Núm. Exp.: ECON/000056/2014 Página 1 de 28. Ref: 03/ /14. La autenticidad de este documento se puede comprobar en

Transcripción

1 Ref: 03/ /14 PLIEGO DE CLÁUSULAS TÉCNICAS QUE HA DE REGIR EN EL CONTRATO DE SERVICIOS DENOMINADO AUDITORIA, CONTROL Y VERIFICACIÓN DEL CUMPLIMIENTO EN MATERIA DE SEGURIDAD DE EN LA COMUNIDAD DE MADRID, A ADJUDICAR MEDIANTE PROCEDIMIENTO SIMPLIFICADO ORDINARIO CON PLURALIDAD DE CRITERIOS CLÁUSULA 1.- INTRODUCCIÓN La Agencia de Infrmática y Cmunicacines de la Cmunidad de Madrid (en adelante ICM), según Ley 7/2005, de 23 de diciembre, de Medidas Fiscales y Administrativas (BOCM Núm. 311, de 30 de diciembre de 2005), tiene asignadas, entre tras funcines, las siguientes: El cntrl del cumplimient de la nrmativa a que deberán atenerse ls equips físics y lógics de tratamient de la infrmación y de las cmunicacines desarrllads adquirids pr la Cmunidad de Madrid, a fin de asegurar su utilidad y cmpatibilidad. El aseguramient de la integración efectiva en la infraestructura física y lógica gestinada pr la Agencia, y la adecuación a ls estándares y nrmativa aplicable, de tds aquells sistemas materiales lógics relativs a la infrmática y las cmunicacines que hubieran sid fueran en el futur transferids a la Cmunidad de Madrid desde tras entidades estatales lcales, en cualquier ámbit. La elabración de la nrmativa e instruccines para la utilización de ls diferentes equipamients pr ls usuaris. La seguridad, cnfidencialidad, integridad y dispnibilidad de la infrmación tratada, en su ámbit de respnsabilidad. Dentr del precitad ámbit cmpetencial, es necesari verificar el grad de adecuación a ls estándares y nrmativa aplicable en materia de seguridad mediante la realización de las prtunas auditrías y ejercer el cntrl del cumplimient nrmativ de tal frma que se evidencien las psibles deficiencias en materia de seguridad mediante la instauración del servici aprpiad. CLÁUSULA 2.- OBJETO La prestación de ls servicis de auditría de ls prcedimients e instruccines vigentes en la Cmunidad de Madrid para dar cumplimient a la legislación en materia de seguridad de la infrmación y prtección de dats, de cnfrmidad cn l establecid en el presente plieg y en el Anex al mism. La autenticidad de este dcument se puede cmprbar en mediante el siguiente códig segur de verificación: CLÁUSULA 3.- ALCANCE En el Anex al presente Plieg se recge la vlumetría de fichers, centrs y sistemas de infrmación bjet de ls trabajs, existentes en la fecha de inici de la licitación. El ámbit de aplicación se extenderá a ls fichers, centrs y sistemas de infrmación actualizads a la fecha de inici de la licitación, siend tarea del adjudicatari prceder a la revisión del alcance y la actualización pertinente cm pas previ a la ejecución de cualquiera de ls trabajs. A tal efect, el cntratista asumirá, sin cste adicinal para ICM, la variación en el alcance hasta un 10%, derivada de la inscripción incrpración de nuevs fichers y/ sistemas de infrmación, y calculada para cada un de ls cncepts de auditría, respect del númer que se indica en el Anex al presente Plieg. Núm. Exp.: ECON/000056/2014 Página 1 de 28

2 El alcance de ls trabajs a desarrllar se detalla a cntinuación en distints epígrafes que crrespnden al bjet del cntrat: A) Servicis de auditría en materia de seguridad. 1. Auditría de ls prcedimients e instruccines vigentes en materia de seguridad de dats persnales: Auditría de ls prcedimients e instruccines vigentes en materia de seguridad de dats persnales, de cnfrmidad cn l establecid en ls Artículs 96 y 100 del Real Decret 1720/2007, de 21 de diciembre, Reglament de desarrll de la LOPD, respect a ls fichers de dats de carácter persnal de ls que ICM se cnfigura cm Respnsable de Ficher Encargad del Tratamient Esta auditría habrá de verificar el grad de cumplimient de las medidas de seguridad del nivel crrespndiente establecidas en el citad Reglament, respect de ls fichers mixts autmatizads cn dats de carácter persnal de nivel medi alt, cuya titularidad recae en distints Centrs de la Cmunidad de Madrid y de ls que ICM se cnfigura cm Respnsable de Ficher Encargad del Tratamient. El alcance de esta auditría es la revisión y verificación del grad de cumpliment de las medidas de seguridad en ls centrs de tratamient, lcales, tras instalacines, equips, sistemas, aplicacines, prgramas, persnas que intervengan en el tratamient, cmunicacines e infraestructura tecnlógica y rganizativa de ls sistemas de infrmación, así cm en las nrmas, prcedimients y estándares que afecten a ls fichers relacinads. 2. Auditría de ls cntrles establecids en la nrma ISO-IEC-27002: Auditría de ls sistemas de infrmación baj la respnsabilidad de ICM cn ls que se presta el servici infrmátic que precisa el Organism Pagadr de la Cmunidad de Madrid de ls gasts financiads pr ls fnds eurpes agríclas, en cuant al cumplimient de ls cntrles establecids en las nrma ISO-IEC Td ell de cnfrmidad cn las accines de cntrl relacinadas cn l dispuest en el artícul 18 de la Ley 9/1990, de 8 de nviembre, reguladra de la Hacienda de la Cmunidad de Madrid, y el Reglament (UE) n 885/2006 de la Cmisión, de 21 de juni, pr el que se establecen las dispsicines de aplicación del Reglament (UE) n 1290/2005, del Cnsej, en l que se refiere a la autrización de ls rganisms pagadres y trs órgans y a la liquidación de cuentas del FEAGA y del FEADER Se realizará un estudi de adecuación y crrespndencia entre l establecid en las versines 2005 y 2013 de la nrma ISO-IEC Se realizará una auditría que deberá determinar la cnfrmidad del sistema cn la nrma ISO-IEC en su última versión, su grad de implantación real y su eficacia. Para ell se realizará un análisis de la dcumentación existente y una revisión de las exclusines según la Declaración de Aplicabilidad, se revisarán las plíticas, la implantación de ls cntrles de seguridad según la nrma ISO-IEC y la eficacia del sistema en su cnjunt. 3. Auditría de ls sistemas de infrmación al servici de la Administración de Justicia: Auditría de ls sistemas de infrmación al servici de la Administración de Justicia que sn respnsabilidad de ICM, en cuant a ls criteris generales de seguridad que han de cntemplar según acuerd del Plen, de 13 de septiembre de 2007, del Cnsej General del Pder Judicial, y en cncret el criteri Auditría que regula la necesidad de que ls Sistemas de Infrmación al servici de la Administración de Justicia se smetan a una La autenticidad de este dcument se puede cmprbar en mediante el siguiente códig segur de verificación: Núm. Exp.: ECON/000056/2014 Página 2 de 28

