ACTA N 03 DE SESION DE COMITÉ ESPECIAL ADS Nº 0010-2012-ONPE Servicio de consultoría para la implementación de la norma NTP-17799 Func. ABSOLUCION DE CONSULTAS Y/U OBSERVACIONES A LAS BASES Siendo las 16:00 horas del día martes 28 de agosto de 2012, en la Oficina N 707 de la ONPE, ubicada en Jr. Washington 1894 Cercado de Lima, se reunieron los miembros del Comité Especial designados mediante Resolución Gerencial Nº 169-2012-OGA/ONPE de fecha 23 de julio de 2012; el Sr. Lider Jen Cotrina Castañeda quien preside el acto en calidad de Presidente titular, el Sr. José Enrique Vásquez Lizárraga y la Sra. Silvia Cecilia Villena Llerena, en calidad de miembros titulares, con el objeto de llevar a cabo la absolución de consultas y observaciones presentadas a las Bases del proceso de selección. El Comité Especial deja constancia que recibió el Pliego de absolución de consultas y observaciones remitido por la Gerencia de Sistemas e Informática Electoral, a la cual se requirió su apoyo en la materia, luego se procedió a dar lectura y deliberar sobre las mismas, concluyendo con la elaboración del Pliego de absolución de consultas y observaciones, adjunto a la presente acta, por lo cual estas fueron absueltas de acuerdo al siguiente detalle: ASSERTI S.R.L. Consultas N 01 y 02 Observación N 01 M & T CONSULTING DEL PERÚ S.A.C. Consultas N 01 ; 02 ; 03 ; 04 ; 05 ; 06 y 07 Observaciones N 01 y 02 Finalmente, el Comité Especial acordó registrar el pliego absolutorio de las consultas y observaciones, en el SEACE de acuerdo al calendario del presente proceso. Siendo las 17:00 horas del mismo día, se dio por concluido el presente acto, firmando el presente documento los miembros del Comité Especial, en señal de conformidad. Lider Jen Cotrina Castañeda Presidente del Comité Especial Silvia Cecilia Villena Llerena Miembro Titular José Enrique Vásquez Lizárraga Miembro Titular PLIEGO DE ABSOLUCIÓN DE CONSULTAS Y OBSERVACIONES Página 1 de 11
ADJUDICACIÓN DIRECTA SELECTIVA N 0010-2012-FUNC-0NPE SERVICIO DE CONSULTORÍA PARA LA IMPLEMENTACIÓN DE LA NORMA NTP 17799:2008 - FUNC" POSTOR: ASSERTI SRL CONSULTA N 01 Tema: III. REQUISITOS QUE DEBERÁ CUMPLIR EL PROVEEDOR Numeral: 3. Página: 20 Antecedente: Indican: "3. El jefe del proyecto del proveedor deberá ser auditor líder certificado ante el IRCA en sistemas de gestión de seguridad de información, entiéndase que al decir "auditor líder certificado ante el IRCA" se refiere a que la persona deberá ser certificada como Lead Auditor 150 27001 por una institución autorizada por I RCA..." Cabe indicar que en el mercado existen dos escenarios: Escenario 1: Según los registros de IRCA en el Perú sólo existen dos (02) personas con la categoría de "Lead Auditor 150 27001" certificado ante la IRCA (Auditor Líder ISO 27001 IRGA), con esta figura se estaría restringiendo las posibilidades de participantes en este concurso. Escenario 2: en el Perú existe una certificación comúnmente emitida en inglés que dice literalmente "Information Security Management Systems Auditor / Leed Auditor Training Course"... "has succesfully completed... IRCA CERTIFIED TRAINING COURSE' que acredita a la persona de haber aprobado el examen escrito del curso de entrenamiento (o formación) en "Auditor Líder en Sistemas de Gestión de Seguridad de la Información (conocido por su sigla SGSI) que (incluso en muchos de los casos el cartón no dice el término "ISO 27001" porque sesgaría la serie de normas ISO/IEC 27000). Esta certificación acredita que la persona cuenta con la formación y competencias exigidas por IRCA para auditar SGSIs pero no que la persona es auditor certificado ante IRCA. Esta certificación sí la acreditan un amplio grupo de personas en el Perú. Consulta 1: A cuál de los dos escenarios indicados se refieren en esta convocatoria? RESPUESTA N 01 La presente convocatoria se refiere al escenario 2. CONSULTA N 02 Tema: IV.2. DESCRIPCION DE ACTIVIDADES Numeral: 16. Página 2 de 11
