IT-Sicherheitsanforderungskatalog

Die CAFM-Lösung muss rollenbasierte Zugriffskontrolle (RBAC) unterstützen, sodass Benutzern Zugriff auf Basis definierter, ihren Aufgaben zugeordneter Rollen gewährt wird. Die Rollen müssen konfigurierbar sein, die Funktionstrennung gewährleisten und die Zugriffsbeschränkung mindestens auf Modul-, Funktions- und Datenzugriffsgruppenebene ermöglichen. Der Bieter muss das RBAC-Modell, die Erstellung und Genehmigung von Rollen sowie die Überprüfung der Rollenzuweisungen beschreiben. Die Rollenstruktur wird von der Vergabestelle wie folgt definiert: [________].

Der Zugriff muss nach dem Prinzip der minimalen Berechtigungen gewährt werden. Standardmäßig müssen die Zugriffsrechte auf ein Minimum beschränkt sein, und erweiterte Berechtigungen bedürfen einer ausdrücklichen Genehmigung. Der Bieter muss darlegen, wie das Prinzip der minimalen Berechtigungen für Anwendungszugriffe, Datenbankzugriffe und die Infrastrukturverwaltung eingehalten wird. Der Bieter muss außerdem die regelmäßigen Zugriffsüberprüfungen und die Fristen für den Entzug unnötiger Zugriffe wie folgt beschreiben: [________].

Die Multi-Faktor-Authentifizierung (MFA) muss mindestens für privilegierte Zugriffsrechte und für den administrativen Fernzugriff erzwungen werden und kann je nach Sicherheitsstandard des Auftraggebers für alle Benutzer erforderlich sein. Der Bieter muss die unterstützten MFA-Methoden und deren Integration mit dem gewählten Identitätsanbieter bestätigen. Der Umfang der MFA-Anforderungen ist wie folgt: [MFA für alle Benutzer / nur Administratoren / bedingter Zugriff – ________].

Bei Verwendung von Passwörtern (einschließlich lokaler Konten, Dienstkonten oder Ausweichzugängen) muss das System strenge Passwortanforderungen durchsetzen, darunter Mindestlänge, Komplexitätsregeln, Schutz vor Wiederverwendung und Sperrschwellen. Die Passwortrichtlinien müssen anerkannten Leitlinien und gegebenenfalls den Richtlinien des Auftraggebers entsprechen. Der Bieter muss die genauen unterstützten Passwortrichtlinieneinstellungen sowie deren Durchsetzung und Überprüfung wie folgt angeben: [________].

Der privilegierte Zugriff muss gemäß den PAM-Prinzipien kontrolliert werden. Dies umfasst die Minimierung der Anzahl privilegierter Konten, die Verwendung separater privilegierter Anmeldeinformationen, die Implementierung von Genehmigungsworkflows für die Rechteerweiterung, wo immer dies möglich ist, zeitlich begrenzten Zugriff, die Sitzungsaufzeichnung für sensible Vorgänge und eine starke Authentifizierung. Der Bieter muss die PAM-Kontrollen für die Anwendungs- und Infrastrukturadministration, einschließlich der Notfallzugriffsverwaltung (Break-Glass-Regelung), wie folgt beschreiben: [________].

Der CAFM-Dienst muss ein kontrolliertes Lebenszyklusmanagement für Benutzerkonten unterstützen, einschließlich Bereitstellung, Rollenänderungen und Deaktivierung. Der Bieter muss die zeitnahe Entfernung von Zugriffsrechten bei Beendigung des Arbeitsverhältnisses gewährleisten und bei Bedarf Mechanismen für Massenaktualisierungen bereitstellen. Sofern Integrationen mit HR- oder Identitätssystemen bestehen, muss der Bieter die automatisierten Prozesse und die manuellen Ausweichverfahren, einschließlich Abgleich und Ausnahmebehandlung, wie folgt beschreiben: [________].