3 auditría que verifique su cumplimient y el de ls prcedimients e instruccines vigentes en materia de seguridad de dats, al mens cada ds añs Se realizará una auditría que verifique el cumplimient de ls Criteris Generales de Seguridad en ls Sistemas de Infrmación al Servici de la Administración de Justicia. Deberá identificar sus deficiencias y prpner las medidas crrectras cmplementarias necesarias. Deberá, igualmente, incluir ls dats, hechs y bservacines en que se basen ls dictámenes alcanzads y recmendacines prpuestas. 4. Auditría de la seguridad de ls sistemas de infrmación relativs al Esquema Nacinal de Seguridad en el ámbit de la Administración Electrónica: Auditría de la seguridad de ls sistemas de infrmación a ls que se refiere el Real Decret 3/2010, de 8 de ener, pr el que se regula el Esquema Nacinal de Seguridad en el ámbit de la Administración Electrónica, verificand el cumplimient de ls requisits establecids pr el mism en ls Capítuls II y III y en ls Anexs I y II del citad Esquema. Se realizará un análisis de riesgs de ls sistemas de infrmación que identifique y valre ls activs más valiss, las amenazas, las vulnerabilidades, las salvaguardas y el riesg residual. Se realizará una auditría que emita una pinión independiente y bjetiva sbre el cumplimient de ls requisits y la crrecta mitigación de ls riesgs bservads de tal frma que permita a ls respnsables crrespndientes, tmar las medidas prtunas para subsanar las deficiencias identificadas, si las hubiera, y para satisfacerse internamente, bien frente a tercers que pudieran estar relacinads, sbre el nivel de seguridad implantad. Td ell según l dispuest en el artícul 42 de la Ley 11/2007, de 22 de juni, de acces electrónic de ls ciudadans a ls Servicis Públics, y específicamente dentr de ls requisits del artícul 34 (Auditría de la seguridad), y del Anex III (Auditría de la Seguridad) del Real Decret 3/2010 de 8 de ener, pr el que se regula el Esquema Nacinal de Seguridad en el ámbit de la Administración Electrónica Ests servicis se realizarán mediante una cmunicación de inici pr parte de ICM dirigida al adjudicatari, según necesidades del servici. El adjudicatari acusará recib de la slicitud del servici, la evaluará y presentará a ICM la planificación prpuesta, así cm la fecha de inici prevista para cada trabaj cncret, n siend superir a quince días desde la cmunicación de inici pr parte de ICM para cada un de ests servicis. Cada un de ests servicis será abnad a su finalización, previa cnfrmidad pr parte de ICM. 5. Revisines técnicas: Se realizarán, cm máxim, y según necesidades del servici, 68 revisines de un mínim de 20 hras cada una durante la ejecución del cntrat. Ls servicis y actividades sbre ls que pdrán versar las auditrías en este epígrafe serán ls siguientes: - Auditrías de cmprmiss cntractuales en materia de seguridad en la prestación de servicis TIC pr terceras partes: Cn la finalidad de analizar y cuantificar la cnsecución de ls acuerds de niveles de servici vigentes, analizar y cuantificar el grad de madurez de ls prcess de seguridad bjet de la prestación de servici, evidenciar y valrar ls riesgs efectivs del servici, analizar y cncluir sbre incidentes graves en el servici. La autenticidad de este dcument se puede cmprbar en mediante el siguiente códig segur de verificación: Núm. Exp.: ECON/000056/2014 Página 3 de 28

4 - Auditrías técnicas de seguridad: Relativas a seguridad en redes y servicis de cmunicacines, seguridad en dispsitivs móviles y access remts, blindaje de servidres, bases de dats y servicis, accesibilidad y dispnibilidad de sistemas y dats, blindaje y cnfiguración de tecnlgías de seguridad, seguridad en estacines de trabaj, prtección frente a malware y rtkits y pruebas de intrusión. - Auditría del cumplimient de las restriccines legales al us del material prtegid pr nrmas de prpiedad intelectual, en cncret de las licencias de sftware. En cada revisión de 20 hras deberá al mens revisarse un cntrat y sus licencias derivadas, cn un máxim de 4 servidres de licencias. - Revisines sbre el cumplimient de las nrmas y estándares en materia de seguridad establecidas en el cuerp nrmativ de ICM. - Análisis técnics de dispsitivs electrónics: El servici cnsistirá en la btención, análisis e interpretación de las psibles evidencias digitales en ls sistemas de infrmación bjet de uss indebids irregulares. Pdrán incluir, entre trs, memrias, rdenadres, PDA s, teléfns móviles, sprtes óptics magnétics así cm trs dispsitivs sprtes susceptibles de ser analizads. - Revisines de las reglas existentes en ls firewalls que dan servici en ICM: Se deberán identificar y analizar las reglas cn el fin de determinar su eficacia en la prtección segura de las redes y btener una simplificación en su administración. En cada revisión de 20 hras se deberán revisar al mens 80 reglas de firewall. - Auditrías de códig fuente de aplicacines: Se deberán identificar ls diferentes tips de vulnerabilidades en el códig fuente de las aplicacines, y verificar la ptencial expltación de las mismas. En cada auditría de 20 hras se deberán analizar al mens líneas de códig. Si la aplicación superara las líneas, pr cada 20 hras adicinales se analizarán líneas. - Análisis del mdel de Rles y Funcines en SAP: El bjetiv fundamental de este análisis es la btención de la infrmación relativa respect a ls usuaris pertenecientes a una unidad rganizativa módul funcinal, para que de esta manera se pueda cncer el detalle de las funcines estándar utilizadas en el sistema SAP pr dich cnjunt de usuaris en base al us de las transaccines. El análisis n durará más de 120 hras. - Análisis del mdel de segregación de Funcines en SAP: El principal bjetiv de este análisis es la identificación de ls usuaris pertenecientes a determinada unidad rganizativa módul funcinal que entran en cnflict cm resultad de una incmpatibilidad de Segregación de Funcines en el sistema SAP. El análisis n durará más de 60 hras. - Auditrías del sistema de telefnía basad en vz sbre IP (VIP): El bjetiv de esta auditría es analizar las vulnerabilidades que puedan afectar al servici de vz sbre IP e identificar las deficiencias detectadas cn el fin de mitigar ls psibles riesgs. El análisis n durará más de 60 hras. El servici de revisines técnicas, determinad en este apartad A.5, se establece cn carácter estimad, quedand subrdinad a las necesidades de ICM, abnándse, pr tant, al cntratista únicamente las que efectivamente se lleven a cab. En el cas de n realizarse tdas las revisines estimadas inicialmente, ni el númer máxim de hras previst, n se riginará ningún tip de derech de indemnización para el cntratista. La autenticidad de este dcument se puede cmprbar en mediante el siguiente códig segur de verificación: Núm. Exp.: ECON/000056/2014 Página 4 de 28

5 Ls servicis se realizarán mediante una cmunicación de inici pr parte de ICM dirigida al adjudicatari, según necesidades del servici, dnde se expndrán las necesidades a cubrir cn el pryect cncret. El adjudicatari acusará recib de la slicitud del servici, la evaluará y presentará a ICM la planificación prpuesta cn indicación del númer de hras de dedicación al pryect (El númer máxim de hras cntempladas para la realización de la ttalidad de ls trabajs reflejads en este apartad A.5 es de 1360 hras.) Una vez aceptada pr parte de ICM, el cntratista iniciará la ejecución de ls trabajs asciads al pryect en un plaz n superir a una semana desde la cmunicación de inici pr parte de ICM. B) Servici de análisis y medición integral de cumplimient de cntrl intern en materia de seguridad Se definirá e implantará un servici de análisis y medición integral de cumplimient de cntrl intern en materia de seguridad, que se realizará mediante un sistema basad un cuadr de mand, adaptad a la actividad de ICM, y enfcad a la gestión de la seguridad. El bjetiv de este sistema será cncer la cnfianza que merecen ls servicis prestads pr ICM en materia de seguridad, así cm dispner de infrmación de detalle de cumplimient de las distintas regulacines nrmativas en materia de seguridad pr parte de ICM. Td ell se reflejará en un cuadr de mand integral rientad a la gestión de la seguridad. El adjudicatari deberá aprtar ls infrmes y reprtes del servici de análisis y medición integral de cumplimient de cntrl intern en materia de seguridad para realizar el análisis crrespndiente y la medición de ls resultads btenids en papel y en sprte electrónic, cmpatible cn las herramientas instaladas en ICM (MS Office 2007, Adbe Acrbat Reader 8, MS Explrer 7). El sprte electrónic, que frma parte de ls entregables del pryect, deberá quedar a dispsición de ICM cn ls dats de cálcul necesaris de frma que permita realizar las psterires actividades de cntrl intern en materia de seguridad. En cuant a ls requisits técnics, el sprte electrónic deberá pder instalarse y ejecutarse en un puest fimátic básic de la Cmunidad de Madrid. Funcinalmente deberá almacenar y prcesar las métricas, bjetivs e indicadres de este servici y generar ls resultads crrespndientes. Las métricas, bjetivs e indicadres de este servici deberán estar rientads a la gestión de la seguridad y deberán ser una traslación de ls bjetivs de cntrl, cntrles, criteris y medidas de seguridad crrespndientes a ls siguientes estándares, nrmas y dispsicines legales: Real Decret 1720/2007, de 21 de diciembre, Reglament de desarrll de la LOPD, nrma ISO-IEC , ls criteris generales de seguridad que han de cntemplar según acuerd del Plen, de 13 de septiembre de 2007, del Cnsej General del Pder Judicial, el Real Decret 3/2010, de 8 de ener, pr el que se regula el Esquema Nacinal de Seguridad en el ámbit de la Administración Electrónica y el cuerp nrmativ vigente en ICM, así cm cualquier tr que la Dirección de Seguridad Crprativa de ICM estime necesari para el análisis y medición de ls servicis de seguridad de la Agencia. Cm mínim, deberá relacinarse pr cada un de ls cntrles de seguridad derivads de las nrmas precitadas ls siguientes elements: 1. Descripción del cntrl. 2. Nrmativa/s de aplicación del cntrl. 3. Platafrmas tecnlógicas de ICM sbre las que aplica el cntrl. La autenticidad de este dcument se puede cmprbar en mediante el siguiente códig segur de verificación: Núm. Exp.: ECON/000056/2014 Página 5 de 28