Página: 23 Antecedente: Indican: "Auditoría interna: Esta actividad debe será realizada por un auditor líder que cuente con la certificación Lead Auditor ISO 27001" Si bien la actividad de Auditoría Interna puede ser realizada por una persona que certifique formación Lead Auditor ISO 27001, también puede ser realizada en cumplimiento con la norma ISO 27001 por una persona que acredite formación como "Auditor Interno" en la norma ISO 27001. Consulta 2: Favor indicar si esta actividad podría ser realizada por una persona acredite formación como "Auditor Interno" en la norma ISO 27001. RESPUESTA N 02 Ceñirse a lo establecido en los términos de referencia. OBSERVACIÓN N 01 Tema: B EXPERIENCIA Y CALIFICACIONES ADICIONALES DEL PERSONAL PROPUESTO Numeral: 6.1. EXPERIENCIA ADICIONAL DEL PERSONAL PROPUESTO Página: 30 Antecedente: Indican: "Se asignarán cinco (5) puntos por cada año de experiencia adicional a la solicitada como parte de los términos de referencia. Esta experiencia deberá ser acreditada (cada año) con 1 o más constancias o certificados hasta un máximo de 20 puntos o cuatro (4) años." Observación 1: En parte subrayada en el antecedente se menciona la experiencia solicitada en los términos de referencia. El punto es que al revisar los términos de referencia no se ha encontrado que en algún punto se precise los años de experiencia mínimos del personal exigido. En esta caso no es posible calcular la experiencia "adicional'. Favor aclarar este punto. RESPUESTA N 03 SE ACOGE la presente observación, por ello dicho factor quedará modificado en las Bases Integradas con el siguiente texto: Página 3 de 11
B.1. EXPERIENCIA ADICIONAL DEL JEFE DE PROYECTO (Máximo 20 puntos) Se asignarán cinco (05) puntos por cada servicio de experiencia adicional a la solicitada como parte de los términos de referencia. Esta experiencia deberá ser acreditada con uno (01) o más constancias o certificados hasta un máximo de cuatro (4) servicios. Monto facturado S/. Cuatro servicios adicionales (acreditados con una o más constancias) Tres servicios adicionales (acreditados con una o más constancias) Dos servicios adicionales (acreditados con una o más constancias) Un servicio adicional (acreditado con una o más constancias) Puntaje 20 puntos 15 puntos 10 puntos 05 puntos. POSTOR: PROVEEDOR M&T Consulta N 01 III.- TERMINOS DE REFERENCIA Numeral III Requerimientos que deberá cumplir el proveedor Página(s): 20 Se solicita a la empresa postora: Tener experiencia mínima, en por lo menos un servicio de implementación de un sistema de Gestión de Seguridad de la Información bajo el estándar ISO/IEC 27001:2005, en los últimos 2 años. Qué fecha se va a considerar para computar que el servicio está dentro de los dos años: la fecha de inicio del servicio o de fin del servicio? O será válido que un porcentaje considerable del servicio esté dentro de los dos años? RESPUESTA N 04 Para computar que el servicio está dentro de los dos años se considerará la fecha fin del servicio, adjuntado la documentación que sustente el requisito solicitado. Consulta N 02 Página 4 de 11
Página(s): 22 III.- TERMINOS DE REFERENCIA Numeral IV.2 Descripción de actividades 10. Selección de objetivos de control y controles, actividad que permitirá identificar de la norma técnica peruana NTP4SO/IEC 17799:2007 los objetivos de control y controles para mitigar el riesgo de cada activo de información. La implementación de controles corre por cuenta de la ONPE. Sírvase confirmar que el diseño e implementación de los controles corre por cuenta de la ONPE tal como se señala en las bases. RESPUESTA N 05 Confirmado. El diseño e implementación de los controles corre por cuenta de la ONPE tal como se señala en los TERMINOS DE REFERENCIA. Consulta N 03 III.- TERMINOS DE REFERENCIA Numeral IV.2 Descripción de actividades Página(s): 23 17.2 Elaborar el plan de reanudación de operaciones. Sírvase confirmar si se pide que el plan de reanudación de operaciones contemple solamente la reanudación de los servicios de TI que soportan el proceso de Verificación y Control de la Información Financiera de Partidos Políticos O se requiere un plan de reanudación de operaciones de los servicios del proceso de Verificación y Control de la Información Financiera de Partidos Políticos? Página 5 de 11
RESPUESTA N 06 El plan de reanudación de operaciones debe contemplar la reanudación de los servicios del proceso (Verificación y Control de la Información Financiera de Partidos Políticos) y la reanudación de los servicios de TI que lo soportan. Consulta N 04 CONSULTA Nº 04: Página(s): 23 III.- TERMINOS DE REFERENCIA Numeral IV.2 Descripción de actividades 17.4 Establecer por cada escenario las estrategias de continuidad. 17.5 Establecer el programa de ensayos. a. Sírvase confirmar cuántos escenarios como máximo se deben contemplar? b. Sírvase confirmar que solamente se desarrollará el programa de ensayos (pruebas) tal como se señala en las bases más no se harán las pruebas? RESPUESTA N 07 a. Se deberá contemplar como máximo 4 escenarios. b. Confirmado. Solamente se desarrollará el programa de ensayos Consulta N 05 III.- TERMINOS DE REFERENCIA Numeral V Gestión del servicio Página(s): 23 De ser necesario, la gestión de cambios en el servicio se hará mediante un formato de Página 6 de 11
