ESPECIFICACIONES PARA EJECUTAR LA VERIFICACIN SOBRE EL CUMPLIMIENTO EN TECNOLOGA DE INFORMACIN Y MEDICIN DE MADUREZ DE SUS PROCESOS, BAJO EL MARCO DEL

SISTEMA DE GESTIN Y CONTROL INTEGRAL - SGCI DIRECCIN DE TECNOLOGA DE INFORMACIN Versi ! " #OJA " DE "$

ESPECIFICACIONES PARA EJECUTAR LA VERIFICACIN SOBRE EL CUMPLIMIENTO EN TECNOLOGA DE INFORMACIN Y MEDICIN DE MADUREZ DE SUS PROCESOS, BAJO EL MARCO DEL SISTEMA DE GESTIN Y CONTROL INTEGRAL % SGCI

DIRECCIN DE TECNOLOGA DE INFORMACIN

BOGOT&, JUNIO ' DE ()"*

ESPECIFICACIONES PARA EJECUTAR LA VERIFICACIN SOBRE EL CUMPLIMIENTO EN TECNOLOGA DE INFORMACIN Y MEDICIN DE MADUREZ DE SUS PROCESOS, BAJO EL MARCO DEL SISTEMA DE GESTIN Y CONTROL INTEGRAL - SGCI DIRECCIN DE TECNOLOGA DE INFORMACIN Versi ! " #OJA ( DE "$

T+,-+ .e /0 1e i.0 "2 OBJETIVO .......................................................................................................................................... 3 (2 ALCANCE ........................................................................................................................................... 3 2.1 Dimensionamiento del Alcance ................................................................................................... 4 *2 ESPECI ICACIONES T!CNICAS " P#OD$CTOS ESPE#ADOS .................................................................. % '2 E&$IPO '(NI'O DE T#ABAJO " E)PE#IENCIA '(NI'A PA#A EL INICIO DEL CONT#ATO ..................11 32 $SO DE OPCI*N ...............................................................................................................................13 $2 +LOSA#IO.........................................................................................................................................13

ESPECIFICACIONES PARA EJECUTAR LA VERIFICACIN SOBRE EL CUMPLIMIENTO EN TECNOLOGA DE INFORMACIN Y MEDICIN DE MADUREZ DE SUS PROCESOS, BAJO EL MARCO DEL SISTEMA DE GESTIN Y CONTROL INTEGRAL - SGCI DIRECCIN DE TECNOLOGA DE INFORMACIN Versi ! " #OJA * DE "$

"2 OBJETO

Cont,ata, Cons-lto,.a /a,a la 0e,i1icaci2n so3,e el c-m/limiento en Tecnolo4.a de In1o,maci2n 5 'edici2n de 'ad-,e6 de s-s /,ocesos7 3a8o el ma,co del Sistema de +esti2n 5 Cont,ol Inte4,al 9 S+CI

(2 ALCANCE

La Cons-lto,.a de3e 0e,i1ica, la im/lementaci2n 5 el ni0el de e1ecti0idad de C-m/limiento en los si4-ientes temas:

Est,ate4ia de Tecnolo4.a de In1o,maci2n: 9 9 Indicado,es del Ta3le,o Balanceado de +esti2n de TI +esti2n de #ies4os Est,at;4icos <Valo,aci2n7 Planes de T,atamiento e Indicado,es=

E8ec-ci2n de P,ocesos de Tecnolo4.a de In1o,maci2n: 9 9 9 9 9 Im/lementaci2n 5 'ad-,e6 <En ca/acidad 5 desem/e>o= O/e,aci2n Indicado,es #ies4os 5 O38eti0os de cont,ol Dise>o 5 o/e,aci2n de Cont,oles <ELC7 COSO7 SO)7 COBIT7 Se4-,idad de In1o,maci2n 5 T,ans0e,sales= C-m/limiento de cont,oles de Se4-,idad de In1o,maci2n 5 /,?cticas de calidad en A/licaciones: 9 Ve,i1icaci2n de cont,oles en sistemas de In1o,maci2n catalo4ados como SO) 5 los ,e@-e,idos /a,a o/e,a,. 9 Ve,i1icaci2n so3,e a/licaci2n de lineamientos de calidad de so1tAa,e en desa,,ollo

C-m/limiento de cont,oles en in1,aest,-ct-,a 5 se,0icios de Tecnolo4.a de In1o,maci2n 9 E0al-aci2n de /,?cticas de cont,ol inte,no en se,0icios cont,atados con Te,ce,os <#e/o,tes SOC=

ESPECIFICACIONES PARA EJECUTAR LA VERIFICACIN SOBRE EL CUMPLIMIENTO EN TECNOLOGA DE INFORMACIN Y MEDICIN DE MADUREZ DE SUS PROCESOS, BAJO EL MARCO DEL SISTEMA DE GESTIN Y CONTROL INTEGRAL - SGCI DIRECCIN DE TECNOLOGA DE INFORMACIN Versi ! " #OJA ' DE "$

(2" Di4e si0 +4ie 10 .e- A-/+ /e

La 0e,i1icaci2n se de3e desa,,olla, so3,e las si4-ientes dimensiones:

Est,ate4ia de Tecnolo4.a de In1o,maci2n:

Indicado,es del Ac-e,do de +esti2n <1B=:

N02 1 2 3 4 D B E F % 1G 11 12 13 14 1D 1B N04,re .e- I .i/+.0r Bene1icios com/,o3ados /o, inco,/o,aci2n de Tecnolo4.a de In1o,maci2n Costo Total de DTI O,ientaci2n a la In1o,maci2n C ECP In1o,maci2n en Tiem/o #eal <O/e,acional 5 inancie,a= (ndice de Satis1acci2n del Cliente TI Ni0el de /,od-cci2n cient.1ica 5 tecnol24ica 4ene,ada en ECOPET#OL 5 a t,a0;s de con0enios de coo/e,aci2n con entidades nacionales (ndice de 1,ec-encia Total de Casos ,e4ist,ados <T#I = E1ecti0idad del Cont,ol Inte,no de TI C-m/limiento iniciati0as TOP C.O Indicado, Con8-nto de P,o4,amas 5 P,o5ectos de TI C-m/limiento iniciati0as de TI con Em/,esas del +,-/o Em/,esa,ial Ni0el de Estanda,i6aci2n de Plata1o,mas de TI en los /,ocesos <De1inici2n= Ni0el de ase4-,amiento de /,?cticas cla0es +ene,aci2n de ideas /otencialmente inno0ado,as e0al-adas como 0ia3les de im/lementaci2n NHme,o de semille,os en 1o,maci2n TI a ni0el nacional C-m/limiento de 'etas de Talento I-mano

