Für die Eignungsprüfung hat der Bewerber mindestens zwei erfolgreich durchgeführte Referenzprojekte zu benennen, die in den letzten 5 Jahren in den Produktivbetrieb überführt wurden; bei Einreichung von mehr als zwei Referenzen werden nur die beiden mit der höchsten Punktzahl gewertet (insgesamt max. 1350 Punkte, max. 675 Punkte pro Referenz).
Mindestanforderungen / Ausschlusskriterien (A)
Alle nachfolgenden Kriterien müssen zwingend erfüllt sein. Nichterfüllung führt zum Ausschluss der Referenz.
- Projektgegenstand: Einführung einer Identity and Access Management (IAM) Software inkl. Übernahme des Datenbestandes, Konfiguration und Integration in die IT-Systemlandschaft des Auftraggebers.
- Betriebsmodell: Die Lösung muss als "On-Premise"-Modell betrieben werden.
- Zeitraum & Status: Erfolgreicher Abschluss mit Überführung in den Produktivbetrieb innerhalb der letzten 5 Jahre.
- Volumen: Verwaltung von mindestens 10.000 Identitäten (natürliche Personen) mit der eingeführten IAM-Lösung.
- Schutzbedarf: Umsetzung von Datenschutz- und IT-Sicherheitsanforderungen für Datenverarbeitung mit hohem Schutzbedarf (i.S.d. BSI-Grundschutzkompendiums).
- Mandantenfähigkeit: Konzeption und Einführung einer zentralen IAM-Lösung, die über mehrere getrennte Mandanten verfügt.
- Produktionsübergang: Ablösung einer bestehenden IAM-Lösung ohne Behinderung der betrieblichen Abläufe (Wartungsfenster zulässig).
- AD-Anbindung: Anbindung von mindestens 2 verschiedenen Active Directory Gesamtstrukturen an das IAM-System.
- Grundfunktionalitäten & Prozesse:
Planung, Konzeption und Umsetzung der IAM-Implementierung.
-Integration in bestehende Systemlandschaften.
Planung, Konzeption und Umsetzung der Migration des Altsystems.
- Einführung/Migration eines Rollenmodells und Rollenmanagements (RBAC).
- Referenzauskunft: Benennung eines Ansprechpartners beim Auftraggeber, der über die Kontaktaufnahme informiert und zur Auskunft bereit ist.
Bewertungskriterien (B)
Die Erfüllung dieser Kriterien fließt in die Punktbewertung der Eignung ein.
- Erweiterte Systemanbindungen: Erfolgreiche Anbindung und Verwaltung weiterer Zielsysteme (3 oder mehr ADs, LDAP, mind. 10 Standalone-Systeme, mind. 1 Fachverfahren).
- Privileged Access Management (PAM): Implementierung eines PAM inkl. zugehöriger Prozesse und Genehmigungsverfahren im IAM-System.
- Regelwerke und Workflows: Etablierung von Regelwerken (Steuerung, Rollendefinition/-klassifizierung) und Workflows zu Geschäftsvorfällen (Neuanlage, Änderung, Deaktivierung, temporäre Deaktivierung, Überprüfung, Genehmigungsworkflows, Bestellung/Entzug von Rollen).
- Erweiterte Funktionalitäten: Implementierung von Zwei-Faktor-/Multi-Faktor-Authentifizierung (2FA/MFA), Single Sign-On (SSO) sowie Rezertifizierungs- und Reconciliation-Prozessen.
- Art des Auftraggebers: Durchführung für einen öffentlichen Auftraggeber (gem. § 99 GWB) oder einen KRITIS-Betreiber (i.S.d. BSI-Gesetzes).
- SAP-Integration: Anbindung eines SAP S/4HANA-Systems als Zielsystem.
- HR-System: Anbindung eines HR-Systems als primäre Datenquelle für Identitäten.
- Barrierefreiheit: Nachweis der Einhaltung von Mindestanforderungen zur Barrierefreiheit (durch Eigenerklärung oder Zertifikat eines Dritten).
- Sicherheitstest: Durchführung eines Penetrationstests der in Betrieb genommenen Lösung.
- Schulungen: Durchführung von Personalschulungen in den Bereichen IAM-Architektur/IGA, Implementation/Administration, Customizing sowie Strategische Planung/Rollenmodell.
Bei Inanspruchnahme von Kapazitäten anderer Unternehmen (Eignungsleihe) sind zusätzlich vorzulegen:
Liste der für die Eignungsleihe herangezogenen Unterauftragnehmer (Anlage TWB 6)
Verpflichtungserklärung anderer Unternehmen (Anlage TWB 7)