PLIEGO DE PRESCRIPCIONES TÉCNICAS QUE REGIRÁN LA EJECUCIÓN DEL CONTRATO DE SERVICIO DE ASISTENCIA TÉCNICA EN MATERIA DE SEGURIDAD DE LA INFORMACIÓN EN EL MARCO DEL ESQUEMA NACIONAL DE SEGURIDAD, EL ESQUEMA NACIONAL DE INTEROPERABILIDAD Y LA PROTECCIÓN DE DATOS PARA EL AYUNTAMIENTO DE CALVIÀ PRIMERA.- Objeto del contrato. El presente pliego tiene por objeto establecer las condiciones generales y las características técnicas que deberán cumplirse para la contratación de los servicios de asistencia técnica en materia de seguridad de la información, en el marco del Esquema Nacional de Seguridad, el Esquema Nacional de Interoperabilidad y la protección de datos para el Ayuntamiento de Calvià, que comprenden los servicios necesarios encaminados hacia: - La adecuación y cumplimiento, del Ayuntamiento de Calvià, del Esquema Nacional de Seguridad (RD 3/2010, de 8 de enero). - La adecuación y cumplimiento, del Ayuntamiento de Calvià, del Esquema Nacional de Interoperabilidad (RD 4/2010, de 8 de enero). - La actualización del cumplimiento a la Ley Orgánica de Protección de Datos de Carácter Personal (Ley 15/1999 de 13 de diciembre) y a su reglamento de desarrollo (RD 1720/2007 de 21 de diciembre). SEGUNDA.- Antecedentes. El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad (ENS) en el ámbito de la Administración Electrónica, tiene por objeto establecer una política de seguridad en la utilización de los medios electrónicos y está constituido por una serie de principios básicos y requisitos mínimos que permitan una protección adecuada de la información. Es decir, el ENS dispone la obligatoriedad de implantar, a las Administraciones Públicas que ofrezcan Servicios de Administración Electrónica, de sistemas de seguridad de la información, además de dar cumplimiento con lo establecido en la normativa de Protección de Datos. El Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de interoperabilidad en el ámbito de la administración electrónica, establece los principios y directrices de interoperabilidad en el intercambio y conservación de la información electrónica por parte de las Administraciones Públicas. El Ayuntamiento de Calvià en la implementación de los sistemas TIC (Tecnologías de Información y Comunicaciones) debe cumplir los diferentes marcos normativos relacionados con las TIC, de manera que se garantice la confianza en el uso de los medios electrónicos por parte de los ciudadanos.
En base a estos criterios, el objetivo de esta contratación se dirige hacia la adecuación del Ayuntamiento respecto de estas obligaciones, aportando con ello la necesaria cobertura jurídica, organizativa y técnica requerida para cimentar las garantías que deben sustentar estas nuevas formas de relación entre Ayuntamiento y Ciudadanos. TERCERA.- Definición, contenido y condiciones de ejecución de los trabajos. Los servicios en relación a la ejecución del contrato comprenden: A. Los trabajos relacionados con el Esquema Nacional Seguridad (RD 3/2010 de 8 de enero, ENS en adelante). Son: - Servicio de adecuación al ENS con la elaboración del Plan de Adecuación al ENS, que incluirá como mínimo: 1.Diagnóstico de la situación actual del Sistema para determinar el grado de cumplimiento de las medidas establecidas en el ENS. 2.Desarrollo completo del Plan de Adecuación al Esquema Nacional de Seguridad, contemplando todas las actividades y entregables incluidos en la Guía CCN-STIC 806 vigente, como son: a.revisión de la Política de Seguridad actual, y en su caso, verificación del contenido, para que sea acorde a lo establecido en el RD del ENS. b.valoración de la información y los servicios y su adecuación en referencia al Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de Desarrollo de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal. c.determinación de la categoría del sistema. d.realización de un análisis de riesgos, acorde a lo establecido en el Anexo II del Real Decreto ENS, utilizando la metodología MAGERIT (Metodología de Análisis y Gestión de Riesgos de los sistemas de Información de las Administraciones Públicas) y la herramienta para el análisis de riesgos PILAR. Adicionalmente, se podría utilizar otra herramienta para el análisis. e.elaboración de la Declaración de Aplicabilidad. f.elaboración del Informe de insuficiencias del sistema. g.elaboración del Plan de mejora de la seguridad. h.identificación y análisis de Interconexiones con otros sistemas para la prestación de los servicios. 3.Servicios de formación al personal del Ayuntamiento de Calvià, que incluyan la formación a diferentes perfiles de usuarios (alta dirección, responsables de información y servicios, técnicos y usuarios), en relación a la Seguridad de la Información y LOPD, así como en las herramientas utilizadas para el desarrollo del proyecto (análisis de riesgos y herramienta de análisis, dirigidas al perfil técnico). La formación se impartirá en las dependencias del Ayuntamiento de Calvià, en las fechas y horarios que determine el Ayuntamiento. Se podrá ofrecer, adicionalmente, soporte de formación con algún tipo de herramienta de formación on-line. La formación incluirá como mínimo los siguientes cursos: -Perfil Alta Dirección: 1 cursos x 2h. -Perfil Responsables de Información y Servicios: 2 cursos x 3h -Perfil Técnico: 1 curso x 3h
-Perfil Usuarios: 8 cursos x 1h Los licitadores detallarán también si incluyen alguna acción adicional asociada al cumplimiento del ENS (a incluir en el apartado de mejoras de la oferta técnica). B. Los trabajos relacionados con el Esquema Nacional Interoperabilidad (RD 4/2010, ENI en adelante). Son: - Servicios de adecuación al ENI con la elaboración del Plan de Adecuación al ENI, que contendrá como mínimo: 1.Interoperabilidad organizativa. 2.Interoperabilidad semántica. 3.Interoperabilidad técnica. 4.Infraestructuras y servicios comunes. 5.Comunicaciones de las Administraciones Públicas. 6.Reutilización y transferencia de tecnología. 7.Firma electrónica y certificados. 8.Recuperación y conservación del Documento Electrónico. 9.Normas de conformidad. En estos servicios se incluirá el soporte en aquellos temas relativos a la implantación de la administración electrónica en el Ayuntamiento, referidos a la firma electrónica, documento electrónico, gestión documental, aplicaciones disponibles reutilizables relacionadas con la Administración Electrónica, etc. Los licitadores detallarán también si incluyen alguna acción adicional asociada al cumplimiento del ENI (a incluir en el apartado de mejoras de la oferta técnica). Cada licitante debe incluir en su oferta una descripción clara de la/s metodología/s que propone emplear en el desarrollo de las actividades relacionadas con A y B, así como de las herramientas aportadas para la implantación de dichas actividades. C. Los trabajos referentes a la Ley Orgánica de protección de datos. Son: - Servicios de asesoramiento en materia de protección de datos de carácter personal que incluya: 1.Análisis general de la situación actual en relación al cumplimiento de la LOPD, así como recomendaciones respecto su cumplimiento. 2.Asesoramiento en aspectos puntuales referentes al cumplimiento de la LOPD, que se ofertará mediante una bolsa de horas a consumir según las necesidades del Ayuntamiento. El asesoramiento se prestará por escrito a modo de informe, en los casos que sea de aplicación. Mensualmente, en las reuniones de seguimiento, se entregará un reporte de los servicios realizados, en el que se incluirá una descripción del servicio, consumo realizado y pendiente de consumir. Durante la ejecución de los trabajos objeto del contrato la empresa adjudicataria se compromete a facilitar al Ayuntamiento de Calvià la información y documentación que solicite a efectos de conocer las circunstancias en que se desarrollan los trabajos, así
como los problemas que puedan plantearse y las tecnologías, métodos y herramientas para resolverlos. CUARTA.- Dirección e inspección de los trabajos. La dirección del proyecto por parte del Ayuntamiento de Calvià, recaerá conjuntamente en el Secretario Accidental y el Jefe de Sistemas de Información, Organización y Calidad y/o personas en quien deleguen, que supervisarán la ejecución de los trabajos y la coordinación entre el equipo del proyecto y el personal municipal. Estos trabajos comprenderán: -Dirigir y supervisar la realización y el desarrollo de los trabajos y el cumplimiento de plan de trabajo. -Aprobar los documentos que se elaboren. -Intervenir para la implicación del personal del Ayuntamiento, junto con la empresa contratada, en el desarrollo de aquellos trabajos, que así lo requieran. Como mínimo mensualmente se realizarán reuniones de coordinación, supervisión y seguimiento. Se realizará una presentación, previa al comienzo de los trabajos, al Comité de Seguridad de Tecnologías de la Información y Comunicaciones del Ayuntamiento de Calvià, otra presentación a la mitad del proyecto y una última presentación a la finalización del mismo. QUINTA.- Equipo técnico. El licitador deberá presentar el equipo del proyecto, quienes deberán acreditar formación en seguridad de la información, privacidad y protección de datos. SEXTA.- Lugar de realización de los trabajos. Las reuniones/sesiones necesarias para la ejecución y seguimiento del proyecto, así como las sesiones de formación, se llevarán a cabo en las dependencias municipales del Ayuntamiento de Calvià. SÉPTIMA.- Presentación de ofertas. La propuesta técnica incluirá, en orden, los aparatados indicados a continuación. Así mismo, como anexos, se podrán incluir aquellos puntos que se consideren oportunos: 1.Objeto y alcance la propuesta. 2.Metodologías a aplicar para la realización de los trabajos. 3.Planificación detallada de los trabajos a realizar, en relación a los tres servicios solicitados, con la asignación de las personas responsables de su ejecución, jornadas a realizar, indicación de las herramientas a utilizar (si es de aplicación) y relación de los productos a obtener en cada uno de ellos (si es de aplicación). 4.Actuaciones adicionales (mejoras a la oferta técnica) incluidas en relación a los Esquemas Nacionales, así como, en protección de datos.
5.Acciones de formación dirigidas al personal del Ayuntamiento, con indicación de los diferentes perfiles a formar, cursos/horas dedicados a cada uno de ellos, contenidos a impartir y material proporcionado. 6.Relación de trabajos realizados por la empresa en relación al Esquema Nacional de Seguridad, Esquema Nacional de Interoperabilidad y protección de datos. 7.Presentación del equipo de trabajo asignado al proyecto. Se incluirá el currículum de los miembros del equipo de trabajo, con sus méritos y con los certificados de los conocimientos y experiencia requeridos. 8.Propuesta económica. 9.Anexos. OCTAVA.- Criterios de valoración de ofertas. Los criterios que se aplicarán para la adjudicación del contrato serán los siguientes, ordenados por orden decreciente: CRITERIO 1. Proposición económica 2. Proposición técnica 3. Mejoras a la oferta técnica 4. Actividades de formación. La forma de evaluar los criterios será la siguiente: 1. Proposición económica. Se valorará la mejor oferta económica presentada. 2. Mejor proposición técnica. Se valorará: - La metodología aportada para la ejecución del servicio. - La adecuación de los trabajos a las guías de seguridad del Centro Criptográfico Nacional y a las guías de interoperabilidad - Se tendrán en cuenta los objetivos y la metodología que ofertan para su desarrollo, así como el plan de trabajo. 3. Mejoras a la Oferta técnica. Se valorará: - Herramientas adicionales aportadas. - Actuaciones adicionales a realizar en relación al Esquema Nacional de Seguridad, Esquema Nacional de Interoperabilidad y protección de datos. Se podrá evaluar también, cualquier otra mejora relacionada con este pliego. 4. Actividades de formación. Se valorará un mayor número de horas de formación ofertadas. NOVENA.- Propuesta económica.
El presupuesto del contrato es de 7.000 euros (siete mil euros), Impuesto del Valor Añadido excluido, siendo dicho impuesto del 21%, por lo que el importe a abonar en concepto de dicho impuesto será de 1.470 euros (mil cuatrocientos setenta euros). El pago del precio del contrato será realizado al adjudicatario mediante presentación de facturas mensuales por la parte proporcional del importe del contrato y en atención al grado de ejecución del mismo. DÉCIMA.- Plazo de ejecución. El plazo de ejecución de los trabajos será de cinco (5) meses, a contar desde la fecha indicada en el contrato. UNDÉCIMA.- Documentación de los trabajos. La documentación y/o ficheros generados durante la ejecución del contrato serán propiedad exclusiva del Ayuntamiento de Calvià, sin que la empresa adjudicataria pueda conservarlos, ni obtener copia de los mismos o facilitarlos a terceros sin la expresa autorización de la citada organización. Toda la documentación se entregará en la Casa Consistorial del Ayuntamiento de Calvià, en castellano, correctamente encuadernada y con la cantidad de copias que se determinen para cada documento. Asimismo, se entregará dicha documentación en el soporte magnético que se acuerde para facilitar su tratamiento y reproducción. DUODÉCIMA.- Protección de datos. De conformidad con lo Dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, se informa a los interesados de que: 1.- Los datos de los licitadores se incorporarán a un fichero de datos personales, denominado Contratos Administrativos, del que es responsable el Ajuntament de Calvià, cuya finalidad es la tramitación de los expedientes de contratación sometidos al Real Decreto Legislativo 3/2011, de 14 de noviembre, por el que se aprueba el Texto Refundido de la Ley de Contratos del Sector Público. 2.- Cesiones de los datos previstas: a la Sindicatura de Cuentas; a la Junta Consultiva de Contratación; a los restantes candidatos y licitadores; publicaciones en boletines oficiales, tablón de edictos o Web municipal, todo ello de acuerdo con lo previsto en el Real Decreto Legislativo 3/2011, de 14 de noviembre, por el que se aprueba el texto refundido de la Ley de Contratos del Sector Público, y aquellas otras personas o AAPP determinadas por la legislación especial aplicable al objeto de cada contrato. 3.- El órgano administrativo ante el que puede ejercitar, en su caso, los derechos de acceso, rectificación, cancelación, oposición y aquellos otros reconocidos en la Ley Orgánica 15/1999 es el Servicio de Atención al Ciudadano del Ayuntamiento de Calvià, situado en la C/ Julià Bujosa Sans, batlle, 1 (Calvià).
Si el contrato implica el acceso del contratista a ficheros que contengan datos de carácter personal de cuyo tratamiento éste no sea responsable en el sentido del artículo 3.d) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, el contratista tendrá la consideración de encargado del tratamiento, a los efectos establecidos en dicha Ley Orgánica y su normativa de desarrollo. El acceso no se considerará comunicación de datos, por ser necesario para la realización de la prestación del objeto del contrato. En todo caso y cuando el contratista tenga acceso a ficheros en los que consten datos de carácter personal de cuyo tratamiento éste no sea responsable, será necesario que en el contrato, o en un documento independiente, se incluyan las cláusulas precisas al objeto de regular dicho acceso, en los términos y con el contenido previstos en la LO 15/1999 y su normativa de desarrollo, sin perjuicio del cumplimiento de los demás requisitos establecidos en la Disposición Adicional 26 del TRLCSP. Además, el contratista deberá respetar el carácter confidencial de aquella información a la que tenga acceso con ocasión de la ejecución del contrato que por su propia naturaleza deba ser tratada como tal. Este deber se mantendrá durante un plazo de cinco años desde el conocimiento de esa información, salvo que en el contrato se establezca un plazo mayor. El secretario accidental, Fdo: Juan Castañer Alemany