81279568-Globaler Aufbau und Umsetzung eines Informationssicherheitsmanagementsystems, Los 1: Beratung des Gesamtprozesses Referenznummer der Bekanntmachung: 81279568.
Bekanntmachung vergebener Aufträge
Ergebnisse des Vergabeverfahrens
Dienstleistungen
Abschnitt I: Öffentlicher Auftraggeber
Postanschrift:[gelöscht]
Ort: Eschborn
NUTS-Code: DE71A Main-Taunus-Kreis
Postleitzahl: 65760
Land: Deutschland
E-Mail: [gelöscht]
Telefon: [gelöscht]
Fax: [gelöscht]
Internet-Adresse(n):
Hauptadresse: https://www.giz.de
Abschnitt II: Gegenstand
81279568-Globaler Aufbau und Umsetzung eines Informationssicherheitsmanagementsystems, Los 1: Beratung des Gesamtprozesses
Bitte beachten Sie, dass es sich um eine Losausschreibung mit 3 Fachlosen handelt. Aus technischen Gründen erfolgt die Ausschreibung der Lose in separaten Verfahren über diesen Vergabemarktplatz. Hier ausgeschrieben ist Los 1: Beratung des Gesamtprozesses.
Die GIZ engagiert sich weltweit für eine lebenswerte Zukunft. Die Informationssicherheit nimmt eine Schlüsselrolle für die Aufgabenerfüllung der GIZ ein, denn ihre Geschäftsprozesse werden in Zeiten der Digitalisierung und globalen Vernetzung durch den Austausch von Informationen und den Einsatz von IT-Systemen bestimmt. Informationen stellen grundlegende Werte für die GIZ dar, deren angemessener Schutz unverzichtbar ist.
Um konkurrenzfähig handeln zu können, sind besonders die außerhalb Deutschlands liegenden GIZ-Strukturen auf eine schnelle Reaktionsfähigkeit und ein hohes Maß an Flexibilität angewiesen. Gleichzeitig begründet der weltweite Aktionsradius der GIZ zusammen mit der Digitalisierung steigende Anforderungen an die Informationssicherheit. Die Bewahrung der Wettbewerbsfähigkeit der GIZ sowie der Schutz der Interessen ihrer Gesellschafter*innen, Auftraggeber*innen, Partner*innen und Mitarbeitenden bilden den Handlungsrahmen für das Informationssicherheitsmanagement.
Der Zweck des ISMS ist die Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit von Informationen in sämtlichen Geschäftsprozessen. Die Aufrechterhaltung dieser Schutzziele ist nur dann erreichbar, wenn Informationssicherheit integraler Bestandteil der weltweiten Organisationsstruktur und -abläufe der GIZ wird.
Deshalb hat die GIZ einen umfassenden Transformationsprozess definiert, der von einem Change-Projekt gesteuert und umgesetzt wird. Ziel ist ein zertifizierungsreifes Informationssicherheitsmanagementsystem (ISMS) zu entwickeln. Zugrunde liegt ein eng getakteter Zeitplan mit festgelegten Zertifizierungs-Meilensteinen:
- Bis Ende 2022: Testat nach der Basis-Absicherung des IT-Grundschutzes des BSI für das ISMS der GIZ (Innenstruktur).
- Bis Ende 2023: Dachzertifizierung des ISMS der GIZ nach ISO 27001 "nativ" für die Innenstruktur und für ca. 20 weitere Länder.
- Bis Ende 2024: Für die Innenstruktur eine ISO 27001-Zertifizierung auf Basis von IT-Grundschutz des BSI nach der Standardabsicherung.
- Bis Ende 2026: Dachzertifizierung des ISMS der GIZ nach ISO 27001 "nativ" für alle GIZ-Strukturen weltweit.
Die Arbeit dieses Change Projekts soll durch den/die Auftragnehmer maßgeblich begleitet und unterstützt werden. Dabei geht es vor allem darum, den Gesamtprozess zu entwerfen, zu steuern und regelmäßig anzupassen sowie die Umsetzung der notwendigen Maßnahmen mit der erforderlichen Fachexpertise zu begleiten. Gemeinsam werden im Einzelnen u. a.
- die für ein ISMS notwendigen Grundlagen (weiter-)entwickelt,
- ein geeignetes Informationssicherheitsrisikomanagement konzipiert,
- notwendige Maßnahmen zur Erfüllung der Anforderungen insb. aus ISO 27001 und IT-Grundschutz des BSI abgeleitet,
- deren Umsetzung im In- und Ausland gesteuert und mit Expertise begleitet,
- Regelprozesse definiert,
- wo notwendig Entscheidungsfindungsprozesse gesteuert und moderiert und
- die am ISMS beteiligten Einheiten und Kolleg*innen mit Training, Change Management und Kommunikation unterstützt und befähigt.
