‘TERMINOS DE REFERENCIA PARA LA CONTRATACION DE SERVICIO PARA ADECUACION DEL SGSI Y EVALUACION DE RIESGOS DE ‘SEGURIDAD DE LA INFORMACION ‘Oficina Ganeral de Teenologla de fa nformacén (OST) det Minera de Econom y Finan (EF ‘peracény mantener dl Sstma ge Gestion de Seguridad ‘els toromacn, Unidad Orgies: mina date | Seri para adecuacon del Sly evakacién de iesgos de Contras: segura dea normacin. 1 FRATORD POUCA Proporcona al Mnstero de Economie Finanzas un conunto de medias efectvas de ‘control pra protegeradecuadamente fas opeacenes ya nformacn sttulonal sobre bare de una acecdsidentcacinygestgn de sriegosque afectan al entoro dg sh come mantener actalado ol Stoma de Gesisn de Seguridad dee informacion (6S) en ‘concrdancs con iat normastereasvigents de oblgadecumplinento ls dpesiiones bre seguried hal eablecist ene! Dect Legiato N” 1412, que aprutbaf Ley de Gobierno digital, [ik —oaerivos bea conmmarac@N 5 Objetwo genet [Adecue ol SGS del MEF alos requstos genes establecidos en la norma técnica arvana NTP#SO/IE: 270012016, y determina el conjnco de mada efctvas para folrentar Jos fergie que fe dervon do at brechasidensfendas y ameracen a tonfidencaéa, integridad ydspoiblided dea lnformacin nsttuconal. 1b, Objetives especies 4) Detrmina: el etado de imlementacén de os requis de la norma NTPASONEC 27001:2014 en el SSI del MEF, lenticando las beech y resgoe extents de ‘sequidd dla nformacién 2) Formular lat eid recomendsdss para el tratamiento de ae brechs y eesgos Iaerticaos er a imlamentacion de ls requstos del $58, determinande los centres de seguridad requerléos en aspects téerics, operatives yd gestion de Ine acolo a iformacin | — ALCANGES ¥ BEERIPCION DEL SERVICIO la presente convatacln sbarea = los recursos, procesosy servicios de tecnologas de la Informacion proporsonides po a Ofna Genera de Tecnologia dela Informacion (OTH. lor que conformen e bite scald Siara de Gestion de Sepuridd del Inermaién deinanstro,‘scrincn dal seni [lgresente servi ser lected considered as sglentes cdates minimas: 1 lanieseién 1. 1 proveedor dessa el servic apcando una metoleloga do gestiin de proyectos acorde a un marco de referencia reconecié, tal come PMBOK, PRINCE, Scrum, snares. 3. el proveedor debera uborar un Plan de Trabajo conscrendo lot sewers puntos: * Orginal de los equpos de trabajo, con deserbeién de lot roles y resporsbiidedes. *+ Cronograma detaliado de activdades, con periods de jeu y fechas de Tesentegabes + Plan deiseos del proyecta, + Plan de comuntadons entre partes + Plan de gestion de cambios. te documento debe sar entregado en un plato mixino de cinco (08) die Calendcios posterire a recaps do Ia Orden de Serio, pars respectivn revslén y aprobacién por Ia OST. £1 ln de Tralo puede cambiar con el proyecto en marcha segin necesiiades del serio de acuerdo & lot Tneamients que se estblezzan en el plan de gestion de canbick 6 El proveedor reaitard una presentacin de Ino del goyecto dligdo a la Dkacln dele OST de MEF yal equipo desgnado por ita para conta y| Segulmiento de proyecto a cul tend ls iguentes objeto + Comunicar as strates y cursos de acn a adoptaren ol proyecto paral ‘ampliniant de os objetvos dl seria, + ar conocer ls necesidedes de informacén y coordnacién para ol Setar el eri. 1 xponer el Plan de Te 0. 