#ies4os Est,at;4icos <Planes de T,atamiento e indicado,es cla0e de ,ies4o= Ries50s Es1r+165i/0s E I .i/+.0res C-+7e E P-+ es .e Tr+1+4ie 10 1F

ESPECIFICACIONES PARA EJECUTAR LA VERIFICACIN SOBRE EL CUMPLIMIENTO EN TECNOLOGA DE INFORMACIN Y MEDICIN DE MADUREZ DE SUS PROCESOS, BAJO EL MARCO DEL SISTEMA DE GESTIN Y CONTROL INTEGRAL - SGCI DIRECCIN DE TECNOLOGA DE INFORMACIN Versi ! " #OJA 3 DE "$

P,ocesos <1B= Pr0/es0s Ni7e- ) Planeaci2n del Desa,,ollo O,4ani6acional Im/lementaci2n del desa,,ollo o,4ani6acional Pr0/es0s Ni7e- " Planeaci2n de adec-aci2n de in1o,maci2n 5 tecnolo4.a em/,esa,ial Adec-aci2n de la 4esti2n de in1o,maci2n 5 tecnolo4.a em/,esa,ial Administ,aci2n de O/e,aciones de TI P,o4,amaci2n O/e,aci2n de +esti2n de Tecnolo4.a TI de In1o,maci2n O/e,aci2n 5 So/o,te de TI Pr0/es0s Ni7e- ( 1. o,m-laci2n de la Est,ate4ia de TI 2. +esti2n de A,@-itect-,a Em/,esa,ial 3. o,m-laci2n de Iniciati0as de TI 4. P,o4,amaci2n de P,o4,amas 5 /,o5ectos de TI D. +esti2n del Po,ta1olio de /,o4,amas 5 /,o5ectos de TI B. Im/lementaci2n de P,o4,amas 5 P,o5ectos de TI E. Se4-,idad In1o,m?tica F. Contin-idad del Se,0icio de TI %. Con1i4-,aci2n 5 Acti0os de TI 1G. Ca/acidad de TI 11. Dis/oni3ilidad de TI 12. Cam3ios de TI 13. #e@-e,imientos de TI 14. P,o3lemas de TI 1D. E0entos de TI 1B. Incidentes de TI

Indicado,es /o, P,oceso:

Pr089es1+ Ni7e- ( 1. o,m-laci2n de la Est,ate4ia de TI 2. +esti2n de A,@-itect-,a Em/,esa,ial 3. o,m-laci2n de Iniciati0as de TI 4. P,o4,amaci2n de P,o4,amas 5 /,o5ectos de TI D. +esti2n del Po,ta1olio de /,o4,amas 5 /,o5ectos de TI B. Im/lementaci2n de P,o4,amas 5 P,o5ectos de TI

I .i/+.0res J In1o,maci2n en Tiem/o #eal Alineaci2n de los P,o5ectos con la A,@-itect-,a Em/,esa,ial de TI Estanda,i6aci2n 5 sim/li1icaci2n de /lata1o,mas Ni0el de o,m-laci2n de Iniciati0as de TI Tiem/o de mad-,aci2n de iniciati0as Demanda de l.de,es de /,o5ectos Iniciati0as con PEP A/,o3ado J Bene1icios Com/,o3ados /o, Inco,/o,aci2n de Tecnolo4.a de In1o,maci2n Indicado, Con8-nto de P,o5ectos

N02 I .i/+.0res 1 2 2 2 1 1

ESPECIFICACIONES PARA EJECUTAR LA VERIFICACIN SOBRE EL CUMPLIMIENTO EN TECNOLOGA DE INFORMACIN Y MEDICIN DE MADUREZ DE SUS PROCESOS, BAJO EL MARCO DEL SISTEMA DE GESTIN Y CONTROL INTEGRAL - SGCI DIRECCIN DE TECNOLOGA DE INFORMACIN Versi ! " #OJA $ DE "$

O/o,t-nidad de la Ent,e4a de P,o/-estas Se,0icio al Cliente E. Se4-,idad In1o,m?tica J Ni0el de c-m/limiento de la e8ec-ci2n del se,0icio de se4-,idad de TI J $so del P,oceso de Contin-idad F. Contin-idad del Se,0icio de TI P,-e3as allidas Incidentes ,elacionados /o, Elementos de %. Con1i4-,aci2n 5 Acti0os de TI Con1i4-,aci2n @-e est?n en el alcance del /,oceso 1G. Ca/acidad de TI Ca/acidad IN #ACAP J K de Dis/oni3ilidad de In1,aest,-ct-,a Tecnol24ica 11. Dis/oni3ilidad de TI K de Dis/oni3ilidad de canales de telecom-nicaciones K de Dis/oni3ilidad de sol-ci2n tecnol24ica Po,centa8e de Cam3ios allidos 12. Cam3ios de TI Po,centa8e Cam3ios de Eme,4encia J K de solicit-des de se,0icios com/letados en los tiem/os aco,dados K de solicit-des atendidas dent,o del ANS K de solicit-des ,es-eltas dent,o de los ANS 13. #e@-e,imientos de TI J K de ,e@-e,imientos com/letados dent,o de los tiem/os aco,dados K ,e@-e,imientos de 4esti2n de Accesos atendidos dent,o de los tiem/os de ANS 14. P,o3lemas de TI Incidentes 3lacLlocL de /,o3lemas K de e0entos @-e 4ene,an incidentes /o, cada 1D. E0entos de TI /lata1o,ma K de incidentes ce,,ados /o, S.D. 1B. Incidentes de TI J K de incidentes ,e/o,tados 5 com/letados en los tiem/os aco,dados Total de Indicado,es

