Está en la página 1de 82

INSTITUTO COSTARRICENSE DE ELECTRICIDAD

DIVISION MAYORISTA Y CORPORATIVO

LICITACIÓN ABREVIADA No. 2013LA-000101-PROV

Servicio de Asesoría y Capacitación para la Implementación y Certificación


de un Sistema de Gestión Integral, compuesto por las normas
internacionales ISO 27001:2005 e ISO 20000-1:2011, en el ICE Data Center.

APERTURA DE OFERTAS

A LAS 09:00 HORAS DEL DIA 12 DE DICIEMBRE DEL 2013

SAN JOSE - COSTA RICA

2013

1
ÍNDICE
CAPITULO I........................................................................................................................................................3
1. CONDICIONES GENERALES.................................................................................................................3
CAPITULO II.......................................................................................................................................................4
1. LICITACION ABREVIADA NO. 2013LA-000101-PROV......................................................................4
2. PRESUPUESTO:........................................................................................................................................4
3. FINANCIAMIENTO:.................................................................................................................................4
4. APERTURA DE OFERTAS:......................................................................................................................4
5. CONSULTAS Y ACLARACIONES..........................................................................................................5
6. VIGENCIA DE LAS OFERTAS................................................................................................................5
7. PRECIOS....................................................................................................................................................6
8. TIEMPO DE INICIO Y EJECUCIÓN DE LOS SERVICIOS...................................................................6
9. LUGAR DE PRESTACIÓN DE LOS SERVICIOS...................................................................................7
10. GARANTÍA DE PARTICIPACIÓN...........................................................................................................7
11. GARANTÍA DE CUMPLIMIENTO..........................................................................................................7
12. DEPOSITO DE GARANTIAS...................................................................................................................7
13. VIGENCIA DE LA GARANTÍA DE LOS SERVICIOS...........................................................................8
14. MODALIDAD Y FORMA DE PAGO.......................................................................................................8
15. ESTUDIO DE OFERTAS Y ADJUDICACIÓN.........................................................................................9
16. CLÁUSULA PENAL O MULTAS.............................................................................................................9
17. SISTEMA DE VALORACIÓN Y COMPARACIÓN...............................................................................10
18. REAJUSTE Y REVISIÓN DE PRECIOS................................................................................................11
19. CANTIDAD DE OFERTAS.....................................................................................................................12
20. CLÁUSULA DE DESCUENTOS............................................................................................................12
21. RECEPCIÓN DE LOS SERVICIOS........................................................................................................13
22. SEGUROS Y CONTROL DE RIESGOS.................................................................................................14
CAPITULO III...................................................................................................................................................17
OBJETIVO GENERAL.....................................................................................................................................18
REQUERIMIENTO...........................................................................................................................................18
ESPECIFICACIONES TÉCNICAS...................................................................................................................19
1. ITEM 1: ASESORÍA PARA LA IMPLEMENTACIÓN Y CERTIFICACIÓN DE UN SISTEMA DE
GESTIÓN INTEGRADO QUE CUMPLA CON LOS REQUISITOS DE LAS NORMAS ISO 27001 E ISO
20000-1...............................................................................................................................................................19
2. ITEM 2: CAPACITACIÓN EN AUDITOR INTERNO E IMPLEMENTADOR DE LAS NORMAS ISO
27001 E ISO 20000-1.........................................................................................................................................29
3. ITEM 3: PASANTÍA Y CERTIFICACIÓN EN LAS NORMAS ISO 27001 Y CERTIFICACIÓN
INTERNACIONAL EN LA NORMA ISO 20000-1..........................................................................................40
Anexos ...............................................................................................................................................................50

2
CAPITULO I
CONDICIONES GENERALES

1. CONDICIONES GENERALES

Regirán las condiciones publicadas en la Gaceta No. 164 del 26 de agosto de


2011, así como la modificación publicada en la Gaceta No. 173 del 8 de setiembre
de 2011 y No 94 del 16 de Mayo del 2012.

Las ofertas deben presentarse en original y tres copias, así como los respectivos
timbres indicados en las Gacetas anteriores.

El pliego de condiciones puede ser adquirido en la Proveeduría del ICE, sita 450 m
Norte del Edificio Central de Sabana Norte, en el Área de Expedientes y Garantías
o accederlo en la siguiente dirección electrónica: www.grupoice.com/PEL

Esta licitación se rige por la Ley 8660 Fortalecimiento y Modernización de las


entidades públicas del sector de telecomunicaciones y su Reglamento al Título II.

3
CAPITULO II
CONDICIONES PARTICULARES

El Instituto Costarricense de Electricidad, que en lo sucesivo se denominará ICE,


EMPRESA-ENTE PÚBLICO de la República de Costa Rica, domiciliado en San
José y con cédula jurídica No. 4-000-042139-02, invita a participar en la Licitación
Abreviada Nº 2013LA-000101-PROV para la contratación de “Servicio de
Asesoría y Capacitación para la Implementación y Certificación de un
Sistema de Gestión Integral, compuesto por las normas internacionales ISO
27001:2005 e ISO 20000-1:2011, en el ICE Data Center ”

La presente contratación no está cubierta por el TLC Republica Dominicana,


Centroamérica y Estados Unidos de América y el TLC con México.

INVITACION A CONCURSAR:

1. LICITACION ABREVIADA No. 2013LA-000101-PROV

2. PRESUPUESTO:

El presupuesto estimado de esta contratación es de, 420 000,00 USD


desglosados de la siguiente forma:

260.000,00 USD, año 2014


120.000,00 USD, año 2015
40.000,00 USD, año 2016

3. FINANCIAMIENTO:
La presente adquisición será financiada con fondos ICE.

4. APERTURA DE OFERTAS:

El Instituto Costarricense de Electricidad, recibirá ofertas hasta las 09:00 horas del
día 12 de diciembre del 2013.

La oferta será entregada en sobre cerrado en la Proveeduría del ICE, sita en Sabana
Norte, 400 m norte de la esquina este de las Oficinas Centrales, antes de la hora
señalada para el acto de apertura de ofertas, con la siguiente leyenda:

4
INSTITUTO COSTARRICENSE DE ELECTRICIDAD
LICITACIÓN ABREVIADA No. 2013LA-000101-PROV

Servicio de Asesoría y Capacitación para la Implementación y


Certificación de un Sistema de Gestión Integral, compuesto por las
normas internacionales ISO 27001:2005 e ISO 20000-1:2011, en el
ICE Data Center

5. CONSULTAS Y ACLARACIONES

Las consultas y aclaraciones relativas a esta licitación deberán realizarse por carta o
facsímil (FAX), a la siguiente dirección, con copia a la dependencia usuaria
mencionada posteriormente en el punto b:

a) CARTA:
Instituto Costarricense de Electricidad.
Apdo. 10032-1000,
San José, Costa Rica.
Licitación Abreviada No. 2013LA-000101-PROV
Atención Proveeduría

b) FAX:
(506) 2220-8163 y (506) 2220-8160
Apdo. 10032-1000,
San José, Costa Rica.
Licitación Abreviada No. 2013LA-000101-PROV
Atención Proveeduría

DEPENDENCIA USUARIA

Oficina: Área Gestión Empresarial


División Mayorista y Corporativo
Número telefónico: 2000-9175.
Administrador de Contrato: Royner Perez Miranda
Correo electrónico: rperezm@ice.go.cr

6. VIGENCIA DE LAS OFERTAS

La vigencia de las ofertas deberá ser de 60 días hábiles a partir de la fecha de la


apertura de ofertas.

5
7. PRECIOS

7.1. Los precios deben ser totales, firmes y definitivos y se deberá ofertar el
precio de cada uno de los ítems por separado según se indica:

7.1.1. Para el ITEM 1 se deberá ofertar por hora profesional de asesoría y


total de horas para una cantidad estimada de 2000 horas.
7.1.2. Para el ITEM 2 se deberá ofertar por participante y total de
participantes, para cada uno de los 4 cursos. Cada curso tendrá una
cantidad de 15 participantes.
7.1.3. Para el ITEM 3 se deberá ofertar por participante y total de
participantes, de forma separada la pasantía y la certificación, los
cuales tendrán una cantidad de 4 personas en total.

7.2. El oferente deberá ofertar el requerimiento completo (los tres ítems), no se


aceptarán ofertas parciales.

7.3. La oferta deberá indicar por separado todos los impuestos que le afecten,
de no hacerlo se le aplicará el articulo N° 26 del Reglamento a la ley 8660
de Fortalecimiento y Modernización de las Entidades Públicas del Sector
de Telecomunicaciones.

8. TIEMPO DE INICIO Y EJECUCIÓN DE LOS SERVICIOS

El plazo de esta contratación será de treinta meses a partir de la notificación de la


orden de servicio.

El inicio de cada servicio será de la siguiente forma:

8.1. Ítem 1: La asesoría deberá iniciar 10 días hábiles después de notificada la


orden de servicio y contemplará la entrega de las 4 fases en un periodo de
30 meses según se indica a continuación:

6
8.2. Ítem 2 : La capacitación (cursos) deberá iniciar en un plazo no mayor a 20
días hábiles después de notificada la orden de servicio. La programación
de los cuatro cursos se realizará de común acuerdo con el Administrador
de Contrato y no podrán ser ejecutados de forma simultánea. El plazo
máximo para la finalización del servicio de todos los cursos será de cuatro
meses a partir de su inicio.

8.3. Ítem 3: La pasantía y certificación del personal debe iniciar previa


coordinación con el Administrador del Contrato y deberá ser realiza en un
plazo máximo de doce meses después de notificada la orden de servicio.

9. LUGAR DE PRESTACIÓN DE LOS SERVICIOS

9.1. La asesoría se brindará en la Torre de Telecomunicaciones o bien en el


ICE Data Center en Guatuso de Cartago a criterio del ICE.

9.2. Las instalaciones en donde se brinde la capacitación (ítem 2) deberá


ubicarse en un sitio a convenir con el Administrador de contrato, y dentro
del área metropolitana, San José, Costa Rica.

9.3. El oferente deberá indicar en su oferta el sitio propuesto para realizar la


pasantía y certificación. El lugar de la pasantía podrá ser a nivel Nacional
o Internacional siempre y cuando se cumpla con los requisitos establecidos
en este cartel, en caso de ser Internacional, deberá programarse la
ejecución del ítem 3 en el mismo viaje.

10. GARANTÍA DE PARTICIPACIÓN

La garantía de participación será por un monto del 1% del valor total cotizado y
con una vigencia no menor de 4 meses, contados a partir de la apertura de las
ofertas.

11. GARANTÍA DE CUMPLIMIENTO

La garantía de cumplimiento será por un monto del 10% del valor total adjudicado,
con una vigencia mínima de 30 meses, contados a partir de la firmeza del acto de
adjudicación.

12. DEPOSITO DE GARANTIAS

Cuando las garantías de participación y de cumplimiento se rindan por medio de


un depósito de dinero en efectivo, deberán ser depositadas en la (s) siguiente (s)
cuenta (s):

7
Cuadro de cuentas para depósitos de garantías a favor del ICE en el Banco de
Costa Rica.

SECTOR US $ DÓLARES COLONES ¢


COSTARRICENSES
TELECOMUNICACIONES 192916-0 192915-1

13. VIGENCIA DE LA GARANTÍA DE LOS SERVICIOS

13.1. El servicio debe estar garantizado en calidad y eficiencia durante


todo el período de ejecución, debiendo el contratista cumplir con la
totalidad de los compromisos adquiridos.

13.2. En caso de incumplimientos en los cursos, el contratista deberá


garantizar que repetirá el curso por su cuenta y riesgo.

13.3. El contratista debe garantizar que todos los subprocesos y


procedimientos que se encuentran involucrados dentro del alcance del
Sistema de Gestión Integral del ICE Data Center (IDC), estarán apegados
conforme a la norma ISO 27001:2005 e ISO-20000-1:2011 mediante la
revisión y realización de observaciones para mejora.

13.4. Como parte de la Garantía de los servicios, el contratista deberá


acompañar al ICE para corregir las no conformidades que se detecten en la
auditoría de certificación que realiza el Ente Certificador; para ello el ICE
realizará un análisis de las no conformidades y determinará con base en las
ordenes de trabajo, si existe responsabilidad por parte del contratista. En
caso de que se determine que la certificación no se logró por motivos
imputables al contratista, este deberá corregirlas y cubrir los costos
asociados a una segunda solicitud de certificación, posterior a esto se
liberará al contratista de toda responsabilidad en caso de que luego de dos
intentos no se logre la certificación.

14. MODALIDAD Y FORMA DE PAGO

El pago se realizara mediante giro a la vista, a un mes plazo posterior a la


presentación y recibo a conformidad de la factura por parte del ICE, y se llevará a
cabo de la siguiente forma:

14.1. Ítem 1, el pago por este ítem, se realizará por trimestre vencido y se
facturará la cantidad de horas profesionales recibidas a satisfacción del
ICE con corte los días 30 del último trimestre. Para la Fase 4 la cantidad de
horas profesionales recibidas a conformidad se cancelarán al finalizar
dicha fase.

8
14.2. Ítem 2, el pago de este ítem, se realizará por curso una vez que se
reciba a satisfacción y se emita el Acta de Aceptación Parcial por parte del
Administrador de Contrato.

14.3. Ítem 3, el pago por este ítem se realizará, una vez que se reciba a
satisfacción el servicio brindado por persona (pasantía y certificación) y se
emita el Acta de Aceptación Parcial por parte del Administrador de
Contrato.

El oferente deberá inscribirse en la División de Finanzas institucional, aportando


toda la información y completando los formularios que para tal efecto brinda esa
dependencia del ICE. Estos formularios se suministran en el anexo 4.

Alternativamente el oferente podrá presentar otras formas de pago, a lo cual el


ICE se reserva el derecho de aceptar, siempre y cuando lo considere conveniente
a sus intereses.

15. ESTUDIO DE OFERTAS Y ADJUDICACIÓN

El ICE resolverá el presente concurso dentro de los 40 días hábiles contados a


partir de la fecha de finalización de la recepción de ofertas. El ICE se reserva el
derecho de prorrogar este plazo en caso de considerarlo necesario.

16. CLÁUSULA PENAL O MULTAS

16.1. Si existiera atraso en el inicio y finalización de la prestación del


servicio o de las fases de acuerdo con las condiciones del cartel, y de lo
coordinado con el ICE, el contratista deberá pagar al ICE por concepto de
cláusula penal el 0.6% del valor del ítem que integra la parte incumplida
por cada día natural en que persista el atraso.

16.2. Igualmente si existe una defectuosa ejecución del objeto contratado,


el contratista deberá pagar al ICE por concepto de multa la suma de 0.5%
del valor del ítem que integra la parte incumplida por cada día natural en
que persista la condición.

16.3. El valor porcentual de la sanción será como máximo el 25%. La


aplicación de esta cláusula es conforme al artículo No.41 del Reglamento
a la Ley 8660.

