Página 1 de 7 RESPUESTA A OBSERVACIONES A LOS PRETERMINOS DEL PROCESO DE OFERTA PÚBLICA No. 013-2015 IMPLEMENTACIÓN PRÁCTICA DEL SGSI EN LA UPME OBSERVACIONES FORMULADAS POR PWC. Radicado No. 20151260024632 Pregunta 1: Numeral 1.3. Página 8. Solicitamos conocer sobre cuáles procesos de negocio será aplicada la consultoría de implementación del SGSI. En nuestra experiencia, el SGSI debe ir direccionado a procesos, a los cuales se pudiera optar a una futura certificación. Respuesta UPME: El numeral 1.3.1. Conocimiento y Contextualización de los Procesos, se refiere a todos los procesos del SGC, existente en la UPME. Se detallan en documento adjunto a los TDR Definitivos. Pregunta 2: Numeral1.3.5, página 9. Solicitamos se delimite específicamente el numeral 1.3.5 en lo respectivo al acompañamiento solicitado, qué se entiende por acompañamiento? qué espera UPME del acompañamiento? el acompañamiento del numeral 1.3.5 es el mismo del numeral 8.2 de la página 69?. Respuesta UPME: El numeral 1.3.5. Acompañamiento e Implementación practica del SGSI, esta detallado en el FORMATO DE CARACTERISTICAS TECNICAS OFRECIDAS Y GARANTIZADAS, y hace referencia a todo lo definido en el numeral 8. Plan para la implementación del SGSI, el cual hace parte integral de los Términos de Referencia de este proceso. Pregunta 3: Numeral 1.10, página 13. Solicitamos se elimine la expresión "recibo a satisfacción expedido por el supervisor del contrato". La satisfacción es un parámetro subjetivo que se puede prestar para todo tipo de interpretaciones, por tanto sugerimos la expresión sea cambiada por otra, por ejemplo recibo en conformidad con los criterios de aceptación definidos durante la planeación del proyecto. Respuesta UPME: No se acepta la observación. La autorización de cada uno de los pagos estipulados en el proceso, debe estar soportada con los respectivos soportes de los avances de cumplimiento, y previa aprobación de los informes objeto de cada pago. Pregunta 4: Numeral 1.10, página 13. Solicitamos se clarifique la forma de pago para completar el 100% de los recursos destinados para el proyecto.
Página 2 de 7 Respuesta UPME: Se acepta. Se tiene en cuenta la observación y se aclara que cada uno de los cuatro (4) pagos pactados corresponde a un VEINTICINCO POR CIENTO (25%), para completar el 100% de los recursos destinados para el proceso. Pregunta 5: Numeral 4.4.2.2, página 38. Solicitamos se clarifique qué es MPM en el perfil profesional del gerente de proyecto?, se quiere decir PMP? Respuesta UPME: Se acepta. Se tiene en cuenta la observación y se aclara que la certificación real es PMP. Pregunta 6: Numeral 4.4.3, página 41. Solicitamos se clarifique para el Gerente de Proyecto y para el Experto SGSI si el título de especialización, maestría o doctorado tiene que estar relacionado a Seguridad de la Información o puede ser también relacionado a la Ingeniería de Sistemas, Telemática, Electrónica y Mecatrónica. Respuesta UPME: Se acepta. Se tiene en cuenta la observación, la cual se verá reflejada en los TDR definitivos, de la siguiente manera: Postgrado: Especialización o Maestría en: Seguridad Informática o Seguridad de la Información o Ciberseguridad o Gerencia de Proyectos. Pregunta 7: Numeral 4.8 (en la tabla numeral 4.2), página 55. Solicitamos ampliar explicación de cuáles son los riesgos de la organización? Son otros riesgos diferentes o adicionales a los relacionados con seguridad de la información? Respuesta UPME: El alcance del proyecto contempla la identificación, calificación y evaluación de los riesgos relacionados con la seguridad de la información de la UPME. Pregunta 8: Numeral 4.8 (en la tabla numeral 5.1), página 62. Solicitamos se amplié la información respecto de "toda la plataforma de información y tecnología de la UPME" a la cual se realizará el test de intrusión. Solicitamos se indiquen las cantidades y características generales de los equipos de red, servidores, bases de datos, aplicaciones, etc. que serán objeto de la prueba de intrusión. Respuesta UPME: Se acepta. Se tiene en cuenta la observación. Se publicara como documento anexo el inventario del hardware y software que hacen parte integral de la actual plataforma de información y tecnología de la UPME.
Página 3 de 7 Pregunta 9: Numeral 4.8 (en la tabla numeral 8.1, 5,6 y 7), página 68. Solicitamos se confirme que dentro de la implementación del SGSI el alcance incluye la actualización del plan de continuidad de negocio de la UPME. En caso que sea afirmativa la respuesta se debería incluir la revisión y ajuste a las estrategias de continuidad como una etapa adicional para dar cumplimiento a lo solicitado en los puntos 6 y 7. Así mismo en caso que la respuesta sea afirmativa, deberían ser también validas otras certificaciones y experiencias tanto para la firma como para los profesionales del equipo de trabajo (por ejemplo MBCP, MBCI, CBCP, etc). Respuesta UPME: La Unidad no cuenta con un Plan de Continuidad del Negocio. El alcance de la implementación del SGSI, contempla la definición del Plan de Continuidad del Negocio, que debe adoptar la UPME. Se acepta la observación en lo referente a las certificaciones para los profesionales del equipo de trabajo como: MBCP, MBCI, CBCP, y estas se verán reflejadas en los TDR definitivos. OBSERVACIONES FORMULADAS POR OLIMPIAIT. Radicado No. 20151260024862 Pregunta 1: 4.4.2.2 DEL GRUPO BÁSICO DE PROFESIONALES TABLA 5 CARGO:::> Un (1) Experto en SGSI (Gerente proyecto) PERFIL:::> Pregrado: Ingeniero de Sistemas y Afines, Telecomunicaciones, Electrónico, Industrial.. Atentamente solicitamos se permita adjuntar perfiles de profesionales con POSTGRADO en alguna de las carreras y con las acreditaciones de experiencia antes requeridas. Respuesta UPME: Para el proceso en mención solo son válidas las formaciones académicas a nivel postgrado en las temáticas relacionadas: Especialización o Maestría en: Seguridad Informática o Seguridad de la Información o Ciberseguridad o Gerencia de Proyectos.. Pregunta 2: Entendemos MPM es un error de digitación y se requiere es: PMP? Respuesta UPME: Se acepta. Se tiene en cuenta la observación y se aclara que la certificación real es PMP. OBSERVACIONES FORMULADAS POR GAMMA INGENIEROS. Radicado No. 20151260024852
Página 4 de 7 Pregunta 1: Con el fin de garantizar la pluralidad de oferentes solicitamos que en el numeral 4.4.2.2 DEL GRUPO BÁSICO DE PROFESIONALES del Pliego de condiciones - el Rol Experto en Estrategia, ser modificado así: Ingeniero de Sistemas y Afines, Ingeniero Industrial, Administrador de Empresas o Administrador Público, con al menos una (1) certificación en alguna de las siguientes temáticas: Certificado ITIL V3 Expert Ciclo de vida de servicios SS SD ST SO SCI Capacidad del servicio OSAPPO RCV-SOA Certificado, ó ITIL Foundations. Dado que con ello se cumple con el requerimiento de capacitación del profesional en temas relacionadas con gobierno de tecnologías de la información Respuesta UPME: Se acepta. Se ajustaran los TDR definitivos y este numeral quedara así: Ingeniero de Sistemas y Afines, Ingeniero Industrial, Administrador de Empresas o Administrador Público, con al menos una (1) certificación en alguna de las siguientes temáticas: 1. ITIL Foundation o ITIL V3 Expert Ciclo de vida de servicios SS SD ST SO SCI. Capacidad del servicio OSA-PPO RCV-SOA. Funciones, procesos y roles. Continuidad del servicio MBCP-CBCP. CISSP CRISC Lead Auditor ISO27001; 2013 OBSERVACIONES FORMULADAS POR GLOBALTEK SECURITY S.A.S. Radicado No. 20151260024882 Pregunta 1: Agradecemos indicar cuál de los valores solicitados en el indicador NIVEL DE ENDEUDAMIENTO, es el correcto, si el que aparece en el numeral 2.3 DOCUMENTOS FINANCIEROS QUE ACOMPAÑAN LA PRESENTACION DE LA PROPUESTA, o el que aparece en el Formulario #5. Respuesta UPME: Se acepta. El valor correcto es el del Formulario #5: inferior al 70% Pregunta 2: Comedidamente solicitamos para el Rol Un (1) Experto en SGSI (Gerente proyecto), en el ítem Perfil Profesional, ajustar el mismo de la siguiente manera: Pregrado: Ingeniero de Sistemas o Afin, Telecomunicaciones, Electrónico, Industrial, con al menos dos (2) certificaciones en alguna de las siguientes temáticas: 1. CISSP (Certified Information Systems Security Professional) por el (ISC)²