6 4. Grad de cumplimient del cntrl en cada platafrma asciad a la identificación de la auditría en la que se ha verificad y la fecha de la misma. 5. Relación de auditrías que han verificad el cntrl. 6. Evidencias que sprtan la verificación del cntrl. 7. Relación de aplicacines afectadas pr el cntrl. 8. Relación de recmendacines para mejrar el cumplimient del cntrl. 9. Plan de acción dnde aparecen las recmendacines. 10. Grad de prgres del plan de acción. El servici implantad deberá ser capaz de generar un archiv en frmat estándar (CSV, TEXTO) cn la exprtación de tds ls dats que se manejen. Además, deberá ser capaz de generar al mens ds tips de infrmes, cn el siguiente cntenid: Infrme 1: Dada una aplicación, se generará un infrme que indique las platafrmas tecnlógicas que la cmpnen, ls cntrles de seguridad que sean de aplicación, en cada una de las platafrmas, el estad de cumplimient de cada un de ls cntrles, las auditrías que dan cm resultad la evaluación de cada cntrl, las evidencias que sustentan el resultad, las recmendacines en relación cn el cumplimient de ls cntrles, el plan de acción asciad y su nivel de prgres. Infrme 2: Dad un cntrl, se generará un infrme que indique las platafrmas tecnlógicas que se ven afectadas pr el mism, las aplicacines que se ven afectadas pr el cntrl, el estad de cumplimient de cada un de ls cntrles, las auditrías que dan cm resultad la evaluación de cada cntrl, las evidencias que sustentan el resultad, las recmendacines en relación cn el cumplimient de ls cntrles, el plan de acción asciad y su nivel de prgres. Este servici se abnará mediante certificacines mensuales, cntra factura cnfrmada pr la Dirección encargada de la Inspección del servici. CLÁUSULA 4.- DESCRIPCIÓN DE LOS SERVICIOS A. Servicis de auditría en materia de seguridad 1. Auditría de ls prcedimients e instruccines vigentes en materia de seguridad de dats persnales, de cnfrmidad cn l establecid en ls Artículs 96 y 100 del Real Decret 1720/2007, de 21 de diciembre, pr el que se aprueba el Reglament de desarrll de la Ley Orgánica 15/1999, de 13 de diciembre, de Prtección de Dats de Carácter Persnal, respect a ls fichers de dats de carácter persnal de ls que ICM se cnfigura cm Respnsable de Ficher Encargad del Tratamient. El adjudicatari deberá llevar a cab, cm mínim, ls servicis que se desarrllan a cntinuación, rganizads en las siguientes Fases: Fase 1 Requerimients Generales: Cm cuestión previa, se desarrllarán las actuacines necesarias para llevar a cab ls psterires trabajs que cnstituirán el bjet del cntrat. En particular, y sin perjuici de las tareas que ls licitadres puedan cntemplar en sus fertas, se incluirán las siguientes: Planificación detallada de las actuacines, que deberá incluir cm mínim: Planificación detallada del pryect, cn especificación de fases y actividades, así cm fechas de ejecución, hits a alcanzar y accines de seguimient del pryect. La autenticidad de este dcument se puede cmprbar en mediante el siguiente códig segur de verificación: Núm. Exp.: ECON/000056/2014 Página 6 de 28

7 Determinación del inventari final de ls fichers cn dats de carácter persnal de nivel medi alt a auditar. Si bien en la dcumentación adicinal al presente plieg se recge la relación actual, durante esta actividad se determinarán de frma precisa ls que cnstituirán el ámbit de la auditria. Actualización en ls sistemas de infrmación de ICM del inventari final de ls dats referids a ls fichers bjet del servici de auditría. Identificación de ls distints interlcutres para crdinar las actuacines a realizar cn las Áreas de ICM y cn las Cnsejerías y Órgans afectads. Lanzamient y presentación del pryect, que deberá iniciarse cn la presentación y crdinación de las distintas áreas internas de ICM que se vean afectadas pr la auditria, y que deberá culminarse cn la presentación del pryect a tds ls centrs de las Cnsejerías afectadas. Designación de la persna de las persnas de la empresa prestadra del servici que, sin perjuici de la respnsabilidad prpia de la misma, quedarán autrizads para mantener, de frma centralizada, la interlcución tant cn el persnal de las áreas de ICM cm cn el persnal de Cnsejerías. Recgida y preparación del material y dcumentación necesaria para ejecutar tds ls trabajs prevists. La infrmación que n sea psible determinar en esta fase de actuacines preparatrias deberá recabarse y/ cnfirmarse durante las fases psterires de trabaj, según crrespnda cn la metdlgía planteada para la ejecución de ls trabajs, aunque ell supnga un ajuste en la planificación de las actuacines (Pr ej.: sistemas de tratamient de dats, características técnicas de ls sistemas, equips instalacines, etc.). Elabración del Infrme de planificación detallada de Auditria, que deberá incluir el Prgrama de Auditria cn la descripción de las actividades a realizar in situ dentr de cada una de las actuacines planificadas. Est incluye: Definición de ls bjetivs de cntrl Determinación de ls cntrles crrespndientes a cada un de ls anterires. Identificación de las áreas persnas invlucradas. Dcumentación y especificación de preparativs necesaris, incluyend el detalle de las listas de cheque y la relación de las pruebas a realizar en el trabaj de camp de la fase de verificación de medidas. Fase 2 - Verificación de medidas adptadas pr ICM cm Encargad del Tratamient: Se prcederá a la revisión detallada de las plíticas, nrmas y estándares de seguridad de ICM, de ls sistemas perativs, redes, platafrmas tecnlógicas y herramientas de gestión institucinales que sean de aplicación en ls tratamients de dats persnales de la Cmunidad de Madrid y de acuerd cn l previst en el R.D. 1720/2007. El adjudicatari, emitirá ls siguientes entregables: 1. Un Infrme de Auditría para ICM del análisis de las plíticas, nrmas y estándares de seguridad de ICM, verificación técnica de sistemas perativs, redes, platafrmas tecnlógicas y herramientas de gestión institucinales relacinadas cn ls fichers a auditar. La autenticidad de este dcument se puede cmprbar en mediante el siguiente códig segur de verificación: Núm. Exp.: ECON/000056/2014 Página 7 de 28

