Dienstleistungen für das Themenumfeld Informationssicherheit Referenznummer der Bekanntmachung: VG-3000-2022-0044
Auftragsbekanntmachung
Dienstleistungen
Abschnitt I: Öffentlicher Auftraggeber
Postanschrift:[gelöscht]
Ort: Wiesbaden
NUTS-Code: DE7 Hessen
Postleitzahl: 65185
Land: Deutschland
E-Mail: [gelöscht]
Telefon: [gelöscht]
Fax: [gelöscht]
Internet-Adresse(n):
Hauptadresse: https://vergabe.hessen.de
Abschnitt II: Gegenstand
Dienstleistungen für das Themenumfeld Informationssicherheit
Unterstützungsleistungen für die Beratung und Betriebsunterstützung zu Fragen des Informationssicherheitsmanagements sowie der IT-Sicherheitsarchitekturen, inklusive spezieller Architekturen unter Nutzung des Produktes HPSure Click, in vier Losen.
Unterstützungsleistungen für das Themengebiet Informationssicherheitsma-nagement (ISMS):
Hessische Zentrale für Datenverarbeitung
Mainzer Straße 29
65185 Wiesbaden
Los 1 - Dienstleistung für das Themengebiet Informationssicherheitsmanagement (ISMS)
Zu den Leistungen gehören die unten genannten Aufgaben, die in Einzelabrufen im Rahmen der Durchführung des Projektes auf der Grundlage der Rahmenvereinbarung spezifiziert werden, wobei diese einzeln oder in Teilprojekten/Arbeitspaketen abgerufen werden können.
Betrieb ISMS - Profil A
Das ISMS legt fest, mit welchen Prozessen, Instrumenten, Organisation und Methoden die jeweilige Dienststellenleitung die auf Informationssicherheit ausgerichteten Aufgaben und Aktivitäten nachvollziehbar lenkt (plant, einsetzt, durchführt, überwacht und verbessert).
Aufgaben:
- Unterstützung bei Aufgaben des Informationssicherheitsmanagementsystems (ISMS) inklusive zugehöriger Organisation.
- Unterstützung bei der Verwaltung von Sicherheitskonzepten
- Maßnahmenverfolgung aus z.B. Sicherheitskonzepten, Notfallkonzepten und Überprüfungen (ISMS)
- Unterstützung bei der Planung und Organisation von Regelaufgaben des ISMS mit den Prozessen (z. B. Risikomanagement, Schwachstellenmanagement, Sicherheitsvorfallmanagement, Patch- und Änderungsmanagement) inklusive der Planung von Kontinuitätsstrategien
- Bearbeitung von informationssicherheitsrelevanten Incidents und Changes
Begleitung der Behandlung von Informationssicherheitsvorfällen und IT-Schwachstellen (z. B. Recherche bei sicherheitsrelevanten Zwischenfällen, Nachverfolgung von Berichten und deren Behebung inklusive der Überprüfung der Nachhaltigkeit der Maßnahmen)
- Unterstützung bei der Kommunikation des Informationssicherheitsteams
- Unterstützung bei der Erstellung von Vorlagen für die Dienststelle
- Unterstützung bei allgemeinen Fragen der Informationssicherheit und Kontiniutätsstragien
Aufbau und Weiterentwicklung - Profil B
- Beratung der Informationssicherheitsbeauftragten zur Festlegung der Informationssicherheitsziele und -strategie
- Unterstützung bei der Einführung von Standard-Betriebsprozessen im Informationssicherheitsumfeld (z.B. Methoden, Prozesse, Kontinuitätsstrategien) inklusive Risikomanagement, Schwachstellenmanagement, Sicherheitsvorfallmanagement, Patch- und Änderungsmanagement
- Plausibilitätsprüfung und Optimierung vorhandener Informationssicherheitsmanagementsysteme
- Formulierung und Umsetzung von Messverfahren und Kennzahlen zur Informationssicherheitslagebewertung, Informationssicherheitsrisiken und für die Ermittlung des Informationssicherheitsniveaus
- Unterstützung bei der Fertigung und Abstimmung von Entwürfen für sicherheitsre-levante ISMS-Richtlinien, -Leitlinien und -Konzepte, Prüfgrundlagen (auf Basis BSI-Vorgaben:z. B. BSI Kompendium, BSI-C5 und vergleichbare), ISMS-Prozesse, Formulare und -Standards sowie Berichte
Awareness und Sensibilisierung - Profil C
- Unterstützung bei Konzeption, Erstellung, Planung und Durchführung von Awareness-Kampagnen und Mitarbeitersensibilisierungen im Themengebiet Informationssicherheit
- Erstellung / Pflege von Begleitmaterialien für die Awareness-Kampagne und der Mitarbeitersensibilisierung. Dies beinhaltet Printmedien, Online-Formate wie E-Learningsysteme oder moderne soziale Medien, Konzepte, Dokumenten, Flyer, Videos sowie weitere Medien. Nebenkosten, die bei der Ausführung dieser Leistung entstehen, können mit maximal 10% der dazugehörigen Tätigkeit abgerechnet werden.
