EVALUACIÓN TÉCNICA DETALLADA Proceso de solicitud pública de ofertas No 013-2015 IMPLEMENTACIÓN PRÁCTICA DEL SGSI EN LA UPME CARACTERÍSTICAS TÉCNICAS OFRECIDAS Y GARANTIZADAS No. Características Mínimo Exigido por la UPME (*) PASSWORD ADALID Cumple Folio Cumple Folio 1. Cronograma y Plan de Trabajo. Elaboración del Se debe detallar el alcance de esta metodología con su 1.1 Cronograma y Plan aproximación técnica, Plan de Trabajo, Organización y de Trabajo. Coordinación Se debe detallar el alcance de esta metodología con su 1.2 Cronograma aproximación técnica, Plan de Trabajo, Organización y Coordinación 1.3 Entregables 1. Cronograma mínimos 2. Plan de Trabajo 2. Determinación de la Gerencia y roles del proyecto 2.1 Gerencia de Proyecto SI 047 SI 148 SI 047 SI 148 2.1.1 Definir la organización y las responsabilidades del Proyecto. SI 047 SI 148 2.1.2 Definir el Plan de Calidad del Proyecto SI 047 SI 148 2.1.3 Deberá definir el manejo y control de riesgos del proyecto SI 047 SI 148 2.1.4 Deberá definir el esquema de control y procesos de cambio. SI 047 SI 148 2.1.5 2.1.6 El PROPONENTE deberá llevar a cabo el desarrollo del plan del proyecto. La documentación entregada deberá incluir el Plan del proyecto y Plan de Calidad del Proyecto, y toda la documentación en detalle del desarrollo y gerencia del proyecto. SI 047 SI 148 SI 047 SI 148 SI 047 SI 148 2.2 Conformación del equipo de trabajo Se debe entregar la estructura de la división del trabajo, con asignación de cargas laborales por actividad. SI 047 SI 148 2.3 1. Organigrama 2. Estructura de la División del Trabajo. 3. Plan del proyecto 4. Plan de calidad del proyecto 5. Manejo y control de riesgos del proyecto 3 Gobierno de Seguridad de la Información 3.1 El PROPONENTE deberá realizar el análisis GAP SI SI 149 3.2 3.3 3.4 3.5 3.6 3.7 3.8 3.9 Entregables mínimos El PROPONENTE deberá realizar el levantamiento de información y el análisis de cumplimiento y diferencia con respecto a los controles y objetivos de control que se encuentran distribuidos en los 14 dominios de la ISO27001-2:2013. Deberá realizarse un análisis GAP de la documentación y procedimientos actuales de la UPME 1. Análisis de la información e informe de resultados de evaluación y diagnóstico, bajo la norma ISO/IEC 27001-2:2013. SI 047 SI 149 SI 047 SI 149, 150 SI 047 SI 150 2. Análisis de la información e informe de resultados de evaluación y diagnóstico de revisión documental del modelo SI 047 SI 150 actual de seguridad de la información. 3. Definición de Políticas de seguridad de la información SI 047 SI 150 4. Definir y construir el Manual de seguridad de la información. SI 047 SI 150 5. Definición del proceso de seguridad de la información y su adopción y definición en el SGC de la UPME. Definir la gestión de métricas de seguridad la información en base a la norma ISO 27004. Definición del Marco Normativo El PROPONENTE deberá definir las Políticas y Procedimientos de la Seguridad de de seguridad que reflejen las necesidades de seguridad de la la Información y el información para la UPME. SGSI Para las políticas de seguridad de la información el PROPONENTE deberá definir: Quién la crea. Quién la aprueba. Quién la implanta. Acciones para su despliegue e implantación. Definición de la Política El PROPONENTE deberá definir la estructura de seguridad de los Procesos de la UPME, contemplados en el Mapa de procesos del Sistema de Gestión de Calidad, Desarrollo y definición de toda la documentación generada para la definición del SGSI SI 047 SI 149 SI 047 SI 150 SI 047 SI 150 SI 047 SI 150, 151 SI 047 SI 151 SI 048 SI 152 SI 048 SI 152

