Términos de Referencia (TDR) Consultoría e Implementación de un Sistema de Seguridad de la Información

“Contratación de un Servicio de Consultoría Externa para el Diseño e Implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) bajo la Norma ISO/IEC 27001:2005 o NTE INEN ISO/IEC 27001”
-Ministerio de Finanzas, Abril 2013-

Proyecto Sistema de Gestión de Seguridad de la Información (SGSI)

Ministerio de Finanzas – 2012/2013. Quito - Ecuador

Dirección: Av. 10 de Agosto 1661 y J. Washington. Teléfonos: (+593 2) 3998300 2557468 Fax :(+593 2) 2503111 Web: www.finanzas.gob.ec

CONTENIDO
1. 2. 2.1. 2.2. 3. 4. 4.1. 4.1.1. 4.1.1.1. 4.1.1.2. 4.1.2. 4.1.2.1. 4.1.2.2. 4.1.2.3. 4.1.2.4. 4.1.3. INTRODUCCIÓN ....................................................................................................................................... 3 OBJETIVOS DEL SERVICIO ........................................................................................................................ 4 OBJETIVOS GENERALES ....................................................................................................................... 4 OBJETIVOS ESPECÍFICOS ...................................................................................................................... 4 ALCANCE DEL SERVICIO ......................................................................................................................... 10 EJECUCIÓN DEL PROYECTO .................................................................................................................... 11 FASE UNO – SGSI ............................................................................................................................... 11 ETAPA I – PLANIFICACIÓN ................................................................................................................. 11 PLANIFICACIÓN Y ADMINISTRACIÓN DEL PROYECTO ................................................................... 11 CAPACITACIÓN ............................................................................................................................. 12 ETAPA II – DISEÑO ............................................................................................................................ 12 EVALUACIÓN DE LA SITUACIÓN ACTUAL ...................................................................................... 12 ALINEAMIENTO ESTRATÉGICO ...................................................................................................... 13 EVALUACIÓN DE RIESGOS ............................................................................................................ 13 MEJORA CONTINUA ..................................................................................................................... 14 ETAPA III – IMPLEMENTACIÓN .......................................................................................................... 15

4.1.3.1. DEFINICIÓN Y ELABORACIÓN DE POLÍTICAS, PROCESOS Y PROCEDIMIENTOS DE SEGURIDAD DE LA INFORMACIÓN ............................................................................................................................................... 15 4.1.4. 4.1.5. 4.1.5.1. 4.2. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. ETAPA IV – ASISTENCIA, ASESORÍA Y PARTICIPACIÓN EN LA IMPLEMENTACIÓN CONTROLES SGSI ... 16 ETAPA V – PRE-AUDITORÍA ............................................................................................................... 16 PRE-AUDITORÍA DE CERTIFICACIÓN .............................................................................................. 16 FASE DOS – SGSI/CONTINUIDAD DE NEGOCIO .................................................................................. 17 PRODUCTOS DE LA CONSULTORÍA......................................................................................................... 18 RESULTADOS ESPERADOS ...................................................................................................................... 27 CARACTERÍSTICAS DE LA CONSULTORÍA ................................................................................................ 28 INFORMES ............................................................................................................................................. 28 SUPERVISIÓN / COORDINACIÓN ............................................................................................................ 29 COMPROMISOS ASUMIDOS POR LA CONSULTORA ............................................................................... 29 PERSONAL REQUERIDO ......................................................................................................................... 30 INFORMACIÓN QUE DISPONE LA ENTIDAD Y QUE TENDRÁ DISPONIBLE LA EMPRESA CONSULTORA .... 32 CALIFICACIÓN DE OFERTAS .................................................................................................................... 32 DURACIÓN Y LOCALIZACIÓN.................................................................................................................. 33 METODOLOGIA DE TRABAJO ................................................................................................................. 33 TRANSFERENCIA DE CONOCIMIENTO .................................................................................................... 34 PRESUPUESTO REFERENCIAL ................................................................................................................. 34 FORMA DE PAGO ................................................................................................................................... 35

-Documento de uso Interno-

Página 2 de 36

Dirección: Av. 10 de Agosto 1661 y J. Washington. Teléfonos: (+593 2) 3998300 2557468 Fax :(+593 2) 2503111 Web: www.finanzas.gob.ec

TÉRMINOS DE REFERENCIA CONSULTORÍA E IMPLEMENTACIÓN DE UN SISTEMA DE SEGURIDAD DE LA INFORMACIÓN "CONTRATACIÓN DE UN SERVICIO DE CONSULTORIA EXTERNA PARA EL DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) BAJO LA NORMA ISO/IEC 27001:2005 O NTE INENISO/IEC 27001" 1. INTRODUCCIÓN
En el marco del Sistema Nacional de las Finanzas Públicas (SINFIP), el Ministerio de Finanzas se halla interesado en establecer su infraestructura de seguridad de la información conformada por políticas, procesos, procedimientos, equipos, software, personas, etc. la cual debe ser implementada coherentemente con su misión, visión, objetivos estratégicos y acorde con su carácter de organismo rector de las finanzas públicas de Ecuador.

