GGI-Veilig

Met GGI-Veilig verhogen gemeenten en gemeentelijke samenwerkingsverbanden hun digitale weerbaarheid en maken zij hun ICT-infrastructuur veiliger. GGI-Veilig bestaat uit een portfolio van producten en diensten voor operationele informatiebeveiliging en is ingedeeld in drie percelen, die als afzonderlijke sets van producten/diensten kunnen worden gezien.

Meer over het hoe en waarom van GGI-Veilig leest u op de webpagina GGI-Veilig van VNG Realisatie.

Bestelproces

Aanvragen dient u in bij het Servicecentrum Gemeenten van VNG Realisatie. Elk van de drie onderdelen van dit contract kent zijn eigen aanvraagroute:

SIEM/SOC dienstverlening                              GGI-Veilig-p1@scgemeenten.nl

Aanvullende security diensten/producten    GGI-Veilig-p2@scgemeenten.nl

Expertisediensten                                               GGI-Veilig-p3@scgemeenten.nl

Voorwaarde voor het gebruik van de verschillende percelen is dat u zich hebt aangemeld voor het betreffende perceel. Indien u dit niet hebt gedaan voor de aanbesteding van GGI-Veilig, maar alsnog wilt doen, dan kunt u contact opnemen met info@scgemeenten.nl.

Wilt u meer weten over GGI-Veilig of heeft u behoefte aan ondersteuning bij het verwerven van GGI-Veilig producten/diensten, neem dan contact op met onze implementatieadviseurs via ggi@vng.nl.

Ook is er een community GGI-Veilig op VNG Fora. Op dit forum is o.a. veel documentatie over GGI-Veilig opgenomen, zoals uitgebreide beschrijvingen van het GGI-Veilig portfolio, de verwervingsprocedures, handleidingen, webinars, FAQ’s, etc.  Mocht u nog geen toegang toe hebben, dan kunt u die aanvragen op het forum of door een e-mail te sturen naar ggi@vng.nl.

Door een keuze te maken uit de dropdown opties wordt de gewenste informatie getoond.

Perceel 1: SIEM/SOC services

De SIEM/SOC-dienstverlening was verworven als een collectieve voorziening met bijbehorende implementatie ondersteuning voor de Deelnemers.

De verworven SIEM/SOC-dienstverlening wordt geleverd als een managed service vanuit een beveiligde omgeving voor de Deelnemers:

  • Geschikt voor zowel centraal/collectief, regionaal als lokaal gebruik (multi-tenancy) en met de mogelijkheid te kunnen integreren met andere onderdelen van het GGI-Veilig portfolio (Perceel 2) en vergelijkbare onderdelen die Deelnemers reeds in gebruik hebben;
  • Met ondersteunende SIEM/SOC-expertise voor de uitvoering het SIEM-proces;
  • Inzet van een SOC-team voor de uitvoering van de SOC-processen met een 7×24 monitoring, analyse en response (advies dan wel ondersteuning bij uitvoering) dienstverlening;
  • Met trainingen voor Deelnemers over de werking en het gebruik van het systeem om de dienstverlening optimaal te kunnen laten aansluiten bij de eisen van en de IB-processen bij de Deelnemers.

Er staat veel ondersteunend en informatief materiaal op het forum van GGI-Veilig. Aanbevolen wordt in ieder geval kennis te nemen van de Producten en Diensten Catalogus SIEM/SOC waarin een beschrijving van de dienstverlening is opgenomen en de Handreiking voorbereiding, verwerving en implementatie SIEM/SOC voor als je dienst wilt gaan afnemen.

Minimumeisen en wijze van levering voor SIEM/SOC

De minimumeisen met betrekking tot Perceel 1: SIEM/SOC dienstverlening waar de dienstverlening minimaal aan moet voldoen staan beschreven in het document Conformiteitenlijst minimumeisen Perceel 1. De Conformiteitenlijst kan hier gedownload worden. De wijze waarop de dienstverlening is beschreven in paragraaf 3.8 van het beschrijvend document GGI Het beschrijvend document kan hier gedownload worden.

