Inhalt. Einleitung und Auftragsgegenstand Leistungsumfang Change-Request-Verfahren... 4 Deutsche Sprache... 4 Reporting... 4 Preise...

Transkript

1 05.Dezember 2016 Informationssicherheit-Management-System Dienstleistung Einführung eines Informationssicherheits-Managementsystems (ISMS) nach dem ISO Standard nativ. Version 3.1 vom

2 Inhalt Einleitung und Auftragsgegenstand... 3 Leistungsumfang... 4 Change-Request-Verfahren... 4 Deutsche Sprache... 4 Reporting... 4 Preise... 5 Anforderungen / Fragen an den Auftragnehmer... 5 Eignung... 5 Auftragsbezogene Qualifikation... 5 Vorgehen (Vorgehensmodell)... 6 Ist-Analyse/Interner Auditplan... 6 Risikoanalyse... 6 Tool... 6 Dokumentation... 6 Sensibilisierung/Awareness... 6 Stand: 05. Dez Seite 2 von 6

3 Einleitung und Auftragsgegenstand Die LH Bundeswehr Bekleidungsgesellschaft, im folgenden LHBw genannt, ist eine Inhousegesellschaft des Bundes zur Erbringung von Liefer- und Dienstleistungen im Bereich der Bekleidung und persönlichen Schutzausrüstung für die Bundeswehr. Diese Dienstleistung erbringen wir mit ca Mitarbeitern an ca. 100 Standorten. Die Durchführung der Geschäftsprozesse basiert im Wesentlichen auf der Nutzung von IT-Applikationen und IT-Systemen. Nähere Informationen sind unter abrufbar. Gegenstand der Ausschreibung ist der Abschluss eines Rahmenvertrags für die Dienstleistung zur Einführung eines nach dem Standard ISO nativ. Der abzuschließende Rahmenvertrag wird auf Anfrage an übersendet. Bitte beachten Sie: Sie sind aufgefordert ein belastbares, kaufmännisches Angebot abzugeben. Es sind verbindliche Angaben über Kosten und konkrete Leistungsbestandteile zu machen. Stand: 05. Dez Seite 3 von 6

4 Leistungsumfang Die LH Bundeswehr (LHBw) plant die Einführung eines Information Security Management System (ISMS, engl. für Managementsystem für Informationssicherheit ) nach dem ISO Standard nativ. Nachgelagert soll ein Security Information and Event Management (SIEM) eingeführt werden, das in der Lage ist, sicherheitsrelevante Ereignisse zu identifizieren, zu bewerten und daraufhin zu alarmieren. Einer der zentralen Geschäftsprozesse ist die Ein- und Auskleidung der Soldatinnen und Soldaten der Bundeswehr. Dabei werden sehr sensible, personenbezogene Daten (Name, Vorname, Personenkennziffer, usw.) verarbeitet, die auch die Einführung eines ISMS notwendig machen. Die LHBw benötigt Beratungsunterstützung bei der Einführung eines ISMS Die Beratung soll sich auf die Gestaltung des Prozesses der Einführung eines ISMS erstrecken. Es soll eine Gap-Analyse durchgeführt und dokumentiert werden, zur Ermittlung des vorhandenen Umsetzungsstandes bzgl. der ISO Norm. Es soll eine Risikoanalyse und Risikobewertung (nach ISO 31000) durchgeführt und dokumentiert werden. Es sollen Vorlagen / Templates der notwendigen Dokumente (z.b. Richtlinien, Sicherheitskonzepten, Prozessbeschreibungen) erstellt und im Nachgang überprüft werden, die für die angestrebte Zertifizierungsreife notwendig sind. Es soll ein zertifizierungsreifes ISMS nach ISO nativ eingeführt werden und nachgelagert ein SIEM. Wir benötigen Unterstützung bei Security Awareness Maßnahmen. Es soll ein dokumentiertes Test-/ Voraudit vom Auftragnehmer durchgeführt werden. Es soll Beratungsleistung der kontinuierlichen Verbesserungsmaßnahmen nach der erfolgreichen Zertifizierung für max. 2 Jahre stattfinden. Die LHBw verfügt bereits über diverse Dokumentationen und Richtlinien, die auf Aktualität und Vollständigkeit überprüft werden müssen. Die LHBw beabsichtigt, nach erfolgreicher Zertifizierung, das ISMS kontinuierlich zu verbessern. Hierfür wird für die Vertragslaufzeit (max. 2 Jahre) ein jährliches Abrufkontingent i.h.v. 10 Personentagen, ohne Abnahmeverpflichtung vereinbart. Sollte sich der Gesamtumfang für die Beratungsleistung hinsichtlich des Umfangs verändern (steigen bzw. fallen), so ist nach jeweils zwölf Monaten im Rahmen eines Jahresgesprächs miteinander abzustimmen, wie der Umfang für die Restlaufzeit angepasst wird. Change-Request-Verfahren Sollte es im Laufe des Projektes zu Änderungen des Umfangs kommen, ist das von der LHBw definierte Änderungsverfahren anzuwenden. Deutsche Sprache Die Projektsprache ist Deutsch. Alle Kommunikationsunterlagen, Meetings und Projektdokumentationen sowie die Konfiguration der Anwendung erfolgen in deutscher Sprache. Reporting Als Nachweis wird der Auftragnehmer der LHBw monatlich Reports über erbrachte Leistungen (Tätigkeitsnachweise) zur Verfügung stellen. Stand: 05. Dez Seite 4 von 6