2 1 1

1 1 2 2%

O38eti0os de Cont,ol C <34=

ESPECIFICACIONES PARA EJECUTAR LA VERIFICACIN SOBRE EL CUMPLIMIENTO EN TECNOLOGA DE INFORMACIN Y MEDICIN DE MADUREZ DE SUS PROCESOS, BAJO EL MARCO DEL SISTEMA DE GESTIN Y CONTROL INTEGRAL - SGCI DIRECCIN DE TECNOLOGA DE INFORMACIN Versi ! " #OJA : DE "$

OC AI1.1 AI1.2 AI1.3 AI2.1 AI2.2 AI2.D AI2.B AI2.E AI2.F AI2.% AI3.2 AI3.3 AI3.4 AIB.1 AIB.2 AIB.3 AIE.2 AIE.3 AIE.4 AIE.B AIE.F #e/o,te de An?lisis de #ies4os

Des/ri8/i OC De1inici2n 5 'antenimiento de ,e@-e,imientos T;cnicos 5 -ncionales @-e c-3,en el alcance com/leto Est-dio de acti3ilidad 5 o,m-laci2n de C-,sos de Acci2n Alte,nati0os Dise>o de Alto Ni0el Dise>o Detallado Con1i4-,aci2n e Im/lementaci2n de So1tAa,e A/licati0o Ad@-i,ido Act-ali6aciones Im/o,tantes en Sistemas EMistentes Desa,,ollo de So1tAa,e A/licati0o Ase4-,amiento de la Calidad del So1tAa,e Administ,aci2n de los #e@-e,imientos de A/licaciones P,otecci2n 5 Dis/oni3ilidad del #ec-,so de In1,aest,-ct-,a 'antenimiento de la in1,aest,-ct-,a Am3iente de P,-e3a de 1acti3ilidad Est?nda,es 5 P,ocedimientos /a,a Cam3ios E0al-aci2n de Im/acto7 /,io,i6aci2n 5 a-to,i6aci2n Cam3ios de Eme,4encia Plan de P,-e3a Plan de Im/lementaci2n Am3iente de P,-e3a P,-e3as de Cam3ios P,omoci2n a P,od-cci2n

DS4.D P,-e3as del /lan de Contin-idad de TI DS4.B Ent,enamiento del Plan de Contin-idad de TI DSD.2 Plan de Se4-,idad de TI DSD.4 Administ,aci2n de C-entas de $s-a,io DSD.D P,-e3as7 Vi4ilancia 5 'onito,eo de la Se4-,idad DSD.B De1inici2n de Incidente de Se4-,idad DS%.1 #e/osito,io 5 L.nea Base de Con1i4-,aci2n DS11.2 Ac-e,dos de Almacenamiento 5 Conse,0aci2n DS11.3 Sistema de Administ,aci2n de Li3,e,.as de 'edios DS11.4 Eliminaci2n de Datos DS11.D #es/aldo 5 ,esta-,aci2n DS11.B #e@-e,imientos de Se4-,idad /a,a la Administ,aci2n de Datos DS12.2 'edidas de Se4-,idad .sica

ESPECIFICACIONES PARA EJECUTAR LA VERIFICACIN SOBRE EL CUMPLIMIENTO EN TECNOLOGA DE INFORMACIN Y MEDICIN DE MADUREZ DE SUS PROCESOS, BAJO EL MARCO DEL SISTEMA DE GESTIN Y CONTROL INTEGRAL - SGCI DIRECCIN DE TECNOLOGA DE INFORMACIN Versi ! " #OJA ; DE "$

Cont,oles ELC7 COSO7 SO)7 Se4-,idad de In1o,maci2n 5 T,ans0e,sales C0 1r0-es C+ 1i.+. SO) 3G COSO 12 ELC 4 Se4-,idad de In1o,maci2n 4G T,ans0e,sales 4 Total %G C-m/limiento de cont,oles cla0e en a/licaciones ,e@-e,idas /a,a o/e,a, 5 SO): Plata1o,mas C,.ticas #e@-e,idas /a,a O/e,a, <12= &re+ Or5+ i<+/i0 +DoAnst,eam $/st,eam Doc-mental Em/,esa,ial +eo,e1e,enciadas A/licaciones SO) <42= &re+ Co,/o,ati0o DoAnst,eam $/st,eam T01+N0 SAP % % B (' SAP 1F T01+2E % B '( N02 De A8-i/+/i0 es E 1 1 2 1

";

Plata1o,mas N Sistemas O/e,ati0os: $niM7 Lin-M7 IP $M 11.317 OindoAs 2GG27 2GG37 OindoAs Se,0e, Bases de Datos: O,acle7 S&L Se,0e, C-m/limiento de cont,oles en in1,aest,-ct-,a 5 se,0icios de Tecnolo4.a de In1o,maci2n /a,a SEIS <B= cont,atos ,elacionados: ?3,icas de So1tAa,e Cent,os de C2m/-to Se,0icios de So/o,te Telecom-nicaciones

ESPECIFICACIONES PARA EJECUTAR LA VERIFICACIN SOBRE EL CUMPLIMIENTO EN TECNOLOGA DE INFORMACIN Y MEDICIN DE MADUREZ DE SUS PROCESOS, BAJO EL MARCO DEL SISTEMA DE GESTIN Y CONTROL INTEGRAL - SGCI DIRECCIN DE TECNOLOGA DE INFORMACIN Versi ! " #OJA = DE "$

