SURF zoekt één (1) leverancier die de GRC-applicatie kan leveren, zowel het onderhouden ervan als de ondersteuningskant (implementatieondersteuning en klantensupport). Meer specifiek bestaat de Opdracht uit:
Levering, beheer en onderhoud van de GRC-applicatie;
Dienstverlening: Leveren van helpdesk ondersteuning tijdens kantoortijden, ondersteuning bij de implementatie van de GRC-applicatie bij Instellingen en betrokken Koepels en ondersteuning bij functioneel beheer aan Instellingen;
Leveren van SLA en andere rapportages.
Deadline
De termijn voor de ontvangst van de offertes was 2023-08-21.
De aanbesteding werd gepubliceerd op 2023-06-23.
Object Toepassingsgebied van de aanbesteding
Titel: Leveren, onderhouden en ondersteunen Governance, Risk en Compliance applicatie
Producten/diensten: IT-diensten: adviezen, softwareontwikkeling, internet en ondersteuning📦
Korte beschrijving:
“SURF zoekt één (1) leverancier die de GRC-applicatie kan leveren, zowel het onderhouden ervan als de ondersteuningskant (implementatieondersteuning en...”
Korte beschrijving
SURF zoekt één (1) leverancier die de GRC-applicatie kan leveren, zowel het onderhouden ervan als de ondersteuningskant (implementatieondersteuning en klantensupport). Meer specifiek bestaat de Opdracht uit:
Levering, beheer en onderhoud van de GRC-applicatie;
Dienstverlening: Leveren van helpdesk ondersteuning tijdens kantoortijden, ondersteuning bij de implementatie van de GRC-applicatie bij Instellingen en betrokken Koepels en ondersteuning bij functioneel beheer aan Instellingen;
Leveren van SLA en andere rapportages.
Het onderwijs voelt de urgentie en het belang om de cyberveiligheid te verbeteren, omdat ICT een noodzakelijk onderdeel is van het primaire proces. Iedere instelling is verantwoordelijk voor de eigen cyberveiligheid, maar er is veel winst te behalen door deze complexe uitdaging samen aan te gaan. Dat gebeurt in de innovatiezone Cyberveiligheid.
Vanuit de innovatiezone Cyberveiligheid onderzoekt SURF samen met de Instellingen de mogelijkheden voor het aanbesteden van software op het gebied van risicomanagement en het documenteren van de volwassenheid en mitigerende maatregelen op het gebied van informatiebeveiliging en privacy, een Governance, Risk & Compliancy applicatie, hierna te noemen GRC-applicatie.
Instellingen hebben behoefte aan een betere manier om hun verbeteractiviteiten rondom informatiebeveiliging en privacy bij te houden. Momenteel levert SURF hier een applicatie voor, vanuit de dienst SURFaudit. Deze applicatie komt echter onvoldoende tegemoet aan de wensen van instellingen.
De nieuw te verwerven GRC-applicatie is gericht op het volgen en sturen van de PLAN-DO-CHECK-ACT cyclus (Deming circle) rond informatiebeveiliging en privacy. De GRC-applicatie geeft inzicht in de mate van beheersing van processen, verwerkingen en risico’s rond informatiebeveiliging en privacy.
De GRC-applicatie dient rapportages te bieden die de Instellingen inzicht geeft in hoeverre ze in control zijn over de onderwerpen uit gehanteerde frameworks over informatiebeveiliging en privacy. Risicomanagement maakt onderdeel uit van de oplossing. Het moet mogelijk zijn maatregelen te koppelen aan beheersmaatregelen en verbeteracties met workflows uit te zetten in de organisatie. De GRC-applicatie ondersteunt de Instelling in het risico gebaseerd werken en de ontwikkeling daarin.
Daar waar aangesloten onderwijsinstellingen hun individuele administratie binnen de GRC-applicatie bijhouden, moet het voor de onderwijskoepels (binnen de koepel) en voor SURF (landelijk) mogelijk zijn om het geaggregeerde beeld van alle aangesloten instellingen te rapporteren. Aangesloten Instellingen moeten vervolgens kunnen zien hoe zij van dit geaggregeerde beeld afwijken. Het doel is dat deze benchmark Instellingen helpt om hun organisatie te vergelijken met het landelijk beeld. De precieze eisen aan de oplossing zijn uitgewerkt in de bijlage Programma van Eisen (PvE).
Onderwijsinstellingen worden gemeten op de volwassenheid aan de hand van het SURFaudit Toetsingskader informatiebeveiliging. Het SURFaudit Toetsingskader informatiebeveiliging1 biedt onderwijsinstellingen de mogelijkheid om meer pragmatisch hun organisatie te ondersteunen bij het meten, bepalen en verbeteren van het volwassenheidsniveau van informatiebeveiliging (inclusief cyber security). De GRC-applicatie ondersteunt een mix van frameworks en normen- en toetsingskaders waaronder maar niet beperkt tot het SURFaudit Toetsingskader informatiebeveiliging, ISO/IEC 27001 en 27002 inclusief een mapping hiertussen.
De GRC-applicatie is dus een waardevol hulpmiddel voor zowel de Instelling, Koepel als de sector. Hierbij zien wij voor de Opdrachtgever en de Koepels de uitdaging om Instellingen te verleiden om de GRC-applicatie in hun dagelijks werk te gebruiken de applicatie moet:
* Echt werken en ervaren worden als hulpmiddel, wat tot uitdrukking komt in gebruikersgemak en eenvoud;
* Zowel Instellingen ondersteunen die net starten met risicogericht werken, als Instellingen die erg ervaren zijn en via meerdere toetsingskaders hun risicomanagement ingericht hebben.
Bij SURF zijn 14 WO-instellingen, 36 HBO-instellingen, 55 MBO-instellingen, 8 UMC’s en 14 andere instellingen als lid aangesloten. De GRC-applicatie kan in potentie door alle instellingen afgenomen worden. Primair richt de dienst zich op de sectoren WO, HBO, MBO en UMC, niet uitgesloten wordt dat enkele andere instellingen ook van de dienst gebruik gaan maken.
Toon meer Gunningscriteria
Prijs
Toepassingsgebied van de aanbesteding
Geschatte totale waarde exclusief BTW: EUR 5 000 000 💰
Duur van de opdracht, raamovereenkomst of dynamisch aankoopsysteem
Het onderstaande tijdschema is uitgedrukt in aantal maanden.
Beschrijving
Duur: 72
Duur van de opdracht, raamovereenkomst of dynamisch aankoopsysteem
Dit contract kan worden verlengd ✅ Beschrijving
Beschrijving van de verlengingen:
“De Raamovereenkomst heeft een initiële periode van 4 (vier) jaar, met een optie de Raamovereenkomst 2 (twee) keer met 1 (één) jaar te verlengen onder...”
Beschrijving van de verlengingen
De Raamovereenkomst heeft een initiële periode van 4 (vier) jaar, met een optie de Raamovereenkomst 2 (twee) keer met 1 (één) jaar te verlengen onder gelijkblijvende voorwaarden. De Raamovereenkomst eindigt van rechtswege na het verstrijken van de looptijd zonder dat opzegging vereist is.
Juridische, economische, financiële en technische informatie Voorwaarden voor deelname
Lijst en korte beschrijving van aandoeningen:
“Inschrijver is ingeschreven in het beroeps- of handelsregister in de lidstaat waar hij is gevestigd. Inschrijver vermeldt het inschrijfnummer in het...”
Lijst en korte beschrijving van aandoeningen
Inschrijver is ingeschreven in het beroeps- of handelsregister in de lidstaat waar hij is gevestigd. Inschrijver vermeldt het inschrijfnummer in het betreffende register in het Uniform Europees Aanbestedingsdocument. Degene die de inschrijving ondertekent, dient, blijkens het uittreksel van het handelsregister, tekenbevoegd te zijn, dan wel schriftelijk gevolmachtigd te zijn.
Toon meer Economische en financiële draagkracht
Selectiecriteria zoals vermeld in de aanbestedingsdocumenten
Technische en professionele bekwaamheid
Selectiecriteria zoals vermeld in de aanbestedingsdocumenten
Procedure Soort procedure
Open procedure
Informatie over een raamovereenkomst of een dynamisch aankoopsysteem
Raamovereenkomst met één exploitant
Beschrijving
Motiveer in het geval van raamovereenkomsten elke looptijd van meer dan 8 jaar:
“De potentiële verlenging van de Raamovereenkomst is gerechtvaardigd vanwege de mogelijkheid dat tijdens de looptijd Instellingen zullen toetreden die de...”
Motiveer in het geval van raamovereenkomsten elke looptijd van meer dan 8 jaar
De potentiële verlenging van de Raamovereenkomst is gerechtvaardigd vanwege de mogelijkheid dat tijdens de looptijd Instellingen zullen toetreden die de GRC-applicatie gaan gebruiken. Indien de looptijd van de Raamovereenkomst beperkt zou zijn tot 4 jaar, dan zou een aantal van hen waarschijnlijk de GRC-applicatie niet gaan gebruiken.
Toon meer Administratieve informatie
Termijn voor de ontvangst van inschrijvingen of verzoeken tot deelneming: 2023-08-21
14:00 📅
Talen waarin inschrijvingen of aanvragen tot deelneming kunnen worden ingediend: Nederlands 🗣️
Het onderstaande tijdschema is uitgedrukt in aantal maanden.
Minimumtermijn gedurende welke de inschrijver de offerte gestand moet doen: 3
Voorwaarden voor de opening van de offertes: 2023-08-21
15:00 📅
Voorwaarden voor de opening van de offertes (plaats): Utrecht
Voorwaarden voor de opening van inschrijvingen (Informatie over bevoegde personen en openingsprocedure):
“De Aanbestedende dienst opent de kluis op Mercell nadat de indieningstermijn is verstreken. De opening van de Inschrijvingen is niet openbaar. Van de...”
Voorwaarden voor de opening van inschrijvingen (Informatie over bevoegde personen en openingsprocedure)
De Aanbestedende dienst opent de kluis op Mercell nadat de indieningstermijn is verstreken. De opening van de Inschrijvingen is niet openbaar. Van de opening wordt proces verbaal opgemaakt. Deze wordt spoedig na de opening van de kluis via Mercell beschikbaar gesteld aan de Inschrijvers.
Aanvullende informatie Beoordelingsorgaan
Naam: Rechtbank Den Haag
Postadres: Prins Clauslaan 60
Poststad: Den Haag
Postcode: 2595 AJ Den Haag
Land: Nederland 🇳🇱 Voor bemiddelingsprocedures verantwoordelijke instantie
Naam: Commissie van Aanbestedingsexperts
Poststad: Den Haag
Land: Nederland 🇳🇱 Herzieningsprocedure
Precieze informatie over de termijn(en) voor herzieningsprocedures:
“Een Inschrijver die een bodemprocedure wenst te starten bij de daartoe bevoegde rechtbank dient dit uiterlijk zes (6) maanden na de datum van het sluiten...”
Precieze informatie over de termijn(en) voor herzieningsprocedures
Een Inschrijver die een bodemprocedure wenst te starten bij de daartoe bevoegde rechtbank dient dit uiterlijk zes (6) maanden na de datum van het sluiten van de Raamovereenkomst aanhangig te maken. Ook dit betreft een vervaltermijn, waarna het recht om deze bodemprocedure te starten vervalt.
Toon meer
Bron: OJS 2023/S 122-386766 (2023-06-23)