SECRETARIA DISTRITAL DE MOVILIDAD

Transcripción

1 SECRETARIA DISTRITAL DE MOVILIDAD Programa de Servicios Urbanos para Bogotá, Proyecto de Apoyo Institucional al Sistema Integrado de Transporte Público (SITP) Préstamo BID 2136/CO CO Proceso SDM LPN No.BID 014 de 2013 Adquisición y puesta en funcionamiento de la infraestructura de gestión de seguridad de la información para el Sistema de Movilidad Urbano regional SIMUR., para los fines pertinentes. ADENDA No. 1 La Suscrita Subsecretaria de Política Sectorial, en su condición de ordenador del gasto del Préstamo BID 2136/CO CO en uso de sus facultades y de acuerdo con lo establecido en los numerales 8.1, 8.2 y 8.3 de las Instrucciones a los Oferentes (IAO) Sección I, de los Documentos de Licitación, informa: PRIMERO: Se prorroga el plazo de presentación de ofertas para el presente proceso y en consecuencia se modifica el IAO 24.1, de la sección Sección II. Datos de la Licitación (DDL) así: IAO 24.1 Para propósitos de la presentación de las ofertas, la dirección del Comprador es: Atención: Claudia Milena Melo - Dirección de Asuntos Legales. Dirección: Avenida Calle 13 No , se debe radicar en la ventanilla de correspondencia de la Secretaría Distrital de Movilidad Número del Piso/Oficina: Piso 1 Ciudad: Bogotá D. C. País: Colombia La fecha límite para presentar las ofertas es: Fecha: 17 de junio de 2013 Hora: Se recibirán hasta 4:00 p.m. SEGUNDO: Se prorroga el plazo de apertura de ofertas para el presente proceso y en consecuencia se modifica el IAO 27.1, de la sección Sección II. Datos de la Licitación (DDL) así: IAO 27.1 La apertura de las ofertas tendrá lugar en: Dirección: Avenida Calle 13 No Número de Piso/Oficina: Piso 3, Sala de Juntas Ciudad: Bogotá D. C. País: Colombia Fecha: 17 de junio de 2013 Hora: 4:15 p.m. TERCERO: Se modifica el numeral 2.4 Servicios conexos Servidor tipo appliance de protección de bases de datos, de la Lista de Servicios Conexos y Cronograma de Cumplimiento, incorporados en la Sección VI. Lista de Requisitos, incluyendo en el servicio No. 2 el número de Bases de Datos. El numeral 2.4 quedará así: Página 1 de 13

2 Servicio Descripción del Servicio Cantidad Unidad física Lugar donde los servicios serán prestados Fecha(s) final(es) de Ejecución de los Servicios 1 Instalación, configuración, integración y puesta en funcionamiento de los equipos de cómputo suministrados que conforman el appliance de protección de bases de datos 1 N/A Secretaría Distrital de Movilidad 2 Configuración, integración y puesta se solución de protección de bases de datos en cuatro (4) Bases de datos designados por la Secretaria Distrital de Movilidad 4 N/A Secretaría Distrital de Movilidad 3 Realizar pruebas y validación del correcto funcionamiento tanto a nivel de hardware como de software en modalidad llave en mano. 1 N/A Secretaría Distrital de Movilidad 4 Soporte 7x24 para la solución de appliance de protección de bases de datos ofrecidos a 24 meses con cambio de repuestos y con garantía del fabricante original del equipo tiempo de atención en sitio no superior a 8 horas (incluye horas hábiles y horas no hábiles) 2 Años Secretaría Distrital de Movilidad 5 Mantenimiento preventivo: Cuatro (4) mantenimientos preventivos en el periodo de 24 meses previsto. Mantenimiento Correctivo: los que se requiera que garanticen la disponibilidad de los equipos permanentemente. La indisponibilidad de los equipos no puede ser superior a 4 horas, en caso de que el equipo requiera reemplazo deberá realizarlo de acuerdo a los Niveles de Servicio acordados con la Secretaria Distrital de Movilidad. 4 MANTENIMIENTOS Secretaría Distrital de Movilidad CUARTO: Se modifica el numeral Servidor tipo Appliance de virtualización de firewall de nueva generación, de las Especificaciones Técnicas, incorporados en la Sección VI. Lista de Requisitos, incluyendo en el servicio componente de servicios virtuales el siguiente texto El proveedor instalará, configurará y pondrá en funcionamiento el cluster de firewall y configurará cuatro (4) firewall virtuales que se definirán en conjunto con la SDM. El numeral quedará así: Descripción Requerimiento mínimo Cumple No cumple Observaciones Componente Servidor tipo Appliance de virtualización de firewall de nueva generación Página 2 de 13