8 2. Un dcument en frmat PwerPint que recja un resumen de ls resultads btenids. Este dcument será bjet de una presentación en las instalacines de ICM. 3. Un infrme que recja el plan de acción necesari para slventar las n cnfrmidades recgidas en el infrme de auditría. Fase 3 - Verificación de medidas adptadas pr ls Respnsables de Fichers de la Cmunidad de Madrid: Se prcederá a realizar la verificación de las medidas de seguridad técnicas y rganizativas llevadas a efect en cada una de las instalacines de ls Respnsables de ls Fichers que cmprenda el ámbit de auditría y en relación cn ls aspects de la seguridad, en función de su nivel, prevists en el R.D. 1720/2007. En función de l anterir, para cada centr auditad, y respect de sus fichers autmatizads crrespndientes de nivel medi y alt, el adjudicatari estará bligad a elabrar y facilitar un Infrme de Auditría, que cm mínim deberá dictaminar sbre la adecuación de las medidas y cntrles de seguridad prevists en el desarrll reglamentari de la LOPD, identificar sus deficiencias y prpner las medidas crrectras cmplementarias necesarias. Además, deberá incluir ls dats, hechs y bservacines en que se basen ls dictámenes alcanzads y las recmendacines prpuestas. Para la elabración de ls respectivs infrmes de Auditría, se deberá emplear el Sistema de Infrmación de Gestión de ICM para la Gestión de Prtección de Dats de Carácter Persnal. Asimism, respect a la infrmación btenida en cada un de ls centrs y revisada en el ámbit de ls fichers auditads crrespndientes, se deberá prceder a su actualización en la base de dats del sistema de infrmación de gestión de ICM para la gestión de prtección de dats de carácter persnal. El prestadr del servici frecerá el sprte necesari para que ls distints respnsables de ls centrs auditads accedan al sistema de infrmación de gestión de ICM para la gestión de prtección de dats de carácter persnal y, de este md, prceder a la cnsulta de ls distints infrmes de auditría generads. El sprte incluirá, además, la atención de las bservacines realizadas pr ls Centrs Directivs cm resultad del análisis e interpretación realizada de ls resultads btenids. En el cas de ls fichers n autmatizads, el prestadr del servici deberá prprcinar una guía de recmendacines para la adecuación del tratamient de ls dats cnfrme a ls requerimients establecids en el R.D. 1720/2007. Dicha guía, además, deberá recger el prcedimient pr el cual el Respnsables Titular de ls fichers n autmatizads puede llevar a cab la aut revisión de cumplimient de dichas recmendacines, mediante el us del sistema de infrmación de gestión de ICM para la gestión de prtección de dats de carácter persnal. El adjudicatari, emitirá un dcument en frmat PwerPint que recja un resumen de ls resultads btenids de frma glbal. En el dcument se plasmará las principales cnclusines segmentadas pr Cnsejería y Centr Directiv. Este dcument será bjet de una presentación en las instalacines de ICM. 2. Auditría de ls cntrles establecids en la nrma ISO-IEC Para ls trabajs prpuests se requiere realizar las siguientes fases y actividades: La autenticidad de este dcument se puede cmprbar en mediante el siguiente códig segur de verificación: Núm. Exp.: ECON/000056/2014 Página 8 de 28

9 Fase 1 - Planificación y realización del prgrama de auditría. El bjet de esta Fase es establecer las bases de trabaj para la realización de la auditría. En particular dentr de esta fase se incluye: Planificación detallada de las actuacines, incluyend el lanzamient y presentación del pryect, la crdinación cn las áreas de ICM afectadas y la cnstitución del equip de trabaj que llevará a cab el pryect. Elabración del prgrama de auditría, cn especificación de ls hits a auditar (extraíds de la nrma ISO-IEC-27002) y el detalle de las pruebas y cmprbacines previstas para la verificación de su cumplimient. Obtención de la infrmación y dcumentación necesaria para pder abrdar la verificación de ls hits definids en el Prgrama de Auditría. Principalmente, la infrmación y dcumentación anterir se referirá a: Sistemas de Infrmación baj la respnsabilidad de ICM cn ls que se presta el servici infrmátic que precisa el Organism Pagadr de la Cmunidad de Madrid de ls gasts financiads pr ls fnds eurpes agríclas. Infraestructura tecnlógica que sprtan ls anterires sistemas en el ámbit de respnsabilidad de ICM: Servidres dnde se ubiquen ls SS.II. Platafrmas tecnlógicas que sprtan ls SS.II. (Sistemas Operativs, Sistemas Gestres de Base de Dats, etc.) Redes de Cmunicacines dnde se ubiquen ls sistemas y que permiten el acces a ls usuaris (tips de redes dispnibles, tips de cnexines habilitadas, dispsitivs y elements de red y de cmunicacines, etc.). Instalacines Centrs de Prces de Dats dnde se ubiquen ls servidres, dispsitivs y elements de red y de cmunicacines. Prestación de servicis a la Cmunidad de Madrid, pr parte de persnal extern, en el ámbit precitad. Interlcutres de las Unidades Organizativas de la Cmunidad de Madrid implicadas en el ámbit del rganism pagadr y que tengan una necesaria participación en alguna de las fases de la auditría. Fase 2 - Trabaj de camp: Revisión y ejecución del prgrama de auditría. Durante esta fase se realizarán las entrevistas y revisines necesarias para evaluar el grad de adecuación de las medidas y cntrles existentes en relación cn las exigencias de la nrma ISO-IEC 27002, tds ells en el ámbit de ls SS.II. puests al servici del rganism pagadr de la Cmunidad de Madrid y que sn respnsabilidad de ICM. Tdas las medidas y cntrles de cumplimient han de ser bjet de auditría y deberán estar recgidas en algun de ls hits del prgrama de auditría que se elabre al inici del pryect. Fase 3 - Emisión de Infrme de auditría: Dictamen de resultads. El equip de trabaj elabrará un infrme dnde se recjan ls resultads de las revisines efectuadas respect al grad de adecuación a la nrma ISO-IEC de ls sistemas de infrmación baj la respnsabilidad de ICM, cn ls que se presta el servici infrmátic La autenticidad de este dcument se puede cmprbar en mediante el siguiente códig segur de verificación: Núm. Exp.: ECON/000056/2014 Página 9 de 28

10 que precisa el Organism Pagadr de la Cmunidad de Madrid de ls gasts financiads pr ls fnds eurpes. Dich infrme deberá dictaminar sbre la adecuación de las medidas y cntrles de seguridad implantads, identificand de frma cncreta las n cnfrmidades deficiencias respect a la nrma ISO-IEC y prpniend las recmendacines crrectras cmplementarias que sean necesarias para subsanar las anterires. Asimism, el infrme deberá incluir ls dats, hechs y bservacines en que se hayan basad tant el dictamen realizad cm las recmendacines emitidas. Se elabrará además un dcument en frmat PwerPint que recja un resumen de ls resultads btenids. Este dcument será bjet de una presentación en las instalacines de ICM. Fase 4 - Elabración del Plan de Acción. El equip de trabaj elabrará un dcument cn el Plan de Acción en el que se desarrllará las actuacines que se precisan acmeter para implantar las recmendacines recgidas en el Infrme de Auditría. Las actuacines se agruparán, en función de su dimensión y ámbit de aplicación, en pryects cncrets. Para cada un de ells se especificará: Descripción del Pryect, que incluirá cm mínim: Descripción de ls trabajs prevists. Detalle de las actividades a realizar. Identificación de la Unidad Organizativa de la Cmunidad de Madrid respnsable de su ejecución así cm de aquellas tras unidades cn participación en su desarrll. Clasificación del pryect, atendiend a su plaz de desarrll en función de prtunidad de ejecución (recurss humans y ecnómics) y cmplejidad: crt, medi larg plaz. Estimación de Esfuerzs, dnde se aprta un resumen estimativ del esfuerz y duración de cada pryect a acmeter, agrupads según su plaz de realización. Planificación de Pryect, dnde se muestra, mediante un crngrama, la planificación prgramada de cada un de ls pryects a realizar. 3. Auditría de ls sistemas de infrmación al servici de la Administración de Justicia que sn respnsabilidad de ICM, en cuant a ls criteris generales de seguridad que han de cntemplar según acuerd del Plen, de 13 de septiembre de 2007, del Cnsej General del Pder Judicial. Para ls trabajs prpuests en el presente dcument se requiere realizar las siguientes fases y actividades: Fase 1 - Planificación y realización del prgrama de auditría. El bjet de esta Fase es establecer las bases de trabaj para la realización de la auditría. En particular dentr de esta fase se incluye: Planificación detallada de las actuacines, incluyend el lanzamient y presentación del pryect, la crdinación cn ls centrs (Cnsejerías y Órgans) afectads y la cnstitución del equip de trabaj que llevará a cab el pryect. La autenticidad de este dcument se puede cmprbar en mediante el siguiente códig segur de verificación: Núm. Exp.: ECON/000056/2014 Página 10 de 28