gestión de cambios el cual será definido por la GSIE. Los cambios serán coordinados y autorizados previamente por la Gerencia de Supervisión de Fondos Partidarios y por la Gerencia de Sistemas e Informática Electoral. Los cambios que pudiesen suscitarse durante la ejecución del servicio de ninguna manera afectarán los costos del servicio. a. Quiénes aprueban el documento de gestión de cambios? Solamente la ONPE o de forma conjunta con el proveedor? RESPUESTA N 08 Los cambios serán aprobados por la ONPE en coordinación con el proveedor. Consulta N 06 IV.- CRITERIOS DE EVALUACIÓN A. EXPERIENCIA DEL POSTOR / A.1. EN LA ACTIVIDAD Página(s): 28 Se calificará considerando el monto facturado acumulado por el postor por la prestación de servicios iguales o similares al objeto de la convocatoria, entendiéndose por servicios similares la implementación de sistemas de gestión de seguridad de la información. La experiencia en implementaciones de la ISO/IEC 17799 (ahora ISO/IEC 27002) sólo correspondería con la aplicación del código de buenas prácticas en (guía de implementación de controles); NO demuestra experiencia en el objeto de contratación el cual es la implementación de un Sistema de Gestión de Seguridad de la Información SGSI. Sírvase confirmar que la experiencia solicitada debe corresponder de forma categórica a la implementación de Sistemas de Gestión de Seguridad de la Información (SGSI) bajo cualquier norma. Y, que NO se considerará como experiencia válida la aplicación de experiencias que solamente contemplen las buenas prácticas de la ISO/IEC 17799 (ahora ISO/ IEC 27002)? Página 7 de 11
RESPUESTA N 09 Confirmado. No se considerará como experiencia válida la aplicación de experiencias que solamente contemplen las buenas prácticas de la ISO/IEC 17799 (ahora ISO/ IEC 27002). La experiencia solicitada debe corresponder de forma categórica a la implementación de Sistemas de Gestión de Seguridad de la Información bajo norma NTP ISO/IEC 27001:2008 o ISO/IEC 27001:2005 Consulta N 07 IV.- CRITERIOS DE EVALUACIÓN A. EXPERIENCIA DEL POSTOR / A.2. EN LA ESPECIALIDAD Página(s): 28 Se calificará considerando el monto facturado acumulado por el postor por el servicio de consultoría para la implementación del Sistema de Gestión de Seguridad de Información que contemple la norma técnica peruana NTP-ISO/lEC 17799:2007 y que cumpla con los requerimientos del estándar certificable NTP-ISO/IEC 27001:2008 (ISO/IEC 27001:2005)" A diferencia del factor anterior, A.1 En la actividad, en este factor se requiere experiencia en Sistemas de Gestión de Seguridad de la información (SGSI) siempre que se haya tomado como norma de referencia para el cumplimiento de requisitos la norma ISO 27001:2005 o la NTP ISO/IEC 27001:2008; y, para la implementación de los controles (anexo A de la norma ISO 27001) la norma NTP ISO/IEC 17799:2007. Sírvase confirmar que la experiencia solicitada debe corresponder de forma categórica a la implementación de Sistemas de Gestión de Seguridad de la Información (SGSI), bajo ISO/IEC 27001:2005 o NTP ISO/IEC 27001:2008; y, para la implementación de controles la norma NTP ISO/IEC 17799:2007 RESPUESTA N 10 Confirmado. La experiencia solicitada debe corresponder de forma categórica a la implementación de Sistemas de Gestión de Seguridad de la Información (SGSI), bajo ISO/IEC 27001:2005 o NTP ISO/IEC 27001:2008; y, para la implementación de controles la norma NTP ISO/IEC 17799:2007 o ISO/IEC 27002:2005. Página 8 de 11
Observación N 01 III.- TERMINOS DE REFERENCIA Numeral III Requerimientos que deberá cumplir el proveedor Página(s): 20 Se solicita a la empresa postora Tener experiencia mínima, en por lo menos un servicio de implementación de un Sistema de Gestión de Seguridad de la Información bajo el estándar ISOIIEC 27001:2005, en los últimos 2 años. Es decir ONPE está requiriendo EXPERIENCIA empleando como criterio de comparación o medición el mero transcurrir del tiempo. Sin embargo, no considera que dicho requisito es contrario a lo establecido por la LEY y el REGLAMENTO de contrataciones. Lo cual convierte a dicho requisito en algo arbitrario. Un contrato sobre ISO 27001 puede tener una duración de 03 o 12 meses en los últimos dos (02) años y ambos cumplirían el requisito. Como bien lo señala y aclara el OSCE en abundantes pronunciamientos, sobre la experiencia: "De acuerdo con lo señalado por este Organismo Supervisor