Doorlooptijd van aanvraag tot implementatie SIEM/SOC

Vanaf de datum van publicatie van de aan te leveren onboardingsdocumenten voor SIEM/SOC is de doorlooptijd als volgt vastgelegd:

  • Voorbereiden SIEM/SOC: gemiddeld 3 maanden
  • Aanvraagformulier/onboardingsformulieren invullen: gemiddeld 2 weken
  • Implementatie: gemiddeld 4 maanden na ondertekenen NOK
Voorbeelddocumenten

Er zijn verschillende voorbeeldaanvragen en informatie over het aanvraag proces voor SIEM/SOC die gebruikt kunnen worden ter ondersteuning van het invullen van de benodigde documenten. De volgende documenten zijn o.a. beschikbaar:

Aangezien sommige documenten levende documenten zijn, kan het voorkomen dat niet altijd de meest actuele versie op het forum staat, Als er een wezenlijke inhoudelijke verandering in een document heeft plaatsgevonden, wordt de nieuwe versie op het forum gezet

Aanvraagformulier en onboarding formulier

Er zijn 2 documenten die aangeleverd dienen te worden om de SIEM/SOC dienst aan te vragen, te weten: het Offerte aanvraag formulier en het Onboarding formulier. Deze formulieren kunnen aangevraagd worden bij ggi-veilig-p1@scgemeenten.nl

Veelgestelde vragen (FAQ)

De veelgestelde vragen kunnen hierop het forum gevonden worden.

Info aanbesteding GGI-Veilig

Er zijn verschillende bronnen waar meer informatie verkregen kan worden:

Hulp bij de aanvraagformulieren en informatie over perceel 1 SIEM/SOC dienstverlening

Voor algemene vragen kan contact opgenomen worden met een van de implementatieadviseurs:

Voor (technisch) inhoudelijke vragen kan contact opgenomen worden met ggi-veilig-p1@scgemeenten.nl

 

Perceel 2: Product/dienstgroep aanvullende security services

Het doel van Perceel 2 betreft de levering van het GGI-Veilig producten & diensten portfolio op het gebied van operationele informatiebeveiliging, dat Deelnemers ondersteunt bij de verhoging van de digitale weerbaarheid.

Beschikbare aanvullende security services

Binnen Perceel 2: product/dienstgroep aanvullende security producten en services vallen de volgende security-oplossingen:

  • Cloud Access Security Broker (CASB)
  • DNS, DHCP en IP address management (DDI)
  • Firewall (bestaande uit:)
    • Next-Gen Firewall
    • Micro Segmentatie Firewall
    • Web Application Firewall
  • Mail filtering (secure Email Gateway, SEG)
  • Advanced Persistent Threat Protection (ATP)
  • Endpoint protection (incl. servers)
  • GGI Anti DDOS
  • Intrusion Detection & Prevention (IDS/IPS)
  • EMM (Enterprise Mobility Management) / MDM/MAM (Mobile Device & Application Management)
  • VPN-management (Client-to-site/Site-to-site),
  • Data Loss Prevention/Data Leakage Prevention (DLP),
  • Vulnerability management
Minimumeisen aanvullende security services

De minimumeisen met betrekking tot Perceel 2: aanvullende security services waar de dienstverlening minimaal aan moet voldoen staan beschreven in het document Conformiteitenlijst minimumeisen Perceel 2. De Conformiteitenlijst kan hier gedownload worden. De wijze waarop de dienstverlening is beschreven in paragraaf 3.8 van het beschrijvend document GGI Het beschrijvend document kan hier gedownload worden.

Minicompetitie

Voor de aanschaf van een of meerdere security producten en/of services dient de Deelnemer een minicompetite te starten. Er zijn 2 documenten die aangeleverd dienen te worden om de aanvullende security services aan te vragen, te weten: het Aanvraagformulier en het inpasbaarheidsdocument. Deze formulieren kunnen aangevraagd worden bij ggi-veilig-p2@scgemeenten.nl. De volgende acties zijn vastgelegd binnen de minicompetitie:

Publicatie Offerteaanvraag

In principe worden offerteaanvragen op dinsdag gepubliceerd. De doorlooptijd van de minicompetitie is ongeveer 5-6 weken.

Deadline stellen van vragen

Leveranciers hebben 5 werkdagen de tijd om vragen te stellen over de offerteaanvraag en de bijbehorende documenten.

Versturen NvI VNG-Leverancier

Deelnemer heeft 3 werkdagen om de vragen van de leveranciers te beantwoorden.

Deadline indienen offerte

Leveranciers hebben 10 werkdagen na het ontvangen van de Nota van Inlichtingen de tijd om een aanbieding op te stellen en aan te bieden. De aanbiedingen worden eerst door VNG beoordeeld of ze aan de gestelde eisen van de offerteaanvraag voldoen. VNG beoordeelt niet de technische inpasbaarheid.