16.4. En caso de que el objeto esté compuesto por líneas distintas, el


monto máximo para el cobro de multas se considerará sobre el valor de
cada una y no sobre la totalidad del contrato.

9
16.5. El cobro de las multas y/o cláusula penal podrá hacerse con cargo a
las retenciones del precio, que se hubieran practicado y los saldos
pendientes de pago. En caso de que ninguna de esas dos alternativas
resulte viable, se podrá ejecutar la garantía de cumplimiento hasta por el
monto respectivo.

16.6. Se hará acreedor de cobro de multa por defectuosa ejecución, el


contratista que incurra en los siguientes supuestos:

 Se considerará que existe defectuosa ejecución si la pre-


auditoría que realice el ente Certificar identifica no conformidades
del Sistema atribuibles a las órdenes de trabajo ejecutados por el
contratista. En caso de que las no conformidades obedezcan a
errores u omisiones del ICE no se aplicará esta cláusula.

 Si luego de aplicar la evaluación de la capacitación establecida


en el capítulo 3, punto 2.10.2 - c se obtiene una calificación igual
o menor a 70 se debe repetir el curso, y si el contratista incurre
nuevamente en dicha falta se aplicará la cláusula 16.2.

16.7. El Administrador del contrato no gestionará el cobro de multa y/o


cláusula penal, únicamente en el caso de que el incumplimiento del
contratista obedezca a motivos de caso fortuito, fuerza mayor o culpa de la
Administración debidamente comprobadas y se haya seguido lo
establecido en los artículos 176 y 177 el reglamento al Título II de la Ley
8660.

16.8. En caso de que por causas ajenas al contratista o bien imputables a


la Administración ICE, éste no pueda realizar en el plazo estipulado el inicio
del servicio contratado, podrá solicitar prórroga dentro de los 10 días
hábiles siguientes al conocimiento del hecho que provoca la solicitud de
prórroga, aportando para ello la prueba en la que se sustenta, la cual
deberá ser analizada por la Administración ICE.

17. SISTEMA DE VALORACIÓN Y COMPARACIÓN

17.1. Se utilizará el sistema de evaluación cien por ciento (100%) precio y


se adjudicará a la oferta de menor precio en la sumatoria de los tres ítems
y que cumpla legal y técnicamente.

17.2. El oferente deberá entregar de forma completa toda la información


técnica solicitada en las especificaciones técnicas del cartel. Esta
información es necesaria para la valoración y comparación de las ofertas.

10
18. REAJUSTE Y REVISIÓN DE PRECIOS

Con el fin de garantizar el mantenimiento del equilibrio económico del contrato, el


contratista podrá presentar reajustes o revisiones de precio en aquellos casos que
corresponda, aplicando la siguiente fórmula:

Dónde:

PV: Precio Variado


PC: Precio Cotizado o último reajustado
MO: Porcentaje de Mano de Obra
iMOtv: índice de Mano de Obra al momento de la variación
iMOtc: índice de Mano de Obra al momento de la Cotización o último reajuste
I: Porcentaje de Insumos
iItv: índice de Insumos al momento de la variación
iItc: índice de Insumos al momento de la Cotización o último reajuste
GA: Porcentaje de Gastos Administrativos
iGAtv: índice de Gastos Administrativos al momento de la variación
iGAtc: índice de Gastos Administrativos al momento de la Cotización o último
reajuste
U: Utilidad

Índices de precios

Mano de Obra: Índice de Salarios Mínimos Nominales: Servicios del Banco Central
de Costa Rica.
Insumos: Índice de Precio de Servicios del Banco Central de Costa Rica.
Gastos Administrativos: Índice de Precios al Consumidor del Instituto Nacional de
Estadística y Censos.

Estructura de Precios

Los oferentes deberán indicar en su oferta la estructura de precios de los precios


ofertados donde se detalle al menos lo siguiente:
Mano de Obra
Insumos
Gastos Administrativos
Utilidad

En caso de que la administración considere que no es razonable la estructura de


precios presentada, podrá solicitar un desglose detallado del precio según lo
indicado en el artículo 26 del Reglamento de la Ley de Contratación Administrativa

11
En reajustes de tipo excepcional en dólares, el contratista deberá presentar un
estudio económico financiero y toda la prueba documental que sea necesaria para
demostrar el desequilibrio del contrato.

19. CANTIDAD DE OFERTAS

En el presente concurso se aceptarán un máximo de 1 oferta alternativa y la


garantía de participación será por el monto más alto de las ofertas.

20. CLÁUSULA DE DESCUENTOS

20.1. Una vez efectuado el análisis de ofertas, el Área Técnica


responsable de la evaluación de las ofertas, confeccionará un cuadro
comparativo de precios de las ofertas que cumplan legal y técnicamente y
solicitará a la Proveeduría comunicar a los representantes con capacidad
legal suficiente de las tres primeras en precio. La dependencia técnica
deberá presentar su solicitud ante la Proveeduría dentro del plazo
establecido por la misma para los procedimientos de contratación.

20.2. La Proveeduría citará a los primeros tres proponentes elegidos


técnica y legalmente, concediéndole un plazo de 5 días hábiles y fijando la
fecha y hora para presentar en sobre cerrado, el descuento a su oferta sin
que se afecten los demás términos de la propuesta efectuada. Deberá
dejar constancia en el expediente de la invitación realizada vía fax, correo
electrónico o página WEB de la Proveeduría.

20.3. En caso de que solo sea elegible una empresa, se procederá a una
negociación directa con el oferente.

20.4. El documento de descuento deberá ser presentado en sobre cerrado


siempre y cuando se realice hasta la fecha límite fijada al efecto
debidamente identificado con la siguiente leyenda:

 Oferta de descuento
 Nº de Licitación Abreviada
 Fecha de presentación
 Nombre de la firma

20.5. En la convocatoria de descuento estarán presentes por parte del ICE


el Coordinador de Contratación Administrativa de la dependencia
respectiva y un representante de la Proveeduría.

20.6. El representante de la Proveeduría levantará un acta donde se


anotará la lista de participantes en el acto presencial y el nombre de la
empresa que representa.

12
20.7. El representante de la Proveeduría procederá a leer en voz alta ante
los presentes los alcances de la propuesta de descuento y la incluirá en el
acta que se levanta al efecto.

20.8. Se firmará el acta de descuento por los participantes del ICE y por
aquellos representantes de las compañías directamente interesados que
así lo soliciten.

20.9. El descuento debe estar exento de condicionamientos para que sea


sujeto de aceptación.

20.10. No se aceptarán propuestas de descuento que no hubiesen sido


presentadas en la audiencia fijada por la Proveeduría del ICE al efecto.

21. RECEPCIÓN DE LOS SERVICIOS

21.1. Recepción Provisional de los Servicios

21.1.1. Para el caso del ITEM 1, el Administrador del Contrato emitirá


un acta de aceptación parcial por cada fase, para lo cual dispondrá de
10 días hábiles de tiempo a partir de la finalización de la fase
respectiva. El contratista deberá realizar un informe de ejecución del
servicio posterior a la finalización de cada fase según programa de
trabajo acordado en el capítulo 3, punto 1.17.1 – e. Dicho documento
contendrá el avance en el programa de trabajo, los entregables
cumplidos y las conclusiones. En caso de existir pendientes, deberán
de especificarse en dicho informe, indicando cuales son y el tiempo en
que se finalizarán.

21.1.2. Para el caso del ITEM 2, el Administrador del Contrato emitirá


una acta de aceptación parcial cuando haya recibido a satisfacción del
ICE la finalización de cada curso, para lo cual dispondrá de 10 días
hábiles de tiempo a partir de la finalización de cada curso.

21.1.3. Para el caso del ITEM 3, el Administrador del Contrato emitirá


una acta de aceptación parcial cuando haya recibido a satisfacción del
ICE la finalización de cada pasantía y certificación por persona, para lo
cual dispondrá de 10 días hábiles de tiempo a partir de que se finalice
la pasantía y la certificación.

21.2. Recepción Definitiva de los Servicios

El ICE realizará la recepción definitiva del presente objeto contractual


mediante una acta de aceptación final, una vez que se encuentren
ejecutados y aceptados a satisfacción todos los ITEMS, para lo cual
dispondrá de 10 días hábiles de tiempo a partir de la finalización de la fase
D, del ítem 1.
13
22. SEGUROS Y CONTROL DE RIESGOS

22.1. Seguros y administración del riesgo.

22.1.1. El contratista deberá suscribir con una entidad aseguradora,


registrada ante la SUGESE, una Póliza de Riesgos del Trabajo que
cubra a todo el personal empleado para atender los compromisos
derivados de esta licitación.

22.1.2. El presente contrato no origina relación laboral alguna entre el


ICE y los empleados del contratista y sus subcontratistas. Por tal
motivo, corresponderá al contratista el pago de pólizas y en general
respetar todos los derechos laborales y disposiciones en materia de
riesgos de trabajo que le corresponden al personal a su cargo,
debiendo cumplir en todos los casos como mínimo con las garantías
laborales consagradas en la legislación vigente, tales como: Cuotas del
Seguro Social, Riesgos del Seguro Social, Riesgos Profesionales y
Relaciones Obrero Patronales.

22.1.3. El contratista debe presentar al Administrador del Contrato en


forma mensual y por lo que dure el contrato una copia de la planilla del
personal que realiza las labores estipuladas por el presente cartel,
presentadas ante la CCSS y la entidad aseguradora indicad en el
punto 22.1.1., debidamente selladas como recibidas o mediante
documentos emitidos por estas Instituciones.

22.1.4. Cualquier daño sea directo (bienes ICE) o a un tercero donde


se compruebe la responsabilidad del contratista, este deberá resarcir la
pérdida en un 100%.

22.2. Confidencialidad de la información

22.2.1. El contratista estará obligado a firmar dentro de los primeros 5


días hábiles a partir de la notificación de la orden de servicio, un
Acuerdo de Confidencialidad con la Institución para proteger los
intereses de la Seguridad de la información del ICE , el cual se
encuentra en el anexo 3.

22.2.2. El ICE conservará en su totalidad el derecho de propiedad


sobre los documentos, escritos, diseños, material de informática,
plantillas, modelos, conceptos, metodologías y procedimientos internos
que comunique al Contratista y/o que ponga a su disposición en el
desarrollo del contrato; el Contratista no podrá utilizarlos para fines
diferentes a los relacionados con la ejecución del contrato, sin la
autorización expresa y por escrito del ICE.
14
22.2.3. Toda información básica, criterios, procedimientos, informes,
memorias de trabajo, archivos, programas de software, material de
informática y/o técnicas especiales que se elaboren por el Contratista
en virtud del contrato, deberán ser entregados al ICE en medios y
formatos compatibles con las herramientas que éste posee, y pasarán
a ser propiedad del ICE, quien podrá utilizarlos, divulgarlos o
reproducirlos en la forma y para los fines que estime convenientes. El
Contratista no podrá utilizarlos para fines diferentes a los relacionados
con el contrato sin la autorización previa escrita del ICE.

22.2.4. Toda la información del ICE a la cual tenga acceso el


Contratista durante el desarrollo del contrato, acerca de los
procedimientos internos del ICE, sus instalaciones, activos y/o
cualquier otra información puesta a disposición del contratista, sea esta
gráfica, escrita o hablada y/o en cualquier medio, deberá ser
considerada como confidencial por el contratista y utilizada únicamente
para efectos del contrato. Al finalizar el contrato, el contratista deberá
devolver cualquier información de este tipo que el ICE le haya
entregado.

22.2.5. El Contratista no podrá utilizar información del ICE para


promocionar su producto en otras empresas u organizaciones.

22.3. Medidas de Seguridad.

22.3.1. El contratista deberá acatar todas aquellas recomendaciones


que el personal del ICE o el personal responsable de las instalaciones
le indiquen dirigidas a la reducción y control de riesgos, durante las
labores desarrolladas.

22.3.2. El ICE se reserva el derecho de revisar, cuando lo considere


conveniente, a los empleados del contratista a la entrada o salida de
las instalaciones.

22.3.3. El acceso a las instalaciones de la Institución será definido por


el ICE de acuerdo a las condiciones existentes en el lugar de trabajo.
El personal del contratista deberá acatar las disposiciones establecidas
en el Protocolo de Seguridad de cada sitio del ICE.

22.3.4. El ICE no será responsable por la pérdida de materiales o


artículos del contratista o de los funcionarios contratados por este,
dentro de las instalaciones en donde se realicen las labores, por lo
cual, el contratista y su personal deberán tomar las medidas de
seguridad necesarias para salvaguardar sus pertenencias.

15
22.4. Sustitución de personal del contratista.

22.4.1. El ICE puede exigir que se remueva a cualquier persona o


personas empleadas por el contratista que a juicio del ICE no se
comporten y vistan debidamente, sean incompetentes, negligentes o
se nieguen a obedecer instrucciones.

22.4.2. En el caso de separación de personal por indicación del ICE,


el contratista asume las responsabilidades laborales correspondientes.
Si el contratista mantiene al trabajador brindando el servicio o lo
reinstala sin el consentimiento del ICE, éste puede disponer de los
pagos vencidos o por vencerse y detener el trabajo hasta que el
contratista cumpla con la orden dada; sin que estos días puedan
computarse como causa de atraso justificada para el ICE.

16
CAPITULO III
REQUERIMIENTO Y ESPECIFICACIONES TÉCNICAS

17
Objetivo General

El objetivo general que se pretende con esta contratación es lograr la certificación


del Sistema de Gestión Integral conformado por las normas ISO 27001 e ISO
20000-1 para el ICE Data Center en un plazo máximo de 30 meses contados a
partir del día hábil siguiente a la notificación de la orden de servicio y con ello
satisfacer la necesidad de ICE en ofrecer a clientes empresariales servicios de
tecnologías de información con altos niveles de calidad y seguridad, operando
bajo esquemas de certificación internacional otorgada por una entidad acreditada
para las acciones y reconocida en el ámbito de mercado apropiado a los intereses
de la institución.

Requerimiento

El requerimiento se indica en la siguiente tabla:

Material
Monto
Químic Obj.
Ítem Cantidad Unidad Código Descripción estimado
o Gasto
USD

Asesoría para
la
implementación
y certificación
de un sistema
de gestión
996991 no
1 1.00 ser integrado que 336.000,00 084
00000
cumpla con los
requisitos de
las normas ISO
27001 e ISO
20000-1

Capacitación
en auditoría e
implementación
998179
2 1 de las normas no 24.000,00 084
ser 00000
ISO 27001 e
ISO 20000-1.

18
Material
Monto
Químic Obj.
Ítem Cantidad Unidad Código Descripción estimado
o Gasto
USD
Pasantía y
Certificación en
la norma ISO
995967 27001 y en la
3 1 ser no 084
00000 norma ISO 60.000,00
20000-1.

