Was ist ein ISMS-Leistungsverzeichnis?
Ein Informationssicherheits-Managementsystem (ISMS) ist der systematische Rahmen, mit dem eine Organisation ihre Informationssicherheit plant, umsetzt, überwacht und kontinuierlich verbessert. ISO/IEC 27001:2022 und der BSI IT-Grundschutz sind die maßgeblichen Normen, auf die sich öffentliche Einrichtungen in Deutschland stützen. Mit Inkrafttreten der NIS2-Richtlinie und ihrer nationalen Umsetzung durch das NIS2-Umsetzungsgesetz sind Behörden, Kommunen und KRITIS-Betreiber verpflichtet, ein nachweisbares ISMS einzuführen und zu betreiben. Ein professionelles Leistungsverzeichnis für die ISMS-Einführung oder -Erneuerung schafft die vergaberechtliche Grundlage, um geeignete Dienstleister oder Beratungshäuser zu beauftragen.
Unser Muster-LV für ISMS wurde auf Basis realer Vergabeverfahren im öffentlichen Sektor entwickelt. Es deckt alle wesentlichen Leistungsbereiche ab: strukturierte Risikoanalyse und Schutzbedarfsfeststellung nach BSI IT-Grundschutz, Erstellung eines vollständigen Sicherheitskonzepts nach ISO 27001 Annex A, Implementierung technischer und organisatorischer Controls sowie Vorbereitung und Begleitung interner oder externer Zertifizierungsaudits. Es schließt die Lücken, die wir in der öffentlichen Ausschreibungspraxis zu ISMS-Projekten immer wieder beobachten.
Für wen geeignet?
Leistungsumfang des Muster-LV ISMS
Risikoanalyse & Schutzbedarfsfeststellung
Die Grundlage jedes ISMS ist eine methodisch saubere Risikoanalyse. In der Vergabepraxis beobachten wir, dass Behörden häufig keine konkreten Anforderungen an die Methodik der Risikoidentifikation stellen, wodurch Bieter sehr unterschiedliche Ansätze einreichen und Vergleiche schwierig werden. Unser Abschnitt A verankert verbindliche Anforderungen an die Schutzbedarfsfeststellung nach BSI IT-Grundschutz-Methodik (BSI-Standard 200-2), die Modellierung aller relevanten Zielobjekte im IT-Grundschutz-Tool sowie eine ISO-31000-konforme Risikobewertungsmatrix mit definierten Risikoklassen, Eintrittswahrscheinlichkeiten und Schadenshöhen.
Neben der initialen Risikoanalyse enthält der Abschnitt Anforderungen an ein strukturiertes Risikobehandlungsplan-Dokument (Statement of Applicability nach ISO 27001), die Zuordnung von Verantwortlichen je Risiko sowie einen Zeitplan für die Risikobehandlung. Unser Leistungsverzeichnis spezifiziert die Abnahmekriterien für diesen Projektabschnitt so, dass der Auftraggeber prüfbar feststellen kann, ob die Risikoanalyse vollständig und methodenkonform durchgeführt wurde.
Sicherheitskonzept & Richtlinienwerk nach ISO 27001
Das Sicherheitskonzept und das dazugehörige Richtlinienwerk sind das Herzstück des ISMS. ISO 27001:2022 Annex A umfasst 93 Controls in vier Kategorien (Organisatorisch, Personell, Physisch, Technologisch), die auf die konkrete Situation der Organisation angepasst werden müssen. In öffentlichen Ausschreibungen fehlen häufig klare Anforderungen daran, wie tiefgehend die Anpassung erfolgen muss, welche Dokumente zwingend erstellt werden müssen und wer diese freigibt. Wer aktuelle ISMS-Ausschreibungen aus dem öffentlichen Sektor als Referenz nutzen möchte, findet entsprechende Vergabeunterlagen im Vergabe-Archiv.
Unser Abschnitt B enthält verbindliche Anforderungen an ein vollständiges ISMS-Richtlinienwerk bestehend aus Informationssicherheitsleitlinie, Nutzungsrichtlinien, Incident-Response-Konzept, Business-Continuity-Plan und mindestens zehn weiteren Einzelrichtlinien nach ISO 27001. Die Dokumente müssen im Corporate Design des Auftraggebers erstellt, in einer definierten Versionsverwaltung gehalten und durch den CISO sowie die Leitungsebene freigegeben werden. Anforderungen an Mitarbeitersensibilisierungsmaßnahmen und nachweisbare Schulungen sind als Pflichtbestandteil aufgenommen.
Implementierung technischer & organisatorischer Controls
Die operative Implementierung der ISMS-Controls ist der aufwändigste Projektteil und erfordert eine enge Zusammenarbeit mit den IT-Betriebsteams der Behörde. Unser Abschnitt C spezifiziert die Implementierung aller als anwendbar deklarierten technischen Controls aus ISO 27001:2022 Annex A, darunter Zugangssteuerung, Kryptographie, physische Sicherheit, Betriebssicherheit und Kommunikationssicherheit. Für jeden Control werden Maßnahmenbeschreibung, Verantwortlicher, Umsetzungsfrist und messbare Erfüllungskriterien gefordert.
Besondere Anforderungen stellt das Leistungsverzeichnis an die Verzahnung des ISMS mit bereits vorhandenen Systemen: SIEM- und SOC-Anbindung, Integration in das Schwachstellenmanagement sowie die Dokumentation aller ISMS-relevanten Assets in einer Configuration Management Database (CMDB). Anforderungen an die technische Härtung von Systemen nach CIS Benchmarks und BSI SiSyP sind als Sollanforderungen hinterlegt. Für die Übergabe des implementierten ISMS an den internen Betrieb sind verbindliche Knowledge-Transfer-Leistungen und Betriebshandbücher spezifiziert.
Internes Audit, Zertifizierungsvorbereitung & kontinuierliche Verbesserung
Ein ISMS ist kein einmaliges Projekt, sondern ein kontinuierlicher Verbesserungsprozess (PDCA-Zyklus). Dennoch endet in vielen öffentlichen Ausschreibungen die Leistungsbeschreibung mit der Implementierung, ohne dass Anforderungen an die Aufrechterhaltung und Weiterentwicklung des ISMS gestellt werden. Unser Abschnitt D verankert Anforderungen an jährliche interne Audits nach ISO 19011 sowie an die Durchführung von Management Reviews durch die Leitungsebene mit dokumentierten Beschlüssen.
Für Behörden, die eine ISO 27001-Zertifizierung oder ein BSI IT-Grundschutz-Zertifikat anstreben, enthält das Leistungsverzeichnis spezifische Anforderungen an die Zertifizierungsvorbereitung: Pre-Audit durch den Dienstleister, Behebung aller festgestellten Nichtkonformitäten, Begleitung des Stage-1- und Stage-2-Audits durch die Zertifizierungsstelle sowie Nachverfolgung von Auditfeststellungen in einem Maßnahmenplan. Kennzahlen und Reporting-Anforderungen an das Management sind als monatliche und jährliche Berichte spezifiziert.
Quellen
- BSI: „IT-Grundschutz-Kompendium: Baustein ISMS.1 – Sicherheitsmanagement", Edition 2023, bsi.bund.de.
- ISO/IEC: „ISO/IEC 27001:2022 – Information security, cybersecurity and privacy protection", 2022, iso.org.
- ENISA: „NIS2 Directive: Guidance on Security Measures and Incident Reporting", 2023, enisa.europa.eu.
Technische Details
| Format | Microsoft Excel (.xlsx) |
| Umfang | mehr als 60 Leistungspositionen |
| Sprache | Deutsch |
| Vergaberecht | GWB, VgV, UVgO konform |
| Normen | ISO/IEC 27001:2022, BSI IT-Grundschutz ISMS.1, NIS2, BSI-Standard 200-2 |
| Stand | 2026 (regelmäßige Revision) |
| Lieferung | Innerhalb von 5 Werktagen nach Zahlung |
| Nutzungsrecht | Einfach, für eigene Organisation |
Muster-LV: ISMS
- aus vergangenen Projekten entwickelt
- Öffentlicher Sektor & KRITIS
- GWB / VgV / UVgO konform
- ISO 27001:2022 & BSI ISMS.1 konform
- Stand 2026 (regelmäßige Revision)
- E-Mail Support inklusive