En virtud de lo expresado anteriormente, es de interés del Ministerio de Finanzas la implantación de un Sistema de Gestión de Seguridad de la Información (SGSI) basado en estándares internacionales que certifiquen su adecuada implementación, funcionamiento, operación, supervisión, revisión, mantenimiento, mejora continua y calidad.

Para ello, el 20 de mayo de 2011, el INEN (Instituto Ecuatoriano de Normalización) adoptó la Norma Técnica Ecuatoriana “NTE INEN-ISO/IEC 27001:2011 – Tecnología de la información – Técnicas de Seguridad – Sistema de Gestión de la Seguridad de la Información (SGSI) – Requisitos”, misma que es idéntica a la norma internacional “ISO/IEC 27001” del 2005 y Corrigendum 1 del 2007 desarrollado por la ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional), y que proporcionan el marco técnico de referencia adecuado para el Diseño e Implementación de un SGSI acorde a los requerimientos señalados anteriormente.

Con este propósito, el Ministerio de Finanzas, requiere contratar los servicios de Consultoría Externa para el Diseño e Implementación de un Sistema de Gestión de Seguridad de la Información certificable con lo expresado en la norma ISO/IEC 27001:2005 o NTE INEN-ISO/IEC 27001.

-Documento de uso Interno-

Página 3 de 36

Dicho Sistema de Gestión de Seguridad de la Información (SGSI) debe asegurar el cumplimiento de los objetivos específicos de gestión de seguridad de la información certificables de acuerdo a lo establecido en las normas técnicas ISO/IEC 27001:2005 o NTE INEN-ISO/IEC 27001. -Documento de uso Interno- Página 4 de 36 . Realizar el análisis de los requerimientos de seguridad de la información: 1 Hace referencia al titular designado por el Ministerio de Finanzas. de ser el caso. Desarrollar la política del SGSI -realizando las correcciones necesarias. a) Establecer un Sistema de Gestión de Seguridad de la Información. OBJETIVOS DEL SERVICIO 2.hasta obtener la aprobación de la Dirección1. dentro del alcance 2.Dirección: Av. o o o Documentar el alcance y límites físicos. Teléfonos: (+593 2) 3998300 2557468 Fax :(+593 2) 2503111 Web: www. OBJETIVOS ESPECÍFICOS Definir en relación al alcance establecido por el Ministerio de Finanzas. los límites y políticas del SGSI en función de los objetivos del Servicio: o Documentar el alcance y límites organizacionales reconociendo los procesos. b) Establecer los Planes de Continuidad de Negocio.finanzas.gob. o Documentar el alcance y límites de las Tecnologías de la Información y Comunicación (TIC).ec 2. 10 de Agosto 1661 y J. activos o actividades que representan áreas de riesgo potencial. Planes de Recuperación ante desastres y Procesos de Gestión de la Continuidad del Negocio necesarios de acuerdo a la norma técnica ISO/IEC 27001:2005 o NTE INEN-ISO/IEC 27001 para los procesos críticos identificados en coordinación con el Ministerio de Finanzas dentro del alcance definido. Integrar cada alcance y límites para obtener el alcance y límites del SGSI.2. evaluando la realidad actual de la Institución y del marco regulatorio definido por el Código Orgánico de las Finanzas Públicas. coherente con sus objetivos estratégicos. para el Sistema Nacional de las Finanzas Públicas (SINFIP) del Ministerio de Finanzas. Washington.1. OBJETIVOS GENERALES definido. en adelante denominado en este documento como “la Dirección”.