Especificaciones Técnicas

23. ITEM 1: Asesoría para la implementación y certificación de un sistema


de gestión integrado que cumpla con los requisitos de las normas ISO
27001 e ISO 20000-1

23.1. La Elaboración de los Entregables: Los entregables son


responsabilidad del equipo de trabajo que el ICE nombre para estos
efectos, a excepción de aquellos donde se especifique la
responsabilidad única del contratista. Estos documentos son
producto del acompañamiento, guía y apoyo de los asesores
suministrados por el contratista, los cuales brindan la guía
metodológica, la atención de consultas, el acompañamiento en las
sesiones de trabajo, la revisión de documentos y emisión de
observaciones, actividades de comunicación y sensibilización,
asesoría en documentos, modelos, registros, evaluaciones y
auditorias requeridas por el personal del ICE para cumplir con los
requisitos de las normas ISO 27001 e ISO 20000-1.

23.2. Los entregables de la fase A son:


a) Informe de resultados de la evaluación Inicial de Madurez del IDC en ambas
Normas.
b) Programa de Trabajo detallado para complementar el grado de madurez
necesario para la certificación.
c) Alcance y Política del Sistema de Gestión Integral
d) Plan de Comunicación y Sensibilización
e) Informe de lo Implementado en Plan de Comunicación y Sensibilización
f) Metodología de Riesgos Validada
g) Análisis y evaluación de Riesgos
h) Declaración de aplicabilidad

19
i) Plan de Tratamiento de Riesgos

23.3. Los entregables de la Fase B son:

a) Manual del Sistema de Gestión Integral


b) Políticas del Sistema de Gestión
c) Mapa de Procesos
d) Manual de Roles y Responsabilidades
e) Procesos y las Guías de Procesos
f) Manuales, Protocolos, Procedimientos, , Instrucciones de Trabajo, Registros
y Formularios
g) Métricas de los Procesos y las métricas de los controles seleccionados para
la implementación
h) Controles de Seguridad
i) Planes Respectivos (Gestión de Servicio, Continuidad de Negocio,
Capacidad, Disponibilidad, de mejora continua y demás planes requeridos a
fin del cumplimiento de ambas normas)
j) Plan de Auditoría anual

23.4. Los entregables de la Fase C son:

a) Plan de preparación para la certificación


b) Informe de Resultados de las Auditorías Internas del Sistema de Gestión
c) Informe de Revisiones Gerenciales
d) Informe de recomendación sobre el Ente Certificador Internacional

23.5. Los entregables de la Fase D son:

a) Informe de Resultados de la Auditoría inicial de Certificación


b) Plan de Acciones correctivas y preventivas.
c) Informe de aplicación de acciones correctivas y preventivas.

23.6. El contratista debe cumplir con el anexo 2, con respecto a las


pruebas de aceptación y los entregables.

20
23.7. Metodología: La metodología usada por los asesores, deberá ser
ajustada con base en las mejores prácticas de la industria tales
como: ISO-20000, ISO-27000, ITIL, COBIT, Gestión de Proyectos del
PMBOK y a los requerimientos del grupo de trabajo, de tal forma que
se cumpla con el objetivo de esta contratación. La aplicación será por
medio de sesiones de trabajo con el equipo de profesionales
asignado por la División Mayorista a través del método “aprender
haciendo”. Los documentos serán presentados en los formatos
establecidos por el ICE, en caso de considerarlo necesario, el
contratista podrá realizar propuestas de cambio.

23.8. El asesor del contratista debe comprometerse a firmar los


documentos necesarios durante la gestión de la asesoría, tales como
las ordenes de trabajo por ejecutar, los informes de avances, minutas
o actas de reuniones, bitácoras de trabajo, asistencia a instalaciones,
solicitudes de control de cambios, aceptación de servicios, entre
otros.

23.9. El asesor del contratista debe brindar acompañamiento al grupo de


trabajo del ICE en la ejecución de las actividades de planeación,
diseño e implementación y verificación de un Sistema de Gestión
Integral conformado por el Sistema de Gestión de la Seguridad de la
Información (SGSI), el cual deberá ser certificable bajo la Norma ISO
27001:2005 y el Sistema de Gestión de Servicios de Tecnologías de
Información (SGSTI), el cual deberá ser certificable bajo la Norma
ISO-20000-1:2011.

23.10. Se debe documentar y desarrollar el Sistema de Gestión Integral


para la gestión de los servicios del ICE Data Center, los cuales
comprenden la gama de servicios de Colocation y la gama de
servicios de Hosting, fundamentando en su caso, las exclusiones de
aquellos requisitos que dada su naturaleza, pudieran no ser
aplicables. Para garantizar la experiencia del oferente se deberá
presentar documentación que demuestre su experiencia en la
realización de soluciones integrales de seguridad y gestión de
servicios según lo establecido en esta contratación.

23.11. El oferente presentará con su oferta, el nombre de las empresas y


contacto (Teléfono y email) en las que ha implementado este tipo de
soluciones en los últimos dos años. Según el siguiente cuadro.

21
Nombre Nombre Email Teléfono Norma ISO Periodo de
del cliente del implementada implementación
contacto

23.12. El contratista deberá asignar como mínimo una persona por norma
para ejecutar el servicio de Sistema de Gestión Integral conformado
por las normas ISO 27001:2005 e ISO-20000-1:2011.

23.13. Los asesores que asigne el contratista para ejecutar este servicio
deberá contar con los siguientes requisitos:

a) Poseer certificación vigente reconocida internacionalmente en alguno de los


siguientes roles: Implementador o auditor para la Norma ISO 27001 y la
Norma ISO 20000
b) Tener experiencia en al implementación de sistemas de gestión de la Norma
ISO 27001 y la Norma ISO 20000
c) El oferente deberá presentar con su oferta las referencias que hagan constar
la experiencia en asesoría de al menos los últimos 3 años según la siguiente
tabla:

Empresa Nombre del Teléfono y Normas ISO Rol Tiempo


Contacto email Trabajadas Ejecutado Ejecución
de la
Empresa

22
23.14. El oferente deberá comprobar que cuenta con personal calificado
según lo indicado en el punto anterior, para lo cual deberá presentar
con su oferta, el currículo, copia certificada de los atestados y las
certificaciones vigentes de su personal.

23.15. La relación del asesor del contratista y el equipo de implementación


del ICE será constante, realizando al menos dos reuniones
mensuales presenciales, ya que esto permitirá minimizar las
desviaciones que puedan ocurrir con respecto a la planificación. Así
mismo, a solicitud del ICE podrá realizarse reuniones con
periodicidad semanal o quincenal, ya sea presenciales o remotas
para permitir una flexibilidad e inmediatez muy alta para la resolución
de dudas.

23.16. Para la implementación integrada de ambas normas se debe tomar


en cuenta el contenido de la norma ISO/IEC 27013 - Guideline on
the integrated implementation of ISO/IEC 20000-1 and ISO/IEC
27001. Por otro lado, debido al propio negocio del IDC se combinará
la utilización de las siguientes normas de la familia ISO 27000, según
se considere más adecuado en cada momento:
24. ISO/IEC 27002 - Code of practice for information security management
25. ISO/IEC 27005 - Information technology — Security techniques —
Information security risk management.
26. ISO/IEC 27006:2011 Information technology -- Security techniques --
Requirements for bodies providing audit and certification of information
security management systems.
27. ISO/IEC 27011 - Information security management guidelines for
telecommunications organizations based on ISO/IEC 27002
De igual modo, se podrá utilizar cualquier otra norma que se considere
conveniente, con el fin de facilitar la implementación integrada del Sistema de
Gestión.

27.1. A continuación se describen los alcances que se debe ejecutar en


cada una de las etapas:

27.1.1. Fase A: Planificación:

a) Esta etapa será fundamentalmente realizada por el contratista para la


planificación del trabajo que permita alcanzar la certificación del Sistema de
Gestión Integral.

23
b) El ICE definirá el líder y los participantes que integraran el grupo de trabajo
que implementará y administrará el Sistema de Gestión Integral.

c) Esta asesoría comienza con el arranque formal del proyecto mediante la


presentación del equipo de trabajo por parte del ICE y el contratista, así
como los objetivos que se deben alcanzar mediante la presente
contratación.

d) El contratista con el apoyo del equipo de trabajo del ICE, deberá realizar la
evaluación de la situación actual del IDC con respecto al cumplimiento de las
normas ISO 20000-1 e ISO 27001 para conocer exactamente el estado
actual de madurez del IDC. Esta revisión se realizará desde 3 vertientes:

28. Análisis GAP con respecto a ambas normas: desviaciones que existan con
respecto a los procesos definidos para la gestión de servicios TI dentro del
marco de ISO 20000-1, así como el grado de implementación de las
cláusulas y controles de la norma ISO 27000.

29. El contratista realizará revisión del análisis de cumplimiento


normativo/legal/contractual que realice el ICE para conocer la implicación
de la legislación actual, la normativa interna del ICE y los compromisos
contractuales asumidos al cumplimiento de los estándares. El ICE
proporcionará el análisis de cumplimiento para la revisión que deba hacer el
contratista..

30. Auditoría técnica de seguridad: será revisado el estudio de seguridad ya


realizado, para que el contratista emita recomendaciones, ajustes o
mejoras. Además deberá realizar una auditoría técnica de la seguridad
actual del IDC, con el fin de determinar el estado actual de la
implementación y las brechas existentes en relación con lo requerido por la
Norma ISO 27000

e) Una vez conocida la situación actual, comienza el trabajo del asesor del
contratista con el apoyo del equipo de implementación del ICE. Esta etapa
estará bajo la responsabilidad del contratista con la finalidad de elaborar y
presentar el programa de trabajo detallado, para desarrollar las actividades
solicitadas para la asesoría en las 4 fases y tiempos establecidos en el
presente ITEM, que incluye como mínimo los siguientes puntos:

24
31. Tareas.
32. Entregables.
33. Tiempos para cada entregable.
34. Definición de Recursos humanos, materiales y/o tecnológicos a utilizar.
35. Asignación de recursos para cada actividad o tarea

f) Se debe definir el alcance de la certificación de ambas normas. Esto es


esencial, ya que impactará directamente en la carga de trabajo y en la
dificultad a la hora de alcanzar los objetivos del proyecto.

g) Se debe definir la política del Sistema de Gestión, esta debe contener los
objetivos del Sistema de Gestión, el alcance, y las directrices principales.
Esta política será única, y recogerá los requerimientos de ambas normas.
Dicho documento será aprobado oficialmente por la dirección del ICE.

h) El contratista deberá apoyar en la realización de un Plan de Comunicación y


Sensibilización para que todos aquellos implicados dentro del alcance
conozcan la política del Sistema de Gestión.

i) El contratista deberá brindar apoyo al grupo de trabajo del ICE, en la


ejecución del plan de comunicación y sensibilización. El cual debe ser
aplicado al personal involucrado en el alcance del Sistema de Gestión
Integral.

j) Este plan deberá incluir:

36. Determinación de las necesidades de comunicación y sensibilización para


el personal involucrado en el Sistema de Gestión Integral.
37. Diseñar las actividades de comunicación y sensibilización relativas a temas
de gestión de servicio y seguridad de la información.
38. Evaluar junto con personal del ICE, el personal que participará en dichas
actividades.
39. Elaborar los registros de participación en las actividades.

k) Se debe hacer el análisis de riesgos que permitirá conocer aquellos riesgos


a los que se ven expuestos los servicios de TI prestados. Tanto aquellos que
afectan a la seguridad de la información, como de otro tipo de riesgos
organizacionales o financieros. El asesor colaborará con los gestores de
riesgos del ICE para que la metodología propuesta contemple todos los tipos
de riesgos. Se apoyará al equipo de implementación del ICE en la
realización de un análisis de riesgos unificado para ambas normas.

25
l) A raíz de este análisis deberán definirse el plan de tratamiento de riesgos
adecuado. Este será elevado a la dirección para su aprobación, y para la
aceptación de los niveles de riesgo residuales.

m) Con la información obtenida del análisis de riesgos se efectuará la


declaración de aplicabilidad, identificando aquellos controles de seguridad
necesarios, y el alcance de cada uno de los procesos definidos.

39.1.1. Fase B: Desarrollo e Implementación del Sistema de


Gestión Integral

a) Desarrollo e Implementación del Sistema de Gestión Integral: En esta etapa


el ICE con la guía y el apoyo del contratista deberá realizar la creación de la
base documental conforme a los requisitos de las normas ISO 27001:2005 e
ISO-20000-1:2011, así como llevar a cabo la gestión de implementación de
los procesos, procedimientos y los controles seleccionados de seguridad
necesarios para el correcto funcionamiento del sistema de gestión según el
programa de trabajo realizado en la FASE A por el contratista.

b) El contratista deberá colaborar con el equipo de trabajo del ICE en el


desarrollo del manual del Sistema de Gestión, este será único, y contendrá
aquellos requerimientos marcados por ambas normas. Además evitará
duplicidades, y asegurará la eficiencia en las labores de gestión. Este
manual será aprobado por la alta dirección que se defina en el sistema de
gestión. No obstante, este manual seguirá alimentándose de la información
procedente de los procesos y controles de seguridad definidos para los
servicios de TI prestados por el IDC, de acuerdo a las recomendaciones
brindadas por el contratista.

c) El contratista deberá colaborar con el equipo de trabajo del ICE en la


elaboración e implementación de:

26
40. Las políticas
41. Mapa de procesos
42. Los procesos
43. Planes respectivos (continuidad, capacidad, disponibilidad, gestión de
servicio, mejora continua, entre otros)
44. Procedimientos, protocolos, instructivos y demás documentos necesarios
para el correcto funcionamiento del sistema de gestión
45. Manual de roles y responsabilidades
46. Guías de los procesos
47. Registros
48. Métricas del sistema de gestión e indicadores claves de desempeño (KPI´s)

d) El contratista deberá colaborar con el equipo de trabajo del ICE en


desarrollar todos los procesos definidos por la ISO 20000-1 teniendo en
cuenta los controles de seguridad aplicables basados en ISO 27001. Por
último, debido a la importancia de que el IDC siga prestando servicio en
caso de desastre, deberá diseñarse el Plan de Continuidad de Negocio.

e) Toda esta documentación debe ser revisada por el contratista, la cual será
corregida e implementada por el equipo de trabajo del ICE bajo la
supervisión y asesoría del contratista.

f) Una vez concluida la implementación, el Sistema de Gestión comienza a


funcionar y a generar las pertinentes evidencias. El contratista deberá
brindar en esta fase la respectiva supervisión continua y cercana, ya que el
grado de madurez del modelo es aún bajo.