Ziel der vorliegenden Ausschreibung ist der Abschluss einer Rahmenvereinbarung je Los mit einer Mindestlaufzeit von 12 Monaten und einer dreimaligen Verlängerungsoption um jeweils weitere 12 Monate (max. 48 Monate).
Die Leistungen aus dieser jeweiligen Rahmenvereinbarung können bis zu einem Höchstwert von [Betrag gelöscht] Euro (netto) bei einer maximalen Laufzeit von vier Jahren abgerufen werden. Ist dieser Höchstwert erreicht, endet diese Rahmenvereinbarung, ohne dass es einer gesonderten Kündigung bedarf.
Informationssicherheitsberatung für IT-Sicherheitsprodukte sowie Projekte im Sicherheitsumfeld (Profil D)
Los 2 - Dienstleistung für Informationssicherheitsberatung: IT-Sicherheitsprodukte sowie Projekte im Informationssicherheitsumfeld - Profil D
- Beratung von Projekten und Verfahren bei Informationssicherheitsfragestellungen
- Unterstützung bei der Durchführung von Projekten im IT-Sicherheitsumfeld (z. B. Prüfung des Einsatzes bestehender sowie Implementierung neuer Informationssicherheitswerkzeuge wie Intrusion Detection / Intrusion Prevention, Web Application Firewall, Security Information and Event Management, Content-Scanner)
- Fachliche Recherche neuer IT-Sicherheits-Produkte (z. B. Marktanalyse)
- Beratung und Unterstützung beim Einsatz und ggf. Entwicklung von automatisierten Auswertungs- und Planungswerkzeugen im Bereich der Informationssicherheit
- Bewertung und Konzeption von IT-Sicherheitsarchitekturen (z. B. Cloud-Architekturen, Software defined networking, Containertechnologien, devops, ZeroTrust unter Berücksichtigung von klassischen Client/Server-Architekturen wie auch mobilen Geräten etc.)
Ziel der vorliegenden Ausschreibung ist der Abschluss einer Rahmenvereinbarung je Los mit einer Mindestlaufzeit von 12 Monaten und einer dreimaligen Verlängerungsoption um jeweils weitere 12 Monate (max. 48 Monate).
Die Leistungen aus dieser Rahmenvereinbarung können bis zu einem Höchstwert von [Betrag gelöscht] Euro (netto) bei einer maximalen Laufzeit von vier Jahren abgerufen werden. Ist dieser Höchstwert erreicht, endet diese Rahmenvereinbarung, ohne dass es einer gesonderten Kündigung bedarf.
Unterstützung bei der Einführung des Produktes HPSureClick (Profile E, F)
Los 3 - Dienstleistung für Informationssicherheitsberatung sowie für Projekte mit dem Produkt HPSureClick
HP SureClick Senior - Profil E
- Beratung von Projekten und Verfahren in komplexen Fragen zu der Software HP SureClick
- Erstellen von Dokumenten (bspw. Entscheidungsvorlagen, Konzepten) für den Themenbereich HP SureClick.
