---- Abschnitt 5.1.9 Eignungskriterien- Änderung Beschreibung / Mindestanforderung
- Kriterium: Referenzen zu bestimmten Dienstleistungen
Beschreibung: Nachweis von Referenzen: Zum Nachweis der technischen und beruflichen Leistungsfähigkeit werden 2 Referenzen über erbrachte Leistungen im Bereich Informationssicherheitsmanagement bei einem Auftraggeber im Verteidigungsumfeld (z.B. Verteidigungsunternehmen, militärische Einrichtungen oder KRITIS-Betreiber), welche mit dem Vergabegegenstand vergleichbar sind, gefordert. Es gilt folgende Mindestanforderung: Vorlage von zwei vergleichbaren Referenzen aus den letzten drei Jahren über erbrachte Leistungen im Bereich Informationssicherheitsmanagement bei einem Auftraggeber im Verteidigungsumfeld (z.B. Verteidigungsunternehmen, militärische Einrichtungen oder KRITIS-Betreiber) mit den folgenden Schwerpunkten: - Mitarbeit bei der Entwicklung und Betrieb eines Informationssicherheitsmanagement (ISMS)
- Aktive Begleitung einer Auditierung nach ISO /IEC 27001
- Erfahrung in der Erstellung von Richtlinien und Vorgaben
---- Abschnitt 5.1.9 Eignungskriterien - Änderung Beschreibung / Mindestanforderung
- Kriterium: Relevante Bildungs- und Berufsqualifikationen
Beschreibung: Nachweis über die Qualifikation des eingesetzten Personals: Für die Erfüllung der Leistungen ist für den Auftraggeber ständig und dauerhaft ein externer Informationssicherheitsbeauftragter zuständig. An den Informationssicherheitsbeauftragten wird folgende Mindestanforderung gestellt:
Vertiefte Kenntnisse der ISO 27001 und des BSI-Grundschutzes, nachzuweisen durch Zertifizierung als - ISO/IEC 27001 Lead Implementer / Lead Auditor oder - BSI IT-Grundschutz-Praktiker oder - Certified Information Systems Security Professional (CISSP)
---- Abschnitt 5.1.10 Zuschlagskriterien - Änderung Bezeichnung, Änderung Beschreibung
- Art: Qualität
Bezeichnung: Berufserfahrung im Informationssicherheitsmanagement für Auftraggeber im Verteidigungsumfeld (z.B. Verteidigungsunternehmen, militärische Einrichtungen oder KRITIS-Betreiber)
Beschreibung: Angebote von Bietern, deren einzusetzender Informationssicherheitsbeauftragter über Berufserfahrung im Informationssicherheitsmanagement für Auftraggeber im Verteidigungsumfeld (z.B. Verteidigungsunternehmen, militärische Einrichtungen oder KRITIS-Betreiber) verfügt, werden wie folgt bewertet: Der einzusetzende Informationssicherheitsbeauftragte hat in Summe < 2 Jahre = 0 Punkte; 2 - 3 Jahre = 2 Punkte; 4 - 7 Jahre = 5 Punkte; > 7 Jahre = 10 Punkte Berufserfahrung im Informationssicherheitsmanagement für Auftraggeber im Verteidigungsumfeld (z.B. Verteidigungsunternehmen, militärische Einrichtungen oder KRITIS-Betreiber).
Kategorie des Gewicht-Zuschlagskriteriums: Gewichtung (Punkte, genau)
Zuschlagskriterium - Zahl: 10,00
---- Abschnitt 5.1.10 Zuschlagskriterien - Änderung Bezeichnung, Änderung Beschreibung
- Art: Qualität
Bezeichnung: Zertifizierung als ISO/IEC 27001 Lead Implementer / Lead Auditor oder als BSI IT-Grundschutz-Berater
Beschreibung: Angebote von Bietern, deren einzusetzender Informationssicherheitsbeauftragte über einen Nachweis verfügt,
der über die Mindestanforderung (Zertifizierung als ISO/IEC 27001 Lead Implementer/ Lead Auditor oder Zertifizierung als BSI IT-Grundschutz-Praktiker oder Zertifizierung als Certified Information Systems Security Professional 8 (CISSP)) hinausgeht, werden wie folgt bewertet: Der einzusetzende Informationssicherheitsbeauftragte verfügt über eine Zertifizierung als ISO/IEC 27001 Lead Implementer / Lead Auditor = 20 Punkte oder Zertifizierung als BSI IT-Grundschutz-Berater = 20 Punkte. Es werden maximal 20 Punkte vergeben. Sollte ein einzusetzende Informationssicherheitsbeauftragter über mehrere Zertifizierungen verfügen, so erhält der Bieter das Maximum von 20 Punkten.
Kategorie des Gewicht-Zuschlagskriteriums: Gewichtung (Punkte, genau)
Zuschlagskriterium - Zahl: 20,00
---- Abschnitt 5.1.10 Zuschlagskriterien - Entfall des Kriteriums
- Art: Qualität
Bezeichnung: Berufserfahrung als Chief Information Security Officer (CISO)
---- Abschnitt 5.1.10 Zuschlagskriterien - Aufnahme des Kriteriums
- Art: Qualität
Bezeichnung: Erfahrung in der Umsetzung von regulatorischen Anforderungen, wie IT-Sicherheitsgesetz, NIS-2, DSGVO
Beschreibung: Angebote von Bietern, deren einzusetzender Informationssicherheitsbeauftragter über Erfahrung in der Umsetzung von regulatorischen Anforderungen, wie IT-Sicherheitsgesetz, NIS-2, DSGVO, verfügt, werden wie folgt bewertet: Der einzusetzende Informationssicherheitsbeauftragte war in den letzten 3 Jahren in Summe an 0 Projekten = 0 Punkte; 1 Projekt = 2 Punkte; 2 - 3 Projekten = 5 Punkte; > 3 Projekten = 10 Punkte zur Umsetzung von regulatorischen Anforderungen, wie IT-Sicherheitsgesetz, NIS-2, DSGVO, beteiligt.
Kategorie des Gewicht-Zuschlagskriteriums: Gewichtung (Punkte, genau)
Zuschlagskriterium - Zahl: 10,00