3 Descripción Requerimiento mínimo Cumple No cumple Observaciones Cantidad 2 El Fabricante de la solución debe acreditar experiencia de venta e instalación, de soluciones en el país, por más de 10 años. Fabricante El Fabricante, deberá tener foco solo en productos de seguridad El fabricante del appliance y el desarrollador de su software de seguridad deben ser la misma organización Marca La Solución deberá estár calificada en el segmento der líder en soluciones de Firewall Enterprise en el cuadrante mágico de Gartner para el año Cada appliance debe contar redundancia a nivel suministro de potencia Redundancia Los appliance deben ser suministrados con el cableado de potencia electríca necesarios para su puesta en funcionamiento. Sistema operacional Sistema operacional de 64 Bits La solución debe poder crecer mínimo hasta 10 Sistemas Virtuales. Sistemas Virtuales El proveedor instalará, configurará y pondrá en funcionamiento el cluster de firewall y configurará cuatro (4) firewall virtuales que se definirán en conjunto con la SDM. Throughput Firewall El throughput de la solución debe ser mínimo de 15 Gbps para texto claro y 2 Gbps para VPNs Throughput IPS Capacidad Cableados El throughput del IPS activo, dentro de una plataforma de Firewall con tráfico mixto debe ser de al menos 4Gbps. Debe ser capaz de manejar al menos 3.5 Millones de sesiones concurrentes. Los appliance deben ser suministrados con el cableado de conectividad de red (Patch Cord en Cobre o Fibra Óptica) necesario para su puesta en funcionamiento Los appliance deben ser suministrados con el cableado de potencia electríca necesarios para su puesta en funcionamiento. Acesorios para montaje en rack Interfaces y conectividad El appliance debe soportar interfaces 10G y la posibilidad de realizar agregacion entre las interfaces (LACP) Página 3 de 13

4 Descripción Requerimiento mínimo Cumple No cumple Observaciones Cada firewall debe tener mínimo 8 puertos 10/100/1000 y disponibilidad para expansión para al menos dos (2) nuevos puertos 10G Cada interfaz de red debe soportar al menos 256 VLANs Tener puerto para conexión de consola serial RJ-45 Memoria Los firewall se deben soportar mínimos 4 gigabytes de memoria cada uno Licenciamiento Administración La licencia debe ser para usuarios ilimitados de firewall e ilimitadas direcciones IP por 2 años. El appliance debe tener una herramienta de diagnóstico de Hardware, ejecutable desde el LCD sin la necesidad de uso de cables o consolas, que permita al menos las siguientes opciones: identificar fallas en el appliance, cargar las diferentes imágenes precargadas de fábrica, determinar el estado de funcionamiento del appliance, restauración de la configuración de fábrica La solución de firewall perimetral debe estar administrada por un appliance dedicado para la administración de las plataformas de seguridad, consolidación de registros (logs) y que provea de mecanismos de correlación y generación de reportes. (ver numeral 3.1.3) Backup Debe contar con una interfaz de administración que permita las siguientes acciones sobre el equipo (1) Encender la caja de manera remota (2) Acceso remoto a través de consola virtual KVM (3) Instalación remota utilizando una media virtual. (4) Para solución de problemas debe permitir el conocer el último estado de la caja antes de reiniciarse (5) Monitoreo de estado a través del protocolo SNMP El appliance debe ser accesible a través de SSH y de interfaz Web usando SSL. Debe tener administración centralizada de políticas, almacenando logs y monitoreando al menos dos. Proporcionando la habilidad de distribuir centralizadamente las políticas El appliance debe permitir realizar la restauración de la configuración de fábrica La herramienta de administración debe poder realizar respaldo y resturación (backup/restore) de la configuración, permitiendo al administrador programar la realización de los backups en el tiempo deseado. (1) Los Backups deben pueden ser almacenados localmente (2) Los Backups se deben poder transferir mediante procolos FTP o SCP (3) El appliance debe ser capaz de almacenar más de una imagen, y debe permitir al administrador cambiar de una imagen a otra. Página 4 de 13