48.1.1. Fase C: Revisión, plan y proceso de certificación:

a) En esta etapa se realizarán las auditorías internas al Sistema de Gestión


Integral, así como la definición del plan para preparar al IDC del ICE para
obtener la certificación en las normas ISO 27001:2005 e ISO-20000-1:2011.

b) El contratista en esta etapa debe brindar al equipo de trabajo del ICE, el


apoyo en la revisión y recomendaciones de las auditorías internas que se
efectúen al Sistema de Gestión Integral del ICE Data Center.

c) Con el objetivo de certificar el ICE Data Center, el ICE deberá contratar un


organismo certificador reconocido internacionalmente. Por lo tanto el
contratista de esta Licitación deberá realizar las recomendaciones de

27
selección del ente certificador internacional.

d) El contratista deberá asesorar en una revisión documental pre auditoría y


auditoría de certificación y definir un plan de trabajo para preparar al ICE
Data Center para obtener la certificación en las normas ISO 27001:2005 e
ISO-20000-1:2011

e) El contratista deberá de acompañar al ICE en las revisiones gerenciales, las


cuales contemplan los siguientes puntos:

49. El contratista debe realizar una revisión al Sistema de Gestión Integral, a fin
de verificar que los objetivos del Sistema están alineados a los objetivos de
negocio en materia de seguridad de la información y gestión de servicio,
garantizando el adecuado manejo de los riesgos existentes.

50. El grupo de trabajo del ICE elaborará la documentación de las revisiones


gerenciales llevadas a cabo.

f) Auditorías internas. Contempla los siguientes puntos:

51. Aplicación de al menos dos auditorías internas realizada por el auditor líder
del equipo de trabajo del ICE en acompañamiento del auditor del contratista
al Sistema de Gestión Integral para verificar el cumplimiento con el estándar
ISO 27001:2005 e ISO-20000-1:2011y con las regulaciones aplicables
pertinentes.

52. El auditor líder del equipo de trabajo del ICE elaborará con el apoyo del
contratista la documentación de las auditorías internas llevadas a cabo para
garantizar la certificación.

52.1.1. Fase D: Proceso de Certificación

a) Proceso de Certificación: La finalidad de esta etapa por parte del contratista,


es apoyar al IDC del ICE en los ajustes o correcciones derivados de las
revisiones que realice el organismo certificador.

b) Esta etapa deberá ser coordinada por el ICE con acompañamiento del
contratista para concluir el proceso de asesoría, con la auditoria para
obtener la certificación ISO 27001:2005 e ISO-20000-1:2011 y en su caso,
realizar los ajustes o correcciones derivados de las revisiones que realice el
organismo certificador y consiste en:

28
c) Seguimiento del contratista durante la auditoría para obtener la certificación
ISO 27001:2005 e ISO-20000-1:2011.

d) Acciones correctivas y preventivas para el cierre de no conformidades


detectadas en la visita inicial. Contempla los siguientes puntos:

53. Asesoría en la generación del plan de acciones correctivas y preventivas.

54. Asesoría en la aplicación de acciones correctivas y preventivas (en su


caso).

29
55. ITEM 2: Capacitación en auditor interno e implementador de las
normas ISO 27001 e ISO 20000-1.

55.1. Como parte de la oferta el contratista debe ofrecer los siguientes


cuatro cursos independientes de capacitación en sitio para:

55.1.1. Implementador de Sistema de Gestión de la Seguridad


de la Información basado en la Norma ISO 27001 orientado en
adquirir los conocimientos relacionados con la norma que
permitan el establecimiento, implementación, operación,
monitoreo, revisión y mejora del Sistema de Gestión de la
Seguridad de la Información según los requisitos de la Norma
ISO 27001.

55.1.2. Auditor Interno del Sistema de Gestión de la Seguridad


de la Información basado en la Norma ISO 27001 orientado en
adquirir los conocimientos relacionados con la norma que
permitan planificar, dirigir, reportar y brindar seguimiento de
una auditoría interna para un sistema de gestión de la
seguridad de la información basado en la norma ISO 27001,
de acuerdo con la norma ISO 19011.

55.1.3. Implementador de Sistema de Gestión de Servicios de


Tecnologías de Información basado en la Norma ISO 20000-1
orientado en adquirir los conocimientos relacionados con la
norma que permitan el establecimiento, implementación,
operación, monitoreo, revisión y mejora del Sistema de
Gestión de Servicios de TI según los requisitos de la Norma
ISO 20000-1.

55.1.4. Auditor Interno del Sistema de Gestión de la Seguridad


de la Información basado en la Norma ISO 20000-1 orientado
en adquirir los conocimientos relacionados con la norma que
permitan planificar, dirigir, reportar y brindar seguimiento de
una auditoría interna para un sistema de gestión de servicios
de TI basado en la norma ISO 20000-1, de acuerdo con la
norma ISO 19011.

55.2. Objetivos de la capacitación

30
55.2.1. Objetivo general

Al finalizar la capacitación el estudiante de ser capaz de establecer,


implementar, operar, monitorear, revisar, mejorar y auditar el Sistema
de Gestión de la Seguridad de la Información y el Sistema de Gestión
de Servicios de TI según lo define las Normas ISO 27001 y la ISO
20000-1 respectivamente.

55.2.2. Objetivos específicos

a) Implementador de Sistema de Gestión de la Seguridad de la Información


basado en la Norma ISO 27001: Establecer, implementar, operar,
monitorear, revisar y mejorar del Sistema de Gestión de la Seguridad de la
Información según los requisitos de la Norma ISO 27001.

b) Auditor Interno del Sistema de Gestión de la Seguridad de la Información


basado en la Norma ISO 27001: Planificar, dirigir, realizar reportes y brindar
seguimiento a una auditoria interna para un sistema de gestión de la
seguridad de la información basado en la norma ISO 27001, de acuerdo con
la norma ISO 19011.

c) Implementador de Sistema de Gestión de Servicios de Tecnologías de


Información basado en la Norma ISO 20000-1: Establecer, implementar,
operar, monitorear, revisar y mejorar el Sistema de Gestión de Servicios de
TI según los requisitos de la Norma ISO 20000-1.

d) Auditor Interno del Sistema de Gestión de la Seguridad de la Información


basado en la Norma ISO 20000-1: Planificar, dirigir, reportar y brindar
seguimiento a una auditoría interna para un sistema de gestión de servicios
de TI basado en la norma ISO 20000-1, de acuerdo con la norma ISO
19011.

55.3. Contenidos de la capacitación

55.3.1. Implementador de Sistema de Gestión de la Seguridad


de la Información basado en la Norma ISO 27001:

a) Propósito y beneficios empresariales de un Sistema de Gestión de la


Seguridad de la Información
b) Enfoque basado en procesos para un Sistema de Gestión de la Seguridad
de la Información Seguridad de la Información
c) Procesos que intervienen en el establecimiento, implementación, operación,
31
monitoreo, revisión y mejora de un SGSI
d) Descripción detallada de lo que involucra la selección de un sistema de
controles a través del proceso de gestión, evaluación y tratamiento de
riesgo, incluyendo:
56. El alcance del SGSI y la política.
57. Identificar y explicar los elementos del proceso de evaluación de riesgos
58. Plan de tratamiento de riesgos y opciones.
59. La reducción de riesgos a través de la selección e implementación de un
sistema de controles.
60. Declaración de Aplicabilidad en relación a las actividades de negocio de la
organización y los riesgos asociados.
61. Explicar la importancia y los métodos utilizados en la gestión de incidentes
de seguridad y la continuidad del negocio

61.1.1. Auditor Interno del Sistema de Gestión de la Seguridad


de la Información basado en la Norma ISO 27001:

a) Descripción con referencia al ciclo PDCA (Plan, Do, Check, Act), el


propósito, la estructura y los requisitos de la norma ISO / IEC 27001, desde
el punto de vista de un auditor interno.
b) Descripción de las responsabilidades de un auditor interno y describir el
papel de auditoría interna en el mantenimiento y mejora del sistema de
gestión
c) Planificación, dirección, elaboración de informes y seguimiento de una
auditoría interna para un sistema de gestión de la seguridad de la
información basada en la norma ISO 27001, de acuerdo con la norma ISO
19011

61.1.2. Implementador de Sistema de Gestión de Servicios de


Tecnologías de Información basado en la Norma ISO 20000-1:

a) Propósito y beneficios empresariales de un Sistema de Gestión de Servicios


de Tecnologías de Información
b) Enfoque basado en procesos para un Sistema de Gestión de Servicios de
Tecnologías de Información
c) Principios de la Gestión, Responsabilidad, Política de Gestión de Servicios
de TI, diseño de servicios, la prestación de servicios, monitoreo, revisión y
mejora del servicio y cómo estos apoyan la gestión del ciclo de vida de los
servicios de TI.
d) Terminología definida en la Norma.
e) Descripción de la dependencia de la gestión de la seguridad de la
32
información y los requisitos de continuidad del negocio.
f) Descripción del diseño y la transición de un servicio nuevo o cambiado
según los requerimientos de los clientes.
g) Principales características e interdependencia de los procesos de prestación
de servicios, incluyendo:
62. Gestión, monitoreo y reporte de los niveles de servicio y sus relaciones con
requisitos contractuales y los objetivos del negocio.
63. Presupuesto y contabilidad para los servicios que permita el control
financiero en línea con los objetivos y estrategias comerciales.
64. Gestión predictiva de la capacidad para continuamente mantener de forma
proactiva las capacidades del servicio en concordancia con los niveles de
servicio contractados y restricciones de control financiero.
65. Gestión de la continuidad y disponibilidad del servicio para mitigar la
interrupción de las operaciones y prestación de servicios.
66. Gestión de seguridad de la información soportando la continuidad del
servicio y la disponibilidad, mitigando riesgos para la información de los
clientes y el cumplimiento con los requisitos legales, reglamentarios y los
requisitos de protección de datos contractuales.
h) Propósito y la contribución de los procesos de control de gestión de
servicios, incluyendo:
67. Gestión de la configuración y la gestión de cambios.
68. Gestión de entrega y despliegue.
i) Procesos de resolución de la gestión de incidentes y gestión de problemas
son diferentes y su contribución a la gestión y prestación de servicios.
j) Propósito de la gestión de relaciones del negocio y gestión de proveedores
en los procesos de relaciones y describir su papel para una exitosa gestión y
prestación de servicios.

68.1.1. Auditor Interno del Sistema de Gestión de la Seguridad


de la Información basado en la Norma ISO 27001:

a) Descripción con referencia al ciclo PDCA (Plan, Do, Check, Act), el servicio
de TI como modelo de sistema de gestión de la norma ISO 20000-1 y el
papel de la auditoría interna en mantenimiento y mejora de sistemas de
gestión de servicios de TI.
b) Rol y responsabilidades de un auditor interno en el mantenimiento y mejora
del sistema de gestión de servicios de TI.
c) Planificación, dirección, elaboración de informes y seguimiento de una
auditoría interna para un sistema de gestión de servicios de TI basado en la
norma ISO 20000-1, de acuerdo con la norma ISO 19011.

33
68.2. Población

68.2.1. Perfil del estudiante


La capacitación va dirigida a personal profesional de gestión y personal
técnico involucrados con el Sistema de Gestión Integral del IDC

68.2.2. Cantidad de participantes


La cantidad de participantes corresponden a 15 personas por curso.

68.3. Duración de la capacitación

68.3.1. La duración total de las actividades de capacitación


debe ser de 5 días en horario hábil, por cada curso, Tomar en
consideración un máximo de instrucción de 8 horas de tiempo
efectivo por día, 40 horas por curso. El horario será de 8:00 a
17:00.

68.3.2. Cada curso debe dar inicio a más tardar 10 días hábiles
a partir de la validación y aceptación de la programación
(cronograma e insumos), por parte del ICE.

68.4. Estructura de la Capacitación

68.4.1. La capacitación se realizará en forma presencial,


combinando la teoría y la práctica.

68.4.2. El contratista deberá entregar al Administrador de


contrato en forma digital la propuesta del material didáctico,
cronograma y los insumos, lo cual debe realizar 10 días
hábiles antes de la fecha de inicio planeada para cada curso,
para que el ICE pueda realizar la validación. Los insumos
deben incluir lo siguiente por curso:

a) Nombre del Curso (debe coincidir con el nombre del curso de este Cartel, en
caso de presentarse algún cambio en el nombre del curso se debe
especificar el motivo)
b) Duración del curso: Desglosando el número de horas de teoría y número de
horas de práctica.
c) Fecha del curso: Estas deben coincidir con las fechas que aparecen en el

34
cronograma
d) Propuesta de los sitios a brindar el curso (el ICE definirá según su
conveniencia)
e) Nombre del Instructor, currículum y atestados
f) Nombre del Instructor suplente, currículum y atestados
g) Objetivo general y específicos
h) Temario detallado, para cada día del curso, que garantice que se alcanzarán
los objetivos específicos propuestos
i) Metodología del curso: Detalle de las actividades teóricas y prácticas que
se van a realizar y el equipamiento a utilizar por los participantes.
j) Metodología de evaluación

68.4.3. Los instructores deben entregarle de forma física el


Programa del curso a cada estudiante al momento de iniciar la
capacitación.

68.4.4. El ICE asignará un coordinador a cargo del grupo, el


cual tendrá la responsabilidad de evaluar el desarrollo eficiente
de la capacitación. Podrá ser un estudiante

68.5. Sobre el Material Didáctico

68.5.1. El contratista deberá proveer el material didáctico


(Físico y digital ) al inicio del curso, según las siguientes
condiciones:

k) Presentación
Toda la documentación que se utilice ya sea física o digital debe presentarse
en idioma español (se acepta literatura técnica en inglés).

l) Contenido
Debe contener todos los temas a desarrollar en forma clara y ordenada.
El material indicado debe incluir entre otros: diagramas de bloque, plantillas,
esquemas, etc.

m) Calidad
Las impresiones y las copias electrónicas deben ser de alta calidad y deben
incluir los diagramas y los esquemas a colores.
n) Cantidad:
El contratista deberá entregar al administrador de contrato dos juegos en
físico y dos digitales de toda la documentación a utilizar por los participantes y

35
el instructor (Los juegos digitales en formato electrónico (Portable Document
Format de Adobe, Inc o Microsoft Office de Microsoft Corporation), conforme
lo indicado en el punto 2.6.2. En caso de entregar el material didáctico en
disco compacto, este debe venir rotulado con el nombre del curso y la fecha.
Al iniciar el curso el contratista deberá entregar a cada participante el material
impreso y digital a utilizar.

o) Reproducción:
El ICE se reservará el derecho de reproducir estos materiales exclusivamente
para el entrenamiento de su personal tanto durante el evento previsto en esta
contratación como cualquier otra capacitación futura relacionada con la
plataforma adquirida. El ICE se compromete a no revelar ni suministrar esta
información a terceros sin la autorización expresa del poseedor de los
derechos de copia (copyright holder) de estos materiales didácticos.

68.5.2. El contratista deberá proveer los equipos didácticos


necesarios para abordar los temas de cada curso
(audiovisuales, otros), cumpliendo con las siguientes
condiciones:

a) Deberán realizarse las pruebas necesarias previamente para garantizar que


al momento de brindarse la capacitación no se presenten inconvenientes.

68.6. Sobre las Instalaciones donde se Impartirá el Curso

68.6.1. El contratista deberá garantizar que las clases se


impartan en un lugar que resguarde la integridad física de los
participantes.