11 Elabración del prgrama de auditría, cn especificación de ls hits a auditar (extraíds del dcument Criteris generales de seguridad en ls sistemas de gestión prcesal ) y el detalle de las pruebas y cmprbacines previstas para la verificación de su cumplimient. Obtención de la infrmación y dcumentación necesaria para pder abrdar la verificación de ls hits definids en el Prgrama de Auditría. Principalmente, la infrmación y dcumentación anterir se referirá a: Sistemas de Infrmación de gestión prcesal en el ámbit de respnsabilidad de ICM. Infraestructura tecnlógica de gestión prcesal en el ámbit de respnsabilidad de ICM: Servidres dnde se ubiquen ls SS.II. de gestión prcesal. Platafrmas tecnlógicas que sprtan ls SS.II. de gestión prcesal (Sistemas Operativs, Sistemas Gestres de Base de Dats, etc.) Redes de Cmunicacines dnde se ubiquen ls sistemas y que permiten el acces a ls usuaris (tips de redes dispnibles, tips de cnexines habilitadas, dispsitivs y elements de red y de cmunicacines, etc.). Instalacines Centrs de Prces de Dats dnde se ubiquen ls servidres, dispsitivs y elements de red y de cmunicacines. Prestación de servicis a la Cmunidad de Madrid, pr parte de persnal extern, en el ámbit de ls SS.II. de gestión prcesal. Interlcutres de las Unidades Organizativas de la Cmunidad de Madrid implicadas en la gestión prcesal y que tengan una necesaria participación en alguna de las fases de la auditría. Fase 2 - Trabaj de camp: Revisión y ejecución del prgrama de auditría. Durante esta fase se realizarán las entrevistas y revisines necesarias para evaluar el grad de adecuación de las medidas y cntrles existentes en relación cn las exigencias de ls criteris generales de seguridad de ls Sistemas de gestión prcesal. Tds ells en el ámbit de ls SS.II. puests al servici de la Administración de Justicia y que sn respnsabilidad de ICM. Tdas las medidas y cntrles de cumplimient clasificadas en: medidas técnicas, medidas rganizativas, respnsables de seguridad y auditrías han de ser bjet de auditría y deberán estar recgidas en algun de ls hits del prgrama de auditría que se elabre al inici del pryect. Fase 3 - Emisión de Infrme de auditría: Dictamen de resultads. El equip de trabaj elabrará un infrme dnde se recjan ls resultads de las revisines efectuadas respect al grad de adecuación de ls criteris de seguridad existentes en ls Sistemas de Infrmación de gestión prcesal. Dich infrme deberá dictaminar sbre la adecuación de las medidas y cntrles de seguridad implantads, identificand de frma cncreta las n cnfrmidades deficiencias respect a ls criteris definids pr el Cnsej General del Pder Judicial y prpniend las recmendacines crrectras cmplementarias que sean necesarias para subsanar las anterires. Asimism, el infrme deberá incluir ls dats, hechs y La autenticidad de este dcument se puede cmprbar en mediante el siguiente códig segur de verificación: Núm. Exp.: ECON/000056/2014 Página 11 de 28

12 bservacines en que se hayan basad tant el dictamen realizad cm las recmendacines emitidas. Se elabrará además un dcument en frmat PwerPint que recja un resumen de ls resultads btenids. Este dcument será bjet de una presentación en las instalacines de ICM. Fase 4 - Elabración del Plan de Acción. El equip de trabaj elabrará un dcument cn el Plan de Acción en el que se desarrllará las actuacines que se precisan acmeter para implantar las recmendacines recgidas en el Infrme Auditría. Las actuacines se agruparán, en función de su dimensión y ámbit de aplicación, en pryects cncrets. Para cada un de ells se especificará: Descripción del Pryect, que incluirá cm mínim: Descripción de ls trabajs prevists. Detalle de las actividades a realizar. Identificación de la Unidad Organizativa de la Cmunidad de Madrid respnsable de su ejecución así cm de aquellas tras Unidades cn participación en su desarrll. Clasificación del pryect atendiend a su plaz de desarrll en función de prtunidad de ejecución (recurss humans y ecnómics) y cmplejidad: crt, medi larg plaz. Estimación de Esfuerzs, dnde se aprta un resumen estimativ del esfuerz y duración de cada pryect a acmeter, agrupads según su plaz de realización. Planificación de Pryect, dnde se muestra, mediante un crngrama, la planificación prgramada de cada un de ls pryects a realizar. 4. Auditría de la seguridad de ls sistemas de infrmación a ls que se refiere el Real Decret 3/2010, de 8 de ener, pr el que se regula el Esquema Nacinal de Seguridad en el ámbit de la Administración Electrónica, verificand el cumplimient de ls requisits establecids pr el mism en ls capítuls II y III y en ls Anexs I y II del citad Esquema. Para la realización de ls trabajs prpuests se seguirán las pautas establecidas en la Guía de Auditría del Esquema Nacinal de Seguridad CCN-STIC-802 y Análisis de Riesgs en Sistemas de la Administración CCN-STIC-410 del Centr Criptlógic Nacinal. Cn carácter general se seguirán las siguientes fases y actividades para su ejecución: Fase 1 - Planificación y realización del prgrama de trabaj. El bjet de esta fase es establecer las bases para la realización de ls trabajs. En particular dentr de esta fase se incluye: Planificación detallada de las actuacines, incluyend el lanzamient y presentación del pryect, la crdinación cn ls centrs (Cnsejerías y Órgans) afectads y la cnstitución del equip de trabaj que llevará a cab el pryect. Elabración del Prgrama de Trabaj, cn especificación de ls hits. Obtención de la infrmación y dcumentación necesaria para pder abrdar la verificación de ls hits definids en el Prgrama de Trabaj. Principalmente, la infrmación y dcumentación anterir se referirá a: La autenticidad de este dcument se puede cmprbar en mediante el siguiente códig segur de verificación: Núm. Exp.: ECON/000056/2014 Página 12 de 28