Beoordeling Offertes

De aanbieding met de laagste prijs wordt aan de deelnemer aangeboden. De deelnemer heeft 4 werkdagen om de aanbieding van de leverancier te beoordelen op inpasbaarheid. Als de geboden oplossing niet past binnen de inpasbaarheid van de deelnemer, dan kan de deelnemer deze aanbieding gemotiveerd afwijzen. De eerstvolgende (duurdere) aanbieding wordt dan aangeboden aan de deelnemer.

Gunningsbeslissing

Als de deelnemer akkoord gaat met de aanbieding, dan wordt het gunningsproces inclusief het opstellen van de Nadere Overeenkomst door inkoop afgehandeld.

Voor een gedetailleerde planning en actiemomenten van de minicompetitie zie de planningstool op het forum.

Voorbeelddocumenten

Er zijn verschillende voorbeeldaanvragen vanuit de fictieve Gemeente Juinen met betrekking tot het inpasbaarheidsdocument die gebruikt kunnen worden ter ondersteuning van het invullen van de benodigde documenten. De volgende producten en leveringsvormen zijn beschikbaar:

Veelgestelde vragen (FAQ)

De veelgestelde vragen kunnen hier op het forum gevonden worden.

Informatie over leveringsvormen, ondersteuningsvormen etc.

De volgende leveringsvormen zijn beschikbaar binnen Perceel 2:

Licentie

Wanneer er voor “licentie” gekozen wordt als leveringsvorm betreft de aanvraag slechts voor een losse licentie van een security-product. Dit betreft een security product dat alleen in licentievorm leverbaar is of een security-product dat reeds in bezit en in gebruik is.

Fysieke appliance zonder technisch beheer

Bij de leveringsvorm voor een fysieke appliance betreft de aanvraag altijd een volledig security-product, inclusief eventueel benodigde hardware, software en licentie. De deelnemer zal verantwoordelijk zijn voor de volgende punten: Beschikbaarheid, Recovery Time Objective (RTO) / Recovery Point Objective (RPO) en het up to date houden van de software, bestaande uit het bijwerken van de software met de laatste patches en beveiligingsupdates.

Fysieke appliance met technisch beheer

Bij de leveringsvorm voor een fysieke appliance betreft de aanvraag altijd een volledig security-product, inclusief eventueel benodigde hardware, software en licentie. De leverancier zal verantwoordelijk zijn voor de volgende punten: Beschikbaarheid, Recovery Time Objective (RTO) / Recovery Point Objective (RPO) en het up to date houden van de software, bestaande uit het bijwerken van de software met de laatste patches en beveiligingsupdates.

Virtuele appliance zonder technisch beheer

Bij de leveringsvorm voor een virtuele appliance betreft de aanvraag altijd een volledig security-product, inclusief eventueel benodigde software en licentie. De deelnemer zal verantwoordelijk zijn voor de volgende punten: Beschikbaarheid, Recovery Time Objective (RTO) / Recovery Point Objective (RPO) en het up to date houden van de software, bestaande uit het bijwerken van de software met de laatste patches en beveiligingsupdates.

Virtuele appliance met technisch beheer

Bij de leveringsvorm voor een virtuele appliance betreft de aanvraag altijd een volledig security-product, inclusief eventueel benodigde software en licentie. De leverancier zal verantwoordelijk zijn voor de volgende punten: Beschikbaarheid, Recovery Time Objective (RTO) / Recovery Point Objective (RPO) en het up to date houden van de software, bestaande uit het bijwerken van de software met de laatste patches en beveiligingsupdates.

Managed Service

Hierbij wordt de Deelnemer volledig ontzorgd met betrekking tot de gekozen security-oplossing. De leverancier levert in het geval van een managed service de benodigde hardware, software en licenties. Daarbij is de leverancier ook verantwoordelijk voor de eventuele hosting en technische en operationele beheer van het security-product.

De volgende ondersteuningsvormen zijn beschikbaar binnen Perceel 2:

Technisch geinstalleerd

De optie “technisch geïnstalleerd” zorgt ervoor dat de Deelnemer een “ready for use” oplossing krijgt.

Bedrijfsklaar geleverd

Daarnaast heeft de Deelnemer de optie om voor “bedrijfsklaar” te kiezen, waarbij een “turn-key” oplossing geleverd wordt die direct in operationeel beheer genomen kan worden.

Geen implementatie ondersteuning

De optie “geen implementatie ondersteuning” zorgt ervoor dat de gekozen security-oplossing geleverd wordt “as-is”.

Meer informatie over de minicompetitie, aanvraagformulier, inpasbaarheid en de daarbij horende producten, leveringsvormen en ondersteuningsvormen kan gevonden worden in de instructievideos. De instructievideos zijn hier op het forum te bekijken.