*2 ESPECIFICACIONES T>CNICAS Y PRODUCTOS ESPERADOS "2 Es1r+1e5i+ .e Veri?i/+/i Ent,e4a,7 dent,o de los 1G d.as P?3iles si4-ientes a la s-sc,i/ci2n del acta de inicio de este cont,ato7 /a,a ,e0isi2n 5 a/,o3aci2n del +esto,7 el in1o,me de est,ate4ia de la Cons-lto,.a de3e tene, como m.nimo: Est,ate4ia /lanteada /a,a el desa,,ollo de la cons-lto,.a /o, tema del alcance 'etodolo4.a a -tili6a, /a,a 0e,i1ica, los com/onentes del alcance C,ono4,ama de T,a3a8o o,matos 5 /lantillas a -tili6a, /a,a la ,eco/ilaci2n de la in1o,maci2n 5 la 1o,ma de /,esentaci2n de los ,es-ltados. (2 I ?0r4e .e A7+ /e .e Veri?i/+/i @ Me.i/i $na 0e6 e8ec-tado el DGK del cont,ato7 se de3en /,esenta, dos in1o,mes de a0ance <se4Hn la est,ate4ia de1inida=7 -no de Ve,i1icaci2n de los com/onentes desc,itos en el alcance 5 ot,o in1o,me so3,e ni0el de mad-,e6 de los /,ocesos7 @-e conten4an: I ?0r4e .e A7+ /e N02 "2 Ve,i1icaci2n de c-m/limiento7 de3e contene, #e/o,te detallado 5 consolidado so3,e los ,es-ltados de 0e,i1icaci2n de los temas del alcance: 'etodolo4.a em/leada en la 0e,i1icaci2n /o, tema del alcance. Dia4n2stico 5 medici2n de im/lementaci2n de la Est,ate4ia de TI <In1o,me de Se/tiem3,e 5 Oct-3,e=. An?lisis de s-1iciencia de los indicado,es del TB+ so3,e los o38eti0os est,at;4icos. <In1o,me de Se/tiem3,e 5 Oct-3,e=. An?lisis de s-1iciencia de los #ies4os est,at;4icos <Valo,aci2n 5 Planes T,atamiento=. <In1o,me de Se/tiem3,e 5 Oct-3,e=. An?lisis de co3e,t-,a 5 s-1iciencia de los indicado,es7 ,ies4os 5 cont,oles en los /,ocesos de TI. An?lisis de s-1iciencia 5 co3e,t-,a de los o38eti0os de cont,ol en c-m/limiento le4al 5 no,mati0o a oct-3,e de 2G13. Dia4n2stico de c-m/limiento de los cont,oles so3,e las a/licaciones ,e@-e,idas /a,a o/e,a, 5 SO). <In1o,me de Se/tiem3,e 5 Oct-3,e=. #e/o,te de a0ance SOC7 so3,e el an?lisis a los ,ies4os7 o38eti0os7 alcance 5 co3e,t-,a de las /,?cticas de cont,ol cla0e en se,0icios de TI cont,atados con Te,ce,o a oct-3,e 2G13. In1o,me so3,e la Ve,i1icaci2n de los lineamientos de calidad de so1tAa,e en desa,,ollo7 a oct-3,e de 2G13 #e/o,te de B,ecPas identi1icadas /o, tema del alcance 5 /lanes de inte,0enci2n inmediata esta3lecidos con los ,es/onsa3les de /,oceso a oct-3,e 2G13 #e/o,te e8ec-ti0o <Estad.stico 5 4,?1ico= de ,es-ltados a oct-3,e 2G13

ESPECIFICACIONES PARA EJECUTAR LA VERIFICACIN SOBRE EL CUMPLIMIENTO EN TECNOLOGA DE INFORMACIN Y MEDICIN DE MADUREZ DE SUS PROCESOS, BAJO EL MARCO DEL SISTEMA DE GESTIN Y CONTROL INTEGRAL - SGCI DIRECCIN DE TECNOLOGA DE INFORMACIN Versi ! " #OJA ") DE "$

I ?0r4e .e A7+ /e N02(2 'edici2n so3,e la Im/lementaci2n 5 Ni0el de 'ad-,e6 de los P,ocesos de TI a oct-3,e de 2G137 de3e contene,: 'etodolo4.a em/leada en la medici2n de mad-,e6 de los /,ocesos Alcance de la medici2n. An?lisis detallado de los ,es-ltados o3tenidos en la medici2n #e/o,te de las 3,ecPas encont,adas a la l-6 de los /,ocesos #e/o,te detallado 5 consolidado de los ,es-ltados de medici2n de mad-,e6 In1o,me e8ec-ti0o <Estad.stico 5 4,?1ico= del a0ance de la e8ec-ci2n de las acti0idades. #e/o,te de B,ecPas identi1icadas /o, tema del alcance 5 /lanes de inte,0enci2n inmediata esta3lecidos con los ,es/onsa3les de /,oceso *2 I ?0r4es Fi +-es Los in1o,mes 1inales se de3en /,esenta, en dos doc-mentos se/a,ados de ac-e,do con los temas: Ve,i1icaci2n de los com/onentes desc,itos en el alcance 5 el Ni0el de 'ad-,e6 de los P,ocesos7 @-e conten4an: I ?0r4e Fi +- N02 "2 Ve,i1icaci2n de c-m/limiento de3e contene,: 'etodolo4.a em/leada en la 0e,i1icaci2n /o, tema del alcance. Dia4n2stico 5 medici2n de im/lementaci2n de la Est,ate4ia de TI. <An?lisis del /e,iodo Se/tiem3,e a Diciem3,e 2G13= An?lisis de s-1iciencia de los indicado,es del TB+ so3,e los o38eti0os est,at;4icos. . <An?lisis del /e,iodo Se/tiem3,e a Diciem3,e 2G13= An?lisis de s-1iciencia de los #ies4os est,at;4icos <Valo,aci2n 5 Planes T,atamiento=7 <An?lisis del /e,iodo Se/tiem3,e a Diciem3,e 2G13= An?lisis de co3e,t-,a 5 s-1iciencia de los indicado,es7 ,ies4os 5 cont,oles en los /,ocesos de TI. <An?lisis del /e,iodo Se/tiem3,e a Diciem3,e 2G13= An?lisis de s-1iciencia 5 co3e,t-,a de los o38eti0os de cont,ol en c-m/limiento le4al 5 no,mati0o. <An?lisis del /e,iodo Se/tiem3,e a Diciem3,e 2G13= Dia4n2stico de c-m/limiento de los cont,oles so3,e las a/licaciones ,e@-e,idas /a,a o/e,a, 5 SO). <An?lisis del /e,iodo Se/tiem3,e a Diciem3,e 2G13= #e/o,te SOC7 so3,e el an?lisis a los ,ies4os7 o38eti0os7 alcance 5 co3e,t-,a de las /,?cticas de cont,ol cla0e en se,0icios de TI cont,atados con Te,ce,os a Diciem3,e de 2G13. In1o,me so3,e la Ve,i1icaci2n de los lineamientos de calidad de so1tAa,e en desa,,ollo. <An?lisis del /e,iodo Se/tiem3,e a Diciem3,e 2G13= #e/o,te de B,ecPas identi1icadas /o, tema del alcance 5 /lanes de inte,0enci2n inmediata esta3lecidos con los ,es/onsa3les de /,oceso. <An?lisis del /e,iodo Se/tiem3,e a Diciem3,e 2G13= #e/o,te e8ec-ti0o <Estad.stico 5 4,?1ico= de ,es-ltados del /e,iodo Se/tiem3,e a Diciem3,e 2G13 #e/o,te de B,ecPas identi1icadas /o, tema del alcance 5 /lanes de inte,0enci2n de co,to7 mediano 5 la,4o /la6o7 esta3lecidos con los ,es/onsa3les de /,oceso