13 Sistemas de Infrmación en el ámbit del Esquema Nacinal de Seguridad cuya respnsabilidad recaiga en ICM. Identificación de ls servicis a la Cmunidad de Madrid e interns a ICM en el ámbit del Esquema Nacinal de Seguridad. Identificación de la infrmación tratada pr ls sistemas en el ámbit del Esquema Nacinal de Seguridad. Infraestructura tecnlógica de ls sistemas en el ámbit del Esquema Nacinal de Seguridad: Servidres dnde se ubiquen ls SS.II. Platafrmas tecnlógicas que sprtan ls SS.II. (Sistemas Operativs, Sistemas Gestres de Base de Dats, etc.) Redes de Cmunicacines dnde se ubiquen ls sistemas y que permiten el acces a ls usuaris (tips de redes dispnibles, tips de cnexines habilitadas, dispsitivs y elements de red y de cmunicacines, etc.). Instalacines Centrs de Prces de Dats dnde se ubiquen ls servidres, dispsitivs y elements de red y de cmunicacines. Fase 2 - Trabaj de camp: Revisión y ejecución del prgrama de trabaj. Durante esta fase se realizarán las entrevistas y revisines necesarias para evaluar el grad de adecuación de las medidas y cntrles existentes en relación cn las exigencias de ls principis básics y requisits mínims de seguridad del Esquema Nacinal de Seguridad en el ámbit de la Administración Electrónica para ls sistemas cuya respnsabilidad recaiga en ICM. Se realizará la revisión, análisis y actualización del análisis de riesgs de ls sistemas de infrmación bjet de ls trabajs que identifique y valre ls activs más valiss, las amenazas, las vulnerabilidades, las salvaguardas y el riesg residual. El análisis se realizará siguiend la metdlgía MAGERIT y utilizand la herramienta PILAR, tant en md interactiv cm en md BATCH, td ell en sus últimas versines. Deberá incluirse el estudi de ls principis básics, la valración de cada dimensión de la seguridad, la categrización de ls sistemas de ICM en el ámbit de ls trabajs, y el estudi de la aplicación de las medidas de seguridad según dichas valracines y categrizacines. Fase 3 - Emisión de Infrme de ls trabajs realizads: Dictamen de resultads. Una vez cnfirmads ls hechs y deficiencias resultads de las revisines y pruebas de auditría se emitirá el crrespndiente infrme de auditría, que deberá dictaminar sbre la adecuación de las medidas exigidas pr el R.D. 3/2010, identificar sus deficiencias y prpner las medidas crrectras cmplementarias necesarias. Deberá, igualmente, incluir ls dats, hechs y bservacines en que se basen ls dictámenes alcanzads y las recmendacines prpuestas. El infrme incluirá las n cnfrmidades encntradas durante la realización de la auditría e incluirá una pinión sbre si: La Plítica de Seguridad define ls rles y funcines de ls respnsables de la infrmación, ls servicis, ls activs y la seguridad del sistema de infrmación. Existen prcedimients para la reslución de cnflicts entre dichs respnsables. La autenticidad de este dcument se puede cmprbar en mediante el siguiente códig segur de verificación: Núm. Exp.: ECON/000056/2014 Página 13 de 28

14 Se han designad persnas para dichs rles a la luz del principi de separación de funcines. Existe un sistema de gestión de la seguridad de la infrmación, dcumentad y cn un prces regular de aprbación pr la dirección. Se ha realizad un análisis de riesgs, cn revisión y aprbación regular, según l establecid en las medidas aplicables del Anex II del R.D. 3/2010. Se cumplen las medidas de seguridad descritas en el Anex II, sbre Medidas de Seguridad, en función de las cndicines de aplicación en cada cas. Existe un sistema de gestión de mejra cntinua. En relación cn la auditría referente al R.D. 1720/2007, en sus artículs 96 y 110, es necesari que el infrme indique cn claridad cuand una deficiencia de seguridad incumplimient, una mejra recmendada está, individualmente, relacinada cn ambas nrmas, bien cn una en cncret. Existe una justificación de las medidas adptadas para mitigar suprimir ls riesgs detectads, y la prprcinalidad entre las medidas y ls riesgs. Se elabrará además un dcument en frmat PwerPint que recja un resumen de ls resultads btenids. Este dcument será bjet de una presentación en las instalacines de ICM. Fase 4 - Elabración del Plan de Acción. El equip de trabaj elabrará un dcument cn el Plan de Acción en el que se desarrllará las actuacines que se precisan acmeter para implantar las recmendacines recgidas en el Dictamen de Resultads. Las actuacines se agruparán, en función de su dimensión y ámbit de aplicación, en pryects cncrets. Para cada un de ells se especificará: Descripción del Pryect, que incluirá cm mínim: - Descripción de ls trabajs prevists. - Detalle de las actividades a realizar. - Identificación de la Unidad Organizativa de la Cmunidad de Madrid respnsable de su ejecución así cm de aquellas tras Unidades cn participación en su desarrll. Clasificación del pryect atendiend a su plaz de desarrll en función de prtunidad de ejecución (recurss humans y ecnómics) y cmplejidad: crt, medi larg plaz. Estimación de Esfuerzs, dnde se aprtará un resumen estimativ del esfuerz y duración de cada pryect a acmeter, agrupads según su plaz de realización. Planificación de Pryect, dnde se mstrará, mediante un crngrama, la planificación prgramada de cada un de ls pryects a realizar. 5. Revisines técnicas Se realizarán un máxim de 68 revisines técnicas, cn un mínim de 20 hras pr revisión a l larg del cntrat. Para cada un de ls trabajs prpuests se requiere realizar las siguientes fases y actividades: La autenticidad de este dcument se puede cmprbar en mediante el siguiente códig segur de verificación: Núm. Exp.: ECON/000056/2014 Página 14 de 28

15 Fase 1 - Planificación y realización del prgrama de trabaj. El bjet de esta Fase es establecer las bases para la realización de cada un de ls trabajs. En particular dentr de esta fase se incluye: Planificación detallada de las actuacines, incluyend el lanzamient y presentación del pryect y la cnstitución del equip de trabaj que llevará a cab el pryect. Elabración del Prgrama de Trabaj, cn especificación de ls hits. Obtención de la infrmación y dcumentación necesaria para pder abrdar la verificación de ls hits definids en el Prgrama de Trabaj. Principalmente, la infrmación y dcumentación anterir se referirá a: Sistemas de infrmación sbre ls que versarán ls trabajs. Identificación de las psibles evidencias digitales que se deberán btener cm resultad de ls trabajs. Identificación de las materias y cuestines sbre las que versará el dictamen de resultads de las revisines practicadas. Fase 2 - Trabaj de camp: Revisión y ejecución del prgrama de trabaj. Durante esta fase se realizarán las entrevistas y revisines necesarias para evaluar el grad de adecuación de las medidas y cntrles existentes en relación cn las exigencias del prgrama de trabaj. Fase 3 - Emisión de Infrme de ls trabajs realizads: Dictamen de resultads y entrega de las evidencias btenidas. En esta fase se pndrá a dispsición de ICM las evidencias btenidas cm resultad del trabaj, en frmat digital y cmpatible cn ls sistemas de ICM así cm un infrme resultad del análisis e interpretación de las evidencias btenidas. El infrme deberá incluir un dictamen de resultads que versará sbre las materias cuestines bjet de la revisión practicada. Se elabrará además un dcument en frmat PwerPint que recja un resumen de ls resultads btenids. Este dcument será bjet de una presentación en las instalacines de ICM. Fase 4 - Elabración del Plan de Acción. El equip de trabaj elabrará un dcument cn el Plan de Acción en el que se desarrllará las actuacines que se precisan acmeter para implantar las recmendacines recgidas en el Dictamen de Resultads. Las actuacines se agruparán, en función de su dimensión y ámbit de aplicación, en pryects cncrets. Para cada un de ells se especificará: Descripción del Pryect, que incluirá cm mínim: - Descripción de ls trabajs prevists. - Detalle de las actividades a realizar. - Identificación de la Unidad Organizativa de la Cmunidad de Madrid respnsable de su ejecución así cm de aquellas tras Unidades cn participación en su desarrll. La autenticidad de este dcument se puede cmprbar en mediante el siguiente códig segur de verificación: Núm. Exp.: ECON/000056/2014 Página 15 de 28