2. Mentieai y tratamiento de rechasyHesgorenelS681 nesta acta se determinarin as aconesrecmendables pare adecuar el actual SSI del MEF ols requstosestableldos on lt edule de a norma NTPASO/IEC £27001:2014,mplementand fs recmendaciones que Sen vies en el periodo de ‘lecuién del presente serio, para lo cual se levardn a cab las sglentestareas como mini ‘a, Reveary anal ln nformléndocumentada penile sore el SS de MEF. bs Verifcr el grado de cumplimente que el SGS! del MEF presenta respec a lot eqs establecdos en as sls dea nora NTPASONEC 27001:2016 Proponer las medias correcta orentadas a subsnar ls Bechet y resgos endcados en el curpliiento de requis, parteando una hoa de ruta para Iaimplementain de das medidas (propuerts de adecuadn) 6. implementa las medias recomenéadesreleiéas 2s eqs dela usa 4 {conteto dela orgarizactn) dl norma NTP-SO/EC 2700-20, elplementarTredias Seoales pare oor requlsios Gur, de comin SeuRTdS ere a rovedor ya OGM estimen reazabls eno plaos del seco. ‘Eos un Informe de adecuscén del SSI sobre In evausclén restzad, qe debe reli: + estado stuciona! el era de implementacén de SI del MEF + Upropoesta de seciacién dl St + Lasmedidas de adecuain dl 6st implementdasefectvamente TW REGLARMENTOS TECRICOS, NORIAS METROLGICAS 70 SANITARIAS proveedor deberd desarrolar la prestadn soltad consderando le epeain de la Norma TécricaPrvans NTP ISO/IEC 2700:2018 "ED. Tecnologia de a informectn Teco: seguro. Sisemosdegestin de segurded ce la lformacign, Regus. Edi’. No corespende. ‘Vi, _ REQUISTOS Del PROVEEDORYO PERSONAL Bol el xoveedor neon uc 1 proveedordeberd acta una experiencia no menor de neo (05) servos ules simtres al objeto dol presente serio, comprendendo como tales un minima de ds (02) lewperiencas en evuadon de vesgos de seguridad del infrmacs, yun minimo de una (01) auditor, evalacén 0 Implementacién de sstemas de gestion de seguridad de la Informa, Las experieacasminmasineeadas eben haberserealzado bajo macs dea rowma teica NTPASO/NC 27001-2014 [equvalete a SO/IEC 270012033). Pa ersonal conus equipo minimo de proyecto del provedor estaréconformado por el sguente person + Un(01)sefe de Preyato Formacisn ucaéniza: Profesional tlsdo o bachiter en carreras de Ingenieria Aéminstracén Cepacacén: Ets expeilaados condor en gestin de proyectos con un rmiimo de 35 horas acumulads, 0 certfzclén obtenia en gestisn de projector Seqn marco de elerenca o erplear, tal com PHP, PRINCE? Scrum, oinfares Experience: nex (05) aos como Jee de Proyects,partcpando camo tal én na ‘menos de dos (02 proyetslacinados cone sapurided del iformacén. + Un 01) Especast en Sgurided de a tformacén Formacien academia: Profesional tlado 0 Bacher 0 earesado telco en caeras e Stems, nfo, Compuacie, Indust lectrétea Telecmuniacions Conitensones oben Po menor ta te ln gente: certiaconar CBM, (053, Leod Audit 150 2700, Leo impementer 802700 Experian: Cnes (5) aos como expecta en sepurido de Ia Iformacé, con Datipaion en no menos de cinco (05) servicios relacionados con le gestin de Sequidad de a iefrmacin proveeder no pod remover o cambiar a personal propuesto durante el sare det[prevents varia,eicepo por cauiales no avibubles w proveedor que te usifquen | ‘ebidamente (aso fortuit de fuera mayer previeeprobeién del OGM, sempre que persons remplzonte eb un perfil con at mismas 0 meloresclfcaones y aptitudes ue assolitades. "il, WGARY PLATO DE ECUGION ‘ugar: En las instalelones del Wintero de Econom y Finanzas, nln 319, Cerca de uma Ue. Plano de ejecucén: El plazo mito de eleucln srd de velncnco (28) das calendao, contbiiados a parr de a fect de recepeién dels Orden de Servic, paz que induye a os sguentes entegates ‘Entrega Gna: Centr Se os 25 ds aan, contabizador