3.10 3.11 4. 4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 4.9 4.10 Entregables mínimos El PROPONENTE debe definir las Políticas de Seguridad de la Información y los Lineamientos de Seguridad para dar cumplimiento a lo establecido por el estándar ISO/IEC SI 048 SI 152 27001:2013 y dominios ISO/IEC 27002:2013. 1. Manual de políticas y procedimientos de Seguridad de la información. SI 048 SI 152 2. Proceso de mantenimiento, revisión, actualización y aprobación de políticas. SI 048 SI 152 3. Organización de la seguridad de la información. SI 048 SI 152 4. Desarrollo de los documentos que debe tener el SGSI de la UPME de acuerdo al alcance definido para el SGSI, su estructura SI 048 SI 152 y alcance. 5. Informe de la revisión de la documentación actual del UPME y que se vayan a incluir en el SGSI. SI 048 SI 152 6. Procesos y procedimientos del SGSI. (En la medida posible sobre el SGS de la UPME) SI 048 SI 152 7. Batería de Indicadores y su respectiva documentación. SI 048 SI 152, 153 8. Medio magnético con los entregables antes mencionados. SI 048 SI 153 Gestión de Seguridad de la Información Levantamiento, Inventario y El PROPONENTE deberá realizar un inventario de los activos de Clasificación de Información (Tecnología e Información) de la UPME Activos de de SI 048 SI 153 Información 1. Revisión y actualización de la gestión de los activos de información SI 048 SI 153 2. Revisión y actualización de la gestión de riesgos de la organización como continuidad del proyecto SI 048 SI 153 3. Desarrollar el (SOA) declaración de aplicabilidad. SI 048 SI 153, 154 4. Análisis de la gestión de los controles de seguridad de la información de acuerdo a los requerimientos de la norma ISO SI 048 SI 154 27001-2:2013. 5. Definir el Plan de Tratamiento de Riesgos de Seguridad de la información para la UPME. SI 048 SI 154 6. Definición de la arquitectura de seguridad de la información de acuerdo a los criterios del plan de tratamiento de riesgos. 7. Diseño de la estrategia de sensibilización y Cultura en seguridad de la información. El PROPONENTE debe definir y caracterizar, conforme al SGC de la UPME El PROPONENTE deberá definir los niveles de Clasificación en términos de la Confidencialidad para los activos de información y para cada nivel de clasificación se deben dar las recomendaciones de manejo asociadas. Formatos y plantillas de los procesos, procedimientos, y guías diseñados para la administración del SGSI en la UPME. Indicadores de Gestión del SGSI, aplicables a la UPME; así como los respectivos soportes en lo referente a formatos y plantillas para su definición y documentación. Implementación de la Ley Estatutaria de Protección de Contextualización, Definición y caracterización del proceso de Datos-LEPD y su adopción de la UPME Decreto reglamentario. Implementación de la Ley de Transparencia y Contextualización, Definición y caracterización del proceso de Acceso a La adopción de la UPME, para el cumplimiento de la legislación Información sobre la protección de datos, siguiendo los requisitos legales y Pública 1712 y sus reglamentarios. Decretos reglamentarios. 