16 Clasificación del pryect atendiend a su plaz de desarrll en función de prtunidad de ejecución (recurss humans y ecnómics) y cmplejidad: crt, medi larg plaz. Estimación de Esfuerzs, dnde se aprtará un resumen estimativ del esfuerz y duración de cada pryect a acmeter, agrupads según su plaz de realización. Planificación de Pryect, dnde se mstrará, mediante un crngrama, la planificación prgramada de cada un de ls pryects a realizar. B. Servici de análisis y medición integral de cumplimient de cntrl intern en materia de seguridad Fase 1 - Precarga inicial del sistema de medición del cumplimient El equip de trabaj deberá intrducir en el sistema prpuest tds ls resultads de ls que ICM dispnga respect de las revisines que en materia de seguridad haya realizad hasta la fecha de inici de ls trabajs que sn bjet del presente plieg. Fase 2 - Diseñ del mdel de relación de cntrles de seguridad, aplicacines, platafrmas tecnlógicas, auditrías, evidencias y cumplimient. El equip de trabaj deberá elabrar el mdel de relación entre las entidades prpuestas, de tal frma que durante la ejecución del servici se puedan frecer ls infrmes y resultads establecids en el apartad B de la Cláusula 3 del presente plieg. Fase 3 - Mantenimient del servici del sistema de medición de cumplimient de cntrl intern en materia de seguridad El adjudicatari alimentará el sistema mediante ls resultads que se btengan a l larg del servici de auditría que es bjet de este cntrat. El adjudicatari deberá prprcinar a ICM, cn una peridicidad mínima mensual, un infrme que plasme ls resultads del estad de cumplimient en materia de seguridad, de acuerd cn la metdlgía adptada y ls requisits establecids en el Apartad B de la Cláusula 3 del presente plieg. Este infrme adicinalmente también se emitirá y prprcinará a ICM cada vez que existan cambis significativs, y cm mínim cada vez que se finalice un servici de auditría. En el mment en el que ICM l slicite, el adjudicatari deberá entregar tda la infrmación del sistema de medición en un sprte en frmat electrónic estándar (text, CSV, Excel Access), de acuerd cn las especificacines y camps establecids pr ICM en el mment de la slicitud. La autenticidad de este dcument se puede cmprbar en mediante el siguiente códig segur de verificación: CLÁUSULA 5.- EQUIPO ADSCRITO A LA EJECUCIÓN DEL CONTRATO Para la prestación de ls trabajs bjet del cntrat, el adjudicatari pndrá a dispsición de ICM un equip mínim, cn la cualificación y el perfil técnic mínims, que a cntinuación se detallan: Requisits en cuant al NÚMERO MÍNIMO DE RECURSOS Y CATEGORÍA PROFESIONAL MÍNIMA exigida al persnal prestadr del servici: 3 Cnsultres. Requisits en cuant a TITULACIÓN MÍNIMA exigida a cada un de ls miembrs del equip prestadr del servici: Titulación Universitaria de Grad, Arquitect, Ingenier, Licenciad equivalente. Núm. Exp.: ECON/000056/2014 Página 16 de 28

17 Requisits en cuant a FORMACIÓN MÍNIMA exigida a cada un de ls miembrs del equip prestadr del servici: Acreditación CISA: Certified Infrmatin Systems Auditr (Auditr de Sistemas de Infrmación Certificad) de ISACA: Infrmatin Systems Audit and Cntrl Assciatin. (Asciación de Auditría y Cntrl de Sistemas de Infrmación). Requisits en cuant ACTIVIDAD PROFESIONAL MÍNIMA exigida a cada un de ls miembrs del equip prestadr del servici: Haber participad en pryects de auditrías de tecnlgías de la infrmación, durante al mens cuatr añs cm Auditr. Haber participad en pryects de auditrías de seguridad en materia de prtección de dats persnales, durante al mens cuatr añs cm Auditr. Al efect, el licitadr prpuest cm adjudicatari, cn carácter previ a la frmalización del cntrat, deberá aprtar el currículum vitae de las persnas asignadas a la ejecución del cntrat, que deberá presentar debidamente cumplimentad y firmad pr la persna que stente la representación, especificand la cualificación prfesinal de cada un de ls miembrs del equip prpuest (cn detalle de categría, titulación, frmación y actividad prfesinal). CLÁUSULA 6.- VERIFICACIÓN DE LA CAPACIDAD DE LOS COMPONENTES DEL EQUIPO ADSCRITO A LA EJECUCIÓN DEL CONTRATO Y SUSTITUCIÓN DE LOS COMPONENTES DE DICHO EQUIPO 6.1. Cndicinantes del equip de trabaj: El cntratista respnderá siempre de la adecuación del persnal encargad de la realización de ls servicis bjet del cntrat, que respnderá siempre a ls requisits mínims que en el presente Plieg de Cláusulas Técnicas se señalan. La falsedad en el nivel de cncimients técnics del equip adscrit al servici, facultará a esta Agencia para instar la reslución del cntrat Cnstitución inicial del equip de trabaj: El equip human que se incrprará tras la frmalización del cntrat para la ejecución de ls trabajs deberá estar frmad pr tds y cada un de las persnas desinadas pr el licitadr prpuest cm adjudicatari y, en td cas, habiéndse verificad previamente, pr parte del Respnsable del Cntrat de ICM, que cada currículum vitae cumple ls requisits mínims establecids en este plieg Mdificacines en la cmpsición del equip de trabaj: La valración final de la calidad de ls trabajs desarrllads pr las persnas adscritas a la ejecución del cntrat crrespnde al Respnsable del Cntrat, siend ptestad suya slicitar el cambi de cualquiera de ls cmpnentes del equip de trabaj, cn un preavis de quince días, pr tr de igual categría, si existen raznes justificadas que l acnsejen. Asimism, ICM pdrá exigir la incrpración de más miembrs al equip de trabaj refuerzs cuand sean necesaris para garantizar el cumplimient de cada un de ls plazs cmprmetids pr el adjudicatari en su Prpuesta Técnica, de tal frma que se asegure la finalización de las fases en tiemp y frma. Si fuera la firma adjudicataria la que prpusiera el cambi de una de las persnas del equip de trabaj, se deberá slicitar pr escrit cn quince días de antelación, expniend las raznes que bligan a la prpuesta. En su cas, el cambi deberá ser aprbad pr el Respnsable del Cntrat. La autenticidad de este dcument se puede cmprbar en mediante el siguiente códig segur de verificación: Núm. Exp.: ECON/000056/2014 Página 17 de 28

18 CLÁUSULA 7.- CONDICIONES ADICIONALES A CUMPLIR 7.1. Dispnibilidad de medis y verificación de la capacidad El adjudicatari deberá cntar cn ls medis prpis, persnales y materiales, necesaris de cara al sprte técnic que pueda necesitar, para llevar a cab cn éxit tds ls servicis bjet del cntrat, teniend en cuenta que, en td cas, el equip prestadr del servici se ubicará en las instalacines que ICM determine. Ls empleads de la empresa cntratista, que ejecuten pr cuenta de ésta trabajs directamente relacinads cn el bjet del cntrat, utilizarán ls medis de prducción físics y lógics de que hayan sid prvists pr la prpia empresa cntratista. N bstante, si fuese necesari pr raznes perativas asciadas a la naturaleza del servici a prestar, ICM prprcinaría a ls miembrs del equip adscrit a la ejecución del servici ls medis que estime prtuns para la ejecución de ls trabajs y bligacines demandadas. La dtación de dichs medis tiene naturaleza transitria, ya que se utilizarán únicamente durante la ejecución del cntrat, además su us estará limitad exclusivamente al desarrll de ls trabajs que cnstituyen el bjet del cntrat. En td cas, ICM adptará las medidas necesarias para que estas herramientas tengan una identificación diferenciada respect de las asignadas al persnal al servici de ICM. En el cas de que, pr raznes ajenas a ICM, ls trabajs cntratads puedan implicar para el cntratista la decisión de ejecución de ls misms en régimen de turns, en sábads festivs, en hrari ncturn, esta Agencia n aceptará sbrecstes adicinales pr estas circunstancias, que deberán ser asumids siempre pr el cntratista Certificación de un Sistema de Gestión de Seguridad de la Infrmación Las empresas licitadras deberán aprtar certificación vigente acreditativa de dispner y mantener perativ un Sistema de Gestión de Seguridad de la Infrmación, de acuerd a la nrma internacinal ISO 27001, emitid pr una entidad acreditada pr ENAC equivalente Respnsable del Servici El cntratista designará a un Respnsable del Servici, que será el respnsable del mism ante ICM. Este respnsable será el interlcutr únic y se encntrará en permanente cntact cn el persnal que la Dirección de ICM designe a ls efects que se señalan en la Cláusula 19 del Plieg de Cláusulas Jurídicas. El adjudicatari, a través del Respnsable del Servici, y cn la peridicidad que ICM determine, infrmará sbre la planificación de trabajs, el estad de ejecución del cntrat y, en su cas, sbre las incidencias prducidas. En particular, este respnsable será el interlcutr únic entre el adjudicatari e ICM. Crdinará td el pryect y será el respnsable, en últim términ, de la buena marcha de ls trabajs. Entre sus tareas principales cabe destacar las siguientes: Crdinar la ejecución de ls trabajs. Realizar la planificación general de ls trabajs y de las tareas asciadas. Supervisar y cntrlar la calidad de las actividades desarrlladas pr su equip. Hacer entrega a ICM de ls dcuments desarrllads pr su equip. El incumplimient de las bligacines precitadas, parcial ttalmente, facultará a esta Agencia para instar la reslución del cntrat. La autenticidad de este dcument se puede cmprbar en mediante el siguiente códig segur de verificación: Núm. Exp.: ECON/000056/2014 Página 18 de 28