ESPECIFICACIONES PARA EJECUTAR LA VERIFICACIN SOBRE EL CUMPLIMIENTO EN TECNOLOGA DE INFORMACIN Y MEDICIN DE MADUREZ DE SUS PROCESOS, BAJO EL MARCO DEL SISTEMA DE GESTIN Y CONTROL INTEGRAL - SGCI DIRECCIN DE TECNOLOGA DE INFORMACIN Versi ! " #OJA "" DE "$

I ?0r4e Fi +- N02 (2 'edici2n so3,e la Im/lementaci2n 5 Ni0el de 'ad-,e6 de los P,ocesos de TI de se/tiem3,e a diciem3,e de 2G137 de3e contene,: 'etodolo4.a em/leada en la medici2n de mad-,e6 de los /,ocesos Alcance de la medici2n. In1o,me de an?lisis detallado de los ,es-ltados o3tenidos en la medici2n #e/o,te detallado 5 consolidado de los ,es-ltados de medici2n de mad-,e6 In1o,me e8ec-ti0o <Estad.stico 5 4,?1ico= del a0ance de la e8ec-ci2n de las acti0idades. #e/o,te de B,ecPas identi1icadas /o, tema del alcance 5 /lanes de inte,0enci2n de co,to7 mediano 5 la,4o /la6o7 esta3lecidos con los ,es/onsa3les de /,oceso '2 EAUIPO MNIMO DE TRABAJO Y EBPERIENCIA MNIMA PARA EL INICIO DEL CONTRATO El O E#ENTE7 /a,a el inicio del cont,ato de3e,? conta, con el e@-i/o m.nimo de t,a3a8o @-e es el si4-iente: U C"D Gere 1e .e Pr0@e/10 De3e c-m/li, con todos los si4-ientes ,e@-isitos: 1. De3e se, /,o1esional con t.t-lo en /,e4,ado en In4enie,.a de Sistemas 5No Elect,2nica 5 tene, m.nimo 12 a>os de eM/e,iencia /,o1esional. 2. De3e Pa3e, /a,tici/ado7 en calidad de +e,ente7 Di,ecto,7 Coo,dinado, de /,o5ectos de administ,aci2n 5 4esti2n <monito,eo7 e0al-aci2n7 sosteni3ilidad7 4esti2n de cam3io7 me8o,a7 inte4,aci2n7 alineaci2n7 a-dito,.a 5No so/o,te= de sistemas de 4esti2n en /,ocesos de tecnolo4.as de in1o,maci2n7 /o, m.nimo F a>os. 3. De3e ac,edita, /a,tici/aci2n como /,o1esional en la e8ec-ci2n de /o, lo menos 3 /,o5ectos -tili6ando al4-na de las metodolo4.as 5No modelos ,elacionados <COBIT7 ITIL7 BP'N7 SO)7 SAS EG7 SOC 9 ISAE 34G2 <SSAE 1B== 4. De3e ac,edita, /a,tici/aci2n en e@-i/os de t,a3a8o en /,o5ectos de e0al-aci2n so3,e Im/lementaci2n 5 ni0el de mad-,e6 en /,ocesos de Tecnolo4.as de la In1o,maci2n7 -tili6ando ma,cos de ,e1e,encia 4ene,almente ace/tados7 tales como los /,o/-estos /o, C''I7 COBIT7 ITIL o ISO 1DDG47 /o, al menos 3 /,o5ectos. D. Desea3le ac,editaciones en 1-ndamentos de COBIT e ITIL D-,ante la e8ec-ci2n del Cont,ato de3e,? esta, di,ecta 5 constantemente 0inc-lado con la e8ec-ci2n del Cont,ato <sin necesidad de tene, dedicaci2n eMcl-si0a=Q ,es/onde,? /e,sonalmente a las llamadas7 o3se,0aciones7 in@-iet-des o ,e@-e,imientos de los 1-nciona,ios asi4nados /o, ECOPET#OL7 5 ac-di,? a las ,e-niones a las @-e sea con0ocado. De3e,? s-sc,i3i, todos los doc-mentos 5 ent,e4a3les /a,a ECOPET#OL.