Die CAFM-Lösung muss die Integration mit einem zentralen Identitätsanbieter unterstützen und gegebenenfalls Single Sign-On ermöglichen. Unterstützte Identitätsprotokolle (z. B. SAML, OIDC, LDAP) müssen angegeben werden, und der Bieter muss erläutern, wie Identitätsattribute und -gruppen CAFM-Rollen zugeordnet werden. Der Bieter muss außerdem beschreiben, wie Authentifizierungsfehler, Kontosperrungen und Richtlinien für bedingten Zugriff behandelt werden. Der Zielidentitätsanbieter ist: [________].

Das Sitzungsmanagement muss eine sichere Sitzungsverwaltung mit angemessenen Timeout-Werten, Inaktivitäts-Timeout-Werten, erneuter Authentifizierung für sensible Aktionen und Schutz vor Sitzungsfixierung/Sitzungsübernahme umfassen. Der Bieter muss konfigurierbare Sitzungsparameter, ein Verfahren zur Token-Speicherung und Sicherheitsvorkehrungen für administrative Sitzungen festlegen. Die Basiseinstellungen der Vergabestelle für Sitzungen lauten: [________].

Die Lösung muss Schutz vor Brute-Force-Angriffen bieten, einschließlich Ratenbegrenzung, Sperrung oder Drosselung sowie Erkennung wiederholter fehlgeschlagener Anmeldeversuche. Der Bieter muss beschreiben, wie diese Kontrollmechanismen sowohl für die interaktive Anmeldung als auch für die API-Authentifizierung funktionieren und wie Fehlalarme behandelt werden, um Betriebsunterbrechungen zu vermeiden. Die Basisschwellenwerte sind: [________].

Alle APIs müssen durch starke Authentifizierung, Autorisierung und Transportsicherheit geschützt sein. Der Bieter muss die unterstützten API-Authentifizierungsmethoden (z. B. OAuth2/OIDC, signierte Token, ggf. Mutual TLS), die Token-Lebenszykluskontrolle sowie die Prozesse zur Speicherung und Rotation von Geheimnissen beschreiben. Der Bieter muss darlegen, wie API-Berechtigungen nach Bereich/Rolle eingeschränkt und wie der API-Zugriff protokolliert und überwacht wird. Die API-Sicherheitsgrundlage ist: [________].

Die Hosting-Architektur muss eine Netzwerksegmentierung implementieren, die Benutzerzugriffszonen, Anwendungsebenen, Datenbanken, Managementnetzwerke und Integrationsendpunkte bedarfsgerecht trennt. Die Segmentierung muss das Risiko lateraler Angriffe reduzieren und die Gefährdung sensibler Komponenten begrenzen. Der Bieter muss das Segmentierungsdesign, die Vertrauensgrenzen und die Verwaltung und Überprüfung der Netzwerkrichtlinien wie folgt beschreiben: [________].

Perimeter- und interne Firewalls (bzw. entsprechende Cloud-Sicherheitsgruppen/ACLs) müssen den Datenverkehr auf die erforderlichen Ports und Endpunkte beschränken. Firewall-Regeln müssen dokumentiert, regelmäßig überprüft und änderungskontrollfähig sein. Der Bieter muss beschreiben, wie die Firewall-Richtlinie in der vorgeschlagenen Hosting-Umgebung implementiert ist und wie Regeländerungen autorisiert werden: [________].

Der Bieter muss geeignete Intrusion-Detection- und/oder -Prevention-Systeme (IDS/IPS) implementieren, die der Architektur entsprechen. Dies kann Netzwerk-IDS/IPS, hostbasierte Erkennung, Cloud-native Sicherheitsüberwachung und Anomalieerkennung umfassen. Der Bieter muss die Erkennungsabdeckung, die Prozesse zur Alarmbehandlung sowie die Eskalation und Priorisierung von Ergebnissen beschreiben. Der IDS/IPS-Ansatz ist: [________].

Wenn VPN-Zugriff erforderlich ist (z. B. für die Administration oder die lokale Integration), muss das VPN eine starke Verschlüsselung, MFA und eingeschränkte Zugriffspfade (z. B. über einen Bastion-Host) verwenden. Split-Tunneling muss gemäß den Richtlinien gesteuert werden. Der Bieter muss die VPN-Architektur, die Authentifizierungsmethoden und die Überwachung wie folgt beschreiben: [ ]. Wird kein VPN verwendet, muss der Bieter die sichere Alternative (z. B. Zero-Trust-Zugriff) wie folgt beschreiben: [ ].