1. Diseño de la arquitectura que contiene todos los ítems descritos para la implementación en la infraestructura de TI de la UPME. Entregables mínimos Definición de la Arquitectura de Seguridad SI 048 SI 154 SI 048 SI 154 SI 048 SI 154 SI 048 SI 154 SI 048 SI 155 SI 048 SI 155 SI 048 SI 155, 156 SI 048 SI 156, 157 SI 049 SI 157 2. Diagramas del diseño del modelo de arquitectura. SI 049 SI 157 3. Definición de prioridades para la implementación de los controles de la arquitectura diseñada. SI 049 SI 157 4. Propuesta de modelo de seguridad de la información SI 049 SI 157 5. Plan estratégico a 3 años SI 049 SI 157 6. Plan de Acción a un año SI 049 SI 157 El PROPONENTE deberá definir las prioridades para la implementación de los controles de la arquitectura diseñada El PROPONENTE debe realizar la definición del esquema de Autenticación, Autorización y Auditoria El contratista debe realizar la definición de los controles de seguridad perimetral El PROPONENTE debe realizar la definición de conectividad segura SI 049 SI 157, 158 SI 049 SI 158 SI 049 SI 158 SI 049 SI 158 Cambio en la redacción de algunos textos Cambio en la redacción de algunos textos

5 5.1 5.2 5.3 6. 7 7.1 7.2 7.3 7.4 7.5 7.6 7.7 7.8 7.9 8 El PROPONENTE debe realizar la definición de esquema de monitoreo SI 049 SI 158 Tecnología y Seguridad de la Información El PROPONENTE deberá recoger toda la información necesaria para la realización del test de intrusión externo e interno a toda la plataforma de información y tecnología de la UPME, lo cual SI 049 SI 159 incluye como mínimo: a) Elementos de Red SI 049 SI 159 Test de Intrusión b) Servidores SI 049 SI 159 (Externo e Interno c) Bases de Datos. SI 049 SI 159 d) Aplicaciones. SI 049 SI 159 e) Servicios. SI 049 SI 159 f) Controles de seguridad. SI 049 SI 159 g) PC de usuarios. SI 049 SI 159 h) IP Internas de la red aproximadamente 126 usuarios. SI 049 SI 159 El PROPONENTE deberá determinar los problemas y debilidades de seguridad en los elementos identificados en el SI 049 SI 159 levantamiento de Información. El PROPONENTE debe generar un informe detallado con los resultados obtenidos durante todo el proceso de ejecución de las SI 049 SI 159, 160 pruebas Entregables mínimos a) Documento de resultados del levantamiento de información. SI 049 SI 160 b) Instructivo de clasificación de activos de información de la UPME y su nivel de clasificación. c) Documento impreso y en medio magnético, que contenga el Inventario de activos de información de la UPME con su correspondiente caracterización y clasificación de acuerdo al instructivo. SI 049 SI 160 SI 049 SI 160 d) Medio magnético con los entregables antes mencionados. SI 049 SI 160 Identificación, Análisis, Evaluación y Tratamiento de Riesgos de Seguridad de la Información Para cada activo de información identificado en la actividad anterior, El PROPONENTE deberá determinar sus amenazas potenciales SI 049 SI 160 Mediante este proceso el