ESPECIFICACIONES PARA EJECUTAR LA VERIFICACIN SOBRE EL CUMPLIMIENTO EN TECNOLOGA DE INFORMACIN Y MEDICIN DE MADUREZ DE SUS PROCESOS, BAJO EL MARCO DEL SISTEMA DE GESTIN Y CONTROL INTEGRAL - SGCI DIRECCIN DE TECNOLOGA DE INFORMACIN Versi ! " #OJA "( DE "$

C*D Pr0?esi0 +-es Es8e/i+-is1+s e E7+-9+/i .e Es1r+1e5i+, Pr0/es0s, Ries50s @ C0 1r0-es .e TI De3e c-m/li, con todos los si4-ientes ,e@-isitos: 1. De3e se, /,o1esional con t.t-lo en /,e4,ado en In4enie,.a de Sistemas7 Ind-st,ial o Elect,2nica 2. De3e tene, m.nimo seis <B= a>os de eM/e,iencia /,o1esional ce,ti1icada7 contados des/-;s de o3tenido el t.t-lo /,o1esional. 3. De3e tene, m.nimo -n est-dio de /ost 4,ado <es/eciali6aci2n o maest,.a= dent,o de la es/ecialidad @-e a/li@-e. 4. De3e tene, m.nimo t,es <3= a>os de eM/e,iencia es/ec.1ica7 a /a,ti, de la 1ecPa de 4,ado7 en /,o5ectos de c-m/limiento 5 a-dito,ia de sistemas de in1o,maci2n7 3ases de datos e in1,aest,-ct-,a de TI7 se4-,idad de in1o,maci2n7 c-m/limiento SO)7 3a8o los modelos COBIT7 ITIL7 BP'N7 SAS EG7 SOC 9 ISAE 34G2 <SSAE 1B=. D. De3e tene, m.nimo t,es <3= a>os de eM/e,iencia es/ec.1ica7 a /a,ti, de la 1ecPa de 4,ado7 en /,o5ectos de e0al-aci2n del ni0el de mad-,e6 de los /,ocesos de Tecnolo4.as de la In1o,maci2n -tili6ando ma,cos de ,e1e,encia 4ene,almente ace/tados7 tales como los /,o/-estos /o, C''I7 COBIT7 ITIL o ISO 1DDG4. B. Desea3le ac,edita, ce,ti1icaciones en -ndamentos de COBIT e ITIL 5 ot,as tales como CISA7 CIS'7 AI ISO 2EGGG. De3e,? tene, -na dedicaci2n eMcl-si0a <1GGK= d-,ante todo el t,ansc-,so de la e8ec-ci2n del cont,ato 5 ac-di,? a las ,e-niones a las @-e sea con0ocado. Notas: Al menos -no de estos /,o1esionales de3e ac,edita, conocimientos en SAP 5 eM/e,iencia en A-dito,ias so3,e esta /lata1o,ma. Al menos -no de estos /,o1esionales de3e ac,edita, conocimientos 5 eM/e,iencia en 0e,i1icaci2n de calidad de so1tAa,e 5 -so de Pe,,amientas /a,a este /,o/2sito. Al menos -no de estos /,o1esionales de3e ac,edita, conocimientos 5 eM/e,iencia en 0e,i1icaciones ti/o SAS EG7 SOC7 ISAE 34G2<SSAE 1B=. C=D Pr0?esi0 +-es Es8e/i+-is1+s e E7+-9+/i .e TI2 De3e c-m/li, con todos los si4-ientes ,e@-isitos: 1. De3e se, /,o1esional con t.t-lo en /,e4,ado en In4enie,.a de Sistemas7 Ind-st,ial o Elect,2nica 2. De3e tene, m.nimo c-at,o <4= a>os de eM/e,iencia /,o1esional ce,ti1icada7 contados des/-;s de o3tenido el t.t-lo /,o1esional. 3. De3e tene, m.nimo t,es <3= a>os de eM/e,iencia es/ec.1ica7 a /a,ti, de la 1ecPa de 4,ado7 en /,o5ectos de Tecnolo4.as de la In1o,maci2n7 an?lisis de ,ies4os o a-dito,.a de sistemas. 4. Desea3le ac,edita, ce,ti1icaciones en -ndamentos de COBIT e ITIL 5 ot,as tales como CISA7 CIS'7 AI ISO 2EGGG.

ESPECIFICACIONES PARA EJECUTAR LA VERIFICACIN SOBRE EL CUMPLIMIENTO EN TECNOLOGA DE INFORMACIN Y MEDICIN DE MADUREZ DE SUS PROCESOS, BAJO EL MARCO DEL SISTEMA DE GESTIN Y CONTROL INTEGRAL - SGCI DIRECCIN DE TECNOLOGA DE INFORMACIN Versi ! " #OJA "* DE "$

Notas: Al menos -no de estos /,o1esionales de3e ac,edita, conocimientos en SAP 5 eM/e,iencia en A-dito,ias so3,e esta /lata1o,ma. Al menos -no de estos /,o1esionales de3e ac,edita, conocimientos 5 eM/e,iencia en 0e,i1icaci2n de calidad de so1tAa,e 5 -so de Pe,,amientas /a,a este /,o/2sito. Al menos -no de estos /,o1esionales de3e ac,edita, conocimientos 5 eM/e,iencia en 0e,i1icaciones ti/o SAS EG7 SOC7 ISAE 34G2<SSAE1B=. De3e,? tene, -na dedicaci2n eMcl-si0a <1GGK= d-,ante todo el t,ansc-,so de la e8ec-ci2n del cont,ato 5 ac-di,? a las ,e-niones a las @-e sea con0ocado. 32 USO DE OPCIN A/lica /o, el mismo /e,iodo del cont,ato inicial. $2 GLOSARIO A.e/9+/i e .iseE0! Estado en el c-al el cont,ol c-m/le ,a6ona3le 5 l24icamente con la t,ilo4.a O38eti0o9#ies4o9Cont,ol7 es deci, el dise>o del cont,ol /e,mite alcan6a, el o38eti0o de cont,ol 5 c-3,i, los ,ies4os @-e im/edi,.an el c-m/limiento de los o38eti0os de /,oceso asociados. A1ri,910 C0 .i4e si D .e C+-i.+.! $na /,o/iedad o ca,acte,.stica /a,tic-la, de -na entidad o -n o38eto=. @-e desc,i3e -n as/ecto