5 Descripción Requerimiento mínimo Cumple No cumple Observaciones Funcionalidades Tener y suministrar las características de protección propias de un Firewall de Nueva Generación NG-FW así: (1) Sistema Prevención Intrusos IPS (2) Control de Bots & Botnets, actualizacion periodica desde servicio en la nube propio (3) Acceso Seguro SSL para al menos 200 usuarios concurrentes. (4) VPNs IPSec Estar en capacidad de soportar la gestión de la seguridad perimetral de mínimo 1500 usuarios con crecimientos estimados en el numero de usuarios de 10% para cada uno de los siguientes dos (2) años. Tener y suministrar un mecanismo para educar a los usuarios en tiempo real, acerca de las políticas de seguridad del SIMUR Estar basada en Stateful Inspection, permitiendo crear reglas por puerto, protocolo y/o aplicación. Poder trabajar esquema de balanceo de Sistemas Virtuales. El appliance Debe tener capacidad de consolidar los registros (logs) de los firewall correlaccionar los eventos y generar reportes resultado de la correlacción de los eventos recolectados. La comunicación entre los firewall de la solución debe hacerse de forma cifrada a través de infraestructura PKI Debe tener mínimo 150 aplicaciones, servicios y protocolos predefinidos de fábrica para su instalación por defecto (al salir de la caja), incluyendo: IPS (1) Protección/bloqueo de Mensajería instantánea (2) Aplicaciones Peer-to-peer (3) Voz sobre IP (VoIP) El Sistema Prevención Intrusos IPS deben estar integrado en el mismo appliance Los componentes de prevención de IPS (Sistema Prevención Intrusos IPS) de la solución debe poder realizar la protección mediante mínimo los siguientes mecanismos: (1) firmas de exploit (2) anomalías de protocolo (3) detección basada en comportamiento (4) controles para aplicaciones Los componentes de prevención de IPS (Sistema Prevención Intrusos IPS) de la solución debe poderse administrar para generar excepciones por mímino los siguientes mecanismos (1) Fuente (2) Destino Página 5 de 13

6 Descripción Requerimiento mínimo Cumple No cumple Observaciones (3) Servicio (4) Combinación de las tres (3) anteriores QUINTO: Se modifica el numeral CGC17.1. el cual quedará de la siguiente manera: CGC 17.1 Se requerirá una Póliza de Cumplimiento de Contrato: El monto de la póliza deberá ser: 10% del valor del contrato y con una vigencia igual al plazo de ejecución del contrato y seis (6) meses más, contados a partir de la suscripción del mismo constituida a favor de la Secretaría Distrital de Movilidad. En ella se debe indicar el número y objeto del contrato. SEXTO: Se modifica el numeral Plataforma de administración de sistema integrado de gestión (ISO9001, NTCGP1000, ISO27001, ISO31000, ISO22301), de las Especificaciones Técnicas, incorporados en la Sección VI. Lista de Requisitos, incluyendo las siguientes descripciones; Sistema de gestión Continuidad de Negocio, Sistema de gestión ISO y Sistema de gestión Balance Score Card. El numeral quedará así: Descripción Requerimiento Mínimo Cumple No Cumple Observaciones Arquitectura Idioma Licenciamiento Seguridad Debe estar soportado en una arquitectura de 3 capas Todos sus menús y documentación deben estar en español Debe disponer de ayuda integrada en el propio entorno Web que dirija directamente a la explicación de la opción en la se encuentra. Ilimitado (si limitaciones al número de usuarios que puedan usar el sistema) Conexión HTTPS entre cliente web y servidor web. Conexiones cifradas entre los diferentes servidores que conforman la plataforma. Soporte a uso de Certificados Digitales Módulo gestión de seguridad para el control de todas las entradas, salidas y operaciones internas de datos. Debe permitir su instalación en configuración de Alta Disponibilidad en más de un Centro de Datos. Debe permitir la integración con otras fuentes de información de la entidad, mediante diferentes mecanismos como Web Services, APIs, Import/Export de distintos tipos de archivos. Integración Subsistemas Módulos Debe contar mecanismos de integración con herramientas de gestión de seguidad de la información como: herramientas de monitorización (OSSIM), ticketing, CMDBs e inventariado de activos (OCS, CMDBBuilder, ATRIUM CMDB), cuentas de correo electrónico o sincronización con el Directorio Activo y LDAP. Debe Permitir el acceso a través de diferentes medios, incluidos PCs, Laptops, Tablets, Smartphones.. y La plataforma de gestión integrada de gestión debe tener módulos o subsistemas para permitir establecer, implementar, operar, hace Página 6 de 13

