Upload
buidan
View
224
Download
0
Embed Size (px)
Citation preview
EMPRESA DE ENERGÍA DE PEREIRA S.A. E.S.P.
INVITACIÓN A NEGOCIAR TI 001 – 2016
“ANALISIS, DISEÑO, PLANEACIÓN E IMPLEMENTACIÓN DE UN
MODELO DE SEGURIDAD DE LA INFORMACIÓN”
OCTUBRE DE 2016
EMPRESA DE ENERGÍA DE PEREIRA S.A. E.S.P.
“ANALISIS, DISEÑO, PLANEACIÓN E IMPLEMENTACIÓN DE UN
MODELO DE SEGURIDAD DE LA INFORMACIÓN”
1. OBJETO
La EMPRESA DE ENERGIA DE PEREIRA S.A. ESP, en adelante EEP, está
interesada en recibir la mejor oferta para prestar el servicio de Análisis, Diseño,
Planeación e Implementación de un Modelo de Seguridad de la Información,
basado en las prácticas de la Norma ISO/IEC 27001 y el cumplimiento CNO
788
2. NATURALEZA DE LA PRESENTE INVITACIÓN
La presente invitación y los documentos que se produzcan en desarrollo de la
misma por EEP no implican la realización de una oferta por parte de ella, ni
crean la obligación de contratar con quien la presente o cualquier otra
obligación. La contratación se regirá por las disposiciones del derecho privado,
el “Reglamento interno de contratación de La EEP” adoptado por la junta
directiva y el manual de compra de bienes y servicios de la compañía.
3. ANTECEDENTES Y JUSTIFICACIÓN
a) Se requiere realizar un análisis y diagnóstico del estado actual de
los procesos, procedimientos, controles y demás prácticas
relacionadas con Seguridad de la Información en el área de TI de la
EEP.
b) De acuerdo a los resultados obtenidos en la fase de análisis y
diagnóstico, se requiere diseñar un Modelo de Seguridad de la
Información para el área de TI en la EEP.
c) Se requiere realizar la Planificación de las actividades diseñadas,
relacionando los recursos necesarios para el Modelo de Seguridad
de la Información y las actividades propias de la Gestión de Riesgos
en Seguridad dela Información.
d) Adicionalmente, se requiere el acompañamiento, asesoría y soporte
para la implementación del Modelo de Seguridad de la Información
en el área de TI de la EEP.
e) El planteamiento de las anteriores fases busca adoptar las mejores
prácticas de Seguridad de la Información, como las descritas en la
Norma ISO/IEC 27001.
f) Se pretende dar apoyo en el cumplimiento del Acuerdo 788 del
Concejo Nacional de Operación (CNO); a la Circular 038 de la
Comisión de Regulación Energía y Gas (CREG); y la Ley 1581 de
protección de Datos Personales.
4. ALCANCE DEL SERVICIO
a) Análisis y diagnóstico del estado actual de los procesos. En esta
fase se debe incluir las actividades que se describen a continuación:
Identificación de requerimientos legales, normativos y contractuales.
Definición del Alcance y los Límites del proyecto y del Modelo de
Seguridad de la información a implementar.
Análisis de fortalezas y amenazas a los procesos del área de TI.
Importancia o nivel de criticidad de cada proceso.
Inventario de Activos de Información.
Inventario de Controles existentes.
Necesidades de Capacitación en Seguridad de la información.
b) Diseño del Modelo de Seguridad de la Información para el área de
TI en la EEP. En esta fase, el Modelo que se sugiera por parte del
oferente debe contemplar las actividades que se describen a
continuación:
Análisis de Integración ISO 27001 y las Guías NERC-CIP 002 a 009,
para el cumplimiento del acuerdo CNO 788.
Documento de Políticas y Objetivos de Seguridad de la Información.
Soporte para la documentación y levantamiento de procedimientos de
seguridad de la información.