PROPONENTE deberá identificar los controles necesarios para llevar a cabo el tratamiento de los SI 049 SI 160 riesgos El PROPONENTE deberá definir un plan de tratamiento de riesgos SI 049 SI 161 El PROPONENTE deberá realizar el cálculo del riesgo puro y del riesgo residual SI 050 SI 161 Para el plan de tratamiento de riesgos el PROPONENTE deberá definir en este punto la arquitectura de seguridad sugerida para SI 050 SI 161 la UPME El PROPONENTE deberá entregar el diseño de requerimientos de los equipos necesarios para la implementación de la SI 050 SI 161, 162 arquitectura de seguridad Entregables mínimos El PROPONENTE deberá entregar el diagrama de diseño que contiene todos los elementos de la arquitectura descritos y justificados para la implementación en la infraestructura de TI El PROPONENTE deberá desarrollar y entregar un documento en donde se describa en detalle la metodología utilizada para la identificación, análisis, valoración y tratamiento de los riesgos de seguridad de la información SI 050 SI 162 SI 050 SI 162 1. Informe completo del análisis de amenazas. SI 050 SI 162 2. Informe completo del análisis de vulnerabilidades. SI 050 SI 162 3. Diseño de la Arquitectura de Seguridad. SI 050 SI 162 4. Informe de los resultados del análisis de impacto. SI 050 SI 162 5. Matriz de niveles de riesgo SI 050 SI 162 6. Documento con la metodología de riesgos utilizada. SI 050 SI 162 7. Reporte completo y detallado en el que se incluya: SI 050 SI 162, 163 Plan para la implementación del SGSI Cambio en la redacción de algunos textos

8.1 El PROPONENTE deberá definir el plan de acción para la Definición del Plan implementación practica del SGSI. para la Implementación Practica del SGSI 8.2 Acompañamiento 8.3 9 9.1 9.2 9.3 Entregables mínimos Capacitación Definicióndel Proceso de Administración de la Cultura de Seguridad de la Información Entregables mínimos SI 050 NO 163 La implementación del SGSI deberá realizarse de tal manera que forme parte del sistema de gestión integral de la UPME, conformado actualmente por el Sistema de Gestión de Calidad y MECI. SI 050 SI 163 El PROPONENTE deberá definir las actividades que hacen parte de la estrategia de implementación, así como de los recursos que se deberán tener por parte de la UPME para llevarlas a SI 050 SI 163, 164 cabo. 1. Plan de implementación. SI 050 SI 164 2. La descripción de las actividades llevadas a cabo para cada una de las fases. SI 050 SI 164 3. Las conclusiones del proceso de implementación y las recomendaciones asociadas. SI 050 SI 164 4. Medio magnético con los entregables antes mencionados. SI 050 SI 164 El PROPONENTE deberá relacionar los procesos de la UPME que tienen relación y que pueden impactar en cuanto a Cultura de Seguridad de la Información: SI 050 SI 164 El PROPONENTE deberá definir la Estrategia de Implementación del Proceso SI 051 SI 164, 165 Definir las actividades que hacen parte de la estrategia, así como de los recursos que se deberán tener por parte de la UPME para SI 051 SI 165 llevarlas a cabo. 1. Plan de sensibilización. SI 051 SI 165 2. Plan de entrevistas. SI 051 SI 165 3. Plan de Promoción. SI 051 SI 165 4. Plan de comunicación y divulgación. SI 051 SI 165 (*) El texto completo correspondiente al Mínimo Exigido por la UPME es el definido en los términos de referencia. A folio 163 de la propuesta, el proponente no ofrece la totalidad de las actividades exigidas para el plan de acción para la implementación practica del SGSI según lo mínimo Exigido por la UPME definido en el numeral 4.8 CARACTERISTIC AS TECNICAS OFRECIDAS Y GARANTIZADAS ítem 8.1 Definición del Plan para la Implementación Practica del SGSI de los términos de referencia.

