Beratung zu ISMS und IT-Sicherheitskonzepten - unmittelbare Bundesverwaltung ohne BAAINBw (Los 1)
Auftragsbekanntmachung
Dienstleistungen
Abschnitt I: Öffentlicher Auftraggeber / Auftraggeber
Offizielle Bezeichnung:[gelöscht]
Nationale Identifikationsnummer:
Postanschrift:[gelöscht]
Ort: Bonn
Postleitzahl: 53119
Land: Deutschland
Kontaktstelle(n):[gelöscht]
E-Mail: [gelöscht]
Telefon: [gelöscht]5
Fax: [gelöscht]7
Internet-Adresse(n):
Hauptadresse des öffentlichen Auftraggebers / des Auftraggebers: http://www.bescha.bund.de
Elektronischer Zugang zu Informationen: http://www.evergabe-online.info
Elektronische Einreichung von Angeboten und Teilnahmeanträgen: http://www.evergabe-online.de
Weitere Auskünfte erteilen:
die oben genannten Kontaktstellen
Ausschreibungs- und ergänzende Unterlagen (einschließlich Unterlagen für den wettbewerblichen Dialog und ein dynamisches Beschaffungssystem) verschicken:
die oben genannten Kontaktstellen
Angebote oder Teilnahmeanträge sind zu richten an:
die oben genannten Kontaktstellen
Abschnitt II: Auftragsgegenstand
Dienstleistungskategorie Nr 16: Unternehmensberatung [3] und verbundene Tätigkeiten
Hauptort der Ausführung, Lieferung oder Dienstleistungserbringung: Gesamtes Gebiet der Bundesrepublik Deutschland
NUTS-Code DE Deutschland
Laufzeit der Rahmenvereinbarung
Laufzeit in Jahren: 2Geschätzter Gesamtauftragswert über die Gesamtlaufzeit der Rahmenvereinbarung
Geschätzter Wert ohne MwSt: [Betrag gelöscht] EUR72000000 IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung, 72600000 Computerunterstützung und -beratung, 72100000 Hardwareberatung
Der Bieter muss alle Änderungen angeben, die sich bei Unterauftragnehmern während der Auftragsausführung ergeben
Geschätzter Wert ohne MwSt: [Betrag gelöscht] EUR
Zahl der möglichen Verlängerungen: 5
Abschnitt III: Rechtliche, wirtschaftliche, finanzielle und technische Angaben
Kriterien für die persönliche Lage der Wirtschaftsteilnehmer (die zu deren Ausschluss führen können) einschließlich Pflicht zur Eintragung in ein Berufs- oder Handelsregister
Angaben und Formalitäten, die erforderlich sind, um die Einhaltung der Auflagen zu überprüfen: Die Anlage "Eigenerklaerung-Ausschlussgruende" ist vom Bieter auszufüllen und dem Angebot beizufügen. Vor der Auftragsvergabe wird von der Vergabestelle eine Gewerbezentralregisterauskunft eingeholt. Für einen Zuschlag kommt nur ein Bieter in Frage, der keine auftragsverhindernden Eintragungen besitzt.Kriterien für die persönliche Lage von Unterauftragnehmern (die zu deren Ausschluss führen können) einschließlich Pflicht zur Eintragung in ein Berufs- oder Handelsregister
Angaben und Formalitäten, die erforderlich sind, um die Einhaltung der Auflagen zu überprüfen:Kriterien für die wirtschaftliche und finanzielle Leistungsfähigkeit der Wirtschaftsteilnehmer (die zu deren Ausschluss führen können)
Angaben und Formalitäten, die erforderlich sind, um die Einhaltung der Auflagen zu überprüfen: Als Nachweis der wirtschaftlichen Leistungsfähigkeit ist der Jahresumsatz des Bieters in den letzten 3 Geschäftsjahren in der den Sparten IT-Beratung und IT-Sicherheitsberatung anzuge-ben.Der Jahresumsatz in der Sparte IT-Beratung muss im Schnitt mindestens 24.000.000,00 € betragen haben, in der Sicherheitsberatung mindestens 18.000.000 €. Ist dabei die Höhe des Jahresumsatzes eines oder mehrerer Jahre geringer als 24.000.000,00 € bzw. 18.000.000 € pro Jahr, muss die Umsatzentwicklung zwingend einen stetig aufsteigenden Trend aufzeigen
Sofern Sie aus berechtigten Gründen die Unterlagen nicht beibringen können, teilen Sie diese Gründe dem Beschaffungsamt des BMI mit und legen Sie einen anderen geeigneten Nachweis der wirtschaftlichen und finanziellen Leistungsfähigkeit vor. Das Beschaffungsamt des BMI entscheidet sodann nach pflichtgemäßem Ermessen über die Anerkennung des Alternativnach-weises. Sofern Sie diesbezüglich unsicher sind, kontaktieren Sie das Beschaffungsamt des BMI unbedingt rechtzeitig vor Ablauf der Teilnahme- oder Angebotsfrist in Form einer Bewerber-/Bieterfrage. Ein Nachfordern und Beibringen eines anderen (geeigneteren) Nachweises ist nach dem Angebotsschluss aus vergaberechtlichen Gründen nicht mehr möglich.