Metodología de Análisis, Valoración y Tratamiento de Riesgos que
incluya Criterios de Evaluación, Criterios de Impacto y Criterios de
Aceptación del Riesgo, así como el proceso para determinar los
escenarios de incidente, valoración de incidentes y evaluación del
riesgo.
Matriz de Riesgos de Seguridad de la Información.
Cronograma de Capacitación en Seguridad de la información.
c) El Plan para la ejecución del Modelo de Seguridad de la
información, deberá incluir la estrategia para realizar las actividades
de la fase anterior y para la obtención de entregables como los
siguientes:
Inventario de recursos necesarios para el proceso de GRSI.
Ejecución del plan de capacitación.
Plan de sensibilización, divulgación y apropiación de la política y
objetivos de seguridad de la información en la organización.
Definición de perfiles y responsabilidades de las partes interesadas en
el proceso de GRSI.
Definición de indicadores para el proceso de GRSI y de efectividad de
los controles.
Matriz de riesgos de seguridad de la información en el área de TI.
Documento de Aplicabilidad de Controles.
Plan de seguimiento, monitoreo y control del Modelo de Seguridad de
la Información.
d) El soporte para la implementación del Modelo de Seguridad de la
Información, implica que el oferente acompañe y asesore el proceso
de implementación, mediante actividades como:
Definición del plan de Tratamiento de Riesgos.
Revisión y evaluación de la implementación de controles.
Evaluación de la apropiación de la política de Seguridad de la
información.
Auditoría de eficacia de la implementación del modelo de seguridad de
la información, (en un 90% de implementación).
Identificación de planes de mejora para el proceso de GRSI.
Informes de resultado de las auditorías.
e) Informe Gerencial de Terminación del Proyecto y perspectiva hacia
la Certificación del área de TI en la Norma ISO/IEC 27001, cumplimiento
del Acuerdo CNO 788 y demás requisitos legales, normativos y
contractuales.
NOTA: Las actividades, documentos y requisitos indicados pueden variar
de acuerdo al modelo propuesto por el oferente, en tal caso, se requiere
una justificación detallada de las ventajas de dichos cambios.
5. RESPONSABILIDADES DE LA EEP
La EEP facilitará documentación y acceso del personal de EL OFERENTE
para efectos de comprobar las condiciones actuales y dimensionar el proyecto.
6. SERVICIO DE TRANSPORTE
El transporte que debe estar incluido en el servicio hace referencia a:
El traslado del personal del contratista hacia los lugares en los que se
realicen las labores contratadas.
Transporte del equipamiento, materiales y herramientas requeridos
para la ejecución de las actividades.
7. PERSONAL
El oferente es libre de establecer el número de personas que habrán de
ejecutar los trabajos, de acuerdo con el enfoque de organización que le dé a
los mismos, no obstante, deberá presentar un esquema organizacional general
mínimo bajo los parámetros que se señalan a continuación en donde se
precisan en todo caso las funciones, responsabilidades e interrelaciones.
El oferente deberá incluir en el proyecto personas idóneas y para la ejecución
de los requerimientos anteriormente descritos, para esto se requiere los
siguientes perfiles:
Un (1) Gerente de proyecto encargado de coordinar todas las
actividades del proyecto, tanto desde el punto de vista interno como de
cara a Enerpereira, de todos los servicios acordados en contrato,
garantizando el cumplimiento de los compromisos y de los niveles de
servicio así como la entrega de informes, las certificaciones y
conocimiento con el que cuenta este perfil está enmarcado en:
Profesional universitario en ingeniería electrónica, de sistemas o afines.
Con especialización en gerencia de proyectos. Experiencia de dos (2)
años en gerencia de proyectos de tecnología y seguridad de la
información.
Un (1) responsable líder técnico del proyecto, encargado de la gestión
interna del equipo de trabajo a nivel técnico y metodológico.