Nombre del Proyecto Entidad PASSWORD CONSULTING SERVICE S.A.S. TIEMPO $180,000,000 EXPERIENCIA 3 VÁLIDA 01/01/2010 Objeto de la Orden DESDE HASTA VALOR CTO EN AÑOS FOLIOS SI NO OBSERVACIONES SGIS NEXURA INTERNACIONAL S.A.S Diseñar, implementar y realizar acompañamiento para la certificación de un sistema de Gestión de Seguridad de la Información ISO 27001:2005, que soporte los diferentes procesos misionales, áreas, activos de información y tecnología. 01/06/2012 30/06/2013 400,000,000 1.08 F.055 1 0 SGIS Contrato de consultoria No 164 de 2013 Contrato de consultoria No 527 SUPERGIROS S.A. MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE MINISTERIO DE SALUD Y PROTECCION SOCIAL Prestación de servicio de seguridad de la información, con el fin de diseñar e implementar SGSI basado en la norma ISO 29/11/2011 02/10/2012 180,000,000 0.84 F.057 1 0 27001. Implementación del SGIS encaminado a obtener la certificación ISO 27001, de acuerdo al plan de políticas del SGIS realizado en el primer diagnóstico dentro del Ministerio de Ambiente y desarrollo sostenible. Prestar los servicios de consultoría para evaluar y realizar el diagnóstico del SGSI del Ministerio de Salud y Protección Social, en los macro procesos de gestión de la información y gestión administrativa. 24/06/2013 26/12/2013 365,469,600 0.51 F.061 1 0 21/08/2014 15/12/2014 525,000,000 0.32 F.062 1 0 Contrato de consultoria No 614 de 2013 SUPERINTENDENCIA NACIONAL DE SALUD Implementación de un SGIS, para dos procesos, uno misional y otro de apoyo a la Superintendencia Nacional de Salud, de acuerdo a las especificaciones establecidas en el anexo técnico del pliego de condiciones y en la propuesta. 17/12/2013 31/07/2014 526,807,268 0.62 F. 063 1 0 SGIS CODESA S.A. Prestación de servicios en la fase de implementación, mantenimiento y mejora continua del SGIS de acuerdo a la norma ISO 27001. 02/01/2014 31/12/2014 300,000,000 1.00 F. 072 1 0 SGIS CODESA S.A. Prestación de servicios de consultoria de seguridad de la informacion. 10/10/2011 02/10/2012 400,000,000 0.98 F. 074 1 0 TOTAL EXPERIENCIA 2,697,276,868 5 7 Experiencia Espécifica del Proponente 200 Número de 200 Contratos 2 3 4 5 6 Puntaje 0 50 100 150 200 Gerente del Proyecto NOMBRES Y APELLIDOS: Juan Carlos Segura Pinzón CARGO DENTRO DEL PROYECTO: Gerente de Proyectos FORMACIÓN PROFESIONAL COMO: Ingeniero de Sistemas FECHA DE TERMINACIÓN 15/12/1995 MÁTRICULA PROFESIONAL N. 25255104887CND FECHA DE EXPEDICIÓN 14/02/2004 POSTGRADO COMO ESPECIALIZACIÓN: Especialista en Gerencia de Proyectos FECHA DE TERMINACIÓN 16/04/1999 POSTGRADO COMO MAESTRÍA: Magister en Administración FECHA DE TERMINACIÓN 31/03/2011 OTROS ESTUDIOS Auditor Interno ISO 20000 FECHA DE TERMINACIÓN 16/12/2014 OTROS ESTUDIOS Auditor Interno ISO 