- Konzeptionelles Erarbeiten und dokumentieren von Lösungen in Bezug auf Kunden/Betriebs oder Projektanforderungen.
- Konzeptionelles Erarbeiten und dokumentieren von komplexen Reports und AdHoc Meldungen in Bezug auf Kunden/Betriebs oder Projektanforderungen.
Konzeptionelles Erarbeiten und dokumentieren von neuen komplexen Anforderun-gen an die HP SureClick Umgebung in Bezug auf Kunden/Betriebs oder Projektanforderungen.
- Unterstützung des Projektmanagers bei Kunden und internen Terminen
- Betrieb und Aufbau der HP SureClick Umgebung
- Planen, konzeptionieren und durchführen von Backup und Recovery Strategien
- Härtung der Systeme unter BSI Aspekten bzw. anderen Sicherheitsaspekten (bspw. Patchmanagement usw.)
- Erhöhung der Betriebsstabilität der Umgebung
- Umsetzen von Anforderungen des Projetleiters oder von Kunden/Projektanforderungen.
- Beratung des Projektleiters bei technischen Fragestellungen zur HP SureClick Umgebung.
- Erstellen und Fortschreiben von betrieblichen Dokumentationen (bspw. Betriebshandbuch usw.)
- Analyse von Fehler und Störungen auf der HP SureClick Umgebung und im Client Bereich.
SureClick Junior - Profil F
- Unterstützung des ggf. vorhanden internen Betriebsteams und der Vorort Betreuer
(Kunden) bei Problemen und Analysen rund um den HP SureClick Client und der Infrastruktur.
- Unterstützung des Sicherheitsbereiches bei Analysen von Angriffen auf die IT-Infrastruktur. Erstellung/Weiterführung von Dokumentationen und technischen Konzepten.
- Betrieb und Aufbau der HP SureClick Umgebung
- Unterstützung bei der Entstörung der HP SureClick Infrastruktur inkl. Logfile sowie Netzwerkkonfigurationsanalysen (2/3rd- Level Support):
o Unterstützung bei den Wartungsarbeiten an der HP SureClick-Infrastruktur (Patch-day usw.).
o Unterstützung bei der Gewährleistung der Datensicherungen (Backup, Restore).
o Erstellung und Fortführung von betrieblichen Dokumentationen.
Durchführen von administrativen Aufgaben mittels Scripting (Programmieren und Anwenden von notwendigen Skripten).
o Unterstützen beim Troubleshooting im Bereich HP SureClick (Client, Richtlinien und ggf. vorhandenen Kompatibilitätsproblemen mit anderen Produk-ten
o Teilnahme am Incident und Changemanagement der hessischen Landesverwaltung
Ziel der vorliegenden Ausschreibung ist der Abschluss einer Rahmenvereinbarung je Los mit einer Mindestlaufzeit von 12 Monaten und einer dreimaligen Verlängerungsoption um jeweils weitere 12 Monate (max. 48 Monate).
Die Leistungen aus dieser Rahmenvereinbarung können bis zu einem Höchstwert von [Betrag gelöscht] Euro (netto) bei einer maximalen Laufzeit von vier Jahren abgerufen werden. Ist dieser Höchstwert erreicht, endet diese Rahmenvereinbarung, ohne dass es einer gesonderten Kündigung bedarf.
Planung, Durchführung und Analyse von IT-Sicherheitsaudits sowie interner IT-Revisionen (Profil G)
Los 4 - Dienstleistung für Planung, Durchführung und Analyse von internen Informationssicherheitsaudits sowie internen IT-Revisionen - Profil G
- Unterstützung bei der Vorbereitung und Durchführung von internen Audits und IT-Revisionen der umgesetzten Informationssicherheitsmaßnahmen und -prozesse gemäß BSI-Standard 200-x sowie BSI-C5 und vergleichbar.