7 seguimiento, revisión, mantenimiento y mejora de los subsistemas de: Soporte a Norma ISO Subsistema de gestión de seguridad de la información 1) Subsistema de gestión de calidad ISO 9001/NTC GP ) Subsistema de gestión de seguridad de la información ISO ) Subsistema de gestión de riesgos ISO ) Subsistema de gestión de servicios de tecnología ISO ) Subsistema de continuidad de negocio ISO ) Subsistema de gestión de cumplimiento normativo (Compliance) 7) Módulo de gestión de Balance Score Card 1. Debe permitir el control y gestión de las actividades necesarias para establecer, implementar, operar, hace seguimiento, revisión, mantenimiento y mejora de un subsistema de gestión de seguridad de la información bajo la norma NTC-ISO/IEC Incluyendo: 2. Debe permitir definir el alcance, límites y objetivos del SGSI (Susbsistema de gestión de seguridad de la información), generando documentos de soporte de las decisiones 3. Debe permitir documentar los objetivos del SGSI para un periodo determinado. Los objetivos se deben poder categorizar y asociarse a los servicios de la Secretaria de a Movilidad. 4. Debe permitir documentar los objetivos específicos del SGSI y establecer qué metas se deben cumplir por cada objetivo, generando la documentación de soporte para su aprobación 5. Debe permitir la evaluación del estado actual de la seguridad de la información de la Secretaria de la Movilidad respecto al cumplimiento de la Norma ISO 27001, a través del Análisis Diferencial 6. Debe permitir el control y definición de la metodología de gestión de riesgo bajo norma ISO incluyendo: 7. Debe permitir definir la estructura de gestión de riesgos asociada al alcance del SGSI, a través del inventario de activos. 8. Debe tener un catálogo de amenazas, vulnerabilidades y controles preconfigurado y clasificado por tipos de activos. 9. Debe permite calcular la IMPORTANCIA de cada activo y el RIESGO 10. Debe permite el envío de encuestas personalizadas para la identificación de los Riesgos 11. Debe permitir la configuración de dimensiones y de metodologías para el cálculo de los riesgos bajo norma ISO Debe permitir determinar el nivel de riesgo aceptable. 13. Debe permitir llevar documentar los controles necesarios para el tratamiento del riesgo. 14. Debe permitir la generación de indicadores personalizables para el Análisis y Gestión de los Riesgos. 15. Debe contar con un módulo de inventario de activos que permita definir y gestionar las relaciones dependencias entre Activos y Servicios. 16. Debe permitir la definición de diferentes Planes de Tratamiento de Riesgos para los activos que se vayan a tratar. 17. Debe permitir la generación de registros históricos para comparar la evolución del análisis y gestión de riesgos. 18. Debe permitir documentar las actividades de los diferentes ciclos de implementación y gestión del SGSI incluyendo: 19. Soportar los procesos asociados al ciclo PDCA definidos por la norma NTC ISO/IEC incluidos los procesos de la mejora continua del sistema. 20. Soportar la gestión del personal con funciones dentro del SGSI (Altas y bajas, roles y responsabilidades, y permisos de información) 21. Debe permitir la gestión de incidentes y problemas mediante la definición de estados para los incidentes y problemas 22. Debe permitir asociar categorías, servicios y prioridades a los incidentes y problemas. Y permitir llevar un seguimiento Página 7 de 13

8 pormenorizado de cada uno de ellos y enviar s a los responsables y tomar decisiones sobre los incidentes y problemas. 23. Debe permitir crear, revisar y gestionar todas las no conformidades tanto derivadas de auditorías como de la propia mejora continua del sistema. 24. Debe permitir la gestión de Acciones Correctivas y Preventivas, su definición y relación con Incidencias, Problemas, Cambios y Entregas, No Conformidades, y demás causas identificables dentro del proceso de gestión de la seguridad de la información 25. Debe permitir la definición y presentación gráfica o textual de métricas e indicadores incluyendo 26. Debe tener procesos para la revisión y monitorización del SGSI a través de indicadores. 27. Debe permitir documentar la comprobación de la efectividad de los procesos implantados. 