Página 5 de 7 2. CISM (Certified Information Security Manager) por ISACA 3. ESPECIALIZACION EN GERENCIA DE PROYECTOS 4. MAESTRÍA EN SEGURIIDAD DE LA INFORMACION 5. PMP EXPERIENCIA: Dos (2) años de experiencia profesional, relacionada con alguna de las siguientes Actividades: *Dirección y/o Coordinación de planes y/o proyectos de Seguridad de la Información. *Implementación de planes y/o proyectos de Seguridad de la Información. * Implementación de planes y/o proyectos Estratégicos de TICs. * Implementación de proyectos COBIT, ITIL, CMMI, TOGAF Respuesta UPME: Se acepta. Se tiene en cuenta la observación y estará se verá reflejada en los TDR definitivos, este perfil quedara así: Ingeniero de Sistemas y Afines, Telecomunicaciones, Electrónico, Industrial. Con Especialización o Maestría en: Seguridad Informática o Seguridad de la Información o Ciberseguridad o Gerencia de Proyectos. Y con al menos dos (2) certificaciones en alguna de las siguientes temáticas: 1. CISSP (Certified Information Systems Security Professional) por el (ISC)² 2. CISM (Certified Information Security Manager) por ISACA 3. Lead Auditor por el BSI (British Standard Institution) 4. Master of Security Sciencie 5. BPM (Business Process Management) 6. MBCP (Master Business Continuity Professional) 7. CBCP (Certified Business Continuity Professional) Pregunta 3: Sugerimos amablemente, no solicitar el ROL Un (1) Experto en Estrategia, dado que no aplica para el proyecto de SGSI. Respuesta UPME: El alcance del proyecto amerita el tener este perfil, en especial para el acompañamiento de las actividades relacionadas con las fases de implementación practica y Capacitación y Concientización, por lo tanto no se acepta la observación. Pregunta 4: Para el Rol Consultor en seguridad de la información, sugerimos las solicitar las siguientes certificaciones PERFIL PROFESIONAL:
Página 6 de 7 Pregrado: Ingeniero de Sistemas y Afines, Telecomunicaciones, Electrónico, Industrial, que tengan las siguientes certificaciones que consolidan el perfil requerido para la implementación de un SGSI: 1. CISSP 2. CRISC 3. Lead Auditor ISO27001; 2013 EXPERIENCIA: Dos (2) años de experiencia profesional, en: * Implementación de planes y/o proyectos de Seguridad de la Información. Respuesta UPME: Se acepta. Se tiene en cuenta la observación y esta se verá reflejada en los TDR definitivos, así: Ingeniero de Sistemas y Afines, Ingeniero Industrial, Administrador de Empresas o Administrador Público, con al menos una (1) certificación en alguna de las siguientes temáticas: 1. ITIL Foundation o ITIL V3 Expert Ciclo de vida de servicios SS SD ST SO SCI. Capacidad del servicio OSA-PPO RCV-SOA. Funciones, procesos y roles. Continuidad del servicio MBCP-CBCP. CISSP CRISC Lead Auditor ISO27001; 2013 Pregunta 5: Amablemente sugerimos que para el ítem DE EXPERIRNCIA: 4.4.2.1 DEL PROPONENTE, sea solicitada dicha experiencia bajo los códigos verificables en el RUP: 801015. Respuesta UPME: No se acepta la observación. El RUP sólo se tendrá en cuenta para revisar los índices financieros. OBSERVACIONES FORMULADAS POR CONECTICS. Radicado No. 20151260024912 Pregunta 1: En el numeral 4.4.1. DEL GRUPO BÁSICO DE PROFESIONALES Solicitamos a la entidad, que se reconsidere que las certificaciones mínimas exigidas al grupo de profesionales y Gerente de Proyecto, sea acreditada a través de la experiencia en tiempo de ejecución de los proyectos y actividades desarrolladas en el trayecto de su carrera profesional, ya que este indicador de experiencia certifica
Página 7 de 7 las labores realizadas en la participación e implementación de Sistemas de Gestión de Seguridad de la Información y de esta manera poder participar en el proceso. Respuesta UPME: No se tiene en cuenta esta observación, y se mantienen los criterios de certificación de la experiencia mínima para cada uno de los perfiles exigidos para este proceso; estimada en años, corresponde a los años laborados en la temática específica de cada cargo dentro del grupo básico de profesionales, de acuerdo con lo establecido en la tabla No. 6 de los TDR definitivos. En todos los casos, es decir, en la evaluación del director de proyecto y de los demás profesionales que conforman el Grupo Básico de Profesionales (equipo mínimo de trabajo), se exigirá un mínimo de experiencia específica. Emitida en Bogotá el día doce (12) de junio de 2015