19 CLÁUSULA 8.- SEGUIMIENTO Y CONTROL DEL CONTRATO El seguimient y cntrl del cntrat se efectuará sbre las siguientes bases: Seguimient cntinu de la evlución de ls trabajs entre el Respnsable del Servici pr parte del adjudicatari y el Respnsable del Cntrat que ICM designe. ICM determinará ls prcedimients y herramientas a utilizar para pder llevar a cab el seguimient y cntrl de ls trabajs. CLÁUSULA 9.- PLAZO DE GARANTÍA Se establece un plaz de garantía del cntrat de DOS AÑOS, cuy cómput se iniciará desde la fecha de recepción cnfrmidad de ls trabajs. Hasta que n tenga lugar la finalización del perid de garantía, el adjudicatari respnderá de la crrecta ejecución de ls trabajs cntratads y de ls defects que en ells hubiera, sin que sea eximente ni le trgue derech algun la circunstancia de que ls representantes de ICM ls hayan examinad recncid durante su elabración aceptad en cmprbacines, valracines, certificacines recepcines parciales e inclus en la recepción ttal del trabaj, en previsión de la psible existencia de vicis falls cults en ls trabajs ejecutads. CLÁUSULA 10.- PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Nrmativa aplicable. 1. En el cas de que el cntratista, en el ejercici de la prestación del servici, tuviera que tratar fichers cn dats de carácter persnal en el marc del bjet del presente cntrat, cumplirá cn la legislación vigente en materia de prtección de dats de carácter persnal cnfrme a l dispuest en las leyes y decrets que se relacinan a cntinuación: - Ley Orgánica 15/1999, de 13 de diciembre, de Prtección de Dats de Carácter Persna, en adelante LOPD. - Real Decret 1720/2007, de 21 de diciembre, pr el que se aprueba el Reglament de desarrll de la Ley Orgánica 15/1999, de 13 de diciembre, de prtección de dats de carácter persnal (en ls términs prevists en su Dispsición Transitria Segunda). - Y las dispsicines de desarrll de las nrmas anterires en materia de Prtección de Dats que se encuentren en vigr a la adjudicación de este cntrat que puedan estarl durante su vigencia. Medidas de seguridad de carácter mínim. 2. N se registrarán dats de carácter persnal en fichers que n reúnan las cndicines que se determinen pr el R.D. 1720/2007 respect a su integridad y seguridad y a las de ls centrs de tratamient, lcales, equips, sistemas y prgramas. (Artícul 9.2. LOPD): 2.1 En la fase de diseñ funcinal del sistema de referencia se realizará un estudi previ de dats de carácter persnal a tratar, su naturaleza y las medidas de seguridad que requieran de cnfrmidad cn la naturaleza de ls dats y ls requerimients del RD 1720/2007. Si prcede igualmente se prpndrá la crrespndiente creación e inscripción en la Agencia Españla de Prtección de Dats. 2.2 Ls diseñs, desarrlls mantenimients de sftware deberán, cn carácter general, bservar ls estándares que se deriven de la nrmativa de seguridad de la infrmación y de prtección de dats de ICM, y en cncret: La autenticidad de este dcument se puede cmprbar en mediante el siguiente códig segur de verificación: Núm. Exp.: ECON/000056/2014 Página 19 de 28

20 2.2.1 Deberá existir un prcedimient de ntificación y gestión de las incidencias que afecten a ls dats de carácter persnal y establecer un registr en el que se haga cnstar el tip de incidencia, el mment en que se ha prducid, en su cas, detectad, la persna que realiza la ntificación, a quién se le cmunica, ls efects que se hubieran derivad de la misma y las medidas crrectras aplicadas Ls usuaris tendrán acces únicamente a aquells recurss que precisen para el desarrll de sus funcines. El cntratista se encargará de que exista una relación actualizada de usuaris y perfiles de usuaris, y ls access autrizads para cada un de ells Ls sprtes y dcuments que cntengan dats de carácter persnal deberán permitir identificar el tip de infrmación que cntienen, ser inventariads y sl deberán ser accesibles pr el persnal autrizad pr la Agencia ICM. La salida de sprtes y dcuments fuera de ls lcales deberá ser también autrizada pr ICM. Siempre que vaya a desecharse cualquier dcument sprte que cntenga dats de carácter persnal deberá prcederse a su destrucción brrad, mediante la adpción de medidas dirigidas a evitar el acces a la infrmación cntenida en el mism su recuperación psterir L relativ a la identificación y autenticación de usuaris, estableciend un mecanism que permita la identificación de frma inequívca y persnalizada de td aquel usuari que intente acceder al sistema de infrmación y la verificación de que está autrizad, limitand la psibilidad de intentar reiteradamente el acces n autrizad al sistema de infrmación. Cn una peridicidad n superir a un añ se cambiarán las cntraseñas asignadas a ls usuaris, las cuales, mientras estén vigentes, se almacenarán de frma ininteligible Sl cn el cnsentimient expres y escrit de ICM, el equip prestadr del servici bjet del cntrat tendrá acces y tratará dats de carácter persnal cntenids sprtads en ls equips recurss mantenids Deberán realizarse, cm mínim semanalmente, cpias de respald, salv que en dich períd n se hubiera prducid ninguna actualización de ls dats. Asimism, se establecerán prcedimients para la recuperación de ls dats que garanticen en td mment su recnstrucción en el estad en que se encntraban al tiemp de prducirse la pérdida destrucción Las pruebas anterires a la implantación mdificación de ls sistemas de infrmación que traten fichers cn dats de carácter persnal n se realizarán cn dats reales, salv que se asegure el nivel de seguridad crrespndiente al tratamient Las medidas de seguridad exigibles a ls access a dats de carácter persnal a través de redes de cmunicacines, deberán garantizar un nivel de seguridad equivalente al crrespndiente a ls access en md lcal Cuand ls dats persnales se almacenen en dispsitivs prtátiles se traten fuera de ls lcales del respnsable de ficher tratamient, del encargad del tratamient será precis que exista una autrización previa del respnsable del ficher tratamient, y en td cas deberá garantizarse el nivel de seguridad crrespndiente al tip de ficher tratad 2.3 Además de las medidas hasta aquí enumeradas, ls tratamients de dats de carácter persnal relativs a la cmisión de infraccines administrativas penales, prcedimients tributaris, aquélls que cntengan dats que frezcan una definición de las La autenticidad de este dcument se puede cmprbar en mediante el siguiente códig segur de verificación: Núm. Exp.: ECON/000056/2014 Página 20 de 28