9001:2008 FECHA DE TERMINACIÓN 13/02/2014 OTROS ESTUDIOS Auditor Interno NTC ISO 22301:2012 FECHA DE TERMINACIÓN 05/05/2014 OTROS ESTUDIOS Auditor Interno lider ISO 27001:2013 FECHA DE TERMINACIÓN 08/07/2014 OTROS ESTUDIOS CBCP (Certified Business Continuity Professional) FECHA DE TERMINACIÓN 31/10/2014 0 1 Nombre del Proyecto Entidad Objeto de la Orden TIEMPO VALIDACIÓN TOTAL AÑOS TOTAL AÑOS TOTAL AÑOS DESDE HASTA (ESP) (MAE) (DOC) NIVEL (S/N) FOLIOS Consultor Senior INTERCOM Diseño, desarrollo e implementacion del plan estrategico de tecnologia para la modernizacion de los procesos de negocio de INTERCOM 18/01/2005 27/12/2008 0.0 3.9 0.0 2 S F: 095 Gerente de Proyectos PASSWORD Direccion de proyectos, diseño, desarrollo e implementacion de sistemas de seguridad del la informacion 16/03/2009 21/05/2015 0.0 6.2 0.0 2 S F: 096 TOTAL EXPERIENCIA 0.0 10.0 0.0 Experiencia Espécifica del Proponente 200 200 NIVEL ACADEMICO/AÑOS 3 4 5 6 7 8 9 DOCTORADO 70 90 110 140 170 200 200 NIVEL ACADEMICO/AÑOS 3 4 5 6 7 8 9 MAESTRIA 70 90 110 140 170 200 200 NIVEL ACADEMICO/AÑOS 3 4 5 6 7 8 9 ESPECIALIZACION 0 10 25 50 50 50 50 Experto en SGSI NOMBRES Y APELLIDOS: Daniel Leonardo Beltrán Gonzaléz CARGO DENTRO DEL PROYECTO: Experto en SGSI FORMACIÓN PROFESIONAL COMO: Ingeniero de diseño y automatización electrónica FECHA DE TERMINACIÓN 14/12/2005 MÁTRICULA PROFESIONAL N. 25326145841CND FECHA DE EXPEDICIÓN 14/08/2007 POSTGRADO COMO ESPECIALIZACIÓN: Especialista en Seguridad de la Información FECHA DE TERMINACIÓN 26/10/2007 POSTGRADO COMO MAESTRÍA: Magister en Seguridad de la Información FECHA DE TERMINACIÓN OTROS ESTUDIOS CHFI (Computer Hacking Forensic Investigator v3) FECHA DE TERMINACIÓN 04/04/2008 1 0 Traducción simple Folio 104

OTROS ESTUDIOS CEH (Certified Ethical Hacker) FECHA DE TERMINACIÓN 21/12/2007 OTROS ESTUDIOS CISSP (Certified Information Systems Security Professional) FECHA DE TERMINACIÓN 02/09/2010 OTROS ESTUDIOS Auditor Lider ISO 27001 FECHA DE TERMINACIÓN 30/03/2009 OTROS ESTUDIOS CISM (Certified Infirmation Security Manager) FECHA DE TERMINACIÓN 15/02/2012 OTROS ESTUDIOS CSA (Certified Security Analyst FECHA DE TERMINACIÓN 17/10/2008 Nombre del Proyecto Entidad Objeto de la Orden TIEMPO VALIDACIÓN TOTAL AÑOS TOTAL AÑOS TOTAL AÑOS DESDE HASTA (ESP) (MAE) (DOC) NIVEL (S/N) FOLIOS Consultor Senior PASSWORD Consultor Senior en proyectos de sistemas integrados de gestion, seguridad de la informacion y continuidad de negocio 01/11/2007 27/08/2015 7.8 0.0 0.0 1 S TOTAL EXPERIENCIA 8.0 0.0 0.0 Experiencia Espécifica del Proponente 100 100 NIVEL ACADEMICO/AÑOS 1 2 3 4 DOCTORADO 0 40 60 100 NIVEL ACADEMICO/AÑOS 2 3 4 5 MAESTRIA 0 40 60 100 NIVEL ACADEMICO/AÑOS 3 4 5 6 ESPECIALIZACION 0 40 60 100 Consultor en SGSI NOMBRES Y APELLIDOS: CARGO DENTRO DEL PROYECTO: FORMACIÓN PROFESIONAL COMO: MÁTRICULA PROFESIONAL N. POSTGRADO COMO ESPECIALIZACIÓN: POSTGRADO COMO MAESTRÍA: POSTGRADO COMO DOCTORADO: OTROS ESTUDIOS OTROS ESTUDIOS OTROS ESTUDIOS OTROS ESTUDIOS William Enrique Palencia Romero Consultor en SGSI Ingeniero de Sistemas FECHA DE TERMINACIÓN 02/08/2002 13255143718BLV PMP (Project Management Professional) CISSP (Certified Information Systems Security Professional) Auditor Lider