A9.i10r I 1er 0 ISO (:)))2 P,o1esional ent,enado 5 con Pa3ilidades /a,a la ,eali6aci2n de a-dito,.as inte,nas en Sistemas de +esti2n de la Se4-,idad de la In1o,maci2n. BPMN2 B-siness P,ocess 'odelin4 Notation o BP'N <en es/a>ol Notaci2n /a,a el 'odelado de P,ocesos de Ne4ocio= es -na notaci2n 4,?1ica estanda,i6ada @-e /e,mite el modelado de /,ocesos de ne4ocio7 en -n 1o,mato de 1l-8o de t,a3a8o <Ao,L1loA=. C0 1r0-! Acti0idad esta3lecida /a,a 4estiona, los ,ies4os 5 /otencia, el lo4,o de los o38eti0os. De3e se, es/ec.1ico7 /e,i2dico7 medi3le 5 0e,i1ica3le. C0 1r0- i 1er 0! Con8-nto de /,?cticas7 /,ocesos7 ,es/onsa3ilidades 5 a-to,idades @-e ,eali6a la administ,aci2n de la o,4ani6aci2n con el 1in de da, -na con1ian6a ,a6ona3le so3,e el lo4,o de los o38eti0os7 la /,otecci2n de los ,ec-,sos 5 la con1ia3ilidad de la in1o,maci2n. Est? inco,/o,ado como s-3sistema dent,o del Sistema de +esti2n 5 Cont,ol Inte4,al /o, /,ocesos 9 S+CI.

ESPECIFICACIONES PARA EJECUTAR LA VERIFICACIN SOBRE EL CUMPLIMIENTO EN TECNOLOGA DE INFORMACIN Y MEDICIN DE MADUREZ DE SUS PROCESOS, BAJO EL MARCO DEL SISTEMA DE GESTIN Y CONTROL INTEGRAL - SGCI DIRECCIN DE TECNOLOGA DE INFORMACIN Versi ! " #OJA "' DE "$

CISA2 Ce,ti1ied In1o,mation S5stems A-dito, es -na ce,ti1icaci2n /a,a a-dito,es ,es/aldada /o, la Asociaci2n de Cont,ol 5 A-dito,.a de Sistemas de In1o,maci2n <ISACA= <In1o,mation S5stems A-dit and Cont,ol Association=. Los candidatos de3en c-m/li, con los ,e@-isitos esta3lecidos /o, la ISACA. CISM2 CCer1i?ie. I ?0r4+1i0 Se/9ri1@ M+ +5e4e 1D es -na ce,ti1icaci2n /a,a administ,ado,es de se4-,idad de la in1o,maci2n ,es/aldada /o, la ISACA <In1o,mation S5stems A-dit and Cont,ol Association=. Est? en1ocada en la 4e,encia7 CIS' de1ine los /,inci/ales est?nda,es de com/etencias 5 desa,,ollo /,o1esionales @-e -n di,ecto, de se4-,idad de la in1o,maci2n de3e /osee,7 com/etencias necesa,ias /a,a di,i4i,7 dise>a,7 ,e0isa, 5 aseso,a, -n /,o4,ama de se4-,idad de la in1o,maci2n. CMMI2 Inte4,aci2n de modelos de mad-,e6 de ca/acidades o Ca/a3ilit5 mat-,it5 model inte4,ation es -n modelo /a,a la me8o,a 5 e0al-aci2n de /,ocesos /a,a el desa,,ollo7 mantenimiento 5 o/e,aci2n de sistemas de so1tAa,e COBIT2 O38eti0os de Cont,ol /a,a In1o,maci2n 5 Tecnolo4.as #elacionadas <COBIT7 en in4l;s: Cont,ol O38ecti0es 1o, In1o,mation and ,elated TecPnolo45= es -na 4-.a de me8o,es /,?cticas /,esentado como framework7 di,i4ida a la 4esti2n de tecnolo4.a de la in1o,maci2n <TI=. 'antenido /o, ISACA <en in4l;s: Information Systems Audit and Control Association= 5 el IT +o0e,nance Instit-te <IT+I7 en in4l;s: IT +o0e,nance Instit-te=7 tiene -na se,ie de ,ec-,sos @-e /-eden se,0i, de modelo de ,e1e,encia /a,a la 4esti2n de TI7 incl-5endo -n ,es-men e8ec-ti0o7 -n 1,ameAo,L7 o38eti0os de cont,ol7 ma/as de a-dito,.a7 Pe,,amientas /a,a s- im/lementaci2n 5 /,inci/almente7 -na 4-.a de t;cnicas de 4esti2n. DSC! Si4la de la Di,ecci2n de Se,0icios Com/a,tidos. $nidad o,4ani6acional de ECOPETROL S2A2 DTI! Si4la de Di,ecci2n de Tecnolo4.a de In1o,maci2n. $nidad o,4ani6acional de ECOPETROL S2A2 D9eE0 .e 8r0/es0! Es el 1-nciona,io ,es/onsa3le /o, la 4esti2n 5 cont,ol de -n /,oceso7 de ac-e,do con la est,-ct-,a de /,ocesos de ECOPET#OL. El d-e>o de cada /,oceso es ,es/onsa3le /o, la im/lementaci2n7 mantenimiento 5 me8o,a del mismo7 de i4-al 1o,ma tiene la ,es/onsa3ilidad de 4estiona,7 cont,ola,7 s-/e,0isa, 5 ase4-,a, el lo4,o de ,es-ltados /lani1icados 3asados en los lineamientos co,/o,ati0os. E?e/1i7i.+. .e 9 /0 1r0-! Estado en el c-al7 5a a/,o3ada la adec-aci2n del cont,ol <dise>o= 5 0e,i1icado el c-3,imiento del ,ies4o asociado al cont,ol7 ;ste es e0al-ado en c-anto a si es o/e,ado consistentemente /o, los e8ec-to,es del cont,ol7 de8ando las e0idencias de1inidas. $n cont,ol es e1ecti0o c-ando no /,esenta 1allas de cont,ol. EFe/910r .e /0 1r0-! Es el 4esto, de la e8ec-ci2n de los cont,oles7 s- ,es/onsa3ilidad es e8ec-ta, co,,ectamente los cont,oles7 identi1ica, 1allas en los cont,oles de la o/e,aci2n de s-s /,ocesos 5 mantene, in1o,mado al d-e>o del /,oceso so3,e la 4esti2n de los mismos.