5 Preise Im Angebot sind die Stundenpreise für die genannten Leistungsinhalte (siehe Leistungsumfang) für Zertifizierte Consultants ISO Lead Auditoren Sonstige Berater anzugeben. Alle Preise sind in der Währung EURO ( ) auszuweisen. Anforderungen / Fragen an den Auftragnehmer Die Beantwortung der folgenden Fragen und Anforderungen sind in der angehängten Excel Datei aus zufüllen. Die ausgefüllte Excel Datei senden Sie per Mail wieder an uns zurück (an: it-vergabe@lhbw.de). Eignung Haben Sie schon ein ISMS nach ISO nativ mit anschließender Zertifizierung bei mindestens 3 Unternehmen eingeführt, die der Größenordnung der LHBw entsprechen? Bitte nennen Sie die Organisationen / Referenzen im Einzelnen unter Angabe des Ansprechpartners. Bitte fertigen Sie je Organisation eine Anlage von nicht mehr als einer Seite DIN A4. Welche Größenordnungen (Anzahl Clients, Standorte) hatten die Unternehmen, in denen Sie die drei oben genannten ISMS eingeführt hatten? Bitte beschreiben Sie die Größenordnungen im Einzelnen. Welchen Anwendungsbereich (Scope) hatten diese ISMS Projekte? Wie lange dauerten die oben benannten Projekte im Einzelnen? Beschreiben Sie kurz Projektumfang und Dauer? Wie viel Personentage wurden in den benannten Projekten für das ISMS eingesetzt? Beschreiben Sie kurz wie sich die Leistung aus Personentagen Ihrer Consultants und sofern Ihnen möglich Beistellungen (gegebenenfalls in geschätzten Personentagen) des Auftraggebers zusammengesetzt hat. Übersteigt Ihr Umsatz in den letzten drei Geschäftsjahren p.a.? Geben Sie die Umsätze der letzten 3 Geschäftsjahre an. Auftragsbezogene Qualifikation Wie viel zertifizierte Consultants im ausgeschriebenen Themenbereich stehen Ihnen zur Verfügung? Wie viel ISO Lead Auditoren haben sie in Ihrem Unternehmen? Kann die Projektberatung vom Auftragnehmer mit Vollzeitkräften für die gesamte Projektlaufzeit geleistet werden? Stand: 05. Dez Seite 5 von 6

6 Vorgehen (Vorgehensmodell) Wie würden Sie den Einführungsprozess eines ISMS gestalten? Bitte beschreiben Sie den Prozess, wie sie den Prozess in einem Projekt angewendet haben. Beschreiben Sie ausführlich, in welche Phasen Sie das Projekt gliedern würden. Ist-Analyse/Interner Auditplan Wie gestalten Sie die Ist-Analyse bzw. internen Auditplan, welche Maßnahmen im Hinblick auf eine ISO Zertifizierung im Unternehmen schon umgesetzt sind? Nennen Sie ein Beispiel für eine solche Ist-Analyse bzw. Auditplan und beschreiben Sie den hierfür notwendigen Zeitaufwand für die Durchführung eines internen Audits. Nennen Sie ein Beispiel für einen Auditfragebogen bzgl. eines Themenkomplexes aus dem Annex von ISO Legen Sie diesen als Anlage bei. Risikoanalyse Mit welcher Risikoanalyse-Methode führen Sie das ISMS nach ISO ein? Nennen und beschreiben Sie ein Beispiel aus einem Projekt und beschreiben Sie den hierfür notwendigen Zeitaufwand der Durchführung des internen Audits. Tool Welches ISMS Tool haben Sie verwendet? Erstreckt sich die Erfahrung auch auf den Risikomanagement- Teil? Können Sie ein Anwendungsbeispiel aus einem Projekt aufzeigen? Bitte beschreiben Sie Ihre Erfahrungen in einem kurzen Bericht (max. eine Seite DIN A4). Haben Sie Erfahrung mit einem SIEM Tool? Können Sie ein Anwendungsbeispiel aus einem Projekt aufzeigen? Bitte beschreiben Sie Ihre Erfahrungen in einem kurzen Bericht (max. eine Seite DIN A4). Dokumentation Wie würden Sie den Dokumentationsprozess für die Zertifizierung nach ISO gestalten? Sensibilisierung/Awareness Wie würden Sie die Sensibilisierung der Mitarbeiter im Rahmen des ISMS Prozesses gestalten? Stand: 05. Dez Seite 6 von 6