SGSI bajo la norma ISO 27001:2006 Certified Ethical Hacker v7 FECHA DE EXPEDICIÓN FECHA DE TERMINACIÓN FECHA DE TERMINACIÓN FECHA DE TERMINACIÓN FECHA DE TERMINACIÓN FECHA DE TERMINACIÓN FECHA DE TERMINACIÓN 21/06/2007 Especialista en Gerencia de Sistemas de Información FECHA DE TERMINACIÓN 07/10/2007 20/04/2009 17/09/2008 30/09/2012 30/10/2013 1 1 0 0 Nombre del Proyecto Entidad Objeto de la Orden TIEMPO TOTAL AÑOS TOTAL AÑOS TOTAL AÑOS VALIDACIÓN DESDE HASTA (UNI) (ESP) (MAE/DOC) NIVEL (S/N) FOLIOS Gerente de proyectos y consultor Gerencia, gestion y coordinacion en la planeacion del SGSI, PASSWORD CONSULTING experto en proyectos de seguridad relacionado con politicas, analisis de riesgos, procedimientos, SERVICES S.A.S de la informacion capacitaciones y sencibilizaciones, entre otras. 05/02/2008 30/06/2015 7.4 0.0 0.0 1 S TOTAL EXPERIENCIA 7.0 0.0 0.0 Experiencia Espécifica del Proponente 100 100 NIVEL ACADEMICO/AÑOS 1 2 3 4 MAESTRIA o DOCTORADO 0 40 60 100 NIVEL ACADEMICO/AÑOS 2 3 4 5 ESPECIALIZACION 0 40 60 100 NIVEL ACADEMICO/AÑOS 3 4 5 6 PROFESIONAL 0 40 60 100 Experto en Estrategia NOMBRES Y APELLIDOS: Nelson Galindo Arias CARGO DENTRO DEL PROYECTO: Experto en estrategia FORMACIÓN PROFESIONAL COMO: Ingeniero de Sistemas FECHA DE TERMINACIÓN 26/01/1993 MÁTRICULA PROFESIONAL N. 2525547033CND FECHA DE EXPEDICIÓN 17/06/1996 POSTGRADO COMO ESPECIALIZACIÓN: Especialista En Auditoria De Sistemas De Información FECHA DE TERMINACIÓN 19/06/1997 1 1 1

POSTGRADO COMO MAESTRÍA: Magister en Administración FECHA DE TERMINACIÓN 18/10/2002 POSTGRADO COMO DOCTORADO: FECHA DE TERMINACIÓN OTROS ESTUDIOS Auditor interno ISO 27001 FECHA DE TERMINACIÓN 30/09/2012 OTROS ESTUDIOS Auditor interno ISO 22301 FECHA DE TERMINACIÓN 05/05/2014 OTROS ESTUDIOS CISA (Certified Infirmation Systems Auditor) FECHA DE TERMINACIÓN 26/09/2005 OTROS ESTUDIOS CISM (Certified Infirmation Security Manager) FECHA DE TERMINACIÓN 16/02/2010 OTROS ESTUDIOS CRISC (Certified in Risk and Infirmation Sistems Control) FECHA DE TERMINACIÓN 12/09/2010 0 Nombre del Proyecto Entidad Objeto de la Orden TIEMPO TOTAL AÑOS TOTAL AÑOS TOTAL AÑOS VALIDACIÓN DESDE HASTA (UNI) (ESP) (MAE/DOC) NIVEL (S/N) FOLIOS Gerente de proyectos y consultor Gerencia, gestion y coordinacion en la planeacion del SGSI, PASSWORD CONSULTING experto en proyectos de seguridad relacionado con politicas, analisis de riesgos, procedimientos, SERVICES S.A.S de la informacion capacitaciones y sencibilizaciones, entre otras. 07/10/2007 30/06/2015 0.0 7.7 0.0 2 S TOTAL EXPERIENCIA 0.0 8.0 0.0 Experiencia Espécifica del Proponente 100 100 NIVEL ACADEMICO/AÑOS 1 2 3 4 MAESTRIA o DOCTORADO 0 40 60 100 NIVEL ACADEMICO/AÑOS 2 3 4 5 ESPECIALIZACION 0 40 60 100 NIVEL ACADEMICO/AÑOS 3 4 5 6 PROFESIONAL 0 40 60 100 RELACIÓN DEL GRUPO BÁSICO DE PROFESIONALES PROPUESTO PARA EL PROYECTO NOMBRE DE LOS PROFESIONALES CARGO EN EL PROYECTO TÍTULO PROFESIONAL FORMACION ACADEMICA Pregrado Especialización Maestría Doctorado Juan Carlos Segura Pinzón Gerente de Proyectos Ingeniero de Sistemas X 200 Daniel Leonardo Beltrán Gonzaléz Experto en SGSI Ingeniero de diseño y automatización electrónica X 100 William Enrique Palencia Romero Consultor en SGSI Ingeniero de Sistemas