Informatie aanbesteding GGI-Veilig

Er zijn verschillende bronnen waar meer informatie verkregen kan worden:

Hulp bij de aanvraagformulieren en minicompetitie of nadere informatie

Voor algemene vragen kan contact opgenomen worden met een van de implementatieadviseurs:

Voor (technisch) inhoudelijke vragen kan contact opgenomen worden met ggi-veilig-p2@scgemeenten.nl

 

Perceel 3: Dienstgroep expertise services

Tot het GGI-Veilig Perceel 3 portfolio behoren de security expertise diensten.

Beschikbare security expertise diensten
  • SIEM proces: bieden van ondersteuning bij inrichting en uitvoering van het SIEM proces binnen de organisatie van de Deelnemer (bijv. business analytics voor bepalen van belangrijke use cases).
  • Vulnerability: uitvoeren van vulnerability scans/assessments op (het beheer van) de ICT-infrastructuur bij Deelnemers.
  • Pentesten: uitvoering van penetratietesten (dit is inclusief social engineering, fysieke locaties penetreren, phishing, USBdropping en Awareness campagnes.
  • Hardening van de ICT-infrastructuur. Controleren op misconfiguraties en het ontbreken van best-practices op systemen en hardware in de ICT-infrastructuur met tot doel het verminderen en/of mitigeren van beveiligingsrisico’s. Te denken aan het controleren van de rules op de firewalls, configuratie van de AD, group policies, etc..
  • Compliancy: uitvoeren van compliancy scans/assessments/audits op de aandachtsgebieden BIG, BIR, BIO, AVG, ENSIA, ISO900x en ISO270x;
  • Forensics bij security incidenten: levering van ondersteuning bij forensisch onderzoek n.a.v. security incidenten.
Contractvormen
  • U kunt zowel een rol (persoon) als een tijdelijke opdracht uitvragen. Hiervoor zijn twee verschillende formulieren beschikbaar.
  • De contractvorm is op basis van vaste prijs, nacalculatie of in abonnementsvorm.
  • Met een abonnement hoeft u slechts eenmalig het minicompetitieproces te doorlopen voor verwerving van de desbetreffende expertise. Daarna kunt u op afroep diensten afnemen bij de gegunde leverancier. Met name voor Forensische ondersteuning bij beveiligingsincidenten is dat erg handig. Voor de verwerving van Forensics is een verhelderende notitie opgesteld. Hierin wordt onder andere ingegaan op het belang om er een abonnement voor af te sluiten.
Proces en termijnen minicompetities perceel 3

Globaal zit de procedure voor het uitvragen van een dienst als volgt in elkaar:

  • Een deelnemer (gemeente of samenwerkingsverband) stelt een offerteaanvraag op.
  • Service Centrum Gemeenten (SCG) start een minicompetitie met de 6 leveranciers die in GGI Veilig perceel 3 deelnemen.
  • De leveranciers kunnen nog vragen stellen n.a.v. de offerte aanvraag. Deze vragen worden door SCG en deelnemer beantwoord in een Nota van Inlichtingen die naar alle leveranciers (niet alleen de vragenstellers) wordt toegezonden.
  • De leveranciers sturen daarna hun offerte in (verplicht, dus het zijn er altijd 6, behalve in geval van overmacht).
  • De deelnemer beoordeelt het kwalitatieve deel (het plan van aanpak) en stuurt de score terug naar het SCG.
  • In het inkoop systeem van SCG (CTM) wordt de score gekoppeld aan de door de leverancier opgegeven prijs (30% prijs / 70% kwaliteit) en wordt op die manier de winnende offerte bepaald.
  • De deelnemer en leverancier sluiten daarna een Nadere Overeenkomst. Dat gaat geautomatiseerd via CTM.
  • Minicompetities voor perceel 3 starten altijd op donderdag en kennen een doorlooptijd van 6 weken.
Voorbeelddocumenten en aanvraagformulieren

De aanvraagformulieren en verschillende voorbeeldaanvragen kunt u vinden op onze besloten GGI-Veilig community

Info aanbesteding GGI-Veilig

Er zijn verschillende bronnen waar meer informatie verkregen kan worden:

Hulp bij de aanvraagformulieren en minicompetitie of nadere informatie

Voor algemene vragen kan contact opgenomen worden met een van de implementatieadviseurs:

Voor (technisch) inhoudelijke vragen kan contact opgenomen worden met ggi-veilig-p3@scgemeenten.nl

Staat het antwoord op jouw vraag of jouw specifieke behoefte niet op deze pagina? Je implementatieadviseur kan je verder op weg helpen: