Ausschreibung "Prüfung der physischen Infrastruktur des Hochschulrechenzentrums auf Einhaltung der Anforderungen an die Vertraulichkeit"

Öffentliche Ausschreibung

Prüfung der physischen Infrastruktur des Hochschulrechenzentrums auf Einhaltung der Anforderungen an die Vertraulichkeit

Gegenstand der Ausschreibung

1 Form und Ziel der Prüfung
1.1 Ausganglage
Auf Grundlage der gesetzlichen Anforderungen, u. a. der Europäischen Datenschutz-Grundverordnung (DSGVO), müssen wir insbesondere bei der Verarbeitung von besonderen Kategorien personenbezogener Daten (gem. Art. 9 DSGVO) die Anforderungen an Vertraulichkeit und Integrität durch die Umsetzung sog. technischer und organisatorischer Maßnahmen erfüllen.
Der Auftraggeber benötigt in diesem Zusammenhang externe Expertise, in Form eines verlässlichen und anerkannten Partners, zur Prüfung der getroffenen Vorkehrungen zur Sicherstellung der Vertraulichkeit, der diese validiert und gegebenen-falls Anpassungsbedarf aufzeigt.
1.2 Ziel der Prüfung
Ziel der Prüfung ist es, festzustellen, ob die Anforderungen an die Vertraulichkeit erfüllt werden. Hierbei soll der Fokus der Prüfung auf den technischen und organisatorischen Maßnahmen betreffend die physische Infrastruktur liegen, z. B. Gebäude, Gebäudetechnik, Serverraum, Rack, Hardware. Die Ergebnisse der Prüfung und der eventuell notwendigen Anpassungsbedarfe sollen in dokumentierter Form aufgezeigt werden.
1.3 Form der Prüfung
Die Prüfung soll nach einem international anerkannten Prüfungsstandard erfolgen. Kriterien für die Prüfung können relevante Passagen gesetzlicher Regelungen, Empfehlungen öffentlicher Stellen, Zertifizierungsstandards und Prüfungsstandards sowie Prüfungshinweise sein.
1.4 Zeitlicher Rahmen
Die Prüfung des HRZ auf Vertraulichkeit soll vorrausichtlich im Zeitraum zwischen September und November 2020 durchgeführt werden und bis spätestens am 11.12.2020 vollständig abgeschlossen sein.

2 Bestandteile der Prüfung auf Vertraulichkeit
2.1 Bereitstellung eines qualifizierten Prüfkatalogs
Der Prüfer soll in Abstimmung mit dem HRZ einen geeigneten Prüfkatalog erarbeiten. Der Prüfkata-log soll insbesondere Kriterien zur Beurteilung des Reifegrades der technischen und organisatori-schen Maßnahmen zur Sicherstellung der Vertraulichkeit betreffend die physische Infrastruktur bein-halten. Die genannten Kriterien sollen hierbei ausschließlich belastbaren Quellen entstammen.
Die Quellen können sein:
- Gesetzliche Anforderungen
- Rechtsprechungen
- Fachliche Empfehlungen öffentlicher Stellen
- Zertifizierungsstandards
- Prüfungsstandards
- Prüfungshinweise

2.2 Durchführung der Prüfung
Die Prüfung soll sowohl mittels Analyse von relevanten geltenden Dokumenten und Mitarbeiter-Interviews erfolgen als auch mittels einer vor-Ort Begehung der physischen Infrastruktur selbst. Das HRZ stellt dem Prüfer alle Dokumente und Ansprechpartner zur Verfügung, die gemäß des Prüfkata-logs für die Prüfungshandlung relevant, bzw. erforderlich sind.
2.3 Abschlussberichterstattung
Der Prüfer dokumentiert alle im Rahmen der Prüfung gewonnenen Erkenntnisse. Hierbei soll haupt-sächlich auf die Maßnahmen zur Sicherstellung der Vertraulichkeit im Serverraum eingegangen werden. Teil der dokumentierten Abschlussberichterstattung soll neben der Feststellung von Abwei-chungen auch eine Ableitung von grundsätzlichen Empfehlungen sein, die Verbesserungspotenziale bei eventuell aufgedeckten Schwachstellen aufzeigen.
Ausgehend von den Ergebnissen der Prüfung, soll der Prüfer ein offiziell und international anerkanntes Testat, bzw. einen Prüfvermerk ausstellen.

3 Organisatorische Anforderungen
3.1 Expertise und Verfügbarkeit des Prüferteams
Das Prüferteam soll nachweislich aus erfahrenen Prüfern aus dem Bereich Datenschutz / Informati-onssicherheit bestehen. Entsprechende Nachweise, wie bspw. ein Zertifikat als geprüfter Daten-schutzbeauftragter /-auditor oder über die Fachkunde im Bereich der Informationssicherheit sind uns auf Verlangen vorzulegen. Während des Zeitraums der Durchführung des Prüfauftrags ist mindestens immer eine aussagefähige Person des Prüfungsteams verfügbar, um auf Rückfragen reagieren zu können.
3.2 Sicherer Datenaustausch zwischen dem Prüfer und dem Auftraggeber
Der Prüfer stellt eine sichere Plattform für den Datenaustausch zur Verfügung, um einen einfachen und sicheren gegenseitigen Austausch von vertraulichen Dokumenten gewährleisten zu können.

4 Anforderungen an das Angebot
4.1 Inhalt
Das Angebot soll alle in dieser Leistungsbeschreibung dargestellten Anforderungen adressieren. Sie soll eine Beschreibung des angebotenen Prüfungsstandards, der Herangehensweise an die Erstellung des Prüfkatalogs sowie der Prüfungsdurchführung enthalten.
4.2 Durchführung
Das Angebot soll die einzelnen Phasen des Projektes darstellen und den zeitlichen Ablauf skizzieren. Es soll ersichtlich werden, in welche Arbeitsschritte das Projekt gegliedert ist und was die Aufgaben und Ergebnisse jeder Phase sind.
4.3 Aufwand
Das Angebot soll eine Aufwands- und Kostenschätzung beinhalten. Aus der Aufwandsschätzung soll hervorgehen, welcher Anteil des Aufwands auf die einzelnen Projektphasen entfällt.
4.4 Eingesetztes Personal und CVs
Die Interessenbekundung soll eine Übersicht über die eingesetzten Prüfer sowie deren Kompetenzen enthalten. Zertifizierungen des eingesetzten Personals sollen aus der Vorstellung hervorgehen.
4.5 Referenzen
Der Anbieter sollte seine Expertise im Bereich der Rechenzentrumsprüfung, Datenschutz und Infor-mationssicherheit durch geeignete Referenzen mit der Interessenbekundung belegen.

Art des Auftrags

Dienstleistung

Erfüllungsort (Bundesland):

Hessen

Die Ausschreibung ist bereits beendet, weil die Angebotsfrist abgelaufen ist.
Eine Bewerbung um diesen Auftrag ist nicht mehr möglich.

Auftraggeber

35037 Marburg

Eintragsdatum: 14.09.2020
Angebotsfrist: 25.09.2020