Listen Sie die geforderten Jahresumsätze bitte auf einer eigens erstellten Anlage auf.
Kriterien für die wirtschaftliche und finanzielle Leistungsfähigkeit von Unterauftragnehmern (die zu deren Ablehnung führen können)
Kriterien für die technischen und beruflichen Fähigkeiten der Wirtschaftsteilnehmer (die zu deren Ausschluss führen können)
Angaben und Formalitäten, die erforderlich sind, um die Einhaltung der Auflagen zu überprüfen:Zum Nachweis der technischen und beruflichen Leistungsfähigkeit reichen Sie bitte mindestens 6 geeignete Referenzen in Bezug zur gegenständlichen Leistung ein. Stellen Sie Ihre Leistungs-fähigkeit für den Auftragsgegenstand und Ihre hierfür relevanten Erfahrungen anhand der Re-ferenzen dar.
Zu den Referenzen sind folgende Angaben zu machen:
- Beschreibung der ausgeführten Leistungen,
- Wert des Auftrages,
- Zeitraum der Leistungserbringung,
- Angabe der zuständigen Kontaktstelle beim Auftraggeber der Referenz mit Anschrift und Kontaktdaten.
Darüber hinaus gelten die folgenden Anforderungen an die benannten Referenzen:
- Die Referenzen dürfen sich auf einen Zeitraum von fünf Jahren beziehen (maßgeblich ist das Datum der letzten Leistungserbringung - gerechnet bis Ablauf der Teilnahme-frist).
- Als gleichwertig werden Referenzen angesehen, die folgende Merkmale aufweisen:
- Der Schwerpunkt der Beauftragung lag auf Beratungsleistungen zur Einführung und Weiterentwicklungen von Informationssicherheitsmanagementsystemen, der Erstellung und Fortschreibung von Informationssicherheitskonzepten nach ISO 27001 auf der Basis von IT-Grundschutz, der Umsetzung solcher Sicherheits-konzepte, der Durchführung oder Begleitung von Audits nach ISO 27001 oder der Durchführung oder Begleitung von IT-Sicherheitsrevisionen.
- Die Referenzaufträge wurden für Stellen der öffentlichen Verwaltung erbracht.
- In mindestens zwei Referenzen erfolgte die Beratung zu Infrastrukturen bzw. Systemen, für die eine Freigabe nach VSA (Verschlusssachenanweisung) benö-tigt wird.
- Die Projektzeit betrug bei mindestens zwei Referenzen 1 Jahr oder länger, bei mindestens zwei Referenzen zwischen 6 und 12 Monaten und bei mindestens zwei Referenzen zwischen 2 und 6 Monaten.
- Bei mindestens zwei Referenzen betrug der Gesamtauftragswert ohne Mehrwertsteuer mindestens 180.000,00 €, bei mindestens zwei Referenzen zwischen 65.000,00 € und 180.000,00 € und bei mindestens zwei Referenzen zwischen 16.000,00 € und 65.000,00 €.
Für die Referenzen ist die Vorlage "Vordruck Referenzen" zu verwenden.
Hinweis: Es sind nur 6 Referenzen gefordert. Es ist Ihnen unbenommen, weitere Referenzen zu benennen. Da das Austauschen einer fehlerhaften Referenz durch eine nach Fristende nachge-reichte bedingungsgemäße Referenz nicht möglich ist und in den entsprechenden Fällen den Ausschluss des Bewerbers oder Bieters nach sich zieht, wird empfohlen, eine Liste von weite-ren, als bedingungsgemäß betrachteten Referenzen einzureichen.
Das Beschaffungsamt des BMI behält sich vor, die angegebenen Referenzen zu verifizieren. Angaben, die einer Nachprüfung nicht standhalten, können zum Ausschluss vom Vergabever-fahren führen.
