Im Kanton Zürich dient die Allgemeine Informations­sicherheitsrichtlinie (AISR) zur Umsetzung der rechtlichen Vorgaben in der Informationssicherheit. Daraus werden die "Besonderen Informationssicherheitsrichtlinien" (BISR) abgeleitet, welche die Ziele und Grundsätze der AISR konkretisieren. Die Umsetzung der BISR wiederum erfolgt in den einzelnen Direktionen in internen Projekten. Dafür sucht das kantonale Amt für Informatik (AFI) jetzt einen externen Expertenpool zur Unterstützung.

Die Ausschreibung ist in fünf Lose aufgeteilt. Verträge sollen über zwei Jahre abgeschlossen werden, mit Option einer Verlängerung von bis zu maximal fünf Jahren. Für diese maximale Vertragslaufzeit gibt das AFI in den Ausschreibungsunterlagen auch eine Schätzung zu den abrufbaren Personentagen an.

Der höchste Bedarf besteht für Los 3 "Security Consulting" mit rund 2300 Personentagen. Für Los 1 "Risikomanagement" sind es rund 900 Personentage, für Los 2 "Third-party Risk Management" 1100, für Los 4 "Cloud Sicherheit" 800 und für Los 5 "Assurance Informationssicherheit – Audit & Advisory" 1600 Personentage. Zusammengerechnet kommen so fast 7000 Personentage zusammen, welche das AFI während fünf Jahren abrufen kann.

Für Los 1, 2 sowie 5 sind drei Zuschläge mit Rahmenverträgen geplant, für Los 3 und 4 sind es fünf. Die Unterstützung im Bereich "Security Consulting" umfasst zum Beispiel Projektleitung, Projektmitarbeit, Beratung, Schulung sowie das Erstellen von Sicherheitsdokumentationen. Im Bereich "Assurance Informationssicherheit – Audit & Advisory" ist der Aufbau eines Control Frameworks geplant. Dazu kommen unter anderem die Prüfung allgemeiner IT-Kontrollen und die Durchführung von Penetrationstests.