68.6.2. El contratista debe efectuar la parte teórica y práctica de


los cursos utilizando instalaciones en Costa Rica,
seleccionadas en común acuerdo con el ICE.
68.6.3. Las instalaciones donde se desarrolle la capacitación
deben de contar con:

a) Zona parqueo
b) Zona de evacuación
c) Servicios sanitarios
d) Iluminación adecuada
e) Mobiliario (sillas, mesas, escritorio)
f) Equipo técnico (video beam, portátiles en caso de ser necesarias según

36
metodología del curso)
g) Aula acondicionada con regletas, accesos a sistemas que necesite el
instructor, extensiones eléctricas y toma corriente.
h) Zona de alimentación y equipo para calentar alimentos

68.6.4. El contratista deberá encargarse de la alimentación de


los participantes de la capacitación, la cual comprende:
refrigerio en la mañana-tarde y el almuerzo.

68.7. Sobre los instructores e instructoras

68.7.1. El curso debe ser impartido por personal certificado


como instructor en implementación y auditor en las Normas
ISO 27001 e ISO 20000-1, debe tener dominio claro y correcto
del idioma Español. En caso que el ICE lo considere necesario
deben presentar certificación.

68.7.2. En el plazo de 10 días hábiles después de la


notificación de la orden de servicio, el contratista debe
suministrar al Administrador del Contrato, la documentación
que demuestre la idoneidad técnica y docente de los (as)
instructores (as) que impartirán el curso, ésta debe incluir
como mínimo la siguiente información:

a) Currículum
b) Copia de la certificación vigente como instructor en la norma ISO 27001 e
ISO 20000-1, según corresponda el curso.
c) Documentación que demuestre la experiencia docente, la cual deberá ser
como mínimo dos años.
d) Documentación que demuestre experiencia en sistemas de gestión relativos
al curso que va a impartir, la cual deberá ser como mínimo dos años.

68.7.3. El ICE evaluará la información suministrada y tendrá


toda la libertad de aprobar o rechazar al instructor propuesto
por el contratista, con base en el estudio de la información
suministrada en el punto anterior. El contratista deberá realizar
las modificaciones correspondientes previo al inicio de la
capacitación a satisfacción del ICE.

37
68.7.4. El contratista deberá contar con un instructor suplente
que cumpla con todos los requisitos solicitados anteriormente,
en caso de que el instructor titular no pueda brindar los cursos
de capacitación.

68.8. Evaluación de la capacitación

68.8.1. Evaluación de los participantes

a) El curso deberá ser de aprovechamiento y el instructor del curso debe


efectuar al menos una evaluación teórica y/o práctica a los participantes.
Esto se hará con el fin de verificar que estén alcanzando los conocimientos y
habilidades previstas en las especificaciones.

b) Cinco días hábiles después de finalizado cada curso de capacitación, el


contratista debe entregar al administrador de contrato la siguiente
documentación:

69. Informe final de aprovechamiento de los participantes, que incluya las


calificaciones obtenidas por estudiante, así como las observaciones que el
instructor considere pertinentes. Este documento tendrá el formato
proporcionado por el ICE y debe incluir firma original del instructor.
70. Exámenes originales revisados por el instructor con calificación obtenida
71. En caso que la evaluación sea práctica, se debe entregar un informe sobre
las actividades desarrolladas, los criterios de evaluación y la calificación
obtenida por el estudiante.
72. Certificado impreso, con sello y firma original, para los participantes que
aprobaron el curso.

c) El certificado (Título) debe contener la siguiente información:

38
73. Nombre del curso
74. Nombre y sello original de la empresa que brinda la capacitación
75. Nombre completo del participante
76. Nombre y firma original del instructor
77. Nombre y firma original del representante del contratista
78. Cantidad de horas
79. Fecha de inicio y finalización del curso.
80. Lugar
81. Indicar curso de aprovechamiento.
82. Incluir en el reverso del certificado el contenido del curso

d) Carta que certifique que el curso es de aprovechamiento, la cual debe


contener la siguiente información para cada estudiante:
83. Dirigida a quien interese
84. Fecha de emisión
85. Logo de la compañía que brinda el curso
86. Nombre del curso que aprobó
87. Nombre del participante
88. Número de cedula
89. Fecha de inicio y finalización
90. Calificación obtenida
91. Nombre del instructor/a
92. Nombre y firma original del representante del contratista

92.1.1. Evaluación del curso

a) El instructor y el curso que éste imparta se someterán a una evaluación


realizada por los participantes al intermedio y al finalizar la capacitación para
garantizar el cumplimiento de los objetivos establecidos. La evaluación
intermedia tiene como objetivo evaluar el buen desarrollo del curso e
identificar posibles inconsistencias que se deban corregir antes de finalizar el
curso.

b) La evaluación de la capacitación por parte de los participantes se realizará


mediante la plantilla del anexo 1 de este cartel, y abarcará los siguientes
ítems:

39
93. Desempeño del instructor
94. Habilidades de enseñanza
95. Evaluación e instrumentos de evaluación.
96. Calidad del material didáctico
97. Condiciones del ambiente e instalaciones

c) La ponderación de la evaluación del curso será la siguiente:

98. A entera satisfacción si la evaluación va de un 90 al 100%.

99. Mayor a 70% y menor al 89%, el contratista deberá repetir específicamente


los objetivos que no se han logrado, por su cuenta y riesgo. Estos deben
ser evaluados nuevamente.

100. En caso de una calificación igual o inferior a 70%, el contratista deberá


repetir el curso por su cuenta y riesgo.

d) El administrador de contrato le informará al contratista los resultados


obtenidos de las evaluaciones dentro de los 5 días hábiles posteriores a la
finalización de cada curso.

100.1. Otros Aspectos de los Cursos de Capacitación

100.1.1. Supervisión y evaluación


El Administrador del Contrato contará con el apoyo de un funcionario
nombrado por el Centro de Aprendizaje y Desarrollo Empresarial (CADE)
quien supervisará y evaluará el grado de cumplimiento de los objetivos
establecidos en este ítem.

100.1.2. Costos
Corresponderá al contratista tramitar y pagar todo lo correspondiente a la
logística en general, necesarios para impartir los cursos de capacitación.
El contratista debe cubrir el costo total de los pasajes aéreos, hospedaje y
alimentación de los instructores que designe para venir a Costa Rica.
También cubrirá cualquier seguro de vida o médico para los instructores, así
como gastos de alquiler de vehículo, transporte interno dentro del país, etc.

100.1.3. Comprobación de incumplimiento


En caso de comprobarse incumplimiento en alguna de las especificaciones
detalladas, el contratista debe efectuar las modificaciones necesarias a
satisfacción del ICE. De lo contrario el contratista se verá obligado a repetir el

40
curso por su cuenta y riesgo, así como cubrir los costos en que incurra el ICE
por causa de este incumplimiento.

41
101. ITEM 3: Pasantía y Certificación en las normas ISO 27001 y
certificación internacional en la norma ISO 20000-1.

101.1. FASE A. Pasantía

101.1.1. Pasantía: En esta etapa se deberá brindar pasantía


(nacional o internacional) al personal que se certificará
internacionalmente según el apartado 3.2 de este cartel,
donde se brinde comprobación en sitio de cómo se administra
un sistema de gestión ya consolidado en las normas ISO
27001 e ISO-20000-1 acorde al que se pretende implementar
con esta contratación en el ICE Data Center. También se debe
realizar visitas al menos en dos Centros de Procesamientos de
Datos que tengan un Sistema de Gestión similar al ICE Data
Center

101.1.2. El contratista debe brindar una pasantía al personal por


certificarse como Implementador Líder y Auditor Líder de
ambas normas, esta pasantía deberá ser coordinada con el
Administrador del Contrato y deberá realizarse de previo a la
certificación.

101.1.3. El contratista deberá seleccionar una empresa donde se


encuentre operando ambos sistemas de gestión para que el
personal ICE pueda ejecutar la pasantía durante 5 días
hábiles.

101.1.4. Los viáticos del personal ICE participante no se deben


considerar en el precio de la oferta ya que estos serán
asumidos en su totalidad por el ICE, tiquetes de viaje,
hospedaje, alimentación, seguros.

101.1.5. Corre por cuenta del contratista toda la logística de la


pasantía, la cual consiste en la total coordinación de todos los
aspectos como eventos, actividades, estancia dentro de las
empresas y traslados entre las mismas según el programa
establecido.

101.1.6. En esta pasantía, se deberán incluir, como mínimo, las


siguientes actividades:

42
a) Presentación del sistema de gestión, el proceso de certificación y
consolidación.
b) Revisión de indicadores del sistema
c) Gestión de No Conformidades
d) Reportes a la Dirección
e) Preparación de auditorías internas
f) Gestión de riesgos (específico de seguridad)
g) Gestión de servicios TI (específico de procesos)
h) Gestión de continuidad
i) Preparación y desarrollo de reuniones de revisión
j) Revisión de lecciones aprendidas en mesa de trabajo

101.1.7. El contratista deberá entregar certificado de


participación a cada funcionario ICE el mismo día que finaliza
la pasantía. El certificado debe contener la siguiente
información:

a) Nombre de la pasantía
b) Nombre y sello original de la empresa que brinda la pasantía
c) Nombre completo del participante
d) Nombre y firma original del guía
e) Nombre y firma original del representante del contratista
f) Cantidad de horas
g) Fecha de inicio y finalización de la pasantía.
h) Empresa donde se brindó la pasantía

101.1.8. Los participantes de la pasantía deberán realizar un


informe detallando el nombre de las empresas visitadas, el
nombre e información de contacto (teléfono y email) de las
personas guías que brindaron la pasantía, las actividades
realizadas, comentarios generales y si se lograron alcanzar las
actividades propuestas para la pasantía en el punto 3.1.6.
Dicho informe deberá ser entregado al Administrador de
Contrato dentro de los 5 días hábiles posteriores.

43
101.2. FASE B: Certificación

101.2.1. El contratista debe brindar las siguientes cuatro


certificaciones reconocidas internacionalmente por alguno de
los siguientes entes certificadores: International Register of
Certificated Auditors (IRCA), Professional Evaluation and
Certification Board (PECB), APMG-International, RABQSA
International

a) Certificación Implementador Líder de Sistema de Gestión de la Seguridad de


la Información basado en la Norma ISO 27001 orientado en certificar por el
según los requisitos de la Norma ISO 27001.
b) Certificación Auditor Líder del Sistema de Gestión de la Seguridad de la
Información basado en la Norma ISO 27001 orientado en certificar según los
requisitos de la Norma ISO 27001, de acuerdo con la norma ISO 19011.
c) Certificación Implementador Líder de Sistema de Gestión de Servicios de
Tecnologías de Información basado en la Norma ISO 20000-1 orientado en
certificar según los requisitos de la Norma ISO 20000-1.
d) Certificación Auditor Líder del Sistema de Gestión de Servicios de
Tecnologías de Información basado en la Norma ISO 20000-1 orientado en
certificar según los requisitos de la Norma ISO 20000-1, de acuerdo con la
norma ISO 19011.

101.2.2. Objetivos de la certificación


a) El Objetivo general de la certificación es que el estudiante deba ser capaz de
establecer, implementar, operar, monitorear, revisar, mejorar y auditar el
Sistema de Gestión de la Seguridad de la Información y el Sistema de
Gestión de Servicios de TI según lo define las Normas ISO 27001 y la ISO
20000-1 respectivamente.
b) Los objetivos específicos para la Certificación Implementador Líder de
Sistema de Gestión de la Seguridad de la Información basado en la Norma
ISO 27001:

44
102. Comprender la implementación de un Sistema de Gestión de Seguridad de
la Información según la norma ISO 27001
103. Comprender conceptos, enfoques, normas, métodos y técnicas necesarias
para la gestión eficaz de un Sistema de Gestión de Seguridad de la
Información
104. Entender la relación entre los componentes de un sistema de gestión de
seguridad de la información, incluyendo la gestión de riesgos, los controles
y el cumplimiento de los requisitos de los diferentes grupos de interés de la
organización
105. Adquirir conocimientos necesarios para apoyar a la organización en la
implementación, gestión y mantenimiento de un SGSI según lo especificado
en la norma ISO 27001
106. Adquirir conocimientos necesarios para gestionar un equipo de
implementación ISO 27001
107. Desarrollar conocimientos y habilidades necesarias para asesorar a las
organizaciones sobre las mejores prácticas en la gestión de seguridad de la
información
108. Desarrollar capacidad de análisis y toma de decisiones en el contexto de la
gestión de seguridad de la información
c) Los objetivos específicos para la Certificación Auditor Lider del Sistema de
Gestión de la Seguridad de la Información basado en la Norma ISO 27001:
109. Comprender el propósito de un sistema de gestión de seguridad de la
información (SGSI) y explicar los procesos que intervienen en el
establecimiento, implementación, operación, monitoreo, revisión y mejora
de un SGSI según se define en ISO / IEC 27001, incluyendo la importancia
de éstos para auditores ISMS.
110. Interpretar la finalidad, el contenido y la interrelación de la norma ISO
27001:2005, ISO / IEC 13335, partes 1 y 2 (MICTS) e ISO / IEC TR
18044:2004, ISO 22006:2007 y el marco legislativo aplicable a un SGSI.
111. Conocer el papel de un auditor para planear, conducir, informar y dar
seguimiento a un Auditoría SGSI según ISO 19011.

d) Los objetivos específicos para la Certificación Implementador Líder de


Sistema de Gestión de Servicios de Tecnologías de Información basado en
la Norma ISO 20000-1:

45
112. Comprender la implementación de un Sistema de Gestión de Servicios de
Tecnologías de Información
113. Comprender los conceptos, enfoques, normas, métodos y técnicas que
permitan una gestión eficaz de un Sistema de Gestión de Servicios de TI
114. Conocer las relaciones entre la ISO / IEC 20000-1:2005, ISO / IEC 20000-
2:2005 e ITIL
115. Entender la relación entre el sistema de gestión de servicios de tecnología
de información, incluyendo los procesos de gestión y el cumplimiento de los
requisitos de los diferentes grupos de interés de la organización
116. Adquirir conocimientos para apoyar a una organización en la
implementación, gestión y mantenimiento de un Sistema de Gestión de
Servicios de Tecnologías de la Información (SGSTI) como se especifica en
la norma ISO / IEC 20000:2005
117. Adquirir conocimientos necesarios para dirigir un equipo en la
implementación de la norma ISO 20000-1
118. Adquirir habilidades personales y conocimientos necesarios para asesorar a
la organización sobre las mejores practica en un Sistema de Gestión de
Servicios de Tecnologías de la Información (SGSTI)
119. Desarrollar capacidades de análisis y toma de decisiones en un contexto de
gestión de TI

e) Los objetivos específicos para la Certificación Auditor Líder del Sistema de


Gestión de Servicios de Tecnologías de Información basado en la Norma
ISO 20000-1:

120. Describir el propósito de un sistema de gestión de servicios de TI, los


estándares de un sistema de gestión de servicios de TI, las auditorias del
sistema de gestión y para certificación de terceros.
121. Planear, conducir, reportar y dar seguimiento a auditorías al sistema de
gestión de TI.
122. Realizar auditoría del sistema de gestión según la norma ISO 19011 (e ISO
17021 cuando sea apropiada).