Sofern Sie aus berechtigten Geheimhaltungsgründen geforderte Angaben nicht machen können, teilen Sie diese Gründe dem Beschaffungsamt mit und legen Sie einen anderen geeigneten Nachweis der technischen und beruflichen Leistungsfähigkeit vor. Das Beschaffungsamt des BMI entscheidet sodann nach pflichtgemäßem Ermessen über die Anerkennung des Alternativnachweises. Sofern Sie diesbezüglich unsicher sind, kontaktieren Sie das Beschaffungsamt des BMI unbedingt rechtzeitig vor Ablauf der Teilnahme- oder Angebotsfrist in Form einer Bewer-ber-/Bieterfrage. Ein Nachfordern und Beibringen eines anderen (geeigneteren) Nachweises ist nach dem Angebotsschluss aus vergaberechtlichen Gründen nicht mehr möglich.
Möglicherweise geforderte Mindeststandards
Zur Erfüllung der technischen und beruflichen Leistungsfähigkeit müssen Sie darüber hinaus nachweisen, dass Sie ganz oder zu Teilen als IT-Sicherheitsdienstleister durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) für Aufgaben im Umsetzungsplan Bund (Nr. 4 der Anlage 1 zur Verfahrensbeschreibung zur Anerkennung von Prüfstellen und Zertifizierung von IT-Sicherdienstleistern (VB-Stellen)) zertifiziert sind.
Im Falle einer Bietergemeinschaft (d.h. Gemeinschaft gleichberechtigter Bieter) ist die Zertifi-zierung von allen Mitgliedern der Bietergemeinschaft nachzuweisen.
Im Falle des Nachunternehmereinsatzes ist die Zertifizierung mindestens vom Hauptauftrag-nehmer nachzuweisen. Die nicht zertifizierten Unterauftragnehmer müssen die Zertifizierung innerhalb eines Jahres nach Zuschlagserteilung erlangen, da ansonsten ohne termingerechte Zertifizierung der Einsatz als Nachunternehmer nicht erfolgen kann.
Reichen Sie zum Nachweis bitte Kopien der entsprechenden Zertifizierungen bzw. eigens erstellte Eigenerklärungen von den Mitgliedern der Bietergemeinschaft / Nachunternehmen ein, die eine Zertifizierung erst noch erlangen müssen.
Als weiterer Nachweis der Leistungsfähigkeit ist die Anzahl Ihrer Mitarbeiter/innen anzugeben, die für die angebotenen Beratungsleistungen zum Einsatz kommen können.
Es müssen mindestens 10 Mitarbeiter/innen zur Verfügung stehen, die die nachfolgenden zwingenden Mindestanforderungen erfüllen (Kenntnis- und Erfahrungsstufe Spezialist):
- Berufserfahrung von mindestens 7 Jahren in Bezug auf die Umsetzung des IT-Grundschutzes und
- Erfolgte und gültige Zertifizierung des BSI als
- IT-Grundschutzberater/in
- Auditteamleiter/in für Audits nach ISO 27001 auf der Basis von IT-Grundschutz
- IS-Revisor/in
- ein anerkannter akademischer Abschluss (Bachelor / Diplom FH / Diplom Univ. / Master oder ein gleichwertiger ausländischer Hochschulabschluss)
oder
- Berufserfahrung von 20 Jahren auf dem Gebiet der Informationssicherheit, davon mindestens 10 Jahre in Bezug auf die Umsetzung des IT-Grundschutzes
Mindestens folgende Anzahl von den Personen, die als Spezialist zur Verfügung stehen, verfügen über die jeweils angegebenen Qualifizierungen/Zertifizierungen:
- 10 in der Beratung zur Einführung und Weiterentwicklung von Informationsmanagementsystemen nach ISO 27001 auf der Basis von IT-Grundschutz
- 10 in der Erstellung und Umsetzung von IT-Sicherheitskonzepten nach IT-Grundschutz,
- 10 in der Durchführung von Risikoanalysen nach BSI-Standard 100-3 oder BSI-Standard 200-3,
- 3 in der Vorbereitung von Audits nach ISO 27001 auf der Basis von IT-Grundschutz,
- 6 in der Erstellung von Sicherheitskonzepten für Systeme und Infrastrukturen, die einer Freigabe nach der VSA bedürfen,
- 5 in der Erstellung und Umsetzung von Konzepten zum Schutz vor Schadprogrammen,
- 6 in der Erstellung und Umsetzung von Datensicherungskonzepten,
- 6 in der Erstellung und Umsetzung von Kryptokonzepten,
- 6 in der Erstellung und Umsetzung von Konzepten zur Integration von Internetfirewalls in bestehende Netze (einschließlich Erstellung und Umsetzung des Regelwerkes),
- 6 in der Absicherung von Internetauftritten (beispielsweise Contentsicherheit, Vermeidung von Cross-Site-Scripting und SQL- und Shell-Injection),
- 3 in der Integration von Intrusion Detection Systemen in bestehende IT-Umgebungen,
- 1 in der Absicherung der Infrastruktur (z. B. bauliche Maßnahmen, Klimatisierung usw.),
- 6 in der Absicherung der gängigen Kommunikationsprotokolle (SMTP, HTTP, HTTP über SSL/TLS, FTP usw.) im Allgemeinen und OSCI im Besonderen,
- 5 in der Erstellung von Konzepten sowie deren Umsetzung zum Identitätsmanagement einschließlich Aufbau und Integration von Verzeichnisdiensten, einschließlich sicherer Authentisierungsverfahren in unsicheren Netzen,
- 3 in der Auswahl und Integration von SIEM-Produkten (Produkte für Security Information and Event Management) in Einsatzumgebungen,
- 7 in der Erstellung von Konzepten zur sicheren Nutzung von Clouddiensten in der jeweiligen Einsatzumgebung,
- 5 in der Absicherung von virtualisierten Systemen,
- 5 in der Absicherung von Microservices und Containerumgebungen.