Responsable por la validación de la calidad de los entregables y el
trabajo realizado. las certificaciones y conocimiento con el que cuenta
este perfil está enmarcado en, EC-Council Certified Ethical Hacker
(CEH v8), Auditor Líber ISO/IEC 27001:2013 y Certified SCADA
Security Architect (CSSA), Con cinco (5) años experiencia de
profesional en seguridad de la información
Un (1) consultor de seguridad sénior: Encargado de la revisión de la
implementación de la solución propuesta de acuerdo a las fases
anteriormente descritas, las certificaciones y conocimiento con el que
cuenta este perfil está enmarcado en: Auditor interno ISO27001, EC-
Council Certified Ethical Hacker, Con 3 años experiencia de profesional
en seguridad de la información
Este personal debe ser puesto a consideración de la EEP en su oferta,
incluyendo toda su experiencia y su nivel académico, debidamente
certificados. Las hojas de vida que no presenten los soportes solicitados no
serán tenidas en cuenta en la calificación.
No se autoriza la subcontratación ni tercerización total o parcial de personal
por parte del Oferente, así mismo, se deberá tener especial preocupación por
la idoneidad del personal que asigne a la prestación del servicio materia de
este contrato, dando cumplimiento estricto a los requisitos exigidos en cada
caso.
En todo caso, se deberá indicar en la oferta la persona responsable que se
relacionará con la EEP para la ejecución del contrato con facultades de
decisión en todos los aspectos Operativos, Administrativos y de Prevención de
Riesgo y responsable de la coordinación general de contrato y de entregar los
resultados a la EEP.
8. HERRAMIENTAS
El oferente deberá manifestar e indicar si va a disponer en todo momento de
los equipos, transporte, herramientas y todos aquellos que las buenas
prácticas del desarrollo de una actividad aconsejan, necesarios para la
correcta ejecución de todos los servicios que se contraten, dentro de los plazos
parciales y totales convenidos y presentados en la oferta.
9. EXPERIENCIA
El oferente deberá acompañar a su propuesta certificaciones de experiencia
en empresas similares o de tamaño significativo, realizando labores similares
a las del objeto de la presente invitación como mínimo en 2 trabajos
relacionados con el objeto a contratar como; Actualización o implementación
de SGSI basado en la norma ISO 27001 o en trabajos realizados o en
ejecución con la implementación del acuerdo CNO 788. Cuando se trate de un
"Consorcio” se tendrá en cuenta la experiencia de cada uno de los Integrantes.
10. ASPECTO ECONÓMICO
El PROPONENTE debe presentar la propuesta económica indicando los
valores ofertados los cuales deberán cubrir los costos directos e indirectos
requeridos para cumplir con el objeto de la invitación, lo que implica que:
Para todos los efectos legales, en caso que los precios de la oferta no
desagreguen el valor del IVA, éste se entenderá incluido en la misma.
Se deben incluir los valores unitarios, sin embargo en la evaluación se
tendrá en cuenta únicamente el valor final de la oferta.
En razón a todo lo anterior, queda entendido que todos los gastos que
demande la ejecución de los trabajos a que se refiere la presente
invitación, durante todo el tiempo de ejecución del contrato serán
asumidos por el oferente a quien se le adjudique el contrato; la EEP no
tendrá más obligación que la de pagar los precios convenidos.
En general, se deberá incluir en la oferta todo costo relacionado con la
correcta ejecución de los trabajos especificados.
11. POLIZAS
El oferente deberá tener en cuenta al presentar su oferta que en caso que se
acuerde celebrar el contrato con él, deberá constituir para su ejecución, las
siguientes pólizas de garantía particulares en la cual debe aparecer como
beneficiario la EEP que avalen:
Garantía de Calidad y Cumplimiento.
Pago de salarios, prestaciones sociales e indemnizaciones
Responsabilidad civil Extracontractual que incluya las cláusulas de:
o Proveedor Del Servicio y Subproveedor Del Servicio
o Responsabilidad Civil Cruzada
o Gastos.