- Die Tätigkeit der IT-Revision meint die Prüfung der Sicherheit und Ordnungsmäßigkeit einer IT-Infrastruktur gemäß den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI), z. B. BSI Kompendium, BSI-C5.
- Aufgaben bei der Durchführung von internen Audits/IT-Revisionen im Detail sind:
o Erstellung eines Programms
o Durchführung eines Auftaktgesprächs
o Sichtung und Prüfung der Dokumente
o Auswahl von Stichproben in Abstimmung mit dem Auftraggeber
o Durchführung von internen Audits (Erstparteien-Audits) und Revisionen sowie Audits bei Dienstleistern und Partnern der Dienststellen (Zweitparteien-Audits).
o Durchführung der Vor-Ort-Prüfung
o Auswertung der Prüfungen
o Erstellung eines Abschlussberichts
o Erstellung Maßnahmenplan
- Unterstützung bei der Vorbereitung/Nachbereitung von externen Zertifizierungsau-dits inklusiver der Dokumentenerstellung sowie der Analyse der Ergebnisse der Zertifizierungsaudits
Das externe Zertifizierungsaudit ist NICHT Teil dieses Loses.
Da die Leistung bestehende Sicherheitskonzepte prüft, sind externe Dienstleister, die bei der Erstellung und Überabeitung von Sicherheitskonzepten unterstützen, auszunehmen.
Ziel der vorliegenden Ausschreibung ist der Abschluss einer Rahmenvereinbarung je Los mit einer Mindestlaufzeit von 12 Monaten und einer dreimaligen Verlängerungsoption um jeweils weitere 12 Monate (max. 48 Monate).
Die Leistungen aus dieser Rahmenvereinbarung können bis zu einem Höchstwert von [Betrag gelöscht] Euro (netto) bei einer maximalen Laufzeit von vier Jahren abgerufen werden. Ist dieser Höchstwert erreicht, endet diese Rahmenvereinbarung, ohne dass es einer gesonderten Kündigung bedarf.
Abschnitt III: Rechtliche, wirtschaftliche, finanzielle und technische Angaben
Los 1
Mind. 3 Referenzen aus den letzten 3 Jahren die den nachfolgenden Anforderungen entsprechen.
- Art: Tätigkeiten als Teil eines Informationssicherheitsmanagementsystems (ISMS) bei einem Auftraggeber mit einer Größe von mind. 500 Mitarbeiter/innen.
Art 1: Unterstützung im ISMS-Betrieb
Art 2: Erstellung von sicherheitsrelevanten ISMS-Richtlinien
Art 3: Optimierung eines sicherheitsrelevanten ISMS-Prozesses
Art 4: Optimierung oder Aufbau eines ISMS
Art 5: Planung und Umsetzung einer Sensibilisierungskampagne
- Umfang: Es sind in Summe der 3 Referenzen 8 Tätigkeiten nachzuweisen von mind. 3 versch. Auftraggebern:
o Umfang Art 1: 3 Tätigkeiten.
Der Umfang der Unterstützung im ISMS-Betrieb eines Nachweises muss für eine Tätigkeit mind. ein Volumen von 100 Personentagen (PT) betragen, die beiden anderen Tätigkeiten haben mind. ein Volumen von 50 PT zu betragen.
o Umfang Arten 2-4: jeweils 1 Tätigkeit mit 50 PT pro Art
o Umfang Art 5: zwei Tätigkeiten. Dabei ist nachzuweisen, dass mind. 2 unterschiedliche Medienformen verwendet wurden und die Tätigkeiten mind. ein Volumen von je 50 PT betragen hat.
Los 2
Jeweils mind. 2 geeigneten Referenzen aus den letzten 3 Jahren, die den nachfolgend aufgeführten Anforderungen entsprechen.
Anforderung 1: Projektleitung für IT-Projekte im Themenumfeld der IT-Sicherheit bei einem Auftraggeber mit einer Personalgröße von mind. 500.