28. Debe contar con un cuadro de mando integral compatible con Balance Score Card que permite revisar y gestionar cada indicador definido. 29. Debe permitir definir indicadores para cada uno de los objetivos definidos para el SGSI, que permitan medir el desempeño del sistema y ayuden a evaluar si los objetivos específicos se están cumpliendo. 30. La herramienta debe tener un conjunto predefinido de catálogos de indicadores que asistirá en la creación de dichos indicadores. 31. Debe permitir asociar cada indicador a una o varias métricas para crear indicadores complejos y automáticos para el SGI. 32. Debe permitir que las métricas se puedan combinar con diferentes fórmulas para definir el indicador necesario. 33. Debe contar con módulos o funciones que permitan definir, gestionar y apoyar las actividades de auditoria del SGSI incluyendo a) Debe permitir la documentación del programa de auditoria b) Debe permitir la documentación de los planes de auditoria c) Debe permitir la documentación y control de los papeles de trabajo d) Debe permitir documentar todas las actividades definidas para los planes de auditoria e) Debe permitir la generación del informe de auditoría a partir de la documentación registrada en la herramienta en las actividades de la auditoria 34. Debe contar con un gestor documental que permita: a) Generar la documentación del SGSI por cláusulas y procedimientos y con un control de versiones. b) Elaboración de Actas de reunión directamente en la herramienta, permitiendo el registro de acciones del Comité de Seguridad, envío automático de actas a todos los asistentes y el archivo directo de la documentación en el gestor documental. 35. Debe permitir la generación automática de notificaciones de evento del SGSI incluyendo: a) Permitir notificaciones a los miembros de los equipos de recuperación y personal de la entidad o fuera de la entidad, través de diferentes medios de comunicación (Correo, Mensajes SMS). b) Permite la notificación automática a los responsables de los Planes en caso de revisiones y mantenimiento de los mismos c) Alertas sobre el cumplimiento de actividades definidas en las actas d) Alertas sobre el estado de acciones correctivas y preventivas e) Alertas sobre el estado de incidentes y problema Página 8 de 13

9 Soporte a Norma ISO 2000 Gestión de Servicios de tecnología 36. Debe permitir la generación de reportes incluyendo: a) Reportes predefinidos para toda las actividades realizadas en el SGSI b) Permitir la edición de reportes en formatos Word, Excel y exportación a formato PDF. c) Tener una interfaz para el diseño de reportes a requerimientos del usuario. 1. Debe permitir el control y gestión de las actividades necesarias para establecer, implementar, operar, hace seguimiento, revisión, mantenimiento y mejora de un subsistema de gestión de servicios de información te tecnología bajo la norma ISO/IEC Permitir la definición del alcance. Del subsistema de gestión de servicios de tecnología 3. Permitir el registro y seguimiento del proceso del establecimiento y seguimiento de objetivos del subsistema de gestión de servicios de tecnología. 4. Permitir el registro y seguimiento de los objetivos específicos del subsistema de gestión de servicios de tecnología. 5. Permitir la definición y registro de las métricas asociadas para el seguimiento y evaluación del desempeño del subsistema de gestión de servicios de tecnología. 6. Permitir la programación y planificación del proceso de auditoría interna del subsistema de gestión de servicios de tecnología. 7. Gestión de las no Conformidades detectadas en el subsistema de gestión de servicios de tecnología mediante, asistentes de gestión de las No Conformidades. 8. Permitir mantener la trazabilidad entre la posible causa de la no conformidad y el resto de elementos del subsistema de gestión de servicios de tecnología (incidentes, problemas, cambios, entregas, evaluaciones, etc.) 9. Los módulos que permitan la implementación del sistema de gestión de servicios de tecnología deben estar integrados en su totalidad con los módulos del subsistema gestión de seguridad de la información permitiendo: 10. Administración unificada del inventario de activos y servicios de tecnología 11. Administración unificada de incidentes y problemas 12. Administración unificada de acciones correctivas y preventivas sobre el subsistema de gestión de