a parti do fecha erecepién dela Orden de Serio, El convatta deberé presenta, wavs de a Mesa de Paites del ttre de Economia y Frans, dso Is Ofens General de Teenlolas dels Infrmaclén del Ministero de Economia y Frans, los siglentes entregibes como resultado de les. prestadenes solide Elinforme Final deberdconener un resumen de tod Ie actidades Havas eto urate el servo, as! eno ls hallgs,concsones yrecomandsciones que stan parnentes, Dederh aduntar ls docimentas elaborados sepin se indica 2 ‘ania + Pande Trabojo 1 forme de adecuaclon de st ‘Asim, el proveedordeerd auntar en metdo Spica (CD 2 OVO) una cople del Informa Final too ox productos elsbradoe dant I ehecicién dl sevica. los derechos intelctuaes deo entregablesy documtntoseaborads por el provedor gue rene selecdonaso fon pple dels Ofcra General de Tecnologie de Is nformacén (OGM) del ministerio de Eonania y narzs (MEF), asf como tods aquela Iformadén inezna de aren ala que tongs acas paral ejeucdn de este serio {a icra de Gobierno de Tenooglas de lformacn dele OSes esponsabe de otoar In conformidd de ls prestaconscotrtads El pag se efecuaré en una (0) armacs, luego de electade la prestacén y otorgada la cncormidas de cespectv entregale, de acuerdo sefaado ene sguente cade: 100% del monto total del servicio. ss pags se reatardn a éige de Conta nterboncare (CC) dl proveedor, ena monede Sol, de seuerdo 9 lo eraleiso en ariel 173° del Raglamento do Is Lay de ontratacones dt stadi CONABERCALIOND 1 proveedor debe mantener absolta reserva y confdendaléad en el manelo de Ia formaciony documenta a que pueda acceder,cnoce’u obtener con moto de elecuin de as restcinessollctaas, al que se genere come product de as mismas, ‘Quedando exreraranteprohoio revels dea Informacion terceos. Et ooigacis del proveedor substi inckuso lege de conchidoe presente eri "Ml _RESPONSABLIDAD DEL CONTRATSTA La recepcn conforme oe la Enid no enera su derecho a recs: postriormente por detects o Velsoctosartculo 173 del Relamento del Lay de Conrataciones. plo mimo de responsable del contratista es de un (1) aS contado a parte dela confocmidaeotergaie pra Ertidad(artelo 40" dee de Conrataciones dl Estado), [kV RESPONSABLIDAD POR UA ASIGNACION OE BENES En tod defo speero nfs ates ty 18 dea LeyH® 29181, ley General él sistema Nacional de Sines Extatals, en aquels ctor en lee cules para el cmplimianto de Ia prestaciin lp Enicad asgne al proveedoralgin bien musble © inmueble, éte ser responsable del buen uo y congeracén dele mirmot de lo conta, spender pr eteriovo opr, deblendoproceder au reposiin dentro del plao mismo de cnc (5) lahies 73. PENALOADES fn ato de retrvoIhticado del proveedor ena secu de as prestaiones objeto de contrat a Emo le apie avtomticamente una pealdad por mora por cad a de atreo. La penaldd se open automtcarentey se calcula de scserdo la sguente mul: Panaldad daria = g2O% Mets onde ene os sulentes valores: 2} Para ples menoreso iguals a seserta (50) das, pra blenes, servis en gener onsutority ejecucén de obas:F=0.40. 1) araplanos mayors assent (6) as: bs Parabens, servicios y consloris: F025, 2) Para ceras:F = 0. Tart el monto como el lao se referen, sein corresponds ala eects de senlo ‘ala ebigzcin parca, esr el caso, que fuera materia de ease ‘Se considera justin el retrazo cuando el proveedor sree, de modo obletiamente ‘sustertado, qu el mayor lempe tanscurdo nol rests imputabie esta calfiacén dl retraso come Jutieado no da lugar al pago de gastos geneaes de Singin tipo. No correspond