Es müssen mindestens 80 Mitarbeiter/innen zur Verfügung stehen, die die nachfolgenden zwingenden Mindestanforderungen erfüllen (Kenntnis- und Erfahrungsstufe Berater):
- Berufserfahrung von mindestens 3 Jahren in Bezug auf die Umsetzung des IT-Grundschutzes und
- ein anerkannter akademischer Abschluss (Bachelor / Diplom FH / Diplom Univ. / Master oder ein gleichwertiger ausländischer Hochschulabschluss)
oder
- Berufserfahrung von 10 Jahren auf dem Gebiet der Informationssicherheit, davon mindestens 5 Jahre in Bezug auf die Umsetzung des IT-Grundschutzes
oder
- erfolgte und gültige Zertifizierung das BSI als IT-Grundschutzberater/in
- Auditteamleiter/in für Audits nach ISO 27001 auf der Basis von IT-Grundschutz
- IS-Revisor/in
Mindestens folgende Anzahl von den Personen, die als Berater zur Verfügung stehen, verfügen über die jeweils angegebenen Qualifizierungen/Zertifizierungen:
- 80 in der Beratung zur Einführung und Weiterentwicklung von Informationsmanagementsystemen nach ISO 27001 auf der Basis von IT-Grundschutz,
- 80 in der Erstellung und Umsetzung von IT-Sicherheitskonzepten nach IT-Grundschutz,
- 80 in der Durchführung von Risikoanalysen nach BSI-Standard 100-3 oder BSI-Standard 200-3,
- 33 in der Vorbereitung von Audits nach ISO 27001 auf der Basis von IT-Grundschutz,
- 66 in der Erstellung von Sicherheitskonzepten für Systeme und Infrastrukturen, die einer Freigabe nach der VSA bedürfen,
- 45 in der Erstellung und Umsetzung von Konzepten zum Schutz vor Schadprogrammen,
- 66 in der Erstellung und Umsetzung von Kryptokonzepten,
- 66 in der Erstellung und Umsetzung von Konzepten zur Integration von Internetfirewalls in bestehende Netze (einschließlich Erstellung und Umsetzung des Regelwerkes),
- 66 in der Absicherung von Internetauftritten (beispielsweise Contentsicherheit, Vermeidung von Cross-Site-Scripting und SQL- und Shell-Injection),
- 30 in der Integration von Intrusion Detection Systemen in bestehende IT-Umgebungen,
- 7 in der Absicherung der Infrastruktur (z. B. bauliche Maßnahmen, Klimatisierung usw.),
- 66 in der Absicherung der gängigen Kommunikationsprotokolle (SMTP, HTTP, HTTP über SSL/TLS, FTP usw.) im Allgemeinen und OSCI im Besonderen,
- 45 in der Erstellung von Konzepten sowie deren Umsetzung zum Identitätsmanagement einschließlich Aufbau und Integration von Verzeichnisdiensten, einschließlich sicherer Authentisierungsverfahren in unsicheren Netzen,
- 33 in der Auswahl und Integration von SIEM-Produkten (Produkte für Security Information and Event Management) in Einsatzumgebungen,
- 78 in der Erstellung von Konzepten zur sicheren Nutzung von Clouddiensten in der jeweiligen Einsatzumgebung,
- 51 in der Absicherung von virtualisierten Systemen,
- 51 in der Absicherung von Microservices und Containerumgebungen.