seguridad de la información y el subsistema de gestión de servicios de tecnología 13. Gestión del subsistema de servicios de tecnología. El módulo de gestión del subsistema ISO20000 debe permitir 14. Gestión del proceso de Niveles de Servicios. a) Debe permitir la definición y gestión del catálogo de servicios conforme al estándar ISO b) Debe permitir el establecimiento y gestión de los acuerdos de niveles de servicio asociados a los servicios definidos en el catálogo de servicios. c) Debe contar con agente para la evaluación de los acuerdos de niveles de servicio establecidos para cada servicio o para cada cliente mostrándole información de todos los eventos relativos a su servicio y los niveles establecidos. 15. Proceso de Gestión de la Configuración. a) Debe permitir la gestión y administración de los elementos de configuración así como de sus relaciones, el inventario de activos y su configuración debe estar disponible en todos los Página 9 de 13

10 subsistemas incluido ISO27001, BS22301, ISO31000, ISO2000. b) Debe permitir definir y configurar las diferentes relaciones entre los elementos de configuración, las distintas categorías y clases con las que definir los distintos elementos de configuración necesarios para generar la Base de Datos de Configuración. c) Debe permitir la gestionar la configuración CMDB desde la mismo sistema (no recurrir a cargue de datos o importación desde otras herramientas.) d) Debe tener una serie de atributos por defecto para los elementos de configuración nuevos y permitir la definición o ajuste de nuevos atributos e) Debe permitir la creación y eliminación de elementos de configuración, así como la modificación de atributos. f) Debe permitir añadir o eliminar relaciones entre elementos de configuración. g) Debe permitir relacionar los elementos de configuración con incidentes y problemas, así como con cambios y entregas. h) Debe permitir registrar en un historial, con todos los cambios producidos en el elemento de configuración mientras este activo en el inventario. i) Debe permitir la visualización de relaciones entre elementos de configuración a través de gráficos. j) Debe permitir crear líneas de referencia base para elementos de configuración (ubicación, disponibilidad requerida, capacidad entre otros). 16. Procesos de Gestión de Incidentes. a) Debe permitir la gestión de los incidentes, la base de conocimientos de atención de incidentes, relación entre incidentes y trazabilidad del incidente con el resto del subsistema de gestión de servicios de tecnología: (no conformidades derivadas, acciones correctivas, acciones preventivas, evaluaciones, planes) 17. Proceso de Gestión de Problemas. a) Debe permitir el registro y gestión de problemas a través de búsquedas en la herramienta, base de conocimiento y trazabilidad entre acciones. De esta manera podrá identificar problemas potenciales en el sistema y gestionarlos conforme al estándar ISO Proceso Gestión de la Continuidad. a) Debe permitir la integración de los planes de continuidad de negocio con los servicios de tecnología y el inventario de activos de tecnología 19. Proceso Gestión de la Disponibilidad. a) Debe permitir el registro y gestión de planes de disponibilidad alineados con los objetivos del sistema de gestión mediante indicadores y seguimiento al cumplimiento de planes. 20. Proceso Gestión de la Capacidad. a) Debe permitir el registro y gestión de planes gestión de la capacidad de sus servicios, mediante indicadores y evaluación del cumplimiento de los planes. 21. Proceso Gestión de Cambios. a) Debe permitir el registro y gestión de cambios interrelacionándose con la gestión de la configuración, permitiendo que los cambios actualicen el inventario de configuración de los servicios y elementos de configuración. 22. Proceso Gestión de Entregas. a) Debe permitir la gestión de entrega de cambios en servicios y elementos de configuración mediante la definición de planes de entrega. Página 10 de 13

