202010 Plan Director Seguridad IT
Title: 202010 Plan Director Seguridad IT
Publication date: 2020-06-15
Reference: 202010
Deadline for submission of Proposals: 23:59 del 30 de junio de 2020
Documents:Resolucion Adjudicacion
Questions & Answers
- Referente al punto 3 del pliego de prescripción técnicas, donde se indica como objetivo del entregable: "Establecer y formalizar procedimientos de gestión de la seguridad": El alcance de este punto, ¿esta limitado? O ¿se refiere a cualquier procedimiento que se identifique como necesario?
No hay límites. Cualquier procedimiento que sea de aplicación desde un á¡mbito técnico, legal/Normativo y Organizativo.
- ¿Se refieren como documentos de Gestión de la seguridad a documento que guíen el gobierno de la misma?
No entendemos esta pregunta.
- En ese mismo punto numero 3 se indica la fecha de 4 de agosto como limite para disponer de un entregable del Plan Director de Sistemas. Estimando los esfuerzos que se han de realizar en cuanto al análisis previo de políticas, procedimientos, estrategias, tecnologías... además de los trabajos de desarrollo del Plan Directos de Sistemas y su correspondiente entregable, teniendo en cuenta la fecha de presentación de ofertas y el tiempo necesario para la gestión de la adjudicación. ¿Es posible que la fecha sea errónea? ¿Es posible modificar ese plazo de entrega del Plan Director de Seguridad?.
No es errónea y el plazo del 4 de agosto es inamovible.
- En el punto 12 del Pliego de Clausulas Administrativas se indican los recursos mínimos a adscribir a la ejecución del contrato. ¿Ambos recursos deben estar ligados al contrato durante toda la ejecución del contrato? ¿Es posible alternar dichos recursos en función de las necesidades del contrato?
Ambos deben estar adscritos. El proyecto que presenten es que deberá describir cuándo y cómo se utilizan los recursos asignados.
- En ese mismo punto 12 se indican los perfiles de los recursos a asignar al contrato: En cuanto al responsable del Proyecto, ¿es obligatorio la posición de todas las certificaciones indicadas o solo de algunas?
Todas la certificaciones.
- En cuanto, a ambos perfiles, ¿el nivel de ingles debe ser acreditado a través de certificado oficial? O ¿es el nivel de inglés necesario?
Tal y como se señala en el apartado 16.2.(i) del pliego de condiciones administrativas particulares, deberán presentar la documentación acreditativa de la efectiva disposición de los medios humanos comprometidos para su adscripción al contrato.
- Buenas tardes,
2.- En el pliego de prescripciones técnicas se indica la existencia de un “ sistema de gestión de la seguridad de la información (en adelante, SGSI), basado en la normativa ISO 27001 que nanoGUNE ha elaborado durante el 2019”.
a.) aclarar si se ha certificado el SGSI, y en su caso, si se piensa certificar en próximos ciclos.
b.) en caso de no encontrarse certificado el SGSI, aclarar si se ha realizado una auditoría interna
Gracias,
El sistema de gestión de seguridad de la información no está certificado.
- Buenas tardes,
3.- En el pliego de prescripciones técnicas se indica que entre los objetivos está “Establecer y formalizar procedimientos de gestión de la seguridad". Posteriormente se indica que se “deberá contemplar la implementación y el seguimiento del sistema de gestión de la seguridad de la información (en adelante, SGSI), basado en la normativa ISO 27001 que nanoGUNE ha elaborado durante el 2019”. Entendemos que el objetivo de “Establecer y formalizar procedimientos de gestión de la seguridad” se alcanza toda vez para aquellos procedimientos de gestión de seguridad que en el plan director se detecte mejora o que sea necesario implantar, partiendo de la idea que ya hay una definición. En este sentido, se solicita detalle de la relación de documentos realizados para el SGSI: Políticas, procedimientos, normativas, guías , estándares y registros creados.
Gracias,
Los documentos realizados para el SGSI son los siguientes: - Documento SGSI. - Políticas TIC y Políticas de seguridad. - La plataforma de gestión de activos (software/hardware). - Informes de análisis de la SIEM que monitoriza las amenazas de seguridad. - Auditoría de infrestructuras y tests de intrusión realizados.
- Buenas tardes,
1.- Entendemos que el seguimiento de la implantación del Plan director comienza desde el 4 de agosto, fecha de entrega hasta la finalización del contrato. En este sentido la facturación indicada en el pliego de clausulas administrativas indica que la facturación es con un importe mensual donde “El importe mensual a abonar al contratista será el que resulte de dividir el importe total ofertado por el contratista entre 30”.
Se solicita aclarar:
a) Entendemos que el seguimiento a la implantación deberá ser al menos mensual. Por favor aclarar si nuestro entendimiento es correcto.
b) Dado que el esfuerzo para realizar el Plan Director de seguridad es superior al seguimiento indicado anteriormente, se solicita aclarar la posibilidad de ajustar la “senda de facturación” en función de las actividades desarrolladas a lo largo del servicio. (por ejemplo, en la propuesta técnica indicar en modo de porcentajes sin incluir precios o cantidades)
Gracias,
a) es correcto. 30 pagos correspondientes a 30 meses (julio 2019-diciembre 2021). b) no es posible ajustar el calendario de facturación.
- En el punto 12 del PCA se indican los perfiles de los recursos a asignar al contrato:
En cuanto al responsable del Proyecto, ¿puede entenderse como equivalentes a las solicitadas las certificaciones CISSP o ISO27001 LI?
Las certificaciones requeridas CISA e CISM son emitidas por ISACA mientras que el CISSP lo es por (ISC)2. No es posible establecer una equivalencia. Se requirió que el responsable de proyecto dispusiera de las dos primeras porque entendíamos que se complementaban (Auditor y Manager) y nadie puede asegurar que el disponer del CISSP equivalga a tener las dos primeras. En cuanto al certificado ISO27001 LI (implementador) no es el certificado requerido de Auditor.
Ask a question
Send a question to us and we will answer it as soon as posible.