122.1.1. Contenidos de la certificación, el contratista deberá


cumplir como mínimo con los contenidos que a continuación
se describen:

a) Certificación Implementador Líder de Sistema de Gestión de la Seguridad de


la Información basado en la Norma ISO 27001:

46
123. Introducción a los sistemas de gestión y el enfoque basado en procesos
124. Presentación de las normas ISO 27001, ISO 27002 e ISO 27003 y el marco
regulatorio
125. Principios fundamentales de la Seguridad de la Información
126. El análisis preliminar y establecimiento del nivel del nivel de madurez de un
sistema de gestión de seguridad de la información existente, basado en la
norma ISO 21827
127. Redacción de un caso de negocio y un plan de proyecto para la
implementación de un SGSI
128. Definición el alcance de un SGSI
129. Desarrollo de una política de seguridad de información SGSI y
130. La selección del enfoque y la metodología de evaluación de riesgos
131. Gestión del riesgo: identificación, análisis y tratamiento de riesgos
(basándose en las orientaciones de la norma ISO 27005)
132. Elaboración de la Declaración de aplicabilidad
133. La aplicación de un marco de gestión de documentos
134. Diseño de los controles y procedimientos de escritura
135. Ejecución de los controles
136. Desarrollo de un programa de formación y sensibilización y comunicación
sobre la seguridad de la información
137. Gestión de incidencias (basado en las orientaciones de la norma ISO
27035)
138. Gestión de operaciones de un SGSI
139. Control y supervisión del SGSI
140. Desarrollo de métricas, indicadores de rendimiento y cuadros de mando de
acuerdo con la norma ISO 27004

141. Auditoria interna ISO 27001


142. Revisión por la dirección de un SGSI
143. Implementación de un programa de mejora continua
144. Preparación para una auditoría de certificación ISO 27001

b) Certificación Auditor Lider del Sistema de Gestión de la Seguridad de la


Información basado en la Norma ISO 27001:

47
145. Propósito y los beneficios empresariales de un sistema de gestión de la
seguridad de la información.
146. Enfoque basado en procesos para el sistema de gestión de la seguridad de
la información.
147. Procesos que intervienen en el establecimiento, implementación, operación,
monitoreo, revisión y mejora de un SGSI, incluyendo la importancia de este
para auditores ISMS.
148. Detalle de lo que está involucrado en la selección de un sistema de
controles a través del proceso de evaluación de riesgos, el tratamiento y la
gestión, incluyendo:
148.1. El alcance del SGSI y la política.
148.2. Identificar y explicar los elementos del proceso de evaluación de
riesgos.
148.3. el plan de tratamiento de riesgos y acciones.
148.4. La reducción de riesgos a través de la selección y la aplicación de un
sistema de controles.
148.5. Declaración de aplicabilidad en relación con las actividades del
negocio y los riesgos asociados.
149. Importancia y los métodos utilizados en el manejo de incidentes de
seguridad y la continuidad del negocio.
150. Diferencia entre las normas auditables y los documentos o normas de
orientación.
151. Propósito y el contenido de la norma ISO / IEC 27001:2005.
Los objetivos de control y controles definidos en el Anexo A de la norma ISO
/ IEC 27001.
152. Propósito y el contenido de la norma ISO / IEC 13335, partes 1 y 2 (MICTS)
el papel que desempeña en el uso de ISO / IEC 27001.
153. Explicar la ISO / IEC 27001 relacionada con conceptos y terminología de los
sistemas de gestión de la calidad, enmarcado en la terminología y
definiciones del SGSI.
154. Diferencia entre el cumplimiento legal y la conformidad con las normas ISO
y el contorno de legislación vigente aplicable, la propiedad intelectual
los derechos, la protección de datos y privacidad de la información
personal.
155. Rol de un auditor
156. Proceso de planear y conducir una auditoría
157. Proceso de realizar informes y dar seguimiento a una auditoría
158. Interpretar los requisitos de la norma ISO / IEC 27001 e ISO 27006:2007 en
el contexto de una auditoría SGSI.
159. El papel de un auditor para planificar, realizar, reportar y dar seguimiento a
un SGSI auditoría de acuerdo con la norma ISO 19011

48
c) Certificación Implementador Líder de Sistema de Gestión de Servicios de
Tecnologías de Información basado en la Norma ISO 20000-1:

160. Introducción a los sistemas de gestión y el enfoque basado en procesos


161. Presentación de la familia de normas ISO 20000-1 y la comparación con
ITIL V3
162. Principios fundamentales del Servicio de Tecnologías de Información
163. Análisis preliminar y establecimiento del nivel de madurez del sistema de
gestión de servicios de Tecnología de la Información existente con base a la
norma ISO 21827
164. Redacción de un caso de negocio y un plan de proyecto para la
implementación de un SGSTI
165. Definición del alcance de un SGSTI
166. Definición de una política y objetivos SGSTI
167. Documentación de los procesos y procedimientos
168. Gestión del nivel de servicio
169. Presupuesto y contabilidad para los servicios de TI
170. Gestión por competencias
171. Gestión del cambio
172. Gestión de configuración y administración de versiones
Gestión de capacidad y gestión de la disponibilidad
173. Continuidad del servicio y la gestión de la seguridad
174. Gestión de incidencias y problemas
175. Gestión de operaciones de un SGSTI
176. Controlar y supervisar un SGSTI

177. Desarrollo de métricas, indicadores de rendimiento y cuadros de mando


178. ISO 20000-1 Auditoría Interna
179. Revisión por la dirección de un SGSTI
180. Implementación de un programa de mejora continua
181. Preparación para una auditoría de certificación ISO 20000-1

d) Certificación Auditor Líder del Sistema de Gestión de Servicios de


Tecnologías de Información basado en la Norma ISO 20000-1:

49
182. Propósito de un sistema de gestión de servicios de TI y los beneficios
empresariales al mejorar el desempeño del servicio
183. Explicación del propósito y la interrelación de la norma ISO 20000-1-1 y la
ISO 20000-2 Código de buenas prácticas.
184. Explicación de la Metodología Planear-Hacer-Verificar-Actuar y su
aplicación a servicios de TI en los procesos de gestión.
185. Principios de responsabilidad de gestión, Gestión de Servicios de TI
Política, diseño de servicios, la transición de servicios, la prestación de
servicios, el monitoreo del servicio y la revisión y cómo se integran en el
ciclo de vida de gestión de servicios.
186. Descripción de las partes del sistema de gestión que soportan y permiten la
mejora de la gestión del servicio y la importancia de éstos para los auditores
SGSTI.
187. Diferencia entre el cumplimiento de los requisitos contractuales del servicio
y la conformidad con la norma ISO 20000-1 (o equivalente)
188. Descripción de las similitudes y diferencias entre la gestión de problemas y
la gestión de incidencias y su relación con la disponibilidad del servicio, la
seguridad de la información y la continuidad del negocio.
189. Propósito y las diferencias entre las auditorias certificadas de primera parte,
segunda parte y tercera parte del sistema de gestión.
190. Beneficios de la certificación acreditada por terceros de los sistemas de
gestión de servicios de TI para las organizaciones y otros grupos de interés
191. Papel de un auditor en la planeación, conducción, reporte y seguimiento a
una auditoría del sistema de gestión según la norma ISO 19011 (e ISO
17021 cuando sea apropiada).
192. Proceso de auditoría y las responsabilidades del auditor en cuanto a:
192.1. Planeamiento de la auditoría
192.2. Conducción de la auditoría
192.3. Auditoría de los requerimientos del sistema de gestión de servicios
de TI
192.4. Generación de hallazgos de la auditoría
192.5. Informes de auditoría
192.6. Seguimiento de auditoría

192.6.1. Población

a) Perfil del estudiante


La certificación va dirigida a personal profesional de gestión encargado de la
implementación y auditoría de los sistemas de gestión del IDC.

b) Cantidad de participantes

50
Una persona por cada certificación.

192.6.2. Duración del curso de Certificación

a) La duración del curso de certificación será según el programa del ente


certificador.

192.6.3. Sobre el Curso para Certificación

a) El contratista le enviará de forma digital al administrador de contrato el


Programa de la certificación y la Certificación vigente del Ente Reconocido
Internacionalmente para impartir docencia a implementador y auditor líder,
según corresponda, de sistemas de gestión basados en las normas ISO
27001 e ISO 20000-1. En el momento que se haya definido la fecha de la
certificación.

b) Los instructores deben entregarle de forma física el Programa de la


certificación a cada estudiante al momento de iniciar el curso de certificación.

192.6.4. Sobre los instructores e instructoras

a) El contratista deberá garantizar la idoneidad técnica y docente de los (as)


instructores(as).

b) El curso de certificación debe ser impartido por el (la) instructor(a) en idioma


Español, claro y correcto. Los instructores enviados por entes certificadores
deben tener dominio aceptable del idioma Español y en caso de que el ICE
lo considere necesario deben presentar Certificación.

192.6.5. Sobre el Titulo de la Certificación

a) Se recomienda que el título de certificación deba contener al menos la


siguiente información:

193. Nombre de la certificación


194. Nombre y sello original de la empresa
195. Nombre completo del estudiante
196. Nombre y firma original del instructor
197. Nombre y firma original del representante de la empresa
198. Vigencia de la Certificación

51
198.1.1. Otros aspectos de la Certificación

a) Mejoras a las especificaciones


El oferente puede proponer en su oferta, mejoras a las especificaciones del
apartado de certificación, las cuales serán analizadas por el ICE.

b) Costos
Corresponderá al contratista tramitar y pagar todo lo correspondiente a la
logística en general necesaria para impartir los cursos de certificación.

52
Anexo 1
Evaluación de la Capacitación

53
EVALUACIÓN DE LA CAPACITACIÓN

Tabla de valoración - CADE


INSTITUTO COSTARRICENSE DE ELECTRICIDAD
DIVISION CAPITAL HUMANO
AREA FORMACION Y DESASRROLLO
VALOR
VARIABLE DESCRIPCION DE INDICADORES %
Competencia profesional / técnica y capacidad
pedagógica que faciliten al participante el logro de los 30%
objetivos
1. Conocimiento del tema
2. Desarrollo de los contenidos conforme a la
secuencia de aprendizaje
3. Aplicación de los métodos de aprendizaje
Desempeño
4. Utilización de las técnicas didácticas
del instructor
5. Utilización de los medios, ayudas audiovisuales,
guías de apoyo
6. Cumplimiento de los tiempos de clase, horarios
establecidos en el cronograma de instrucción
7. Interacción con los participantes
8. Orientación a los participantes para el logro de los
objetivos
Habilidad para explicar los contenidos y motivar a los
10%
participantes
Habilidades 1. Lenguaje
de 2. Voz
enseñanza 3. Gestos y movimientos
4. Motivación
5. Participación
Habilidad para evaluar el aprendizaje y el logro de los
20%
Evaluación objetivos
y/e 1. Pertinencia
instrumentos 2.- Relación con los objetivos
de 3. Tipo de evaluación
evaluación 4. Resultados
5. Retroalimentación
Construcción del material apegado a la espepcificación
20%
de la actividad formativa
Calidad del 1. Forma y contenido
material 2. Idioma
didáctico
3. Estructura acorde con la actividad formativa
4. Claridad de presentación

54
Condiciones de infraestructura y equipamiento
20%
adecuadas y pertinentes para la formación
Condiciones 1. Espacio adecuado para la formación
ambientales 2. Ubicación / disponibilidad de servicios
e
3. Iluminación / aislamiento ruido
instalaciones
4. Mobiliario
5. Equipos / herramientas
PONDERACION FINAL
OBSERVACIONES:
Tabla de valoración – DMYC

División Mayorista y Corporativo


Recursos Humanos

FORMULARIO DE EVALUACION FINAL

Nombre del curso


Fechas Del lunes XX al viernes XX de XXXX 2012
Duración: XX Horas
Horario: De 8:00 a.m a 5:00 p.m.
Administrador del
Acuerdo
Comercial:
Nombre del
instructor/a:
Fecha de
aplicación de la
evaluación:
Gestor de RH:
Nombre del
participante:

Estimado (a) compañero (a):

A continuación se le solicita información general sobre el curso, su aporte nos


permitirá mejorar la certificación, por lo que le solicitamos ser muy objetivo y
sanamente crítico.

Favor indique la calificación que usted considere según la escala de 1 a 5 en la


casilla correspondiente.

55
ESCALA 5= Muy bueno 4=Bueno 3= Aceptable 2= Regular
1= Deficiente

SOBRE EL INSTRUCTOR ESCALA


1 Entrega del programa al inicio del curso
2. Dominio de los temas y contenidos del curso
3. Dominio y aplicación de métodos y técnicas de enseñanza
4. Capacidad para motivar a los participantes y despertarles interés por
el curso
5. Capacidad y disposición para resolver dudas y atender comentarios
de los participantes
6. Organización y disciplina en el desarrollo del programa
7. Puntualidad
8. Trato personal y respeto para con los (as) participantes
9. Capacidad para mantener el orden y la disciplina por parte de los
participantes durante las clases.

SOBRE EL CURSO ESCALA


1. El grado de cumplimiento de los objetivos.
2. Desarrollo de los contenidos.
3. Las prácticas realizadas durante la actividad
4. Los métodos de enseñanza utilizados a lo largo de la actividad
(exposiciones magistrales, discusiones, dinámicas de grupo,
demostraciones etc. )
5. La utilización de los medios audiovisuales ( portafolios,
transparencias , diapositivas)
6. Acceso a los sistemas
7. Método de evaluación

SOBRE EL MATERIAL DIDACTICO ESCALA


1. Entrega del manual del estudiante al inicio del curso
2. Entrega del manual del proveedor al inicio del curso
3. El contenido informativo del material se encuentra actualizado e
incluye la información de los contenidos del curso.
4. La calidad del material didáctico suministrado ( impresión, imagen )

SOBRE EL AMBIENTE FISICO ESCALA


1. Ubicación y acceso
2. Iluminación y ventilación
3. Limpieza y orden en las aulas
4. Instalaciones sanitarias
5. Aislamiento contra el ruido
6. Alimentación

56
SOBRE EL ÁREA DE RECURSOS HUMANOS ESCALA
1. Envió la convocatoria con suficiente anticipación.
2. Realizó la apertura y cierre del curso.
2. Trato personal y respeto para con los (as) participantes.
3. Mostró interés y dio seguimiento a los comentarios y observaciones de
los participantes.

En los casos que calificó con 1 o 2, le agradecemos justificar su respuesta.

57
Anexo 2
Formulario Acta de Trabajo

58
59
Anexo 3
Contrato de Confidencialidad

60
ACUERDO DE CONFIDENCIALIDAD CON INTERCAMBIO DE INFORMACIÓN
ENTRE EL INSTITUTO COSTARRICENSE DE ELECTRICIDAD
Y _____________________________________________
DERIVADO DE LA LICITACIÓN ABREVIADA 2013XX-XXXX-PROV
CON-XXXX-XX

Entre nosotros, INSTITUTO COSTARRICENSE DE ELECTRICIDAD, institución

autónoma del Estado Costarricense, regida por las Leyes de Costa Rica y

sometida al Derecho Público, con domicilio en San José, cédula de persona

jurídica número cuatro mil – cero cuarenta y dos mil ciento treinta y nueve,

representada en este acto por el señor ________________________________

(nombre), mayor, ______________ (estado civil), ______________ (Profesión u

oficio), portador de la cédula de identidad o pasaporte número ______________,

vecino de ______________, en mi condición de ______________ (Cargo que

desempeña), con facultades de ______________ (Apoderado Generalisimo –

General con o sin limite de suma, facultades legales amplias y suficientes como en

derecho corresponde para el acto objeto de este instrumento, que en adelante y

para efectos de este Acuerdo denominado “ICE o PARTE REVELADORA"; y la

empresa ______________________________, representada en este acto por

______________ (nombre), mayor, ______________ (estado civil),

______________ (Profesión u oficio), portador de la cédula de identidad o

pasaporte número ______________, vecino de ______________, en mi condición

de ______________________________, (Cargo que desempeña), con facultades

de ______________ (Apoderado Generalisimo – General con o sin limite de suma,

que en adelante y para los efectos de este Acuerdo denominado “el

61
CONTRATISTA O PARTE RECEPTORA”, acordamos celebrar el presente

Acuerdo de Confidencialidad, que se regirá por lo dispuesto en el numeral 35 de

la Ley de Fortalecimiento y Modernización de las Entidades Públicas del Sector

Telecomunicaciones No.8660, el Capítulo II artículos 7 y 8 y Capítulo III Sección I,

artículo 12 inciso d) de la Ley General Nº8292 de Control Interno, el artículo 71

inciso g) del Código de Trabajo, el numeral 29 -1 h) del Estatuto de Personal, los

numerales 210 y 211 de la Ley General de Administración Pública, la ley de

Derechos de Autor y Derechos Conexos; la Ley Nº7975 de “Información No

Divulgada”, la Política de Seguridad de la Información Empresarial aprobada por

el Consejo Directivo del ICE en el artículo 4 de la Sesión Nº5685 celebrada el 10

de marzo del 2009, el oficio de Gerencia General 0150-720-2009 del 07 de mayo

de 2009, asimismo los antecedentes y el clausulado siguientes:

ANTECEDENTES

199. La Ley de Contratación Administrativa, ley número 7494 del 04 de enero de 2007,

en su artículo décimo determina expresamente que “en cualquier procedimiento de

contratación administrativa, el oferente queda plenamente sometido al ordenamiento

jurídico costarricense, en especial a los postulados de esta ley, su Reglamento

Ejecutivo, el reglamento institucional correspondiente, el cartel del respectivo

procedimiento y, en general, a cualquier otra regulación administrativa relacionada

con el procedimiento de contratación de que se trate”. (la negrita no corresponde al

original).

62
200. El ICE en el ejercicio de su actividad, debe garantizar la seguridad de la

información empresarial, independientemente del soporte en que se almacene o el

medio que se utilice para su divulgación, mediante la implementación de políticas de

acatamiento obligatorio para todo su personal, clientes y terceros.

201. La Gerencia General en oficio número 0150-0655-2008, de fecha 04 de agosto de

2008, emitió la directriz sobre la confidencialidad de la información institucional, la

cual resulta de acatamiento obligatorio para todo el personal de la Institución.

202. De conformidad con lo acordado en el Comité Ejecutivo Nº. 74 del 27 de enero de

2009 y por el Consejo Directivo del ICE, en el artículo 4 de la Sesión Nº. 5685

celebrada el 10 de marzo del 2009, se acordó promulgar la Política de Seguridad

de la Información con el propósito de definir su gestión y empresarial, a la luz de las

condiciones propias del mercado actual de sus negocios y sus empresas y con el

propósito de establecer, implementar, operar, dar seguimiento, revisar, mantener y

mejorar continuamente la seguridad de la información empresarial con base en la

norma INTE-ISO 27001: 2008. De esta manera la Gerencia General, mediante

oficio 0150-720-2009 del 07 de mayo de 2009, oficializó a lo interno de la institución

el uso de los cuatro formatos de Acuerdo de confidencialidad a ser utilizados en lo

sucesivo.

203. Que las directrices señaladas, en conjunto con el numeral 35 de la Ley de

Fortalecimiento Nº8660 establecen la obligación de los funcionarios de proteger y

resguardar toda información de carácter confidencial, por lo que su conocimiento

por parte de terceros queda restringido.

63
204. En virtud de la Licitación Abreviada No. ______________________, denominada

“Adquisición del Servicio de Asesoría y Capacitación para la Implementación de un

Sistema de Gestión Integral compuesto por las normas internacionales ISO-

27001:2005 e ISO-20000-1:2011 en el ICE Data Center”, la División Mayorista y

Corporativo, adscrita a la SUBGERENCIA DE TELECOMUNICACIONES del ICE y

la empresa ______________________________, requieren intercambiar

información, documentación y materiales de carácter confidencial y sensible, como

apoyo en el entendimiento de los procesos de desarrollo de servicios.

205. A la luz de lo expuesto, se suscribe el presente “Acuerdo de Confidencialidad”, con

el propósito de resguardar, garantizar y asegurar la absoluta confidencialidad de

toda la información a ser intercambiada entre las partes.

CLAUSULADO

CLÁUSULA PRIMERA: DEFINICIONES.

1.1 INFORMACIÓN CONFIDENCIAL :

1.1.1 Cualquiera o toda información propiedad de las partes o sus subsidiarias,

corporación y/o afiliadas incluidas sin limitaciones, todos los productos y

procesos “KNOW HOW”, secretos corporativos, información financiera,

planes de negocio, planes de mercadeo, planes de investigación,

productos o bienes a desarrollar, cifras de ventas y proyecciones,

proveedores, listas de clientes y contactos, investigaciones de mercadeo,

archivos de contratos en computadoras, información fiscal, jurídica,

historial o record del personal, procedimientos contables, bases de datos,

informes de análisis, diagnósticos, diagramas, esquemas, listados,

64
documentos, dibujos, modelos, datos, diseños, y cualesquiera otro,

incluyendo sin estar limitada a, todas y cada una de las formas derivadas,

copias, registros contentivos de medios, resúmenes y notas de los

contenidos de estos, y cualquier información similar de su propiedad.

1.1.2 Cualquier o todas las licencias o concesiones, cualquier aplicación para

adquirir licencias o concesiones inventos o cualquier descubrimiento

relativo a una tecnología patentada por las Partes, subsidiarias,

corporación y afiliadas.

1.1.3 Todo tipo de símbolos, legibles o no, que se plasmen en cualquier medio de

índole documental (informes, resúmenes, notas, ideas, propuestas,

listados, esquemas, especificaciones, bocetos, diseños, diagramas,

modelos, ilustraciones, entre otros), en forma oral, escrita, gráfica o

electromagnética, incluida la dispuesta en formato digital, transmitida o

recibida por cualquier medio, incluido el digital, e incluido todo tipo de

claves, palabras de paso, contraseñas, dispositivos del tipo “firewall” y

demás elementos de seguridad informática, en cualquier forma,

incluyendo, pero no limitando, en las que se haga constar en forma

explícita o implícita la titularidad de las partes.

1.1.4 De conformidad con el numeral 35 de la Ley de Fortalecimiento Nº. 8660,

aquella relacionada con las actividades del ICE y sus empresas, calificada

por estas como secreto industrial, comercial o económico, cuando, por

motivos estratégicos, comerciales y de competencia, no resulte

conveniente su divulgación a terceros.

65
1.1.5 Las PARTES están obligadas a tratar como confidencial sólo aquella

información divulgada por la otra parte que esté (i) claramente identificada

como “Confidencial”, “Privada” o de forma similar si la divulgación se hizo

por escrito (o en alguna otra forma tangible); (ii) claramente identificada

como confidencial, privada o de forma similar al momento de la

divulgación si ésta se realiza en forma oral; o (iii) si la PARTE que recibe

la Información Confidencial sabe o razonablemente debería saber que es

confidencial, privada o un secreto de comercio de la otra PARTE.

También puede considerarse confidencial toda información ligada con la

ejecución de una contratación donde se indicase que el alcance de esta

información es de carácter confidencial.

1.2 RESPONSABLE DE LA INFORMACIÓN O REVELADOR: Aquel

trabajador que tiene la responsabilidad, según el rol designado en la

empresa, de gestionar el ciclo de vida de la información.

1.3 SEGURIDAD DE LA INFORMACIÓN: (INTE-ISO 27001:2005)

Preservación de la confidencialidad, la integridad y la disponibilidad de la

información; puede involucrar otras propiedades como autenticación,

responsabilidad, no repudio y confiabilidad, entre otros.

1.4 SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

(SCSI): Parte del Sistema de Gestión Empresarial, cuyo fin es el de

establecer, implementar, operar, dar seguimiento, revisar, mantener y

mejorar continuamente la seguridad de la información.

66
1.5 EXCLUSIVIDAD: Carácter que descarta, rechaza o niega la posibilidad de

la libre divulgación.

1.6 PARTES: El ICE y la empresa xxxxx., actuando conjuntamente.

1.7 PARTE: Una de ellas actuando individualmente.

1.8 PARTE REVELADORA: Aquella que revele o suministre información a la

otra.

1.9 PARTE RECEPTORA: Aquella que reciba la información revelada que le

proporcione la otra.

1.10 TERCERO: Cualquier persona física o jurídica diferente de las partes.

CLÁUSULA SEGUNDA: OBJETO DEL ACUERDO.

2 El presente Acuerdo tiene por objeto que en virtud de la Licitación Abreviada

No. ______________________,denominada “Adquisición del Servicio de

Asesoría y Capacitación para la Implementación de un Sistema de Gestión

Integral compuesto por las normas internacionales ISO-27001:2005 e ISO-

20000-1:2011 en el ICE Data Center”, las partes asumen el compromiso formal

de intercambiar entre ellas información, documentación y materiales de

carácter confidencial y sensible, de los cuales son titulares y a los cuales

tendrá acceso la parte receptora en virtud de este Acuerdo. Asimismo el

establecer el compromiso entre estas de respetar y proteger el carácter de

confidencialidad de tal información

2.1 La información requerida por alguna de las partes será solicitada y

entregada únicamente por y entre los respectivos Administradores del

Acuerdo.

67
CLÁUSULA TERCERA: OBLIGACIONES DE LA PARTE RECEPTORA.

3.1 Mantener absoluta confidencialidad de la información o material a que tenga

acceso, por lo que se compromete a utilizarla, única y exclusivamente para

los efectos del presente documento y nunca para beneficio personal o

empresarial. El hecho de que exista una única persona autorizada por el

representante que suscribe este compromiso, esto es el Administrador del

Acuerdo, para solicitar y retirar información, no exonera a la PARTE

RECEPTORA de los compromisos y obligaciones adquiridas en este

documento.

3.2 Guardar absoluta confidencialidad y exclusividad de todas las actividades de

investigación y desarrollo, secretos de índole comercial, asuntos de

negocios y en general, todo tipo de comunicación o transmisión de

información que reciba alguna de las partes respecto de la otra y viceversa,

sus empleados, filiales, sucursales y representantes, que se produzcan al

amparo del presente Acuerdo.

3.3 No revelar, copiar, ni reproducir, ceder, delegar o comercializar total o

parcialmente, por ningún medio, la información, material, documentación o

bases de datos a los que tenga o haya tenido acceso por motivo del

presente documento, ni poner dicha información o material a disposición de

terceras personas, salvo autorización previa y por escrito de la otra PARTE,

mediante la cual se determinen los requisitos y condiciones bajo los cuales

se otorga dicha autorización. Tampoco podrá ceder sus derechos ni delegar


68
sus obligaciones o responsabilidades sin el consentimiento previo y por

escrito de la otra PARTE.

3.4 Velar por la seguridad de toda la información y material al que tenga acceso,

por lo que deberá implementar todos los dispositivos, medidas y

procedimientos de seguridad necesarios para garantizar, que únicamente

los funcionarios autorizados por la PARTE RECEPTORA, tengan acceso

para asegurar el objeto del presente Acuerdo.

3.5 Adoptar las medidas necesarias con la finalidad de que todos sus empleados

o representantes, que lleguen a tener acceso a la información o material

suministrado por LAS PARTES, cumplan los términos del presente Acuerdo.

3.6 En caso de que a la fecha de presentación de un eventual reclamo por parte

de alguna de las partes, los funcionarios en cuestión no laboren para dicha

empresa, la PARTE RECEPTORA asumirá dicha responsabilidad en forma

absoluta.

3.7 Hacer un uso correcto de las claves de acceso (password) a los sistemas

automatizados de las partes, inhibiéndose de suministrarlas a terceros.

CLÁUSULA CUARTA: EXCEPCIONES. Las obligaciones arriba descritas no

serán aplicables cuando las PARTES acuerden que concurran las siguientes

situaciones:

4.1 La información haya estado en el dominio público antes de su entrega a la

parte receptora.

4.2 La información haya sido conocida por la parte receptora con anterioridad a su

entrega.

69
4.3 La información se haya convertido en parte del dominio público, después de su

entrega a la parte receptora, sin la participación de dicha parte.

4.4 Cuando información de una parte sea puesta a conocimiento de terceros por la

otra parte, sin sujeción a algún acuerdo de confidencialidad respecto de la

información confidencial, reservada o secreta de titularidad de cada parte.

4.5 Por ser parte del uso común o encontrarse dentro de las normas técnicas

nacionales y/o internacionales de obligatorio y/o voluntario cumplimiento.

4.6 Aquélla información que por mandato de la ley o por medio de mandato judicial

deba ser divulgada o comunicada, la Parte requerida debe informar a la otra

de tal hecho.

4.7 Que la información no haya sido objeto de medidas razonables para

mantenerla secreta, tales como: Políticas, directrices y protocolos de

protección de la información o cualesquiera otra medida legítima que evite la

divulgación de información no autorizada a terceros, o la adquisición o

utilización por terceros.

CLÁUSULA QUINTA: PROPIEDAD DE LA INFORMACIÓN CONFIDENCIAL.

