Met GGI-Veilig verhogen gemeenten en gemeentelijke samenwerkingsverbanden hun digitale weerbaarheid en maken zij hun ICT-infrastructuur veiliger. GGI-Veilig bestaat uit een portfolio van producten en diensten voor operationele informatiebeveiliging en was oorspronkelijk ingedeeld in drie percelen, die als afzonderlijke sets van producten/diensten konden worden gezien. Perceel 1, SIEM/SOC dienstverlening (KPN), is met instemming van deelnemers en in goed overleg met de leverancier op 1 juli 2022 beëindigd. Gemeenten moeten echter deze dienstverlening alsnog inkopen. VNG Realisatie werkt daarom samen met Bizob aan een nieuwe gezamenlijke aanbesteding voor monitoring- en responsediensten voor alle Nederlandse gemeenten.
Meer over het hoe en waarom van GGI-Veilig leest u op de webpagina GGI-Veilig van VNG Realisatie.
Bestelproces
Aanvragen dient u in bij het Servicecentrum Gemeenten van VNG Realisatie. Elk van de twee onderdelen van dit contract kent zijn eigen aanvraagroute:
SIEM/SOC dienstverlening beëindigd op 1 juli 2022
Aanvullende security diensten/producten GGI-Veilig-p2@scgemeenten.nl
Expertisediensten GGI-Veilig-p3@scgemeenten.nl
Voorwaarde voor het gebruik van de verschillende percelen is dat u zich hebt aangemeld voor het betreffende perceel. Indien u dit niet hebt gedaan voor de aanbesteding van GGI-Veilig, maar alsnog wilt doen, dan kunt u contact opnemen met info@scgemeenten.nl.
Wilt u meer weten over GGI-Veilig of heeft u behoefte aan ondersteuning bij het verwerven van GGI-Veilig producten/diensten, neem dan contact op met onze implementatieadviseurs via ggi@vng.nl.
Ook is er een community GGI-Veilig op VNG Fora. Op dit forum is o.a. veel documentatie over GGI-Veilig opgenomen, zoals uitgebreide beschrijvingen van het GGI-Veilig portfolio, de verwervingsprocedures, handleidingen, webinars, FAQ’s, etc. Mocht u nog geen toegang toe hebben, dan kunt u die aanvragen op het forum of door een e-mail te sturen naar ggi@vng.nl.
Door een keuze te maken uit de dropdown opties wordt de gewenste informatie getoond.
De SIEM/SOC-dienstverlening was verworven als een collectieve voorziening met bijbehorende implementatie ondersteuning voor de Deelnemers.
De verworven SIEM/SOC-dienstverlening wordt geleverd als een managed service vanuit een beveiligde omgeving voor de Deelnemers:
Er staat veel ondersteunend en informatief materiaal op het forum van GGI-Veilig. Aanbevolen wordt in ieder geval kennis te nemen van de Producten en Diensten Catalogus SIEM/SOC waarin een beschrijving van de dienstverlening is opgenomen en de Handreiking voorbereiding, verwerving en implementatie SIEM/SOC voor als je dienst wilt gaan afnemen.
De minimumeisen met betrekking tot Perceel 1: SIEM/SOC dienstverlening waar de dienstverlening minimaal aan moet voldoen staan beschreven in het document Conformiteitenlijst minimumeisen Perceel 1. De Conformiteitenlijst kan hier gedownload worden. De wijze waarop de dienstverlening is beschreven in paragraaf 3.8 van het beschrijvend document GGI Het beschrijvend document kan hier gedownload worden.