en anteriores oportunidades, la experiencia es la destreza adquirida por la practica reiterada de una conducta durante determinado periodo; ahora bien, pare cuantificar tal experiencia y contar con un parámetro válido para comparar las propuestas que se presenten en los procesos de selección, la normativa en materia de contrataciones ha previsto que la experiencia se acredite en función de los montos facturados por los postores, pues, en su calidad de agentes de mercado, la practica reiterada de determinada actividad debe reflejarse en su facturación. (El resaltado es agregado). Pronunciamientos 001-2009, 107-2009, 179-200D, 184-2009, etc. Como bien lo señala la normativa el único parámetro válido para comprar la EXPERIENCIA de las empresas es la facturación la cual se refleja en montos facturados. Así, debe entenderse que una empresa tendrá mayor experiencia que otra si tiene mayor facturación. Lo que no es válido y contraviene la normativa es pretender que si una empresa tiene 3 años y otra 2 de "experiencia", la de 3 tiene mayor "experiencia" que la de 2. Un servicio de 10 meses de "experiencia" puede costar SI, 40,000.00 y uno de 03 meses SI. 300,000.00 razón por la cual comparar o pretender medir la experiencia de una empresa empleando como criterio el tiempo no logra los objetivos establecidos en nuestro orden normativo. Página 9 de 11
Si ONPE desea establecer una EXPERIENCIA como requisito mínimo debe establecerla en términos de montos facturados. La cual a su vez debe ser menor en los montos exigidos para otorgar puntaje a través de tos factores de evaluación y calificación. En el capítulo IV Criterios de evaluación se está calificando la experiencia en la actividad y especialidad, de conformidad con la normativa, comparándola a través de montos de facturación. 4. OBSERVACIÓN Observamos que se solicite como requisito una "experiencia' en los últimos dos (02) años por cuanto dicho requisito, tal como está formulado, contraviene la normativa sobre contrataciones. En tal sentido solicitarnos se suprima o se establezca la experiencia, como requisito mínimo, en función a montos facturados, los cuales a su vez deben ser menores a los establecidos en los rangos del factor de evaluación A.1 / A.2 Experiencia en la actividad / especialidad de tal forma que se respete la normativa de contrataciones. RESPUESTA N 11 NO SE ACOGE la observación, por cuanto la experiencia solicitada en los términos de referencia no contraviene la normativa sobre contratación pública, por cuanto la misma está referida al cumplimiento de los requisitos técnicos mínimos, que los postores previamente deberán acreditar antes de aplicarse los Factores de Evaluación previstos en las Bases; en tal sentido los postores previamente deberán acreditar que tiene experiencia en la prestación de servicios objeto de la convocatoria, la cual se puede acreditar en por lo menos un servicio de implementación de un Sistema de Gestión de Seguridad de la Información bajo el estándar ISOIIEC 27001:2005, no importando si dicha experiencia está referida en meses o en años. Cabe agregar, que la experiencia acreditada en función de los montos facturados por los postores conforme a la normativa de contratación pública, está referida a los Factores de Evaluación, los cuales han sido considerados en el Capítulo IV de las Bases del presente proceso. Observación N 02 III.- TERMINOS DE REFERENCIA Numeral V Gestión del servicio Página(s): 23 Página 10 de 11
De ser necesario, la gestión de cambios en el servicio se hará mediante un formato de gestión de cambios el cual será definido por la GSIE Los cambios serán coordinados y autorizados previamente por la Gerencia de Supervisión de Fondos Partidarios y por la Gerencia de Sistemas e informática Electoral. Los cambios que pudieran suscitarse durante la ejecución del servicio de ninguna manera afectaran los costos del servicio. 4. OBSERVACIÓN Observamos se indique que los cambios que se den en el proyecto no generarán costo debido a que es muy peligroso afirmar eso, cuando es de conocimiento general en la gestión de proyectos que pueden haber cambios que si originan mayor costos. Solicitamos suprimir este requisito o modificarlo precisando que no afectara el costo siempre y cuando el cambio involucre cambiar actividades de igual costo económico. RESPUESTA N 12 NO SE ACOGE la observación por cuanto los cambios que pudieran suscitarse durante la ejecución del servicio de ninguna manera afectaran los costos del servicio, es una restricción del proyecto. Página 11 de 11