5.1 La parte receptora reconoce y acepta que la INFORMACIÓN

CONFIDENCIAL que reciba, por cualquier medio o forma y en cualquier

momento, como bases de datos, informes de análisis, diagnósticos,

diagramas, esquemas, listados, documentos, dibujos, modelos, datos,

diseños, y cualesquiera otro, incluyendo sin estar limitada a, todas y cada

una de las formas derivadas, copias, registros contentivos de medios,

70
resúmenes y notas de los contenidos de estos, son y continuarán siendo

propiedad exclusiva y no podrán ser utilizadas para fines distintos de los

autorizados.

5.2 La PARTE RECEPTORA deberá devolver a la Parte reveladora dicha

información de acuerdo con sus instrucciones razonables y destruir cuando

así lo requiera la otra PARTE, toda copia que se haya realizado y entregar

una confirmación por escrito de ello, al momento de la terminación de este

Acuerdo o ante el pedido por escrito de la Parte reveladora.

CLÁUSULA SEXTA: INCUMPLIMIENTO. El incumplimiento de cualesquiera de

las cláusulas y términos del presente Acuerdo facultará a la PARTE

REVELADORA a darlo por terminado, sin perjuicio de las acciones legales que

pudieren corresponder al tenor de lo prescrito en el ordenamiento jurídico

costarricense, con el propósito de salvaguardar el interés público e institucional.

CLÁUSULA SÉTIMA: MODIFICACIONES. Las PARTES acuerdan que toda

enmienda o modificación de este Acuerdo, deberá realizarse por mutuo acuerdo y

por escrito vía addendum.

CLÁUSULA OCTAVA: VIGENCIA Y ALCANCES DEL ACUERDO.

8.1 Las PARTES acuerdan que los términos del presente Acuerdo se extienden por

un plazo máximo de dos años o hasta el momento en el que se logren los

PROPÓSITOS planteados en este Acuerdo, previo visto bueno de la

Dirección de Contratación Administrativa de la División Jurídica del ICE.

Aplica el plazo del evento que primero se cumpla. No obstante lo anterior, el


71
vencimiento de los plazos descritos en esta cláusula no exime en modo

alguno a LAS PARTES de sus obligaciones a la luz de este Acuerdo; en

razón de lo cual se comprometen a mantener por un período adicional de

cinco años, contado a partir de la fecha de terminación de este instrumento,

el carácter de confidencialidad y exclusividad de la información o del material

al que han tenido acceso.

8.2 Cada parte podrá terminar este Acuerdo, mediante comunicación escrita con al

menos treinta días de anticipación, sin que genere indemnización alguna a

favor de la otra.

8.3 Ante la terminación de este Acuerdo, la PARTE RECEPTORA cesará

inmediatamente el uso de la Información Confidencial y la devolverá

inmediatamente a la Parte reveladora, sin realizar ningún tipo de copia o

registro. El administrador del Acuerdo de la PARTE RECEPTORA habrá de

manifestar por escrito que esta ha cumplido con las obligaciones asumidas

en la presente cláusula.

8.4 La información o material a que tenga acceso LAS PARTES no estará ni será

puesta a disposición de ningún TERCERO durante la vigencia de este

Acuerdo ni después de su finalización, salvo que exista una autorización

previa y por escrito de las PARTES o de algún ente judicial competente en la

materia.

CLÁUSULA NOVENA. DE LOS ADMINISTRADORES DEL ACUERDO. Con el

objeto de supervisar la correcta ejecución del presente acuerdo y velar por el cabal

cumplimiento de todas y cada una de las obligaciones de las partes, así como

gestionar y facilitar la coordinación de todos los aspectos técnicos y


72
administrativos que se requieran, las partes nombran a los siguientes

administradores de Acuerdo:

9.1 El ICE nombra _______________, portador de la cédula de identidad

número _______________, cargo Coordinador de _______________,

teléfono _______________, Fax. _______________, correo electrónico

_______________, quien se encuentra en la obligación de presentar un

informe anual y uno final al jerarca correspondiente.

9.2 Por su parte (incluir nombre de la empresa)

______________________________, nombra a _______________,

portador de la cédula de identidad número _______________, cargo

Coordinador de _______________, teléfono _______________, Fax.

_______________, correo electrónico _______________.

9.3 Las partes acuerdan que en caso de sustitución de los Administradores del

Acuerdo supra señalados, deberán informarlo previamente vía nota a la otra

parte, debiendo suministrar los datos y calidades correspondientes de

quienes los sustituirán. De lo contrario, se entenderá que los

administradores aquí designados actuarán en este cargo durante todo el

plazo contractual.

CLÁUSULA DÉCIMA: NOTIFICACIONES.

73
10.1 El ICE en sus oficinas ubicadas en

___________________________________, Fax: (506) XXXX-XXXX.

10.2 (incluir nombre de la empresa) ______________________________, en

sus oficinas ubicadas en _________________, provincia de

_________________, Fax: (506) _________________.

CLÁUSULA DÉCIMATERCERA: ESTIMACIÓN. Por la naturaleza que reviste el

presente convenio, no se estima ni se encuentra sujeto al trámite de refrendo

contralor, únicamente requiere del visto bueno interno por parte de la Dirección de

Contratación Administrativa del ICE, según lo establece el artículo 11 del

Reglamento para la Aprobación Interna de las Contrataciones y Convenios No

Sujetos a Refrendo Contralor, publicado en La Gaceta Nº176 del 09 de setiembre

del año 2010.

En fe de lo anterior, suscribimos el presente Convenio de Confidencialidad, en la

ciudad de _______________, el día _______________ del mes de

_______________ de dos mil _______________, en dos tantos de un mismo

tenor literal, cada uno de los cuales ostenta igual fuerza y validez legal.

_________________________ _________________________

Sr: __________________ Sr: __________________

Cargo: ________________ Cargo: ________________

Instituto Costarricense de Electricidad Empresa: ______________

74
_______________________________________
Lic.xxxxx xxxx
V°B° Dirección de Contratación Administrativa
DIVISIÓN JURÍDICA INSTITUCIONAL-ICE

Anexo 4
Boletas de autorización de pagos

75
INSTITUTO COSTARRICENSE DE ELCTRICIDAD

REQUISITOS BOLETA DE AUTORIZACION DE PAGO MEDIANTE


TRANSFERENCIA ELECTRONICA DE FONDOS PARA PROVEEDORES
EXTRANJEROS

Información General

 El proveedor o representante legal debe completar este formulario en original


con letra clara, legible, sin tachaduras ni alteraciones y remitirlo a la
Plataforma de Información y Servicios de la Gerencia de Finanzas, ubicada en
la planta baja del edificio de Sabana Norte, ala oeste, adjuntando según el
caso, los siguientes documentos:

 Nota en original con membrete firmado por el apoderado general de la


empresa o en su defecto el beneficiario del pago.

 El Proceso Control de la Gestión Financiera procederá a registrar en el


Sistema de Pagos Institucional, la cuenta designada por el proveedor. En todos
los casos el proveedor asumirá el costo de la transferencia bancaria.

 Cualquier información adicional, favor comunicarse con el Proceso Control de


la Gestión Financiera ICE, mediante los números telefónicos: (506) 2000-
6170 /(506) 2000-7655 /(506) 2000-5300.

 El I.C.E. no asume responsabilidad ni compromiso alguno por la veracidad de


la información indicada por el beneficiario, ni se obliga a intervenir en
inspecciones ni verificaciones por la autenticidad de los documentos adjuntos.

76
INSTITUTO COSTARRICENSE DE ELECTRICIDAD

BOLETA DE AUTORIZACION DE PAGO MEDIANTE


TRANSFERENCIA ELECTRONICA DE FONDOS PARA PROVEEDORES
EXTRANJEROS

Autorizo al Instituto Costarricense de Electricidad a depositar todos los pagos a favor de:

Nombre de la empresa o persona: _____________________________________

Dirección de beneficiário: ____________________________________________

Banco Beneficiário _________________________

Swift beneficiário _____________________

Dirección banco beneficiario ________________________________________

ABA; ______________________________________________

Número de cuenta: __________________________________________

Banco Intermediario._____________________

Swift Intermediario.______________________________

ABA Intermediario: _____________________________________________

_______________________________
Firma del Beneficiario o Apoderado

* El ICE mantendrá una sola cuenta registrada por proveedor para los pagos
correspondientes.
** Es responsabilidad del interesado notificar cualquier cambio que se efectué
en la información presentada. El ICE no se hace responsable por transferencias
realizadas por información errónea suministrada por el solicitante.
***La cuenta indicada debe estar a nombre de la empresa o persona contratada por
la Institución y referida en este formulario

77
INSTITUTO COSTARRICENSE DE ELECTRICIDAD

REQUISITOS BOLETA DE AUTORIZACION DE PAGO MEDIANTE


TRANSFERENCIA ELECTRONICA DE FONDOS

Información General

 El proveedor debe completar este formulario en original con letra clara, legible,
sin tachaduras ni alteraciones y remitirlo a la Plataforma de Información y
Servicios de la Gerencia de Finanzas, ubicada en la planta baja del edificio de
Sabana Norte, ala oeste, adjuntando según el caso, los siguientes
documentos:

 Personas jurídicas: Original de certificación de personería jurídica con un


mes máximo de emitida, fotocopia de la cédula del apoderado y
certificación del banco seleccionado para recibir las transferencias
bancarias, que incluya: nombre y cédula jurídica del proveedor, tipo de
cuenta (ahorros o corriente) y número de cuenta cliente (debe contener 17
dígitos). La cuenta a matricular debe ser en moneda colones
exclusivamente. Se matricularán cuentas en dólares previa aprobación de
la División Gestión Financiera de la Gerencia de Finanzas.

 Personas físicas: Copia de la cédula de identidad y certificación del banco


seleccionado para recibir las transferencias bancarias, que incluya el tipo
de cuenta (ahorros o corriente), número de cuenta cliente (debe contener
17 dígitos). La cuenta a matricular debe ser en moneda colones
exclusivamente. Se matricularan cuentas en dólares previa aprobación de
esta Gerencia de Finanzas.

 El Proceso Control de la Gestión del ICE, procederá a registrar en el Sistema


de Pagos Institucional, la cuenta corriente o de ahorro del banco designado por
el proveedor, ya sea Banco de Costa Rica, Banco Nacional de Costa Rica o
Banco Popular. En el caso de otros bancos diferentes a los citados, el
proveedor asumirá el costo de la transferencia bancaria

 Cualquier información adicional, favor comunicarse con el Proceso Control de


la Gestión del ICE, mediante los números telefónicos: 2000-8386 / 2000-5328 /
2000-7655

 El I.C.E. no asume responsabilidad ni compromiso alguno por la veracidad de


la información indicada por el beneficiario, ni se obliga a intervenir en
inspecciones ni verificaciones por la autenticidad de los documentos adjuntos.
78
INSTITUTO COSTARRICENSE DE ELECTRICIDAD

BOLETA DE AUTORIZACION DE PAGO MEDIANTE


TRANSFERENCIA ELECTRONICA DE FONDOS

Autorizo al Instituto Costarricense de Electricidad a depositar todos los pagos a favor de:

Nombre de la empresa o persona: _________________________________________________

Cédula Jurídica o Física N°: _________________________ N° Teléfono: _________________

Correo electrónico para envío de información: ________________________________________

Banco: Banco de Costa Rica  Banco Nacional de Costa Rica  Banco Popular 

Otro Banco; ______________________________________________

Cuenta Bancaria No._____________________ Cuenta Cliente No.________________________

Tipo de Cuenta: Corriente  Ahorro 

Servicio que brinda (detalle): ______________________________________________________

Funcionario del I.C.E. a cargo del contrato: _____________________ N° teléfono: ___________

_______________________________ ________________
Firma del Beneficiario o Apoderado N° de Cédula

* El ICE mantendrá una sola cuenta registrada por proveedor para los pagos
correspondientes.
** Es responsabilidad del interesado notificar cualquier cambio que se efectué
en la información presentada. El ICE no se hace responsable por transferencias
realizadas por información errónea suministrada por el solicitante.
***La cuenta indicada debe estar a nombre de la empresa o persona contratada por
la Institución y referida en este formulario

79
Anexo 5
Tabla Estimación Cláusula Penal

80
Tabla de estimación de clausula penal

FACTOR PUNTOS
1.- Repercusiones de eventual
incumplimiento (30, 20 o 10 puntos, según 30
corresponda)
2.- Riesgos del incumplimiento del plazo
30
(30, 20 o 10 puntos, según corresponda)
3.- Preponderancia del plazo de entrega
10
(15, 10 o 5 puntos, según corresponda)
4.- Monto del contrato (15, 10 o 5 puntos,
5
según corresponda)
Indicar monto estimado de la licitación: 420.000,00 USD
TOTAL DE PUNTOS: 75

Se deben llenar los cuatro factores para una licitación y solamente sumar los
puntos indicados en la metodología (Ejemplo: para el factor 1 solo 30, 20 o 10
puntos; no puede indicar números como 29, 21, ll etc.)

Metodología de evaluación
Factor 1 Repercusiones= Alta igual a 30 puntos si el incumplimiento afecta un
proyecto o programa estratégico para la dependencia; Media igual a 20 puntos si
el proyecto afecta un proyecto o programa importante para el cumplimiento de
objetivos de la dependencia; Moderada igual a 10 puntos si el incumplimiento
afecta un proyecto o programa con medio o bajo impacto sobre la estrategia y
objetivos de la dependencia.

Factor 2 Riesgos. Alto igual a 30 puntos si el incumplimiento pone en riesgo muy


alto la eficacia, eficiencia o la continuidad de los servicios que se brindan a los
clientes internos o externos así como los ingresos o imagen institucional. Medio
igual a 20 puntos cuando el incumplimiento pone en riesgo alto la eficacia,
eficiencia o la continuidad de los servicios que se brindan a los clientes internos o
externos así como los ingresos o imagen institucional. Moderado igual a 10
puntos cuando el incumplimiento pone en riesgo medio o bajo la eficacia,
eficiencia o la continuidad de los servicios que se brindan a los clientes internos o
externos así como os ingresos o imagen institucional.

Factor 3 Preponderancia del plazo. Alto igual a 15 puntos cuando el plazo de


entrega es fundamental para el cumplimiento de las metas de la dependencia.
Medio igual a 10 puntos cuando el plazo de entrega es importante para el
cumplimiento de las metas de la dependencia. Moderado igual a 5 puntos cuando
el plazo de entrega es de importancia media o baja para el cumplimiento de las

81
metas de la dependencia.

Factor 4 Monto del contrato. Alto igual a 15 puntos cuando es igual o excede el
límite inferior del monto de la licitación pública. Medio igual a 10 puntos en montos
iguales o superiores a 6 millones de dólares e inferiores al límite inferior de la
licitación pública. Moderado igual a 5 puntos en montos inferiores a los 6 millones
de dólares.

Calificación de importancia de la cláusula penal y porcentaje a aplicar

Puntaje Importancia dePorcentaje


la Cláusulamulta a aplicar
penal por día
De 90 a 70 Alta 0.6 %
puntos
De menos de 70 Media 0.5%
a 50 puntos
Menos de 50 Moderada 0.4%
puntos

82