Ausschreibungsgegenstand ist das Projekt "Globaler Aufbau und Umsetzung eines Informationssicherheitsmanagementsystems", für das die Erbringung von Dienstleistungen zur Beratung und Unterstützung der GIZ gesucht wird.
Die Schätzmenge der Abrufe aus diesem Rahmenvertrages für Los 1 beträgt 9.450 Fachkrafttage zuzüglich des Schätzwertes für das vorgegebene Reisekostenbudget in Höhe von [Betrag gelöscht] EUR.
Die Höchstmenge der Abrufe aus diesem Rahmenvertrages beträgt 10.395 Fachkrafttage zuzüglich des Höchstwertes für das vorgegebene Reisekostenbudget in Höhe von 1.348.875,00 EUR
00000 Deutschland und Weltweit
Als Dienstleister der internationalen Zusammenarbeit für nachhaltige Entwicklung und internationalen Bildungsarbeit engagiert sich die GIZ weltweit für eine lebenswerte Zukunft. Die Informationssicherheit nimmt immer mehr eine Schlüsselrolle für die Aufgabenerfüllung der GIZ ein, denn ihre Geschäftsprozesse werden in Zeiten der Digitalisierung und globalen Vernetzung durch den Austausch von Informationen und den Einsatz von informationsverarbeitenden Systemen (IT-Systeme) bestimmt. Informationen stellen grundlegende Werte für die GIZ dar, deren angemessener Schutz unverzichtbar ist.
Um konkurrenzfähig handeln zu können, sind besonders die außerhalb Deutschlands liegenden GIZ-Strukturen auf eine schnelle Reaktionsfähigkeit und ein hohes Maß an Flexibilität angewiesen. Gleichzeitig begründet der weltweite Aktionsradius der GIZ zusammen mit der Digitalisierung steigende Anforderungen an die Informationssicherheit. Die Bewahrung der Wettbewerbsfähigkeit der GIZ sowie der Schutz der Interessen ihrer Gesellschafter*innen, Auftraggeber*innen, Partner*innen und Mitarbeitenden bilden den Handlungsrahmen für das Informationssicherheitsmanagement.
Der Zweck des ISMS ist die Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit von Informationen in sämtlichen Geschäftsprozessen der GIZ. Die Aufrechterhaltung dieser Schutzziele ist nur dann erreichbar, wenn Informationssicherheit integraler Bestandteil der weltweiten Organisationsstruktur und -abläufe der GIZ wird.
Deshalb hat die GIZ einen umfassenden Transformationsprozess definiert, der von einem Change-Projekt gesteuert und umgesetzt wird. Ziel ist ein zertifizierungsreifes Informationssicherheitsmanagementsystem (ISMS) zu entwickeln. Zugrunde liegt ein eng getakteter Zeitplan mit festgelegten Zertifizierungs-Meilensteinen:
- Bis Ende 2022: Testat nach der Basis-Absicherung des IT-Grundschutzes des BSI für das ISMS der GIZ (Innenstruktur).
- Bis Ende 2023: Dachzertifizierung des ISMS der GIZ nach ISO 27001 "nativ" für die Innenstruktur und für ca. 20 weitere Länder.
- Bis Ende 2024: Für die Innenstruktur eine ISO 27001-Zertifizierung auf Basis von IT-Grundschutz des BSI nach der Standardabsicherung.
- Bis Ende 2026: Dachzertifizierung des ISMS der GIZ nach ISO 27001 "nativ" für alle GIZ-Strukturen weltweit.
Die Arbeit dieses Change Projekts soll durch den/die Auftragnehmer maßgeblich begleitet und unterstützt werden. Dabei geht es vor allem darum, den Gesamtprozess zu entwerfen, zu steuern und regelmäßig anzupassen sowie die Umsetzung der notwendigen Maßnahmen mit der erforderlichen Fachexpertise zu begleiten. Gemeinsam werden im Einzelnen u. a.
- die für ein ISMS notwendigen Grundlagen (weiter-)entwickelt,
- ein geeignetes Informationssicherheitsrisikomanagement konzipiert,
- notwendige Maßnahmen zur Erfüllung der Anforderungen insb. aus ISO 27001 und IT-Grundschutz des BSI abgeleitet,
- deren Umsetzung im In- und Ausland gesteuert und mit Expertise begleitet,
- Regelprozesse definiert,
- wo notwendig Entscheidungsfindungsprozesse gesteuert und moderiert und
- die am ISMS beteiligten Einheiten und Kolleg*innen mit Training, Change Management und Kommunikation unterstützt und befähigt.
