Informationssicherheit und IT-Notfallmanagement

Description du marché

Das Landesamt für Finanzen (LfF) ist eine zentrale Landesbehörde des Freistaates Bayern. Die Behörde versteht sich als Dienstleister für die Bayerische Staatsverwaltung. Sie ist insbesondere zuständig für die Festsetzung, Anordnung und Abrechnung der Bezüge für die Beamtinnen/Beamten, Arbeitnehmer/innen sowie Versorgungsempfänger/innen des Freistaates Bayern, die Abwicklung eines wesentlichen Teils der staatlichen Kassengeschäfte und die Prozessführung für den Freistaat Bayern, insbesondere vor den Zivilgerichten. Das LfF ist mit der FinanzIT BAYERN ein bedeutender IT-Dienstleister für alle Ressorts. Die FinanzIT BAYERN als Teil des LfF ist örtlich in Regensburg ansässig. Die Fachverfahren für die genannten Tätigkeitsbereiche werden zum Teil selbst entwickelt, es kommt aber auch Software zum Einsatz, die von externen Firmen zugekauft ist und ggf. angepasst wurde. Im Bereich Informationssicherheit ist das LfF verpflichtet, ein am IT-Grundschutz des BSI orientiertes ISMS dauerhaft zu betreiben. Nach Maßgabe des IT-Beauftragten der Bayerischen Staatsregierung ist hierbei die Standardabsicherung als Vorgehensweise anzuwenden. Unter den Tätigkeitsbereichen des LfF befinden sich auch Geschäftsprozesse, deren Daten und Informationen miterhöhtem Schutzbedarf in Bezug auf Vertraulichkeit, Integrität bzw. Verfügbarkeit klassifiziert sind. Neben einem ISMS ist ein nach BSI standardisiertes Notfallmanagement von Bedeutung. Die anzuwendende Methodik soll sich dabei am BSI- Standard 200-4 orientieren. Die existierenden Prozesse, Konzepte und Unterlagen sollen geprüft und erweitert werden. Das LfF hat eine entsprechende hausinterne IT-Sicherheits- und Datenschutzorganisation aufgebaut, die für die Umsetzung der oben genannten Aufgabengebiete Informationssicherheit und IT-Notfallmanagement zuständig ist und bereits eine Reihe von Konzeptionen und Dokumentationen erstellt und Maßnahmen getroffen hat. Aufgrund des Aufgabenumfangs sind hierfür jedoch nach Maßgabe des Auftraggebers umfangreiche Beratungs- und Unterstützungsdienstleistungen erforderlich. Der Schwerpunkt liegt dabei auf der Unterstützung im Bereich Informationssicherheit. Für den Bereich Informationssicherheit sind vorranging die aktuellen BSI-Standards 200-1, 200-2 und 200-3 anzuwenden. Für das Management der Informationssicherheit wird das Tool „HiScout“ der Firma HiSolutions AG in einer bayernweiten Zentralinstallation eingesetzt. Zudem hat der IT-Beauftragte der Bayerischen Staatsregierung bzw. auf die Gegebenheiten des Finanzressorts das Bayerische Staatsministerium der Finanzen und für Heimat im Bereich Informationssicherheitsmanagement eine Reihe von Mustern und Handreichungen erstellt, die als weitere Basis dienen und für die Erstellung bestimmter weiterer Dokumente herangezogen werden können. Für das IT-Notfallmanagement ist vorrangig der Standard 200-4 anzuwenden. Auch hier sind bestimmte Muster und Handreichungen als Orientierungshilfe vorhanden. Das LfF vergibt in diesem Zusammenhang Beratungs- und Unterstützungsleistungen im Bereich Informationssicherheit und IT-Notfallmanagement im Umfang von 200 Personentage mit der Option zum Abruf um weitere 200 Personentage. Es besteht jedoch keine Verpflichtung zum Abruf der o. g. Personentage. Das Aufgabenverhältnis verteilt sich voraussichtlich zu 85% auf den Bereich Informationssicherheit und 15% auf den Bereich IT-Notfallmanagement. Verschiebungen der Aufgabenverhältnisse sind möglich. Die Auftragserfüllung kann i. d. Regel remote erfolgen. Wenn vom Auftraggeber gewünscht, ist jedoch Vor-Ort-Präsenz erforderlich. Die Leistungserbringung hat bei Vor-Ort-Präsenz überwiegend bei der FinanzIT BAYERN, Bahnhofstr. 7, 93047 Regensburg zu erfolgen. In Fällen in denen es z. B. um Gebäudesicherheit (INF-Bausteine) und um Vor-Ort-Begehungen geht, an den übrigen Dienststellen bzw. der Zentralabteilung des Landesamts für Finanzen in Bayern. Die Leistungsdauer erstreckt sich voraussichtlich über einen Zeitraum von etwa zweieinhalb Jahren ab Zuschlagserteilung. Der zeitliche Umfang der Leistungserbringung beträgt voraussichtlich im Durchschnitt zwei Tage pro Woche hinsichtlich der Summe der zu erbringenden Beratungstage der beiden Bereiche Informationssicherheit und IT-Notfallmanagement. Der Auftragnehmer muss in der Lage sein, den Umfang der Leistungserbringung in Absprache zwischen Auftraggeber und Auftragnehmer dem Arbeitsanfall anzupassen. Ab Beginn der Leistungserbringung sind die Leistungen im Bereich Informationssicherheit kontinuierlich zu erbringen. Für den Bereich IT-Notfallmanagement richtet sich der Zeitraum der Leistungserbringung nach dem Bedarf des Auftraggebers; eine zeitliche Verteilung ist hier nicht planbar. In diesen Fällen muss der Auftragnehmer auf Anforderung des Auftraggebers mit einer Vorlaufzeit von drei Wochen den angebotenen Berater für die Leistungserbringung bereitstellen. Der Beginn der Leistungserbringung hat spätestens zwei Wochen nach Zuschlagserteilung zu erfolgen.

Pouvoir adjudicateur