Elaborar el Reporte de Resultados de Evaluación de Riesgos. Seleccionar y documentar los objetivos de control y los controles. Teléfonos: (+593 2) 3998300 2557468 Fax :(+593 2) 2503111 Web: www.finanzas. medición de impacto. en conjunto con la contraparte del Ministerio de Finanzas.gob. en conjunto con la contraparte del Ministerio de Finanzas. Producción del Plan de Tratamiento de Riesgos. Framework ISO/IEC 27005. 10 de Agosto 1661 y J. – realizando las correcciones necesarias de ser el caso.). NIST Special Publication 800-39. Magerit. etc. de negocio. etc. Washington. identificación de vulnerabilidades y amenazas y su probabilidad de incidencia. – realizando las correcciones necesarias de ser el caso. e-Sipren y relacionados frente a los controles y objetivos de control del estándar ISO 27001:2005 Anexo A o ISO 27002.ec o Definir los requerimientos de seguridad de la información para el proceso del SGSI a partir de requisitos legales.hasta aprobación de la Dirección sobre los riesgos residuales. o Realizar la evaluación del riesgo (entre otros. Octave u otras similares respaldadas por una organización reconocida internacionalmente). o o o o o Elaborar el Mapa de Riesgos (identificación y medición) del alcance definido. o Realizar un diagnóstico del estado actual de la seguridad de la información (GAP Análisis) sobre los activos de información identificados incluyendo los sistemas en operación tales como e-Sigef.Dirección: Av.hasta obtener la aprobación del Plan de Tratamiento de Riesgos por parte de la Dirección del Ministerio de Finanzas en función del alcance establecido para el tratamiento de riesgos. 800-30. o Identificar y documentar los activos de información dentro del alcance del SGSI y su tasación (valoración) a nivel cuantitativo y/o cualitativo. -Documento de uso Interno- obtener la Página 5 de 36 . evaluación de riesgos. Realizar la evaluación del riesgo de seguridad de la información y la planificación del tratamiento del riesgo: o Identificar y definir la metodología de Evaluación de Riesgos (Ej. o Coordinar. Coordinar.

Asistir. procedimientos. Diseñar la seguridad de la información específica del SGSI. asesorar y acompañar al Ministerio de Finanzas en la implementación de los controles de seguridad de la información identificados que demanden la adquisición/contratación/desarrollo/configuración u otros. 10 de Agosto 1661 y J. procesos. al igual que los requerimientos específicos del SGSI para la implementación de un SGSI de acuerdo a los resultados de las actividades cubiertas en la Norma ISO/IEC 27003. responsabilidades y demás tareas y recursos requeridos de seguridad de la información. análisis de riesgo. estándares. remediación y reporte. tomando como referencia a estándares como ISO/IEC 27002 o similares. Las actividades anteriores comprenden como mínimo los siguientes puntos: o Diseñar la solución de control a implementarse. incluyendo: identificación de amenazas. sistemas o servicios requeridos para la implementación de un SGSI certificable bajo la norma ISO/IEC 27001:2005 o NTE INEN-ISO/IEC 27001.Dirección: Av. incluyendo los objetivos de control y los controles seleccionados. Diseñar y optimizar el proceso de administración de vulnerabilidades y controles. -Documento de uso Interno- Página 6 de 36 . de TIC y física.gob. Washington.ec o Elaborar la declaración de aplicabilidad (SOA – Statement of Applicability).finanzas. en el marco de la implantación de un SGSI certificable bajo la norma ISO/IEC 27001:2005 o NTE INEN-ISO/IEC 27001. actividades. Implementar el SGSI. de equipos. Diseñar la seguridad de la información de las TIC y físicas. el cual deberá incluir el establecimiento y/o fortalecimiento de los controles seleccionados a través de: políticas. que cubra la ejecución planificada de actividades para la seguridad de la información organizacional. Diseñar el SGSI: o o o o Diseñar la seguridad de la información organizacional. Teléfonos: (+593 2) 3998300 2557468 Fax :(+593 2) 2503111 Web: www. planes de concientización. o Producir el plan final del proyecto del SGSI específico del Ministerio de Finanzas en función del alcance determinado.

sistemas o servicios para la implementación de los controles diseñados. 10 de Agosto 1661 y J.sobre los controles específicos que sean necesarios. o Coordinar y gestionar los proyectos de implementación –entre 3ros y el Ministerio de Finanzas o proyectos internos. El alcance de los controles a ser implementados corresponderá a aquellos que en coordinación con el Ministerio de Finanzas sean planificados dentro del plazo de -Documento de uso Interno- Página 7 de 36 . o Validar la efectividad de los controles implementados. asesorar y acompañar al Ministerio de Finanzas –en procesos seleccionados de contrataciónsobre los controles de seguridad a implementarse como profesionales afín al objeto de contratación.finanzas. Nota: Cabe indicar que el oferente deberá considerar las acciones anteriores (diseño. Washington. Teléfonos: (+593 2) 3998300 2557468 Fax :(+593 2) 2503111 Web: www.ec o Selección de los productos a implementar que cumplan con el control diseñado demostrando cómo los controles seleccionados mitigarán riesgos según lo requiera el plan de tratamiento de riesgos elaborado por el oferente-. sean estos controles a ser implementados o no durante el período establecido para el presente proyecto. o o Definición de estrategias de implementación y caso de negocio. será el encargado de operar y mantener el SGSI luego de diseñado e implementado por el Oferente. selección. a través de la Subsecretaría de Innovación de las Finanzas Públicas. Nota: El Ministerio de Finanzas. definición de estrategias.gob. de tal manera que se asegure una entrega del control implementado en el tiempo planificado y calidad necesaria. Elaboración de Términos de Referencia / RFP´s (Request for Proposals) necesarios para la adquisición/contratación/configuración de equipos. Así también será únicamente responsabilidad del Ministerio proveer los recursos para la contratación y adquisición de equipos. o Asistir. caso de negocio y elaboración de TDR´s) para TODOS los controles necesarios de acuerdo al plan de tratamiento de riesgos. personal y otros gastos no contemplados dentro de la presente consultoría sin perjuicio de la participación activa de el oferente en la implementación de los controles diseñados para el SGSI que así lo requieran de acuerdo a lo indicado anteriormente.Dirección: Av.