ESPECIFICACIONES PARA EJECUTAR LA VERIFICACIN SOBRE EL CUMPLIMIENTO EN TECNOLOGA DE INFORMACIN Y MEDICIN DE MADUREZ DE SUS PROCESOS, BAJO EL MARCO DEL SISTEMA DE GESTIN Y CONTROL INTEGRAL - SGCI DIRECCIN DE TECNOLOGA DE INFORMACIN Versi ! " #OJA "3 DE "$

E7i.e /i+! So/o,tes 1.sicos o elect,2nicos ,es-ltado de la e8ec-ci2n de -n cont,ol </o, e8em/lo: actas de ,e-ni2n 1i,madas7 1o,matos dili4enciados 5 1i,mados7 lo4s de a-dito,.a7 1i,mas di4itales7 ent,e ot,os=. La e0idencia de3e se, com/etente <la calidad de e0idencia /,es-me @-e s. se /-ede con1ia, en la misma= 5 se, s-1iciente <la cantidad de e0idencia /,es-me @-e es s-1iciente /a,a co,,o3o,a, @-e se e8ec-t2 el cont,ol=.

ISAE *')(2 Ass-,ance #e/o,ts on Cont,ols at Se,0ice O,4ani6ation. Est?nda, Inte,nacional @-e
s-stit-5e el est?nda, SAS EG7 1-e /-3licado /o, TPe Inte,national A-ditin4 and Ass-,ance Standa,ds Boa,d <IAASB= en diciem3,e de 2GG%7 /a,a Pace, Pomo4;neos los ,e@-e,imientos 5 el -so de ,e/o,tes de las o,4ani6aciones de se,0icio. ITIL2 La Bi3lioteca de In1,aest,-ct-,a de Tecnolo4.as de In1o,maci2n7 1,ec-entemente a3,e0iada ITIL <del in4l;s Information Technology Infrastructure Library=7 es -n con8-nto de conce/tos 5 /,?cticas /a,a la 4esti2n de se,0icios de tecnolo4.as de la in1o,maci2n7 el desa,,ollo de tecnolo4.as de la in1o,maci2n 5 las o/e,aciones ,elacionadas con la misma en 4ene,al. ITIL da desc,i/ciones detalladas de -n eMtenso con8-nto de /,ocedimientos de 4esti2n ideados /a,a a5-da, a las o,4ani6aciones a lo4,a, calidad 5 e1iciencia en las o/e,aciones de TI. Estos /,ocedimientos son inde/endientes del /,o0eedo, 5 Pan sido desa,,ollados /a,a se,0i, como 4-.a @-e a3a,@-e toda in1,aest,-ct-,a7 desa,,ollo 5 o/e,aciones de TI. ISOGIEC "33)'2 Tam3i;n conocido como Software Process Improvement Capability etermination7 a3,e0iado SPICE7 en es/a>ol7 RDete,minaci2n de la Ca/acidad de 'e8o,a del P,oceso de So1tAa,eS es -n modelo /a,a la me8o,a7 e0al-aci2n de los /,ocesos de desa,,ollo7 mantenimiento de sistemas de in1o,maci2n 5 /,od-ctos de so1tAa,e. GAM! +oal9&-estion9'et,ic. 'etodolo4.a /a,a de1ini, inst,-mentos de medici2n @-e a/o5en el c-m/limiento de los o38eti0os /,e0iamente t,a6ados. Los inst,-mentos de medici2n se -tili6an /a,a 0alo,a, el estado de los at,i3-tos de calidad -sados so3,e a/licaciones es/ec.1icas.

SAS:)2 <Statement on A-ditin4 Standa,ds No. EG= es -n est?nda, de a-dito,.a ,econocido

inte,nacionalmente 5 desa,,ollado /o, el AICPA <Ame,ican Instit-te o1 Ce,ti1ied P-3lic Acco-ntants=. Es -n in1o,me inde/endiente so3,e la est,-ct-,a de cont,ol inte,no de la o,4ani6aci2n @-e /,esta se,0icios a te,ce,os7 es/ecialmente los @-e a1ecten la est,-ct-,a de cont,ol inte,no de la o,4ani6aci2n -s-a,ia. SGCI! Si4la de Sistema de !esti"n y Control Integral. SOC! Sec-,it5 O/e,ation Cente,s. In1o,mes emitidos /o, el a-dito, de se,0icios so3,e el se,0icio de em/,esas de se,0icios d-,ante -n /e,iodo so3,e la e@-idad en la /,esentaci2n de la desc,i/ci2n @-e la administ,aci2n e1ectHaQ idoneidad del dise>o de los cont,olesQ e1ecti0idad o/e,ati0a de los cont,oles.

ESPECIFICACIONES PARA EJECUTAR LA VERIFICACIN SOBRE EL CUMPLIMIENTO EN TECNOLOGA DE INFORMACIN Y MEDICIN DE MADUREZ DE SUS PROCESOS, BAJO EL MARCO DEL SISTEMA DE GESTIN Y CONTROL INTEGRAL - SGCI DIRECCIN DE TECNOLOGA DE INFORMACIN Versi ! " #OJA "$ DE "$

SSAE N02 "$2 Statement on Standa,s 1ot Attestation En4a4ements. Est?nda, de Estados $nidos de
No,team;,ica 3asado en ISAE 34G2. -e ,edactado con el o38eti0o /,inci/al de act-ali6a, los in1o,mes est?nda, de los se,0icios /a,a o,4ani6aciones de Estados $nidos adem?s /a,a lle0a, a ca3o el desa,,ollo 5 c-m/limiento de -n n-e0o se,0icio inte,nacional del in1o,me est?nda, ISAE 34G2. UTI! Si4la de #nidad de tecnolog$a de Informaci"n. $nidad o,4ani6acional de ECOPETROL S2A2