TÉRMINOS DE REFERENCIA PARA EL “SERVICIO DE ADECUACIÓN DE

LOS REQUISITOS DEL SGSI DEL MEF A LA NORMA NTP ISO 27001:
2014”

1. DENOMINACIÓN DE LA CONTRATACIÓN
Servicio de Adecuación de los Requisitos del SGSI del MEF a la norma NTP
ISO 27001:2014.

2. FINALIDAD PÚBLICA
Actualmente el Ministerio de Economía y Finanzas (MEF) tiene implementado
un Sistema de Gestión de Seguridad de la Información (SGSI), para el cual,
considerando la necesidad de actualizar el SGSI a la nueva versión de la
Norma Técnica Peruana (NTP), se requiere el “Servicio de Adecuación de
los Requisitos del SGSI del MEF a la Norma ISO/IEC 27001:2014”, con la
finalidad de actualizar el SGSI actualmente implementado a los nuevos
requisitos exigidos por la norma, y en cumplimiento a lo dispuesto por la
Presidencia del Consejo de Ministro (PCM), el cual mediante Resolución
Ministerial N° 004-2016-PCM, aprobó el uso obligatorio de la Norma Técnica
Peruana NTP ISO/IEC 27001:2014 en todas las entidades integrantes del
Sistema Nacional de Informática, De esta forma, el MEF, asegurará el
fortalecimiento de los aspectos de la disponibilidad, integridad y seguridad de
la información institucional y cumplirá con los plazos establecidos por la PCM.

3. ANTECEDENTES

La aprobación de la Resolución Ministerial N° 004-2016-PCM, dispone el uso

obligatorio de la Norma Técnica Peruana NTP ISO/IEC 27001:2014, en todas
las entidades integrantes del Sistema Nacional de Informática, de la cual el
MEF es miembro. Dicha norma aprobada el 8 de enero del presente año
2016, deroga la anterior, es decir, la NTP ISO/IEC 27001:2008, en la cual se
encuentra basada el SGSI actual del MEF. Por esta razón, es necesario
actualizar a la actual versión aprobada de la norma, con sus nuevos requisitos
y asimismo, cumplir con el plazo dado por la Resolución Ministerial, el cual
establece dos (2) años máximo para su implementación institucional.

4. OBJETIVOS DE LA CONTRATACION

4.1 Objetivo General

El Ministerio de Economía y Finanzas tiene implementado un SGSI, para

establecer el tratamiento óptimo de la información en términos de
confidencialidad, integridad y disponibilidad. EL SGSI permite apoyar el logro
de los objetivos estratégicos institucionales, protegiendo la información
institucional relevante contra amenazas internas y/o externas, asegura la
continuidad operacional de los procesos del MEF, fomenta la cultura
organizacional, la capacitación y toma de conciencia frente a los riesgos
asociados a la información. Para tal fin, y en el marco de la adecuación a la
Resolución Ministerial N° 004-2016-PCM, el cual aprueba la nueva versión de
la NTP ISO/IEC 27001:2014 para ser implementada en todas las entidades
del estado peruano, es necesario que el MEF gestione el cumplimiento con
dicha disposición de forma oportuna para una adecuación pertinente a los
nuevos requisitos exigidos por dicha norma.
 Las actividades y documentación para la adecuación a la nueva Norma NTP a
solicitar en el presente servicio tendrán el siguiente alcance:
a) Capacitación de un total de 25 horas (basada en las mejores prácticas
de la certificación CISM, CRISK y CISA) considerando en detalle las 7
cláusulas exigidos por la Norma NTP ISO/IEC 27001:2014, los cuales
son la base para la gestión del SGSI del MEF (la capacitación debe
incluir 4 horas de un ejercicio de auditoría, basada en las mejores
prácticas recomendadas por la organización ISACA, para la verificación
del cumplimiento de los requisitos del SGSI y teniendo en cuenta una
futura certificación de los procesos del SGSI del MEF). Las 7 cláusulas
a considerar son las siguientes:
1) Contexto de la Organización
2) Liderazgo
3) Planificación
4) Soporte
5) Operación
6) Evaluación del Desempeño
7) Mejoras
b) Documento de Metodologías, Políticas, procedimientos y/o todo aquel
material físico y/o electrónico que permitan demostrar el cumplimiento
con cada una de las 7 cláusulas requeridos por la nueva norma NTP
ISO/IEC 27001:2014, en el marco de la actualización solicitada.
Los siguientes son los entregables que debe producir el servicio:
a) Material empleado para el cumplimiento de la capacitación de 25 horas.
b) Documento de Metodologías, Políticas, procedimientos y/o todo aquel
material físico y/o electrónico que permitan demostrar el cumplimiento
con cada una de las 7 cláusulas requeridos por la norma NTP ISO/IEC
27001:2014. Debe incluir además, una Lista maestra de los documentos
correspondientes a cada clausula exigidos por la Norma.
c) Informe Final del servicio

4.2 Objetivo Específico

Contratación de una empresa especializada que brinde el Servicio de

Adecuación del SGSI del MEF a la nueva Norma NTP ISO/IEC 27001:2014.

Este servicio permitirá asegurar la actualización y adecuación a la nueva

Norma, y asimismo, permitirá cumplir eficientemente con el plazo
establecido para la implementación de dicha versión, según lo establecido
por la resolución Ministerial N°004 -2016-PCM. Además, se debe tener en
cuenta que dicha actualización apoyará la gestión de mejora continua del
SGSI del MEF, según el “Plan de Acción para la Seguridad de la
Información del MEF 2016” –aprobado mediante Resolución Ministerial N°
150-2016-EF/44.