11 b) Debe permitir la generación de alertas a los usuarios del servicio sobre cambios en elementos de configuración o servicios mediante medios como correo electrónico o integración con el portal de Internet de la SDM (ejemplo RSS) 23. Proceso Gestión de Proveedores a) Debe permitir el registro, control, seguimiento y evaluación de los proveedores de servicio y la evaluación de los acuerdos de niveles de servicio definidos con dichos proveedores mediante la integración de incidentes, problemas, no conformidades, capacidades y cumplimiento de planes. Sistema de gestión NTC GP1000 / ISO Proceso Gestión de Informes. a) Debe permitir la consulta y generación de informes predefinidos o diseñados por la SDM para todos los componentes del subsistema de gestión de servicios de tecnología 25. Gestión documental del Subsistema de gestión de servicios de tecnología. Los componentes del subsistema de gestión de servicios de tecnología debe estar integrados a un gestor único documental de todos los subsistemas (ISO9001, NTCGP1000, ISO27001, ISO31000, ISO22301, ISO2000) para permitir: a) Generación de actas de reuniones directamente en el sistema para facilitar el registro de acciones y envío automático de actas a todos los asistentes vía correo electrónico y almacenamiento automático en el gestor de documentos. b) Registro, gestión y documentación de proyectos, coordinación del proyecto y seguimiento de estado de cumplimiento de tareas asignadas tareas y generación de estadísticas del estado general de cada proyecto. 1. Debe soportar la definición, actualización y mantenimiento de proyectos de implantación de sistema de gestión de la calidad bajo normas ISO 9001 y NTC GP1000 incluyendo: a) Gestión del Alcance b) Gestión de Objetivos y Metas c) Gestión de Análisis Diferencial d) Gestión de Requisitos generales 2. Debe incluir gestor documental para la administración de los requisitos de documentación de las normas ISO 9001 y NTC GP1000 incluyendo: a) Control de Documentación del Sistema b) Control de la Revisión por la Dirección c) Control de las Políticas d) Control de versiones de toda la documentación e) Gestión de Actas de reunión (elaboración, actualización, distribución) dentro de la misma plataforma 3. Control del ciclo de vida de la calidad de prestación de servicios y elaboración de productos incluyendo: a) Gestión de la Revisión de los Sistemas de calidad b) Control y seguimiento de las actividades de diseño de acuerdo con los procedimientos del sistema de calidad c) Control y seguimiento de las actividades de Compras y Contrataciones de acuerdo con los procedimientos del sistema de calidad d) Evaluación de Proveedores de acuerdo con los procedimientos del sistema de calidad e) Control de procesos y aspectos operacionales de la calidad en la prestación de servicios y elaboración de productos f) Control de equipos de acuerdo con los procedimientos del sistema de calidad g) Control de no conformidades h) Control de Acciones correctivas y preventivas Página 11 de 13

12 i) Control de Auditorías Internas j) Control de las actividades de Formación, Sensibilización y competencia profesional k) Control Comunicación interna y externa de acuerdo con los procedimientos del sistema de calidad 4. Gestión del talento humano a) Debe permitir el registro de y asociación de roles a los funcionarios de la SDM así como sus competencias, consiguiendo la trazabilidad entre los roles, los funcionarios, la capacitación de dichos funcionarios y las competencias de los puestos de trabajo. b) Debe permitir el registro y seguimiento de los planes de formación y entrenamiento de los funcionarios asignados a las actividades del sistema integrado de gestión de la SDM. Sistema de gestión Continuidad de Negocio Sistema de gestión ISO Debe permitir la Identificación, control y evaluación de riesgos de acuerdo con la norma ISO Debe permitir el control y gestión de las actividades necesarias para establecer, implementar, operar, hace seguimiento, revisión, mantenimiento y mejora de un subsistema de gestión de continuidad de Negocio bajo norma ISO22301(asnte BS /BS ) 2. Permitir la definición del alcance. Del subsistema de gestión de continuidad del negocio 3. Permitir el registro y seguimiento del proceso del establecimiento y seguimiento de objetivos del subsistema de gestión de continuidad del negocio. 4. Permitir el registro y seguimiento de los objetivos específicos del subsistema de gestión de continuidad del negocio 5. Permitir la definición y registro de las métricas asociadas para el seguimiento y evaluación del desempeño del subsistema de gestión de de continuidad del negocio 6. Permitir la programación y planificación del proceso de auditoría interna del subsistema de gestión de continuidad del negocio. 