Las pólizas señaladas anteriormente, constituyen una mención genérica de los
amparos que pueden exigirse al momento de suscribir el contrato; finalmente,
el objeto, el alcance y las obligaciones que se establezcan a cada una de las
partes dentro dicho acuerdo, definirán los amparos, la vigencia y el valor
asegurado de las garantías que finalmente se exijan.
12. IMPUESTOS Y DEDUCCIONES
Serán por cuenta del oferente todos los impuestos, gastos, tasas, y derechos
que implique la constitución, ejecución y perfeccionamiento del contrato en
caso que sea favorecido. Es entendido que la EEP no está obligada a expedir
ningún certificado o a suscribir cualquier otro documento destinado a que algún
oferente obtenga exención del pago de impuestos o derecho a su cargo y
derivados del contrato.
13. FORMA DE PAGO
La EEP paga las facturas a los cuarenta y cinco (45) días previa radicación
en la oficina de central cuentas y visto bueno del interventor del contrato.
Se liquidarán por medio de Actas Parciales Mensuales, donde se cancelará
el 100 % del valor mensual.
14. SALUD OCUPACIONAL Y PREVENCIÓN DE RIESGOS
LABORALES
La EEP, establece sus políticas de salud ocupacional y seguridad industrial
bajo un marco legal, con el propósito de garantizar que todas las actividades
que se ejecuten estén libres de riesgos o impactos ambientales que puedan
dañar el entorno, la integridad física de los empleados o propiedad.
En razón y como consecuencia de lo anterior quien resulte favorecido con
fundamento en legislación Colombiana en materia de salud ocupacional,
deberá dar cumplimiento entre otras a las siguientes normas: resolución 1016
de Marzo 31 de 1989, resolución 1725 de 1993, resolución 2013 de junio 6 de
1986 emanadas por el Ministerio de Salud, decreto 1295 de Junio 22 de 1994.
Así mismo y si la EEP se lo exige, debe ajustar sus políticas de salud
ocupacional y medio ambiente a las políticas fijadas por ella, las cuales estarán
encaminadas a fomentar la prevención de los accidentes de trabajo,
promoción y protección de la salud de todos los empleados.
La EEP entregará al OFERENTE seleccionado la documentación legal y los
parámetros del sistema de gestión en seguridad y salud ocupacional que
deberá adoptar durante la ejecución del contrato.
15. ASEGURAMIENTO DE CALIDAD
El proponente debe tener en cuenta al momento de preparar su oferta las
siguientes obligaciones que aplicarán durante la ejecución del contrato:
16. OBLIGACIONES DEL CONTRATISTA RESPECTO A EL SISTEMA
DE GESTIÓN DE CALIDAD
El contratista deberá presentar el certificado vigente de su Sistema de
Gestión de Calidad para el alcance objeto de la presente invitación, y
se compromete a mantenerlo vigente durante toda la ejecución del
contrato.
El contratista deberá acoger todos los documentos que la EEP emita en
lo concerniente al Sistema de Gestión de Calidad.
El contratista será el único responsable del control de calidad de los
servicios independientemente de los controles y pruebas que efectúe o
exija la EEP por sus propios medios o por los de un tercero designado,
para estos efectos. Estos controles efectuados por la EEP, no alterarán
ni eximirán parcial ni totalmente la plena responsabilidad que
exclusivamente incumbe al contratista. De todas maneras, la EEP
permanentemente efectuará las auditorias del servicio con la finalidad
de verificar y certificar el cumplimiento del contratista con las
indicaciones, reglamentos, normativas, objetivos, metas, etc. y/o
exigencias definidas por la EEP o descritas por el plan de auditoria que
previamente ha sido aprobado por el interventor del contrato. La
auditoría se realizará en forma directa e indirecta y/o a través de
terceros.
Presentar a la Dirección de operaciones de la EEP y al gestor del
contrato un informe final que contenga la información referente a las
acciones que se hayan realizado durante la ejecución del contrato.