Vanaf de datum van publicatie van de aan te leveren onboardingsdocumenten voor SIEM/SOC is de doorlooptijd als volgt vastgelegd:
Er zijn verschillende voorbeeldaanvragen en informatie over het aanvraag proces voor SIEM/SOC die gebruikt kunnen worden ter ondersteuning van het invullen van de benodigde documenten. De volgende documenten zijn o.a. beschikbaar:
Aangezien sommige documenten levende documenten zijn, kan het voorkomen dat niet altijd de meest actuele versie op het forum staat, Als er een wezenlijke inhoudelijke verandering in een document heeft plaatsgevonden, wordt de nieuwe versie op het forum gezet
Er zijn 2 documenten die aangeleverd dienen te worden om de SIEM/SOC dienst aan te vragen, te weten: het Offerte aanvraag formulier en het Onboarding formulier. Deze formulieren kunnen aangevraagd worden bij ggi-veilig-p1@scgemeenten.nl
De veelgestelde vragen kunnen hierop het forum gevonden worden.
Er zijn verschillende bronnen waar meer informatie verkregen kan worden:
Voor algemene vragen kan contact opgenomen worden met een van de implementatieadviseurs:
Voor (technisch) inhoudelijke vragen kan contact opgenomen worden met ggi-veilig-p1@scgemeenten.nl
Het doel van Perceel 2 betreft de levering van het GGI-Veilig producten & diensten portfolio op het gebied van operationele informatiebeveiliging, dat Deelnemers ondersteunt bij de verhoging van de digitale weerbaarheid.
Binnen Perceel 2: product/dienstgroep aanvullende security producten en services vallen de volgende security-oplossingen:
De minimumeisen met betrekking tot Perceel 2: aanvullende security services waar de dienstverlening minimaal aan moet voldoen staan beschreven in het document Conformiteitenlijst minimumeisen Perceel 2. De Conformiteitenlijst kan hier gedownload worden. De wijze waarop de dienstverlening is beschreven in paragraaf 3.8 van het beschrijvend document GGI Het beschrijvend document kan hier gedownload worden.
Voor de aanschaf van een of meerdere security producten en/of services dient de Deelnemer een minicompetite te starten. Er zijn 2 documenten die aangeleverd dienen te worden om de aanvullende security services aan te vragen, te weten: het Aanvraagformulier en het inpasbaarheidsdocument. Deze formulieren kunnen aangevraagd worden bij ggi-veilig-p2@scgemeenten.nl. De volgende acties zijn vastgelegd binnen de minicompetitie:
In principe worden offerteaanvragen op dinsdag gepubliceerd. De doorlooptijd van de minicompetitie is ongeveer 5-6 weken.
Leveranciers hebben 5 werkdagen de tijd om vragen te stellen over de offerteaanvraag en de bijbehorende documenten.
Deelnemer heeft 3 werkdagen om de vragen van de leveranciers te beantwoorden.
Leveranciers hebben 10 werkdagen na het ontvangen van de Nota van Inlichtingen de tijd om een aanbieding op te stellen en aan te bieden. De aanbiedingen worden eerst door VNG beoordeeld of ze aan de gestelde eisen van de offerteaanvraag voldoen. VNG beoordeelt niet de technische inpasbaarheid.
De aanbieding met de laagste prijs wordt aan de deelnemer aangeboden. De deelnemer heeft 4 werkdagen om de aanbieding van de leverancier te beoordelen op inpasbaarheid. Als de geboden oplossing niet past binnen de inpasbaarheid van de deelnemer, dan kan de deelnemer deze aanbieding gemotiveerd afwijzen. De eerstvolgende (duurdere) aanbieding wordt dan aangeboden aan de deelnemer.
Als de deelnemer akkoord gaat met de aanbieding, dan wordt het gunningsproces inclusief het opstellen van de Nadere Overeenkomst door inkoop afgehandeld.
Voor een gedetailleerde planning en actiemomenten van de minicompetitie zie de planningstool op het forum.
Er zijn verschillende voorbeeldaanvragen vanuit de fictieve Gemeente Juinen met betrekking tot het inpasbaarheidsdocument die gebruikt kunnen worden ter ondersteuning van het invullen van de benodigde documenten. De volgende producten en leveringsvormen zijn beschikbaar:
De veelgestelde vragen kunnen hier op het forum gevonden worden.
De volgende leveringsvormen zijn beschikbaar binnen Perceel 2:
Wanneer er voor “licentie” gekozen wordt als leveringsvorm betreft de aanvraag slechts voor een losse licentie van een security-product. Dit betreft een security product dat alleen in licentievorm leverbaar is of een security-product dat reeds in bezit en in gebruik is.