Bei Diensten mit Internetanbindung muss der Bieter einen dem erwarteten Ausmaß und Risiko angemessenen DDoS-Schutz gewährleisten. Er muss die Erkennungs- und Abwehrmaßnahmen, die Vereinbarungen mit dem Dienstanbieter sowie die operative Handhabung von DDoS-Angriffen, einschließlich Kommunikation und Eskalation, beschreiben. Der DDoS-Schutzansatz ist: [________].

Sämtliche externe und interne Kommunikation, die sensible Daten transportiert, muss während der Übertragung mit modernen TLS-Standards und sicheren Verschlüsselungssuiten verschlüsselt werden. Der Bieter muss die minimal unterstützten TLS-Versionen, die Zertifikatsverwaltung und die Deaktivierung veralteter Protokolle angeben. Die erforderliche Basislinie ist: [TLS-Version ________ / Verschlüsselungsbasislinie ________].

Sensible Daten, einschließlich personenbezogener Daten und sicherheitsrelevanter Konfigurationsdaten, müssen gegebenenfalls im Ruhezustand verschlüsselt werden. Dies umfasst Datenbanken, Dateispeicher und Backups. Der Bieter muss den Verschlüsselungsansatz beschreiben, einschließlich der Frage, ob die Verschlüsselung auf Anwendungsebene, Speicherebene oder beidem erfolgt, und wie die Verschlüsselung in Multi-Tenant-Umgebungen durchgesetzt wird: [________].

Verschlüsselungsschlüssel müssen sicher generiert, gespeichert, rotiert und außer Betrieb genommen werden. Der Zugriff auf die Schlüssel muss beschränkt und protokolliert werden. Der Bieter muss das verwendete Schlüsselverwaltungssystem (z. B. HSM oder Cloud-KMS), den Rotationsplan, das Zugriffskontrollmodell und die Vorgehensweise bei Verdacht auf Schlüsselkompromittierung beschreiben. Die Basislinie für das Schlüsselmanagement ist: [________].

Zertifikate müssen mit definierten Ausstellungs-, Verlängerungs-, Widerrufs- und Überwachungsprozessen verwaltet werden. Der Bieter muss beschreiben, wie der Ablauf von Zertifikaten verhindert wird (Überwachung und Benachrichtigungen), wie Zertifikate gespeichert werden und wie mit Kompromittierungen umgegangen wird. Der Zertifikatsverwaltungsprozess ist: [________].

Der Bieter muss einen sicheren Softwareentwicklungszyklus (SDLC) betreiben, der Sicherheit in alle Phasen – von Design und Entwicklung über Tests bis hin zur Bereitstellung – integriert. Dies umfasst sichere Programmierpraktiken, Sicherheitsanforderungen im Backlog, Bedrohungsmodellierung (sofern angebracht) und Sicherheitsprüfungen vor der Freigabe. Der Bieter muss beschreiben, wie der SSDLC auf die CAFM-Produktentwicklung und gegebenenfalls auf kundenspezifische Konfigurationen/Anpassungen angewendet wird: [________].

Der Bieter muss eine dem Risiko angemessene Codeüberprüfung und Sicherheitstests durchführen, einschließlich statischer Analysen, Abhängigkeitsprüfungen und gegebenenfalls dynamischer Tests. Der Bieter muss festlegen, wie Schwachstellen priorisiert und behoben werden und wie die Testergebnisse vor der Veröffentlichung geprüft und freigegeben werden. Testhäufigkeit und Testmethoden sind: [________].

Die CAFM-Lösung muss Schutzmaßnahmen gegen gängige Schwachstellen von Webanwendungen gemäß den OWASP Top 10 umfassen. Der Bieter muss eine Übersicht der Kontrollen und Produktsicherheitsvorkehrungen bereitstellen, die Authentifizierung, Autorisierung, Verhinderung von Sicherheitslücken, Durchsetzung der Zugriffskontrolle, sichere Konfiguration und Schutz sensibler Daten abdecken. Die Vorgehensweise zur Übersicht ist: [________].

Die Lösung muss Eingaben validieren und eine geeignete Ausgabekodierung anwenden, um Einschleusungs- und Cross-Site-Scripting-Risiken zu verhindern. Sofern Datei-Uploads unterstützt werden, muss der Bieter Dateiscanning, Typvalidierung, Größenbeschränkungen und sichere Speicherung implementieren. Der Bieter muss beschreiben, wie diese Kontrollen implementiert und Ausnahmen behandelt werden: [________].

APIs müssen sicher konzipiert und implementiert werden, einschließlich Autorisierung nach Bereich, Ratenbegrenzung, Eingabevalidierung, Protokollierung und Versionskontrolle. Der Bieter muss beschreiben, wie API-Änderungen verwaltet werden, um Inkompatibilitäten zu vermeiden und die Sicherheit aufrechtzuerhalten. Der Ansatz für eine sichere API ist: [________].

Sicherheitsrelevante Protokolle müssen zentralisiert werden, um Überwachung, Alarmierung und Untersuchung zu unterstützen. Der Bieter muss beschreiben, welche Protokolle erfasst werden (Authentifizierungsprotokolle, Administratoraktionen, API-Zugriffe, Datenexporte, Konfigurationsänderungen, Schnittstellenfehler), wie diese sicher übertragen werden und wie die Integrität gewährleistet wird: [________].

Die Protokolle müssen für einen vereinbarten Zeitraum aufbewahrt werden, der für die Untersuchung von Vorfällen und die Einhaltung gesetzlicher Bestimmungen geeignet ist. Bei der Aufbewahrung sind Speicher-, Datenschutz- und betriebliche Anforderungen zu berücksichtigen. Die Mindestaufbewahrungsdauer beträgt: [________]. Der Bieter muss beschreiben, wie die Aufbewahrung erfolgt und wie die Protokolle nach Ablauf der Aufbewahrungsfrist sicher gelöscht werden.

Der Bieter muss die Überwachung von Sicherheitsereignissen gewährleisten und, falls erforderlich, die Integration in das SIEM-System oder die Sicherheitsprozesse des Auftraggebers unterstützen. Der Bieter muss die Integrationsmethoden, Protokollformate und die Möglichkeit der Weiterleitung von Ereignissen in nahezu Echtzeit spezifizieren. Anforderung an die SIEM-Integration: [Erforderlich/Optional – ________].

Der Bieter muss, sofern zutreffend, Echtzeitwarnungen für kritische Sicherheitsereignisse wie wiederholte Anmeldefehler, verdächtige privilegierte Zugriffe, Konfigurationsänderungen, anomale API-Aktivitäten und vermutete Datenexfiltration implementieren. Der Bieter muss die Warnschwellenwerte, den Priorisierungsprozess und die Eskalation an die Vergabestelle wie folgt beschreiben: [________].

Die Protokolldateien müssen vor Manipulation und unbefugter Löschung geschützt werden. Der Bieter muss die technischen Kontrollen zur Gewährleistung der Protokollintegrität, der Zugriffsbeschränkungen und der Aufgabentrennung bei der Protokollverwaltung beschreiben. Die Kontrollen zur Gewährleistung der Protokollintegrität sind: [________].

Der Bieter muss regelmäßig Schwachstellenscans in allen relevanten Komponenten, einschließlich Infrastruktur, Anwendungsschichten und Abhängigkeiten, durchführen. Er muss die Scanfrequenz, den Umfang und die Vorgehensweise zur Verwaltung und Überprüfung der Ergebnisse festlegen. Die Scan-Baseline ist: [________].

Penetrationstests müssen in festgelegten Abständen und gegebenenfalls nach größeren Änderungen durchgeführt werden. Der Bieter muss den Testumfang (Anwendung, Infrastruktur, API, Integrationen), die Testmethodik sowie die Vorgehensweise bei der Behebung von Fehlern und der Durchführung erneuter Tests beschreiben. Testhäufigkeit und Art der Nachweise sind: [ ]. Sofern der Auftraggeber das Recht zur Durchführung oder Beauftragung von Penetrationstests verlangt, werden die Bedingungen und Koordinierungsregeln wie folgt festgelegt: [ ].

Der Bieter muss Patches einspielen und Sicherheitslücken innerhalb festgelegter Fristen, abhängig vom Schweregrad, beheben. Die Zielfristen für die Behebung kritischer/hoher/mittlerer Probleme sind wie folgt anzugeben: [Kritisch ________ / Hoch ________ / Mittel ________]. Dabei ist auch zu beschreiben, wie Notfall-Patches gehandhabt und Ausfallzeiten minimiert werden. Der Bieter muss außerdem festlegen, wie die Patch-Einspielung mit dem Änderungsmanagement und den Wartungsfenstern koordiniert wird.

Der Bieter muss eine definierte Strategie für die Reaktion auf Zero-Day-Schwachstellen im CAFM-Dienst vorweisen, einschließlich schneller Priorisierung, kompensierender Kontrollmaßnahmen, beschleunigter Patch-Eingabe und Kommunikation mit dem Auftraggeber. Der Bieter muss beschreiben, wie die Bedrohungsanalyse überwacht und die Reaktionsmaßnahmen priorisiert werden: [________].

Sofern Rechenzentren (vom Anbieter oder Cloud-Anbieter) genutzt werden, müssen diese anerkannte Sicherheitsstandards erfüllen. Der Bieter muss Nachweise wie Zertifizierungen oder Prüfberichte vorlegen, die die physische Sicherheit, die Zugangskontrollen und die Betriebssicherheit abdecken. Folgende Nachweisarten gelten: [________].

Der physische Zugang muss kontrolliert, überwacht und protokolliert werden. Die Kontrollmaßnahmen müssen Besuchermanagement, Sicherheitsbereiche, Videoüberwachung und Umweltschutzmaßnahmen umfassen. Nutzt der Bieter einen Cloud-Anbieter, muss er sicherstellen, dass dessen physische Sicherheitsvorkehrungen den erforderlichen Standards entsprechen und regelmäßig geprüft werden. Beschreibung der physischen Sicherheitsmaßnahmen: [________].

Der Dienst muss Redundanz implementieren, um die Verfügbarkeitsanforderungen zu erfüllen. Dies umfasst redundante Komponenten, Failover-Mechanismen und ausfallsicheren Speicher. Der Bieter muss die HA-Architektur und die Testverfahren für das Failover wie folgt beschreiben: [________].

Die Datensicherung muss nach einem festgelegten Zeitplan erfolgen, verschlüsselt und regelmäßig durch Wiederherstellungsübungen getestet werden. Der Bieter muss die Häufigkeit der Datensicherung, die Aufbewahrungsfrist, die Häufigkeit der Wiederherstellungstests und die Verfügbarkeit der Nachweise festlegen. Die Datensicherungs-Baseline ist: [________].

Für SaaS- oder Cloud-Bereitstellung muss der Bieter ein sicheres Cloud-Konfigurationsmanagement implementieren, einschließlich Identitätssicherheit, Netzwerksicherheitsgruppen, Protokollierung, Verschlüsselung und kontinuierlicher Compliance-Prüfungen. Der Bieter muss beschreiben, wie Fehlkonfigurationen verhindert und erkannt werden, wie Cloud-Ressourcen inventarisiert werden und wie der Zugriff kontrolliert wird. Der Ansatz zur Bewertung der Cloud-Sicherheitslage ist: [________].

Server und Laufzeitumgebungen müssen gemäß sicheren Konfigurationsvorgaben gehärtet werden. Nicht benötigte Dienste müssen entfernt oder deaktiviert, sichere Einstellungen durchgesetzt und Konfigurationsabweichungen überwacht werden. Der Bieter muss die verwendete Vorgabe (z. B. CIS-Benchmarks oder gleichwertig) wie folgt angeben: [________].

Der Malware-Schutz muss dem jeweiligen Umgebungstyp entsprechend implementiert werden und gegebenenfalls Endpunktschutz, verhaltensbasierte Erkennung sowie das Scannen hochgeladener Dateien umfassen. Der Bieter muss beschreiben, wie der Malware-Schutz aufrechterhalten und überwacht wird: [________].

Der Bieter muss sichere Konfigurationsbaselines für die Systeme, die den CAFM-Dienst unterstützen, pflegen und die Einhaltung dieser Baselines nach Möglichkeit durch Automatisierung und Überwachung sicherstellen. Der Bieter muss beschreiben, wie die Baselines definiert, aktualisiert und durchgesetzt werden: [________].

Die Fernadministration muss über sichere Kanäle, starke Authentifizierung und eingeschränkte Zugriffspfade (Bastion-Hosts, privilegierte Workstations oder Zero-Trust-Lösungen) erfolgen. Administrative Aktionen müssen protokolliert und regelmäßig überprüft werden. Der Ansatz für die Fernadministration ist: [________].

Bei einer mandantenfähigen CAFM-Lösung muss der Bieter strenge logische Trennungskontrollen implementieren, um mandantenübergreifenden Datenzugriff zu verhindern. Der Bieter muss das Mandantenisolationsmodell, die Zugriffskontrollschichten und die zur Validierung der Trennung durchgeführten Tests beschreiben. Bei einer mandantenfähigen Lösung muss der Bieter erläutern, wie die Umgebungsisolation zwischen Entwicklung, Test und Produktion erreicht wird: [________].

Der Bieter muss Kontrollmechanismen implementieren, um die Datenintegrität zu gewährleisten. Dazu gehören Validierungsprüfungen, Transaktionskontrollen und Integritätsverifizierungen für kritische Datenübertragungen. Gegebenenfalls sollten Prüfsummen oder Hashwerte für Migrationsdateien, Schnittstellen-Payloads oder Backups verwendet werden, um Beschädigungen zu erkennen. Die Kontrollmechanismen zur Datenintegrität sind: [________].

Exporte und Importe müssen gesichert werden, einschließlich Autorisierungskontrollen, Verschlüsselung und Protokollierung. Der Bieter muss festlegen, wie Exporte generiert, der Zugriff eingeschränkt, die Speicherorte der Dateien und der Schutz der Exporte während der Übertragung gewährleistet werden. Der Bieter muss außerdem definieren, wie umfangreiche Exporte (z. B. zur Datenrückgabe nach Vertragsende) sicher abgewickelt werden: [________].

Der Bieter muss Sicherheitsbewertungen von Drittparteien durchführen, die Daten des Auftraggebers verarbeiten oder darauf zugreifen. Der Bieter muss die Bewertungskriterien, die Häufigkeit der Bewertung und das Vorgehen bei Hochrisikolieferanten beschreiben. Der Bewertungsansatz ist: [________].

Alle Drittparteien und Unterauftragnehmer müssen vertraglich zu Sicherheitsverpflichtungen verpflichtet werden, die mindestens denjenigen des Bieters gleichwertig sind. Dies umfasst Vertraulichkeit, Meldepflichten bei Sicherheitsvorfällen, Sicherheitskontrollen, Kooperation bei Audits und Löschpflichten. Der Bieter muss die Struktur der Weitergabeklausel und den Durchsetzungsansatz wie folgt beschreiben: [________].

Bei kritischen Lieferanten (z. B. Hosting-Anbieter, Managed-Detection-Anbieter) muss der Bieter den Sicherheitsstatus und die Serviceleistung kontinuierlich oder in festgelegten Intervallen überwachen. Die Überwachung kann die Prüfung von Sicherheitsberichten, der Vorfallhistorie und der SLA-Leistung umfassen. Der Bieter muss beschreiben, wie die Überwachung durchgeführt wird und wie Bedenken eskaliert werden: [________].

Der Bieter muss Sicherheitsvorfälle nach Schweregrad und Auswirkungen klassifizieren und die Klassifizierung, sofern vorhanden, an das Vorfallmodell des Auftraggebers anpassen. Die Klassifizierung muss klare Kriterien für die Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit sowie für potenzielle Datenschutzverletzungen enthalten. Das Klassifizierungsmodell lautet: [________].

Der Bieter muss eine Eskalationsmatrix führen, die festlegt, wer in welchem Zeitraum und über welche Kanäle für jeden Schweregrad eines Vorfalls benachrichtigt wird. Die Matrix muss gegebenenfalls eine Eskalation rund um die Uhr für kritische Vorfälle vorsehen. Details zur Eskalationsmatrix: [________].

Der Bieter muss in der Lage sein, forensische Untersuchungen zu unterstützen, einschließlich der Sicherung von Protokollen, der sicheren Beweismittelhandhabung, der Zeitsynchronisation und des kontrollierten Zugriffs auf relevante Systeme. Der Bieter muss beschreiben, wie die forensische Bereitschaft sichergestellt und die Untersuchungen mit dem Auftraggeber koordiniert werden: [________].

Bei schwerwiegenden Vorfällen muss der Bieter eine Nachbesprechung durchführen und einen Maßnahmenplan zur Behebung der Ursachen, der beitragenden Faktoren und der Präventivmaßnahmen erstellen. Der Bieter muss Fristen für die Berichterstattung nach dem Vorfall und den Abschluss der Korrekturmaßnahmen festlegen. Die grundlegenden Fristen sind: [________].

Der Auftraggeber muss über angemessene Prüfrechte verfügen, um die Einhaltung der Sicherheitsanforderungen zu überprüfen. Der Bieter muss die Prüfungen durch Vorlage von Nachweisen und angemessene Kooperation unterstützen und dabei die Vertraulichkeit und Sicherheit wahren. Die Frist für die Ankündigung der Prüfungen und die damit verbundenen Einschränkungen sind: [________].

Der Bieter muss Nachweise über die Wirksamkeit der Kontrollmaßnahmen erbringen und nicht nur Richtlinien vorlegen. Zu den Nachweisen können Zugriffsprotokolle, Schulungsnachweise im Bereich Sicherheit, Zusammenfassungen von Schwachstellenscans, Patch-Berichte, Managementzusammenfassungen von Penetrationstests, Protokolle von Sicherheitsübungen und Berichte von Drittanbietern gehören. Die für diese Ausschreibung erforderlichen Nachweise sind: [________].

Der Bieter muss eine Konformitätsanalyse seiner Kontrollen mit den Vorgaben des Auftraggebers (z. B. ISO 27001 Anhang A, NIST CSF, CIS-Kontrollen) in Form einer strukturierten Matrix vorlegen, die Richtlinien, Verfahren und technische Umsetzungen referenziert. Der erforderliche Standard für die Konformitätsanalyse ist: [________].

Der Bieter muss regelmäßig Sicherheitsberichte für den CAFM-Service vorlegen, die wichtige Kennzahlen, den Schwachstellenstatus, die Einhaltung von Patch-Plätzen, Zusammenfassungen von Vorfällen und Maßnahmen zur Verbesserung der Sicherheit enthalten. Berichtsfrequenz und -format sind: [________]. Die Vergabestelle kann Ad-hoc-Berichte für spezifische Risiken oder Ereignisse verlangen.

Bieter müssen eine strukturierte Sicherheitsantwort einreichen, die diesem Katalog Abschnitt für Abschnitt entspricht. Für jede Anforderung müssen Bieter Folgendes angeben: (a) den Konformitätsstatus, (b) eine Beschreibung der Implementierung der Kontrollmaßnahme in der vorgeschlagenen CAFM-Lösung und dem Betriebsmodell, (c) den Geltungsbereich (welche Umgebungen und Komponenten abgedeckt sind), (d) Nachweise (Richtliniennamen, Zertifizierungen, Prüfberichte, Architekturskizzen) und (e) alle Annahmen oder Abhängigkeiten. Falls Bieter alternative Kontrollmaßnahmen vorschlagen, müssen sie deren Gleichwertigkeit und die damit verbundenen Risiken erläutern.

Die Nichtbeachtung von Anforderungen oder das Vorschlagen von Kontrollmaßnahmen, die die Ausgangslage ohne ausdrückliche Genehmigung wesentlich schwächen, kann bei der Bewertung zu Feststellungen der Nichteinhaltung führen.