El contratista debe manifestar expresamente que acepta que el
cumplimiento de todas las obligaciones previstas en este documento,
es esencial para la EEP y que, por lo tanto, su inobservancia dará
derecho a la EEP para dar por terminado el contrato sin que haya lugar
a indemnización alguna a favor del contratista y sin perjuicio de las
demás sanciones que resulten procedentes.
17. ADMINISTRACIÓN DEL CONTRATO
La ejecución del servicio y el alcance del mismo, estará bajo la responsabilidad
administrativa de un líder y del control y supervisión de un interventor
designados por la EEP quienes ejercerán las funciones señaladas
internamente para cada uno de ellos, pudiendo coincidir en una sola persona
los dos. Sin embargo, ésta labor no eximirá de responsabilidad a quien resulte
elegido, en la implementación de controles, pruebas, registros, etc., que sean
necesarios para la correcta ejecución del alcance de esta invitación.
El líder en todo caso se encargará de recibir, impartir y hacer cumplir las
instrucciones que en cuanto a personal y presupuesto del contrato se refiera.
18. PRESENTACION DE OFERTAS
a. Calendario de actividades
EVENTO FECHA
Invitación
Serie de Preguntas
Respuestas publicadas en la
página Web
Recepción de Oferta
b. Requisitos y documentos de la oferta
Pueden presentar oferta todas las personas naturales o jurídicas que acrediten
competencia técnica y financiera para proveer el servicio materia de esta
invitación siempre y cuando se pronuncien expresamente sobre sus relaciones
comerciales o de parentesco con quienes ostentan la calidad de
administradores y/o colaboradores ejecutivos, directivos o sus equivalentes
dentro de la compañía, así como sobre los incumplimientos o sanciones que
le hayan sido impuestos o declarados judicialmente con ocasión de su
actividad contractual en los últimos tres (3) años.
La oferta deberá contener los documentos que a continuación se relacionan,
los cuales deberán ser presentados en el siguiente orden:
Carta de presentación debidamente firmada por el Oferente o el
representante legal, indicando dirección de correo, teléfono y correo
electrónico.
En ningún caso se suscribirá contrato que implique uso de información
privilegiada, acto de competencia o conflicto de interés, ni celebrarse
con personas jurídicas en las que alguno de sus socios se encuentre en
las condiciones referidas, salvo cuando se trate de sociedades
anónimas abiertas.
Declaración de conformidad: Declaración de haber recibido toda la
información necesaria para el estudio de la invitación a negociar y estar
conforme y conocer los términos, documentos de ésta y el reglamento
interno de contratación.
Certificado de existencia o representación legal de la persona jurídica
que presenta la correspondiente oferta con una expedición no mayor a
30 días.
Fotocopia de la cedula del representante legal y/o del oferente si es
persona natural
Fotocopia del Rut
Autorización para contratar por la EEP otorgada al representante legal
por el órgano de administración competente según estatutos de la
sociedad oferente en caso de que las características so la cuantía del
contrato así lo requiera.
Certificado vigente de su Sistema de Gestión de Calidad para el alcance
objeto de la presente invitación
Certificaciones de experiencia en empresas similares o de tamaño
significativo
Propuesta técnica
Propuesta económica
Garantía de seriedad de la oferta: el oferente deberá constituir a favor
de E.E.P. una garantía que cubra el cumplimiento de las obligaciones
derivadas de la oferta presentada, por una suma equivalente al cinco
por ciento (15%) del valor estimado de la oferta, con una vigencia igual
al plazo de validez de la misma contados a partir de la fecha de
expedición de la garantía.
Estados financieros de la sociedad o persona natural que presenta la
oferta
Copia digital de la propuesta
LUIS ESTEBAN GUERRA CARDONA
LIDER DE TI
EMPRESA DE ENERGIA DE PEREIRA S.A. E.S.P.