Bij de leveringsvorm voor een fysieke appliance betreft de aanvraag altijd een volledig security-product, inclusief eventueel benodigde hardware, software en licentie. De deelnemer zal verantwoordelijk zijn voor de volgende punten: Beschikbaarheid, Recovery Time Objective (RTO) / Recovery Point Objective (RPO) en het up to date houden van de software, bestaande uit het bijwerken van de software met de laatste patches en beveiligingsupdates.
Bij de leveringsvorm voor een fysieke appliance betreft de aanvraag altijd een volledig security-product, inclusief eventueel benodigde hardware, software en licentie. De leverancier zal verantwoordelijk zijn voor de volgende punten: Beschikbaarheid, Recovery Time Objective (RTO) / Recovery Point Objective (RPO) en het up to date houden van de software, bestaande uit het bijwerken van de software met de laatste patches en beveiligingsupdates.
Bij de leveringsvorm voor een virtuele appliance betreft de aanvraag altijd een volledig security-product, inclusief eventueel benodigde software en licentie. De deelnemer zal verantwoordelijk zijn voor de volgende punten: Beschikbaarheid, Recovery Time Objective (RTO) / Recovery Point Objective (RPO) en het up to date houden van de software, bestaande uit het bijwerken van de software met de laatste patches en beveiligingsupdates.
Bij de leveringsvorm voor een virtuele appliance betreft de aanvraag altijd een volledig security-product, inclusief eventueel benodigde software en licentie. De leverancier zal verantwoordelijk zijn voor de volgende punten: Beschikbaarheid, Recovery Time Objective (RTO) / Recovery Point Objective (RPO) en het up to date houden van de software, bestaande uit het bijwerken van de software met de laatste patches en beveiligingsupdates.
Hierbij wordt de Deelnemer volledig ontzorgd met betrekking tot de gekozen security-oplossing. De leverancier levert in het geval van een managed service de benodigde hardware, software en licenties. Daarbij is de leverancier ook verantwoordelijk voor de eventuele hosting en technische en operationele beheer van het security-product.
De volgende ondersteuningsvormen zijn beschikbaar binnen Perceel 2:
De optie “technisch geïnstalleerd” zorgt ervoor dat de Deelnemer een “ready for use” oplossing krijgt.
Daarnaast heeft de Deelnemer de optie om voor “bedrijfsklaar” te kiezen, waarbij een “turn-key” oplossing geleverd wordt die direct in operationeel beheer genomen kan worden.
De optie “geen implementatie ondersteuning” zorgt ervoor dat de gekozen security-oplossing geleverd wordt “as-is”.
Meer informatie over de minicompetitie, aanvraagformulier, inpasbaarheid en de daarbij horende producten, leveringsvormen en ondersteuningsvormen kan gevonden worden in de instructievideos. De instructievideos zijn hier op het forum te bekijken.
Er zijn verschillende bronnen waar meer informatie verkregen kan worden:
Voor algemene vragen kan contact opgenomen worden met een van de implementatieadviseurs:
Voor (technisch) inhoudelijke vragen kan contact opgenomen worden met ggi-veilig-p2@scgemeenten.nl
Tot het GGI-Veilig Perceel 3 portfolio behoren de security expertise diensten.
Globaal zit de procedure voor het uitvragen van een dienst als volgt in elkaar:
De aanvraagformulieren en verschillende voorbeeldaanvragen kunt u vinden op onze besloten GGI-Veilig community
Er zijn verschillende bronnen waar meer informatie verkregen kan worden:
Voor algemene vragen kan contact opgenomen worden met een van de implementatieadviseurs:
Voor (technisch) inhoudelijke vragen kan contact opgenomen worden met ggi-veilig-p3@scgemeenten.nl
Staat het antwoord op jouw vraag of jouw specifieke behoefte niet op deze pagina? Je implementatieadviseur kan je verder op weg helpen: