenigen individuellen Einzelfälle aus, in denen es einer Unterstützung bedarf. Zu Beginn der Zusammenarbeit erhält der AN alle Informationen im Rahmen einer Starteinweisung. Die Unterstützung des AN erfolgt auf Grundlage dieser inhaltlichen Starteinweisung.
Die genauen Bedarfe werden je Vorgang entsprechend definiert und kommuniziert. Die Koordination und Beauftragung der Arbeitspakete erfolgen immer zentral über das KC.
Zu Beginn jeder Beauftragung, außer der Qualitätschecks, wird es ein gemeinsames Meeting zur Auftragsklärung geben, in dem das Arbeitspaket zusammen mit allen vorhandenen Informationen übergeben und besprochen wird. Es werden offene Fragen geklärt und der Aufwand geschätzt. Für den Qualitätscheck gibt es eine standardisierte Vorgehensweise und einen pro Qualitätscheck definierten Aufwand für den AN.
Am Ende der Leistung steht ein Abschlussmeeting. Im Abschlussmeeting werden die Ergebnisse und die daraus abgeleiteten und zu treffenden Maßnahmen besprochen. Die gewonnenen Erkenntnisse werden dann zusammen mit einer durch den AN erstellten Dokumentation (Format mit AG abzustimmen) in das interne Wissensmanagement des AG übernommen. Die Dokumentation zur Abrechnung der erbrachten Leistung folgt in der Form den Vorgaben des AG.
Als Basis der Tätigkeit sind folgende Normen anzusehen: ISO/IEC 27001 und GIZ spezifische Leit- und Richtlinien zur Informationssicherheit.
Der AN ist für die Erbringung der folgenden Leistungen verantwortlich:
Qualitätscheck: Gestaltung und Mitwirkung an "Qualitätscheck" Workshops, Beratung zur fachlichen Einordnung, Zulieferungen zur Dokumentation, Finalisierung von Dokumentationen; Moderation von Qualitätscheck-Workshops
Beratungen zur Informationssicherheit: Schutzbedarfsanalyse des Informationsverbundes; Erweiterte Dokumentation Ist-Zustand (Bestandsaufnahme Informationsverbund); Beratung/Unterstützung bei der Erstellung von Maßnahmenkatalogen; Beratung zur Umsetzung von zu Sicherheitsmaßnahmen; Beratung/Unterstützung bei der Erstellung von Notfallkonzepten und Notfallhandbuch; Unterstützung beim Entwickeln des Sicherheitskonzepts; Erstellung bereinigter Netzpläne (Grafische Übersichten aller IT-Komponenten, Verbindungen zwischen Systemen innen und außen); Erarbeitung von Anforderungen zur Informationssicherheit für öffentliche Ausschreibungen; Prüfungen nach ISO 2700x und Dokumentation; Erstellung von Dokumentationen und Wissensdokumenten zu Beratungsinhalten und Erfahrungen
Systemchecks: Ermitteln von Schwachstellen mit Penetrationstests in Anwendungen, Webanwendungen, Webanwendungen und Informationsverbünden; Forensik nach erfolgten Angriffen/ Vorfällen; SIEM Checks in Informationsverbünden
Die Leistungen werden in enger Kooperation mit Vertretern des AN erbracht.