5. ALCANCES Y DESCRIPCIÓN DEL SERVICIO

El servicio está orientado a la adecuación de los requisitos del SGSI del MEF
a la norma NTP ISO 27001: 2014”, según lo indicado en el numeral 4, con el
objetivo de implementar una adecuada actualización a la nueva norma y
cumplir oportunamente con el plazo establecido para la implementación,
 según lo dispuesto por la PCM y asimismo, fortalecer la mejora continua del
SGSI del MEF.

6. MEDIDAS DE CONTROL

6.1 Áreas que supervisan:

La Oficina que supervisará el funcionamiento es la Oficina de
Infraestructura Tecnológica (OIT) de la Oficina General de Tecnologías
de la información (OGTI)

6.2 Áreas que Coordinarán con el proveedor.

La Oficina que coordinará con el proveedor será la OIT de la Oficina
General de Tecnologías de la Información (OGTI).

6.3 Áreas que brindará la Conformidad

La conformidad por el servicio será mensual y emitida por la OIT de la
Oficina General de Tecnologías de la Información (OGTI), previa
recepción del Reporte Detallado Mensual del servicio por parte del
Postor.

7. PLAZO DE EJECUCIÓN DE LA PRESTACIÓN.

El plazo de la ejecución de la prestación será de duración máximo de 50 días
calendario.

8. PROCEDIMIENTO DE ATENCIÓN.
a. El MEF designará el personal autorizado a realizar las coordinaciones
para el cumplimiento de la prestación..
b. El Postor deberá presentar a la Oficina General de Tecnología de la
Información, un reporte detallado del servicio. Este informe es
requisito indispensable para las Conformidad del servicio y pago del
mismo. El tiempo de cobertura del servicio de capacitación solicitado
deberá ser de lunes a viernes, según el horario que disponga el
personal de coordinación del MEF.

9. CONDICIONES DE LA EMPRESA.
Experiencia y Personal.
a. El Postor deberá ser una Persona natural o Jurídica con
experiencia en la gestión de un SGSI, materia de la prestación, o
similares objeto de la presente convocatoria.

b. Debe contar con personal capacitado con el siguiente perfil:

 Para las coordinaciones técnicas: Un (01) profesional en
Ingeniería de Sistemas o Electrónico, con Cuatro (04) años de
experiencia en gestión de proyectos de similares características.
Para garantizar la viabilidad del servicio debe tener de carácter
obligatorio las siguientes certificaciones para la presente
convocatoria:
- CISM (Certified Information Security Management
- CISA (Certified Information Systems Auditor)
- CRISK (Certified in Risk and Information Systems Control)
- COBIT 5
- Lead Auditor IRCA
- Certified ISO 31000 Lead Risk Manager
- CEH (Certified Ethical Hacker)
  Se deberá presentar copia de los certificados y documentos del
personal, que sustente todo lo solicitado en este numeral, en la
propuesta técnica.

10. FORMA DE PAGO

Previa Conformidad del Servicio de la Oficina de Infraestructura Tecnológica
del MEF.

11. RESPONSABILIDAD DEL CONTRATISTA

El contratista es el responsable por la calidad ofrecida y por los vicios ocultos
ofertados por un plazo no menor de un año contado a partir de la
Conformidad otorgada, conforme al artículo 50 de la Ley de Contrataciones
del Estado.
12. PENALIDADES
Por cada servicio culminado, el contratista deberá hacer firmar al usuario un
formulario de conformidad para el cálculo del “Uptime”.
El Uptime es un coeficiente que mide el nivel del servicio brindado por el
Contratista en un periodo mensual.
Se calculará el UPTIME, en forma mensual de la siguiente forma:

UPTIME = THM – THE

THM
Donde:
THM=cantidad de horas de atención brindadas por el contratista para la
provisión del servicio de mantenimiento.
THE= sumatoria de las cantidades de horas de exceso (respecto al tiempo de
atención máximo establecido para solucionar el problema, acorde a lo
indicado en el numeral 5.5 letras a y b, del presente documento) en que
incurrió el contratista para subsanar la averías.

Ejemplo: Se adquiere el servicio de contrato de mantenimiento, con un tiempo

máximo para solucionar una atención crítica de 02 horas. Se reportaron 4
problemas críticos: 2 fueron resueltos dentro del tiempo de respuesta
establecido (02 horas); y 2 fueron resueltos excediendo los tiempos de
respuesta establecidos, con 1 y 2 horas de retraso totales, respectivamente.
El UPTIME será:
THM = 24 x 30= 720 horas
THE = 1+2 = 3 horas de exceso.
UPTIME = 720 - 3 = 99.58%
720
La penalidad mensual estará en función del UPTIME según la siguiente tabla:
Rango de UPTIME Penalidad (1)

Rango de UPTIME Penalidad(1)

>99,90%, <= 99.99% 1,00%

>99,80%, <= 99,90% 1,50%

>99,70%,<= 99,80% 2,00%

>99,60%, <=99,70% 2,50%

>99,50%,<=99,60% 3,00%

>99,40%,<=99,50% 3,50%

>99,30%,<=99,40% 4,00%

>99,20%,<=99,30% 4,50%

>99,10%,<=99,20% 5,00%

>99,00%,<=99,10% 5,50%

Menor o igual a 99,00% 10,00%

(1) Se acumula para efectos de resolver el contrato

Para el caso del ejemplo arriba mencionado, el contratista tendrá una
penalidad en el mes equivalente al 3.00%. Este porcentaje se descontará del
pago mensual a realizar.

El Ministerio podrá cobrar una penalidad hasta un monto máximo equivalente

al 10% del monto del contrato vigente.

Cuando se llegue a cubrir el monto máximo de la penalidad (10%), la entidad

podrá resolver el contrato por incumplimiento.

Estas penalidades son independientes a las penalidades por mora.

Inversión: S/. 22,000