X 100 PUNTOS EXPERIENCIA GRUPO Nelson Galindo Arias Experto en estrategia Ingeniero de Sistemas X X 100 500 VALORACIÓN DEL APOYO A LA INDUSTRIA NACIONAL Ofertas Nacionales Ofertas mixtas donde un integrante extranjero no le aplique el art. 51 del Decreto 019 de 2012 Oferentes extranjeros que no le aplique el art. 51 del Decreto 019 Personal destinado a la ejecución nacional Personal destinado a la ejecución mixto (donde el extranjero no le aplique el art. 51 del Decreto 019 de 2012) Personal destinado a la ejecución extranjero que no le aplique el art. 51 de Decreto 019 de 2012 Puntaje SI PUNTOS 1 25 0 0 0 0 1 25 0 0 0 0 50 F. 069 Enfioque y Actividades + Conceptualización + Desarrollo del esquema de actividades VALORACION DE LA METODOLOGIA SI PUNTOS 50 1 30 1 20 Logistica y Recursos La metodología presentada incluye el desarrollo de todos los ítems indicados en las Tablas 8 y 9. Además, se indica claramente el propósito del estudio y se abarcan los objetivos del proyecto; muestra conocimiento y entendimiento del objeto y alcance del proyecto. La metodología presenta aspectos como innovación, coherencia y una adecuada relación entre propuesta y metodología. No presenta observaciones en la evaluación de la Oferta (propuesta). EXCELENTE La metodología presentada incluye el desarrollo de todos los ítems indicados en las Tablas 8 y 9. Además, se indica claramente el propósito del estudio y se abarcan los objetivos del mismo; muestra conocimiento y entendimiento del objeto y alcance del proyecto. La metodología presenta aspectos como innovación, coherencia y una adecuada relación entre propuesta y metodología. Presenta observaciones mínimas en la evaluación de la Oferta (propuesta). MUY BUENA La metodología presentada incluye el desarrollo de todos los ítems indicados en las Tablas 8 y 9. Además, se indica claramente el propósito del estudio y se abarcan los objetivos del mismo; muestra conocimiento y entendimiento del objeto y alcance del proyecto. La metodología presenta aspectos como coherencia y una adecuada relación entre propuesta y metodología. Presenta observaciones mínimas en la evaluación de la Oferta (propuesta). BUENA La metodología presentada no incluye el desarrollo de todos los ítems indicados en las Tablas 8 y 9. Además, se indica claramente el propósito del estudio y éste abarca los objetivos del mismo. Muestra conocimiento y entendimiento del objeto y alcance del proyecto. La metodología presenta aspectos como coherencia y una adecuada relación entre propuesta y metodología. Presenta observaciones en la evaluación de la Oferta (propuesta). REGULAR La metodología presentada no incluye el desarrollo de todos los ítems indicados en las Tablas 8 y 9. Además, no se indica claramente el propósito del estudio y/o éste no abarca los objetivos del mismo. No muestra conocimiento ni entendimiento del objeto y alcance del proyecto. No presenta aspectos como coherencia ni una adecuada relación entre propuesta y metodología. Presenta observaciones en la evaluación de la Oferta (propuesta). MALA Puntaje 50 1 50 0 0 0 0 0 0 0 0 100 F. 069 FORMATO DE PRECIOS Valor de la Propuesta IVA VALOR TOTAL PROPUESTA VALOR TOTAL FOLIOS $ 188,560,345 F. 004 $ 30,169,655 $ 218,730,000