Ausschreibungsgegenstand ist das Projekt "Globaler Aufbau und Umsetzung eines Informationssicherheitsmanagementsystems", für das die Erbringung von Dienstleistungen zur Beratung und Unterstützung der GIZ gesucht wird. Die Vergabe erfolgt in drei Losen:
- Los 1: Beratung des Gesamtprozesses
- Los 2: Dezentrale Beratungs- und Unterstützungsleistungen für das Gesamtunternehmen zur Implementierung der erforderlichen ISMS Aufbaumaßnahmen
- Los 3: Durchführung von Qualitätssicherungsmaßnahmen und Ableitung von Handlungsempfehlungen
Die Dienstleister nehmen eine zentrale Rolle bei der Umsetzung ein. Zusammen mit dem GIZ Personal verantworten sie die Erreichung der Meilensteine. Neben konzeptionellen und beratenden Tätigkeiten nehmen die Dienstleister auch Aufgaben der fachlichen und technischen Umsetzung wahr.
Basierend auf ISO 27001 (betrifft die Innen- und Außenstruktur der GIZ) und IT Grundschutz (betrifft nur die Innenstruktur der GIZ) werden im Projekt zwar Zertifizierungen nach zwei verschiedenen Standards angestrebt, jedoch soll organisationsweit ein einheitliches ISMS entwickelt und umgesetzt werden. Die für den Aufbau und die Umsetzung des ISMS wesentlichen Themenfelder und spezifischen Aspekte für die Innen und Außenstruktur sind für Los 1 entsprechende Arbeitspakete dargelegt.
Dieser mitunter auch fluktuierende Personalbedarf soll insb. durch das vorliegende Los 2 aufgefangen werden. Los 2 dient also als verlängerte Werkbank für die Umsetzung der ISMS-Aufbaumaßnahmen unternehmensweit und weltweit. Die für die dezentralen Beratungs und Unterstützungsleistungen wesentlichen Themenfelder und spezifischen Aspekte für die Innen und Außenstruktur sind auch für Los 2 in Arbeitspakete untergliedert.
Das vorliegend ausgeschriebene Projekt ist für die GIZ eine zentrale Herausforderung, um die Wettbewerbsfähigkeit des Unternehmens auch künftig sicherzustellen. Gleichzeitig ist das Projekt mit einer hohen Komplexität und zahlreichen Risiken behaftet. Aus diesen Gründen soll mit Los 3 über den gesamten Projektlebenszyklus hinweg eine unabhängige Instanz etabliert werden, die gesamthaft und kontinuierlich den Projektfortschritt und die Qualität der externen Beratung überwacht. Relevante Abweichungen beim Projektfortschritt sollen frühzeitig erkannt und Handlungsoptionen erarbeitet und kommuniziert werden.
Die für die Durchführung der Qualitätssicherungsmaßnahmen und die Ableitung der Handlungsempfehlungen wesentlichen Themenfelder und spezifischen Aspekte für die Innen und Außenstruktur sind auch für das Los 3 in Arbeitspaketen festgehalten.
Eine Vergabe der Lose 1 und 2 an denselben Anbieter ist möglich. Das Los 3 wird im Rahmen des Vergabeverfahrens an einen anderen Auftragnehmer vergeben als die Lose 1 und 2.
Abschnitt IV: Verfahren
Abschnitt V: Auftragsvergabe
Auftragsvergabe Ernst & Young
Postanschrift:[gelöscht]
Ort: Berlin
NUTS-Code: DE300 Berlin
Land: Deutschland
Abschnitt VI: Weitere Angaben
Bekanntmachungs-ID: CXTRYY6YXJS
Postanschrift:[gelöscht]
Ort: Bonn
Postleitzahl: 53123
Land: Deutschland
E-Mail: [gelöscht]
Telefon: [gelöscht]
Fax: [gelöscht]
Internet-Adresse: https://www.bundeskartellamt.de
Ein Nachprüfungsantrag ist gemäß § 160 Abs. 3 GWB unzulässig, soweit
1. der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und gegenüber dem Auftraggeber nicht innerhalb einer Frist von zehn Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Absatz 2 bleibt unberührt,
2. Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,
3. Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,
4. mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind.
Satz 1 gilt nicht bei einem Antrag auf Feststellung der Unwirksamkeit des Vertrags nach § 135 Absatz 1 Nummer 2. § 134 Absatz 1 Satz 2 bleibt unberührt.