Es müssen mindestens 10 Mitarbeitende zur Verfügung stehen, die folgende Anforderungen erfüllen (Kenntnis- und Erfahrungsstufe Assistenz):
Abgeschlossene kaufmännische oder vergleichbare Berufsausbildung
Mindestens folgende Anzahl von den Personen, die als Spezialist, Berater und/oder Assistenz zur Verfügung stehen, verfügen über die jeweils angegebenen Qualifizierungen/Zertifizierungen:
- 3 Lizensierung durch das BSI als Teamleiter Audits nach ISO 27001 auf der Basis von IT-Grundschutz durchzuführen, liegt vor,
- 3 Lizensierung als IS-Revisor durch das BSI im Sinne des "Programms zur Kompetenzfeststellung von Personen liegt vor,
- 3 Lizensierung als Penetrationstester durch das BSI im Sinne des "Programms zur Kompetenzfeststellung von Personen" liegt vor,
- 45 Zertifizierung als Projektleiter nach einer anerkannten Projektmanagementmethode (z.B. IPMA, PMI oder PRINCE2) liegt vor.
Kriterien für die technischen und beruflichen Fähigkeiten von Unterauftragnehmern (die zu deren Ausschluss führen können)
Abschnitt IV: Verfahren
Abschnitt VI: Weitere Angaben
Los 1: Beratung zu ISMS und IT-Sicherheitskonzepten - unmittelbare Bundesverwaltung ohne BAAINBw (ZIB 13.12 - 9981/19/VV : 1)
Los 2: Beratung zu ISMS und IT-Sicherheitskonzepten - BAAINBw, mittelbare Bundesverwaltung und Zuwendungsempfänger des Bundes (ZIB 13.12 - 9981/19/VV : 3)
Im Los 1 sind die zur unmittelbaren Bundesverwaltung der Bundesrepublik Deutschland gehörenden Behörden und Einrichtungen abrufberechtigt.
Offizielle Bezeichnung:[gelöscht]
Postanschrift:[gelöscht]
Ort: Bonn
Postleitzahl: 53123
Land: Deutschland
E-Mail: [gelöscht]
Telefon: [gelöscht]
Fax: [gelöscht]
Internet-Adresse: http://www.bundeskartellamt.de
Sieht sich ein am Auftrag interessiertes Unternehmen durch Nichtbeachtung von Vergabe-vorschriften in seinen Rechten verletzt, ist der Verstoß innerhalb einer Frist von zehn Kalendertagen gegenüber dem BeschA zu rügen (§ 160 Abs. 3 S. 1 Nr. 1 Gesetz gegen Wettbewerbsbeschränkungen (GWB)). Verstöße, die aufgrund der Bekanntmachung oder der Vergabeunterlagen erkennbar sind, müssen spätestens bis zu der in der Bekanntmachung benannten Frist zur Bewerbung oder Angebotsabgabe gegenüber dem BeschA gerügt werden (§ 160 Abs. 3 S. 1 Nr. 2 und 3 GWB).
Teilt das BeschA dem Unternehmen mit, seiner Rüge nicht abhelfen zu wollen, so besteht die Möglichkeit, innerhalb von 15 Tagen nach Eingang der Mitteilung einen Antrag auf Nachprüfung bei der Vergabekammer zu stellen (§ 160 Abs. 3 S. 1 Nr. 4 GWB).
Bieter, deren Angebote für den Zuschlag nicht berücksichtigt werden sollen, werden vor dem Zuschlag gemäß § 134 Abs. 1 GWB darüber informiert. Ein Vertrag darf erst 15 Kalendertage nach Absendung dieser Information durch das BeschA geschlossen werden; bei Übermittlung per Fax oder auf elektronischem Wege beträgt diese Frist zehn Kalendertage. Sie beginnt am Tag nach Absendung der Information durch das BeschA.
Ein Antrag auf Nachprüfung ist schriftlich an die Vergabekammern des Bundes beim Bundeskartellamt, Villemombler Straße 76, 53123 Bonn zu richten.
Hinweis: Das BeschA ist im Falle eines Nachprüfungsantrags verpflichtet, die Vergabeakten, die auch die abgegebenen Angebote enthalten, an die Vergabekammer weiterzuleiten. Die Beteiligten haben ein Recht auf Akteneinsicht. Um Betriebs- und Geschäftsgeheimnisse zu wahren, teilen Sie uns konkret mit Bezug auf die entsprechenden Dokumente des Angebotes mit, welche Informationen als Betriebs- und Geschäftsgeheimnisse zu behandeln sind.