7. Gestión de las no Conformidades detectadas en el subsistema de gestión de continuidad del negocio, asistentes de gestión de las No Conformidades. 8. Contar con funciones que permitan realizar: a) Análisis de impacto en el negocio (BIA) incluyendo los cálculos de MTS, RPO, RTO, identificación de procesos críticos b) Análisis y gestión de riesgo, orientado a evaluación de escenarios que afecten lacontinuidad del negocio c) Planes de continuidad documentados d) Planes de prueba del SGCN. e) Evaluar el grado de madurez del SGCN (Subsistema de gestión de Conitunidad de Negocio) f) Gestor Documental g) Cuadro de mando integrado a los módulos del Balance Score Card h) Gestión de incidencias integrado al Subsitema de Gestión de Servicios de tecnología y Subsistema de Gestión de la Seguridad de la información i) Gestión de proyecto del Implementación del Subsistema de Gestión de continuidad de Negocio 1 Debe permitir el proceso de gestión de riesgos bajo norma ISO (norma adoptada por el sistema integrado de gestión distrital) 2 Permitir definir el contexto de gestión de riesgos de cualquiera de los susbsistemas que forma parte de la solución (Calidad, Ambiental, Salud Ocupaciónal, Servicios de Tecnología, Seguridad de la información, Continuidad de negocio) Página 12 de 13

13 a) metodo de cálculo de los riesgos b) Niveles aceptables de riesgo c) variables que participaran en la etapa de valoración del riesgo como confidencialidad, integridad, disponibilidad, impacto operacional, riesgo legal y otras dimensiones necesarias de acuerdo con el subsistema para el cual se analizan los riesgos 3 Permitir realizar las actividades de análisis de riesgos dentro del marco de la norma ISO (identificación de activos, identificación de amenazas, identificacion de vulnerabilidades) para cualquiera de los susbsistemas incluidos en la solución: Calidad, Ambiental, Salud Ocupaciónal, Servicios de Tecnología, Seguridad de la información, Continuidad de negocio 4 Contar con listas predefinidas o catalogos de tipos de riesgos (operacional, legal, financiero, tecnológico, etc) y permitir la creación de nuevos catalogos 5 Permitir la definición de formulas para realizar el proceso de valoración de riesgos 6 Permitir la valoración de los riesgos mediante costeo de los escenarios definidos 7 Contar con listas predefinidas de controles que permitan realizar el tratamiento de los riegos identificados. 8 Permitir la definición y documentación de planes para el tratamiento de los riesgos identificados (los planes deben permitir ladefinición de las acciones, tiempos, recursos, responsables) 9 Permitir el seguimiento de la ejecución de las acciones propuestas en los planes de tratamiento de los riesgo 10 Permitir el cálculo de valor de riesgo residual una vez se haya realizado el proceso de tratamiento de riesgos 11 Permitir la generación de los mapas riesgo por subsistema (iso9000, iso20000, iso27000, iso22301, NTC GP1000) 12 generación de resultados sobre el panorama de riesgo que alimenten el Balance Score Card Sistema de gestión Balance Score Card 1 Permitir la definición y gestión del cuadrode mando Integral de los susbsistemas del sistema integrado de gestión que forman parte de la solución incluyendo: a) Gestión de los objetivos de negocio b) Gestión de objetivos específicos de negocio c) Gestión de los indicadores de cumplimiento de los objetivos de negocio d) Gestión de las metricas que permiten el cálculo de los indicadores de objetivos del negocio e) Presentación gráfica del cuadro de mando integral con sus resultados SEPTIMO: Las demás disposiciones consagradas en los Documentos de Licitación que no hayan sido modificadas en el presente documento, continúan vigentes en los mismos términos. Dado en Bogotá D. C., a los siete (7) días del mes de junio de ORIGINAL FIRMADO POR MARIA CONSTANZA GARCÍA ALICASTRO Subsecretaria de Política Sectorial Revisó: Julián Enrique Narváez G Director de Asuntos Legales Claudia Isabel Osorio Coordinadora Unidad BID Proyectó: Claudia Melo Dirección de Asuntos legales, Catherine Ruiz Unidad BID Ana Milena Granados- Oficina de Información Sectorial Aprobó: Bismark Benjamín Buenaños Mosquera- Jefe Oficina de Información Sectorial Página 13 de 13