Beschreibung
:
Die HZD führt regelmäßig Zertifizierungsaudits der Informationssicherheit gemäß ISO 27001 auf Basis IT-Grundschutz gemäß § 3 HITSiG durch. Entsprechende Zertifizierungen zeigen gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) in regelmäßigen Audits, •dass Anforderungen an eine zeitgemäße Informationssicherheit erfüllt sind, •dass Informationssicherheitsmaßnahmen wirksam für Geschäftsprozesse, Verfahren, Prozesse, Anwendungen und Systeme implementiert sind und entsprechend im Betrieb der HZD vorgehalten werden, •dass Risiken der Informationssicherheit bestmöglich reduziert werden und •dass Informationssicherheitsmanagement und Informationssicherheitsmanagementsystem kontinuierlich verbessert wird, womit dauerhaft eine ordnungs- und zeitgemäße Informationssicherheit gewahrt ist. Die HZD ist dazu angehalten, weitere, erfolgreiche Zertifizierungen gemäß ISO 27001 auf Basis IT-Grundschutz zu erreichen und diese anschließend aufrechtzuerhalten. Solche Zertifizierungen sind also keine einmaligen Vorgänge. In der HZD wird parallel verfolgt, Aktivitäten bzgl. erreichter BSI-Zertifikate in Linientätigkeiten zu überführen. Im Fokus sind diesbezüglich Re-Zertifizierungen, die entsprechend der Aufbaustruktur der HZD in die zuständigen Bereiche im Betrieb spezifischer Geschäftsprozesse, Verfahren, Prozesse, Anwendungen und Systeme der HZD zu übertragen sind. BSI-Audits zum Erreichen zum Aufrechterhalten von BSI-Zertifikate entsprechend ISO 27001 auf Basis von IT-Grundschutz sind durchzuführen. Hierzu muss die BSI-Auditorin oder der BSI-Auditoren vom BSI benannt sein. Eine Zertifizierung können nur einzelne Personen durchführen, die die dafür notwendigen Befähigungen besitzen. Die vom Auftragnehmer angebotenen Personen müssen durch das BSI als Auditor für ISO 27001-Audits auf der Basis von IT-Grundschutz personenzertifiziert sein. Die jeweils aktuell durch das BSI benannten Auditorinnen und Auditoren finden sich auf der Web-Seite: BSI - Prüfstellen & Auditoren - Zertifizierte Auditteamleiter für ISO 27001-Audits auf der Basis von IT-Grundschutz (bund.de). Der Bieter resp. der Rahmenvertragshalter muss gewährleisten, dass die Personenzertifizierung der Auditteamleiterinnen oder der Auditteamleiter für Zertifizierungen gemäß ISO 27001 auf Basis IT-Grundschutz im Rahmenvertragszeitraum aufrechterhalten wird. Die jeweilige Auditorin oder der jeweilige Auditor muss entsprechend der Anforderungen an einen zertifizierten Auditteamleiter prüfen. Der Bieter resp. spätere Rahmenvertragshalter muss gewährleisten, dass für die anstehenden BSI-Audits ausreichend qualifiziertes Personal angeboten wird. Aktuell sind im Rahmenvertragszeitraum sieben bis 10 Zertifizierungen in der HZD angestrebt. Hieraus resultiert, dass grundsätzlich bis zu 10 BSI-Audits im Jahr durchzuführen sind. In der Leistung sind • BSI-Audits bei Erst-Zertifizierungen vorzusehen; • jährliche Überwachungsaudits zum Aufrechterhalten von BSI-Zertifikaten gemäß ISO 27001 auf Basis IT-Grundschutz für die jeweiligen Zertifizierungen durchzuführen sowie • BSI-Audit im Rahmen von Re-Zertifizierungen, die üblicherweise nach 3 Jahren nach Ablauf des Gültigkeitszeitraum eines BSI-Zertifikats auszuführen. Zu den Aufgaben eines jeden BSI-Audits gehört entsprechend der Vorgaben des BSI eine Dokumentenprüfung, die Durchführung einer Begehung vor Ort an den Standorten der HZD sowie potentiell bei Kunden der HZD und die Erstellung eines BSI-Auditberichts, der entsprechend des BSI auch der HZD als der Auftraggeberin vorzulegen ist. Auf der Grundlage des Auditberichts wird durch das BSI danach gesondert über die Ausstellung eines Zertifikats entschieden. Ein solcher BSI-Auditbericht muss sowohl bei einem positiven Bescheid des BSI, d.h. bei Erreichen resp. dem Aufrechterhalten eines BSI-Zertifikats als auch grundsätzlich beim Scheitern einer Zertifizierung gemäß ISO 27001 auf Basis IT-Grundschutz erstellt werden. Auch wenn die HZD annehmen möchte, dass letzteres seltener der Fall ist, so ist dies jedoch besonders bedeutsam, so dass eine tatsächliche Verbesserung stattfinden kann. Der jeweilige BSI-Auditbericht ist nicht nur dem BSI, sondern auch der HZD zu übermitteln. Die Arbeits- und Dokumentationssprache ist sowohl in den BSI-Audits, zu erstellenden BSI-Auditberichten als auch in der HZD deutsch. Die einzusetzenden Personen müssen daher gute Kenntnis der deutschen Sprache in Wort und Schrift (Sprachniveau C1 gem. dem Gemeinsamen Europäischen Referenzrahmen für Sprachen (GER)) aufweisen. Mit der Abgabe eines Angebotes sichert der Bieter zu, dass nur Berater zum Einsatz kommen, die bereit sind, sich auf Anforderung des Auftraggebers einer erweiterten Sicherheitsüberprüfung (Ü2) nach § 8 Abs. 1 Nr. 3 des Hessisches Sicherheitsüberprüfungs- und Verschlusssachengesetz (HSÜVG) zu unterziehen und diese erweiterte Sicherheitsüberprüfung erfolgreich bestehen. Die vom Auftragnehmer angebotenen Personen verfügen über mehrjährige Berufserfahrung in IT-Projekten, davon mindestens 36 Monate in den letzten 5 Jahren, sowie Berufserfahrung in der beschriebenen Leistung. Der Auftragnehmer ist verpflichtet, die von ihm zu erbringenden Leistungen mit größter Sorgfalt und nach Maßgabe der vertraglichen Vereinbarungen, dem aktuellen Stand von Wissenschaft und Technik sowie nach dem Grundsatz der Wirtschaftlichkeit durchzuführen. Er bestätigt, Personen mit den notwendigen Kenntnissen und Erfahrungen bereitzuhalten, um die vertragsgemäßen Aufgaben uneingeschränkt erfüllen zu können. Für eine Zertifizierung sind beim Auftraggeber Vorarbeiten durchzuführen. Diese Tätigkeiten wie auch die Arbeiten zwischen den Audits (z. B. offene Aufgaben, die sich aufgrund der (Erst-)Zertifizierung oder Überwachungsaudits ergeben, und umgesetzt werden müssen) sind nicht Teil der Leistung. Gebühren, die für die HZD gegenüber dem Zertifikatsaussteller eventuell entstehen, sind nicht Teil der Beauftragung. Diese müssen von der HZD gesondert getragen werden.