Das Projekt hat die Bewertung und/oder Konzeption von IT-Sicherheitsarchitekturen zum Inhalt. (Z.B:der sichere Einsatz von Cloud-Architekturen o. Containertechnologie-Architekturen, Hochverfügbarkeits-Architekturen, Netzzonenkonzepte, ZeroTrust, Berücksichtigung von klassischen Client/Server-Architekturen wie auch mobilen Geräten)
Das Projekt muss mind. ein Volumen von 100 PT haben. Im Projekt müssen mind. 3 Personen mitgearbeitet haben.
Anforderung 2: Projektleitung für IT-Projekte im Themenumfeld der IT-Sicherheit bei einem Auftraggeber mit einer Personalgröße von mind. 500.
Die Projekte haben die Implementierung von neuen IT-Sicherheitswerkzeugen zum Inhalt. IT-Sicherheitswerkzeugen sind z. B. Intrusion Detection / Intrusion Prevention, Web Application Firewall,Security Incident and Event Management, Content-Scanner, Honeypot-Systeme. Die Projekte müssen jeweils mind. ein Volumen von 100 PT haben. In den Projekten müssen jeweils mind. 3 Personen mitgearbeitet haben.
Los 3
Darstellung von mind. 2 Referenzen (eine je Art) aus den letzten 3 Jahren, die den nachfolgend aufgeführten Anforderungen entsprechen.
-Art 1: Konzeption und Aufbau einer HP SureClick (ehemals Bromium) Umgebung o. eines vergleichbaren Produkts
- Art 2: Betrieb, Support und Weiterentwicklung einer HP SureClick (ehemals Bromium) Umgebung o. einer vergleichbaren Umgebung
Umfang für Art 1 und 2: Die Umgebung muss mind. 5.000 Anwender/Clients enthalten
Los 4
Darstellung von mind.2 Referenzen je beschriebener Anforderung A, B , C u. D. Bei jeweils einem Auftraggeber mit einer Personalgröße von mind. 500
(A) Durchführung einer IT-Revision (Die Tätigkeit der IT Revision meint die Prüfung der Sicherheit und Ordnungsmäßigkeit einer IT-Infrastruktur gemäß den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
(B) Durchführung eines internen IT-Sicherheitsaudits oder Informationssicherheits-Revisionen. Die beiden Referenzen sollen unterschiedliche IT-Sicherheitsthemen behandeln. Dabei müssen pro internem Audit mind. 3 BSI-Bauste betrachtet worden sein.
(C) Vor- und Nachbereitungen eines externen Zertifizierungsaudits (ISO27001 gemäß BSI Grundschutz),
(D) Analyse eines IT-Verfahren gemäß der BSI-C5-Methodik.
Erklärung zur Neutralität (Los4)
Zur Sicherstellung einer unbefangenen und neutralen Prüfung hat der Bieter eine Erklärung zur Neutralität abzugeben.
Die zur Eignung geforderten Anforderungen verstehen sich als Mindestanforderungen.
Es wird darauf hingewiesen, dass die Bieter sowie deren Nachunternehmen und Verleihunternehmen, soweit diese bereits bei Angebotsabgabe bekannt sind, die erforderlichen Verpflichtungserklärungen (Datei "Verpflichtungserklaerung_oeff_AG") zur Tariftreue und zum Mindestentgelt nach dem Hessischen Vergabe- und Tariftreuegesetz (HVTG) vom 12.07.2021, (GVBl. S. 338) mit dem Angebot abzugeben haben. Die Verpflichtungserklärung bezieht sich nicht auf Beschäftigte, die bei einem Bieter, Nachunternehmer und Verleih-unternehmen im EU-Ausland beschäftigt sind und die Leistung im EU-Ausland erbringen.
Abschnitt IV: Verfahren
entfällt
Abschnitt VI: Weitere Angaben
Eine Beschreibung der zu vergebenden Leistung steht auf der Vergabeplattform des Landes Hessen (https://vergabe.hessen.de) zur Verfügung und muss dort heruntergeladen werden.
Die Vergabestelle weist die Bieter in den Vergabeunterlagen darauf hin, dass der Nachweis der Eignung und des Nichtvorlie-gens von Ausschlussgründen nach den §§ 123, 124 GWB ganz oder teilweise durch die Teilnahme an Präqualifikationssyste-men erbringen können (§ 122 Abs. 3 GWB, § 13 HVTG). Ebenso weist sie darauf hin, dass sie als vorläufigen Beleg der Eig-nung und des Nichtvorliegens von Ausschlussgründen nach den §§ 123, 124 GWB die Vorlage der Einheitlichen Europäischen Eigenerklärung (EEE) in Form des Anhangs 2 der Durchführungsverordnung der Kommission (EU) Nr. 2016/7 vom 05. Januar 2016 akzeptiert. Mit dem Angebot sind einzureichen: Die Erklärungen zu den Ausschlussgründen nach den §§ 123, 124 GWB (Datei "Eigenerklaerung_Ausschlussgruende_Par_123_GWB" und Datei "Eigenerklaerung_Ausschlussgruende_Par_124_GWB").
Bei Bietergemeinschaften hat jedes Mitglied der Bietergemeinschaft die Eigenerklärungen in der geforderten Form abzugeben. Bei geplantem Einsatz von Unterauftragnehmern sind die Eigenerklärungen von jedem Unterauftragnehmer in der erforderlichen Form vorzulegen.
Der Bieter hat die Eigenerklärung zum Artikel 5k der EU-Verordnung 833/2014 (Datei "Eigenerklaerung Artikel 5k EU-Verordnung 833-2014") ausgefüllt mit seinem Angebot einzureichen.
Bei Bietergemeinschaften hat jedes Mitglied der Bietergemeinschaft die Erklärung in der entsprechenden Form einzureichen.
Den Zuschlag für das jeweilige Los erhält der Bieter mit dem wirtschaftlichsten Angebot in Bezug auf den Preis. Entscheidend ist hier die Gesamtangebotssumme (brutto), die sich aus den Summen der entsprechenden Positionen im Preisblatt (Dateien "Preisblatt_Los1", "Preisblatt_Los2" usw.) ergibt.
Sofern mehrere Bieter exakt den gleichen Preis anbieten, entscheidet das Los.
Aufgrund der zu wahrenden Neutralität in Los 4 wird eine Zuschlagslimitierung vorgesehen. Bewirbt sich ein Bieter für Los 1 und Los 4 wird der Zuschlag nur für eines der beiden Lose erfolgen. Der Bieter kann anhand der Erklärung zur Zuschlagslimitierung angeben welchem Los er den Vorzug gibt.
Siehe Datei "Erklärung zur Zuschlagslimitierung" auf der Vergabeplattform
Postanschrift:[gelöscht]
Ort: Darmstadt
Postleitzahl: 64283
Land: Deutschland
Telefon: [gelöscht]
Fax: [gelöscht]
§160 GWB
(1) Die Vergabekammer leitet ein Nachprüfungsverfahren nur auf Antrag ein.
(2) Antragsbefugt ist jedes Unternehmen, das ein Interesse an dem öffentlichen Auftrag oder der Konzession hat und eine Verletzung in seinen Rechten nach § 97 Absatz 6 durch Nichtbeachtung von Vergabevorschriften geltend macht. Dabei ist darzulegen, dass dem Unternehmen durch die behauptete Verletzung der Vergabevorschriften ein Schaden entstanden ist oder zu entstehen droht.
(3) Der Antrag ist unzulässig, soweit
1.der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und gegenüber dem Auftraggeber nicht innerhalb einer Frist von zehn Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Absatz 2 bleibt unberührt,
2.Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,
3.Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,
4.mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind.
Satz 1 gilt nicht bei einem Antrag auf Feststellung der Unwirksamkeit des Vertrags nach § 135 Absatz 1 Nummer 2. § 134 Absatz 1 Satz 2 bleibt unberührt.