Está en la página 1de 3

TERMINOS DE REFERENCIA

1. DESCRIPCIN DEL SERVICIO

Requerimiento de Contratacin de una Consultora Externa para la


implementacin del Sistema de Gestin de Seguridad de la
Informacin, bajo la NTP-ISO/IC 27001:2008.
2. TERMINOS DE REFERENCIA
Inventario de los activos de informacin que soportan los subprocesos
crticos cubiertos en el alcance.
Diagnstico de la seguridad de informacin y anlisis de la brecha en
relacin a la norma NTP-ISO/ 27001:2008
Establecer y/o fortalecer los controles adecuados de seguridad de
informacin a travs de los controles seleccionados e indicadores
para la medicin efectiva de los controles.
Establecer el plan de continuidad de las Operaciones Plan de
Continuidad del Negocio con la identificacin de requerimientos de
recuperacin y sus tiempos.
Capacitacin de usuarios internos (sensibilizacin), mediante charlas
distribuidas de acuerdo a los siguientes perfiles:
o
o
o
o

Perfil de Asesores (60 minutos)


Perfil de Tcnicos y/o Administradores de TI (90 minutos)
Perfil colaborar con acceso a recursos a TI (90 minutos)
Perfil colaborar sin acceso a recursos a TI (60 minutos)

REQUISITOS PARA LA CONSULTORA


CONSULTORA

Debe de contar experiencia en la especialidad de


DOS (02) aos como mnimo en implementacin
de SGIS.
GERENTE
DE Grado de estudio Superior, con acreditacin de
PROYECTO
certificacin en gestin de proyectos de SGSI,
ISO-27001
CONSULTOR DE Profesional de Ingeniera de Sistema, Informtico
SEGURIDAD DE o
afines,
debe
acreditar
estudios
de
INFORMACIN
implementacin de SGSI ISO 27001 y 27002,
auditoria de SGSI, contar como mnimo
Certificacin en CISSP de ISC2, CISM de ISACA,
CISA de ISACA y DOS (02) aos en ejecucin de
proyectos SGSI
CONSULTOR DE Profesional
de
Ingeniera
de
Sistemas,
CAMPO
Informtica o afines, debe acreditar estudios de

Seguridad de Informtica y manejo de


herramientas de TI, debe contar con Certificacin
CISPP de ISC2, contar con experiencia de DOS
(02) aos en ejecucin de proyectos o servicio de
seguridad de la informacin
ESPECIALISTA
Profesional
de
Ingeniera
de
Sistemas,
EN SEGURIDAD Informtica o afines, debe acreditar estudios de
INFORMATICA
seguridad de la informacin, Seguridad de
informtica y manejo de herramientas TI, debe
contar con certificacin de tica de Hacker
(CEH), contar con experiencia de DOS (02) aos
en ejecucin de proyectos o servicios de
seguridad de la informacin.
ENTREGABLES

Documentacin de gestin de proyectos


o Acta de constitucin de proyecto, enunciado del alcance
o Matriz de asignacin de responsabilidades, cronograma de
proyecto
o Matriz de riesgos
o Relacin de informes del proyecto, informe s peridicos de
estado
Anlisis de brecha y riesgos
o Plan de trabajo de trabajo para cerrar las brechas entre la
situacin de la institucin y las recomendaciones de las
NTO-ISO/IEC y oportunidades de mejora.
o Diagrama de procesos definidos por la institucin
o Definicin de niveles de servicio por cada proceso
o Inventario de activos de informacin, su tasacin y
propietarios.
o Identificacin de riesgos de asociados a los procesos y la
Matriz de riesgos.
o Informe de polticas y procedimientos faltantes, segn
anlisis.
o Recomendaciones de desarrollo de proyectos por cada
dominio de la NTP-ISO/IEC 17799:2008 EDI.
o Metodologa de evaluacin de riesgos.
o Informe de anlisis de evaluacin de riesgos.
o Propuestas de acta para la aceptacin del tratamiento de
riesgos residuales.
o Plan de tratamiento de riesgos
o Cuadro de mando para SGSI
o Seleccin de controles y objetivos de control a implantar
o Declaracin de Aplicabilidad.

Seguridad de la informacin
o Plan de seguridad de Informacin
o Manual del SGSI, Norma ISO 27001:2008 SGSI y la
NTP-ISO/ICE17799:2007 EDI, definido por la consultora
o Alcance del SGSI, poltica y objetivo de seguridad,
metodologa de evaluacin de riesgos, informe de
evaluacin de riesgos, plan de tratamientos de riesgos,
declaracin de aplicabilidad y el procedimiento de control
de documentos, donde regulan como se realizan y
gestionan documentos del SGSI.
o Plan de continuidad de negocios, incluir identificacin de
procesos esenciales del alcance del SGSI, potenciales
desastres, elaboracin de estrategias de continuidad,
elaboracin de plan de reanudacin de operaciones.

Auditoria, capacitacin y documentos de cierre


o Informe de Auditoria Interna de SGSI, matriz de
cumplimiento de los procedimientos, normas, estndares y
polticas de seguridad de la informacin implantada.
o Informe final de capacitacin (sensibilizacin, auditoria y
gestin del SGSI)
o Cierre de proyectos, actas formales de cierre de proyectos
y entrega de producto.

3. Fecha

4. Sello y firma del rea responsable.