respuestas en caso de incidentes.3 “Seleccionar los objetivos de control y los controles” e ítem 8. o Establecer y/o fortalecer indicadores para la medición efectiva de los controles seleccionados.finanzas. procedimientos. conformado por las políticas. mantenimiento y mejora continua del SGSI: o Elaborar el Manual de Gestión del Sistema de Seguridad de la Información. 10 de Agosto 1661 y J. Washington. Aquellos controles que el Ministerio de Finanzas no decida implementar.2 “Aplicación” y Anexo A “Objetivos de control y controles”-. etc. o Establecer y documentar los procesos y procedimientos operacionales. Teléfonos: (+593 2) 3998300 2557468 Fax :(+593 2) 2503111 Web: www.Dirección: Av. decida postergar o cuya finalización de implementación sobrepase el plazo establecido en la presente consultoría. descripción de los procesos de seguridad. operación. funciones de personal necesarias.gob. Se excluye además de responsabilidad al oferente. cuando por causas ajenas a su voluntad no se pudiera implementar uno o varios controles en el plazo indicado de acuerdo a la planificación realizada con el Ministerio de Finanzas. estándares de seguridad. normas. Establecer la estructura de planificación. de gestión y actividades necesarias para planificar. por lo que el oferente deberá documentar las debidas justificaciones de aquellos controles no implementados sin perjuicio de obtener la certificación ISO27001. estructuras organizacionales. -Documento de uso Interno- Página 8 de 36 .4 “Obtener autorización de la Dirección para implementar y operar un SGSI” así como también a lo expuesto en la NTE INEN ISO/IEC 27001 en su ítem 1. operar y controlar la seguridad de la información a través del SGSI de acuerdo al estándar ISO/IEC 27001:2005. dentro del alcance que ha sido definido por el Ministerio de Finanzas del Ecuador. para asegurar el cumplimiento de los objetivos específicos de Seguridad de la Información de la institución.ec la presente consultoría –hacer referencia al esquema de trabajo expuesto en la NTE INEN ISO/IEC 27003 ítem 8.. de acuerdo al trabajo elaborado por la firma consultora. asesoría y participación en la implementación de los mismos luego del plazo establecido en el presente proyecto. se entenderá que el Oferente no tiene la responsabilidad por la correspondiente asistencia.

riesgos e impactos así como también permita cumplir con lo requerido según la norma ISO/IEC 27001:2005 para la Gestión de Continuidad considerando: o o o Análisis de la situación actual de la administración de la continuidad.ec o Definir la Arquitectura de Roles Organizacionales – Responsables y responsabilidades del Ministerio de Finanzas para la operación. tiempos. Nota: En caso que la empresa no proporcione el Software de Gestión en este proceso (sino que proporcione únicamente los TDR´s o RFP´s para su adquisición) y que por decisión o por responsabilidad del Ministerio de Finanzas no se llegara adquirir el mismo en el plazo indicado de la presente consultoría. Washington. el Plan de Continuidad del Negocio el cual contenga entre otros aspectos. prioridades. se entenderá que el oferente no está en la obligación de poblar con la información producto de la presente consultoría para la gestión del SGSI en dicho software.gob. 10 de Agosto 1661 y J. e-Pulpo. o Proporcionar Software o en caso de no estar incluido Elaborar Términos de Referencia/RFP´s (Request for Proposals) necesarios para la adquisición/contratación del software para la automatización del SGSI implementado así como la capacitación para el personal del Ministerio de Finanzas que gestionará y mantendrá el SGSI con este software. Global SGSI. Automatizar la gestión y mantenimiento del SGSI implementado mediante la aplicación de una herramienta software (como por ejemplo realISMS. la identificación de requerimientos de recuperación. Teléfonos: (+593 2) 3998300 2557468 Fax :(+593 2) 2503111 Web: www.) para la gestión y mantenimiento de Sistemas de Gestión de Seguridad de la Información conforme a la norma ISO 27001:2005 por parte del Ministerio de Finanzas una vez implementado: o Definir los requerimientos y seleccionar herramientas y soluciones para su gestión continua. administración. Análisis de riesgos (RIA) Análisis de impacto en el negocio (BIA) -Documento de uso Interno- Página 9 de 36 .Dirección: Av. mantenimiento. Establecer en el alcance definido. etc.finanzas. o Poblar el software de gestión y mantenimiento del SGSI con la información obtenida fruto de la consultoría y controles implementados. gerenciamiento y gestión de la Seguridad de la Información.

ec o o Plan de recuperación de desastres (DRP) Plan de continuidad del negocio (BCP) Realizar una Auditoría Interna (a través de un grupo de auditoría independiente proporcionado por el oferente y que no haya participado en ninguna de las fases del presente proceso) y gestionar la revisión por parte de la dirección sobre el funcionamiento del SGSI de acuerdo a lo establecido para ser certificable bajo la norma ISO/IEC 27001:2005.finanzas. Realizar las correcciones (de existir) en el trabajo realizado dentro del plazo establecido en esta consultoría. el oferente está en la responsabilidad de solventar dichos hallazgos en un hasta en un nuevo plazo acordado con el Ministerio de Finanzas.Dirección: Av. Teléfonos: (+593 2) 3998300 2557468 Fax :(+593 2) 2503111 Web: www. En caso de persistir dichas inconformidades.gob. Nota: En caso que por decisión del Ministerio de Finanzas no se llegara contratar la pre auditoría de certificación dentro del plazo de esta consultoría. 3. fruto de informe de Pre-Auditoria de certificación realizado por un tercero a ser contratado por el Ministerio de Finanzas. Washington. se entenderá que el oferente no está en la obligación de realizar las correcciones (de existir) producto de un futuro trabajo. 10 de Agosto 1661 y J. ALCANCE DEL SERVICIO Debe considerarse que el alcance geográfico se limitará al Distrito Metropolitano de Quito en los procesos y activos de las siguientes áreas del Ministerio de Finanzas: o Subsecretaría de Innovación de las Finanzas Públicas:      Dirección de Operaciones Dirección de Sistemas de Información y TIC´s (CGGE) Dirección de Innovación Conceptual y Normativa Centro de Servicios Oficina del Despacho de la Subsecretaría. realizar las correcciones (de existir) fruto de este proceso. -Documento de uso Interno- Página 10 de 36 . para evaluar la conformidad y eficacia del Sistema de Gestión de Seguridad de la Información implementado previo a la obtención de la Certificación ISO/IEC 27001:2005.

por ejemplo como las fases. 4. -Documento de uso Interno- Página 11 de 36 . plantillas. control y supervisión del proyecto. Identificar los riesgos del proyecto y plan de mitigación. Definir el plan de comunicación para el proyecto.1.ec Adicionalmente. Definir conjuntamente con el Ministerio de Finanzas los factores críticos de éxito del proyecto. ETAPA I – PLANIFICACIÓN El oferente deberá al menos: 4. Al menos.finanzas. FASE UNO – SGSI 4.Dirección: Av. Determinar/confirmar el alcance del proyecto para el logro de los objetivos de manera oportuna y con la calidad requerida. Definir conjuntamente con el Ministerio de Finanzas el cronograma detallado del proyecto y entregables (formato. Washington.1. etc). Definir roles y responsabilidades del proyecto. actividades y productos recomendados en el estándar ISO/IEC 27003 o NTE ISO/IEC 27003 u otro similar que permita el diseño e implementación exitosa de un SGSI bajo el estándar ISO/IEC 27001 o NTE ISO/IEC 27001.1. etapas. 10 de Agosto 1661 y J. EJECUCIÓN DEL PROYECTO Y METODOLOGÍA DE TRABAJO El proyecto deberá ser ejecutado tomando como referencia una metodología de trabajo que permita obtener los productos necesarios para obtener la certificación ISO/IEC 27001.1. deberán considerarse las áreas que obligatoriamente así lo requiere la norma ISO/IEC 27001:2005 o NTE INEN-ISO/IEC 27001.1. Definir plantillas de informes y entregables del proyecto. considerar adicionalmente las siguientes etapas y actividades por cada fase: 4. PLANIFICACIÓN Y ADMINISTRACIÓN DEL PROYECTO Definir mecanismos de seguimiento. Teléfonos: (+593 2) 3998300 2557468 Fax :(+593 2) 2503111 Web: www.1.gob. Elaborar los planes de trabajo y calidad del proyecto.

Washington. 4. Entrevistar personas relacionadas con la gestión de seguridad de la información.1.finanzas. ETAPA II – DISEÑO El oferente deberá al menos: 4. Teléfonos: (+593 2) 3998300 2557468 Fax :(+593 2) 2503111 Web: www. audiencias y tiempos estimados. Elaborar el informe con los resultados obtenidos de un análisis de brecha y las recomendaciones relacionadas.ec 4. 10 de Agosto 1661 y J. los cuales deberán ser aprobados por el Ministerio de Finanzas. Dentro de la capacitación.1. Realizar un diagnóstico general del modelo de seguridad actual frente a los objetivos de control del estándar ISO 27001 e ISO 27002.1.2. para obtener entendimiento de la estrategia (metas e iniciativas) de la organización. temas.Dirección: Av.gob. EVALUACIÓN DE LA SITUACIÓN ACTUAL Revisar las políticas. CAPACITACIÓN Definir la estrategia de sensibilización y capacitación.1. que incluya los cronogramas.1.2. Capacitar al personal del Ministerio de Finanzas que replicará la sensibilización al resto de funcionarios dentro del alcance del SGSI. monitorear y realizar la mejora continua del SGSI luego de implementado. procesos y procedimientos de seguridad de la información actuales. Elaborar el plan de sensibilización y los contenidos de capacitación cuyo objetivo será concientizar en seguridad de la información así como preparar al personal del Ministerio de Finanzas designado para mantener. la empresa deberá llevar a cabo mínimo 3 sesiones para un total de 20 colaboradores cada una. -Documento de uso Interno- Página 12 de 36 .2. Entrevistar las personas designadas por la Subsecretaría de Innovación de las Finanzas Públicas.

Teléfonos: (+593 2) 3998300 2557468 Fax :(+593 2) 2503111 Web: www. EVALUACIÓN DE RIESGOS Identificar y definir la metodología de Evaluación de Riesgos a ser utilizada en el proceso (Ej.1. ALINEAMIENTO ESTRATÉGICO Identificar los atributos estratégicos que deben ser satisfechos por la seguridad. 10 de Agosto 1661 y J. Identificar los activos de información de cada uno de los procesos o áreas de trabajo. Definir la política del SGSI soportada en las necesidades y objetivos de la organización. e identificar el nivel de riesgo aceptable.gob.ec 4. Evaluar el nivel de riesgo cualitativo de los activos de información a través de la realización de una matriz de niveles de riesgo. 4. Identificar los activos de información más críticos.finanzas. controles implementados u otros aspectos: o Identificación de amenazas y vulnerabilidades (técnicas.Dirección: Av. operativas y administrativas). 800-30. Framework ISO/IEC 27005.3.2. Proponer las medidas de alineamiento necesarias por implementar. o Evaluación de controles implementados. Magerit. Realizar la clasificación de los activos de información de acuerdo con los tres atributos principales de seguridad de la información (integridad. y cómo la pérdida de estos afectaría los atributos misionales de la organización (impacto). NIST Special Publication 800-39. Realizar la evaluación del riesgo para estimar la probabilidad de impacto de amenazas frente a vulnerabilidades. confidencialidad y disponibilidad). que marque la intención de la Dirección (en el alcance establecido) y del Gobierno Ecuatoriano frente a la seguridad -Documento de uso Interno- Página 13 de 36 . Desarrollar criterios para la aceptación de riesgos.1.2. Washington. Entrevistar a los dueños de los procesos que hacen parte del alcance del proyecto para obtener el entendimiento que se requiera de los mismos.2. Octave u otras similares respaldadas por una organización reconocida internacionalmente).

o Establecerá los criterios y objetivos de control contra los cuales se evaluará el riesgo. evitar. o Seleccionar de las opciones de tratamiento de los riesgos no aceptables: mitigar. Definir los indicadores del SGSI que permitan evaluar el desempeño del mismo y aplicar los procedimientos de mejora continua.ec de la información.Dirección: Av. Emitir las acciones de control orientadas a mitigar los riesgos no aceptables identificados para los activos de información. Washington. los legales o reglamentarios. MEJORA CONTINUA Definir los procedimientos de revisión. monitoreo y mejora continua del SGSI. Documentar los procedimientos de revisión. y las obligaciones de seguridad contractuales. Dicha política: o Incluirá un marco de referencia para fijar objetivos y establecer un sentido general de dirección y principios para la acción con relación a la seguridad de la información. 4. 10 de Agosto 1661 y J. estableciendo un marco de actuación y los principios de seguridad. Página 14 de 36 -Documento de uso Interno- . Procedimiento de Revisión de la Gerencia.4. monitoreo y mejora continua del SGSI a fin de dar cumplimiento con los requisitos de norma ISO 27001. o Estará alineada con el contexto de gestión de riesgo y control interno de la Entidad en el cual tendrá lugar el establecimiento y mantenimiento del SGSI. transferir. como lo establece la norma y las prácticas generalmente aceptadas. asumir. Definir las responsabilidades que tendrán cada uno de los niveles de la organización con respecto a la seguridad de la información.gob.1. Definir los roles que formarán la estructura organizacional de seguridad de la información dentro de la organización. entre otros: o o o Procedimiento para Medición de Efectividad del SGSI.finanzas. Procedimiento de Auditorías Internas del SGSI. Teléfonos: (+593 2) 3998300 2557468 Fax :(+593 2) 2503111 Web: www.2. o Tendrá en cuenta los requisitos de su razón de ser.

Desarrollo y mantenimiento de aplicaciones. Washington. estructura y cultura organizacional de la organización: a. Los procedimientos a documentar deberán ser los necesarios requeridos para obtener la certificación ISO/IEC 27001:2005. procedimientos y demás documentación necesaria para un sistema certificable bajo la norma ISO/IEC 27001:2005 con base en los dominios del estándar ISO/IEC 27001 anexo A e ISO/IEC 27002 ajustados a la operación. normas. ETAPA III – IMPLEMENTACIÓN El oferente deberá: 4. Administración de políticas. PROCESOS Y PROCEDIMIENTOS DE SEGURIDAD DE LA INFORMACIÓN Elaborar los procesos. Lista maestra de documentos y registros. entre otros los que se cuentan: o o Gestión de activos de información.1.Dirección: Av. Control de acceso y autorización. DEFINICIÓN Y ELABORACIÓN DE POLÍTICAS. procedimientos y estándares de seguridad informática. o o o o o o Entrenamiento y concientización en seguridad. 4.1.finanzas. 10 de Agosto 1661 y J. entre otros los que se cuentan: o Gestión de activos (incluye la metodología de valoración de riesgos y el procedimiento de identificación y clasificación de activos).ec o o o Procedimiento de Acciones Correctivas y Preventivas. Los procesos a documentar deberán ser los necesarios requeridos para obtener la certificación ISO/IEC 27001:2005.1.3. Mantenimiento del plan de continuidad y contingencia. b. Gestión de seguridad en operaciones y comunicaciones.gob. Teléfonos: (+593 2) 3998300 2557468 Fax :(+593 2) 2503111 Web: www. -Documento de uso Interno- Página 15 de 36 . Procedimiento para Control de Documentos. Administración de incidentes.3.

1. por lo que varias de las acciones de implementación deberán completarse en paralelo a las etapas anteriores en función de los objetivos específicos del servicio de “Asistir. Gestión segura de cambios. Gestión de capacidad. PRE-AUDITORÍA DE CERTIFICACIÓN Realizar las correcciones (de existir) en el trabajo realizado por la consultoría fruto de informe de Pre-Auditoria realizado por un tercero para evaluar la conformidad y eficacia del Sistema de Gestión -Documento de uso Interno- Página 16 de 36 . Además el Oferente será el encargado de coordinar y gestionar las actividades de los proyectos de implementación entre proveedores y el Ministerio de Finanzas a fin que la implementación de controles contratados se realice de manera oportuna y con los resultados esperados. asesorar y acompañar (…) en la implementación de los controles de seguridad de la Información específicos del SGSI” y de un cronograma establecido por el Oferente en coordinación con el Ministerio de Finanzas.finanzas. 10 de Agosto 1661 y J.5. 4. Washington.1. Gestión de incidentes de seguridad de la información. 4.1. ETAPA V – PRE-AUDITORÍA El oferente deberá: 4. Documentar el Documento de Aplicabilidad (SOA). Control de acceso físico.4.Dirección: Av.ec o o o o o o o o Seguridad del recurso humano.1.gob. Gestión de identidades y acceso. ASESORÍA Y PARTICIPACIÓN EN LA IMPLEMENTACIÓN CONTROLES SGSI La implementación de controles deberá estar enmarcada dentro del plazo total de la presente consultoría. Gestión de terceros. Monitoreo de la operación y las comunicaciones. c. Teléfonos: (+593 2) 3998300 2557468 Fax :(+593 2) 2503111 Web: www. ETAPA IV – ASISTENCIA.5.

o Documento de análisis de impacto en el negocio (BIA) 4. Teléfonos: (+593 2) 3998300 2557468 Fax :(+593 2) 2503111 Web: www. ETAPA I .ANÁLISIS DE RIESGO E IMPACTO El oferente deberá considerar los controles indicados en el Anexo A. evaluar las diferentes alternativas de continuidad y presentar las -Documento de uso Interno- Página 17 de 36 .2.ec de Seguridad de la Información implementado previo a la obtención de la certificación ISO/IEC 27001:2005. 4. ETAPA II – ELABORACIÓN DE PLANES PARA CONTINUIDAD DEL NEGOCIO El oferente deberá: Elaborar el Plan de recuperación de desastres (DRP) Elaborar el Plan de continuidad del negocio (BCP) Identificar estrategias de continuidad incluyendo hardware y software que lo soporta.Dirección: Av. edificios. Elaborar el: o Documento de análisis de la situación actual de la administración de la continuidad. terceros (proveedores). pruebas y gestión del programa de continuidad del negocio.gob. numeral A. tecnología.14 del estándar ISO/IEC 27001:2005 o NTE INEN ISO/IEC 27001.2.finanzas. además considerar las siguientes etapas: Obtener el Mapa o matriz de riesgos de continuidad del negocio. Elaboración del marco de referencia para el mantenimiento y evaluación. equipos. Washington. o Documento de análisis de riesgos (RIA) de los principales riesgos de continuidad de al menos los siguientes elementos: personal. Emitir Informe de cierre de hallazgos (de existir) fruto de la PreAuditoría. 10 de Agosto 1661 y J.2. sobre la Gestión de la Continuidad del Negocio.1. FASE DOS – SGSI/CONTINUIDAD DE NEGOCIO 4. Desarrollo e implantación de planes de continuidad del negocio para los procesos críticos identificados por el Ministerio y el Oferente. Análisis de impacto.2.

incluyendo cualquier justificación para la exclusión de las TIC bajo control de la organización que han sido excluidas del alcance del SGSI. Procesos y responsabilidades organizacionales para los activos de información dentro del alcance y fuera del mismo. incluyendo cualquier justificación para partes de la organización que han sido excluidas del alcance del SGSI. Los límites de las TIC para el SGSI.ec diferentes alternativas de estrategias y una evaluación macro de las ventajas y desventajas de cada una. -Documento de uso Interno- Página 18 de 36 . Documentar y formalizar dentro del proyecto. para la estructura dentro del SGSI.  Alcance y Límites de las tecnologías de la información y comunicación (TIC) Información intercambiada dentro del alcance e información intercambiada a través de los límites. Proceso para la jerarquía de la toma de decisiones. Identificación de la información intercambiada dentro del alcance e información intercambiada a través de los límites.Dirección: Av. LÍMITES Y POLÍTICAS: 1. Teléfonos: (+593 2) 3998300 2557468 Fax :(+593 2) 2503111 Web: www. así como. DOCUMENTO DE ALCANCE Y LÍMITES DEL SGSI QUE CONTENGA:  Alcance y Límites Organizacionales Descripción de los límites organizacionales para el SGSI. 10 de Agosto 1661 y J. Funciones y estructura de aquellas partes de la organización dentro del alcance del SGSI. PRODUCTOS DE LA CONSULTORÍA Entre otros productos esperados (referencia a los especificados por la NTE INEN ISO/IEC 27003) se requiere como mínimo: DEFINIR EN RELACIÓN AL ALCANCE ESTABLECIDO. la alternativa de estrategia de continuidad definida por la Institución. EL ALCANCE DEL SGSI.gob. Washington. 5.finanzas.

o Descripciones de las funciones y responsabilidades dentro del SGSI y sus relaciones con la estructura organizacional. Los sistemas que están fuera del alcance deben ser resumidos brevemente. incluyendo cualquier justificación de la exclusión de límites físicos bajo la gestión de la organización y que han sido excluidos del alcance del SGSI. junto con los roles y responsabilidades para estos sistemas. Washington. indicando las limitaciones físicas del SGSI. servicios.  Documento Integrador Documento que describa el alcance y los límites del SGSI y que contiene la siguiente información: o Las características claves de la organización (su función. o o Los procesos organizacionales incluidos en el alcance. o Mapas de los sitios incluidos en el alcance. Teléfonos: (+593 2) 3998300 2557468 Fax :(+593 2) 2503111 Web: www.gob.Dirección: Av. La configuración de equipamiento y redes incluidos en el alcance. 10 de Agosto 1661 y J.  Alcance y Límites físicos Descripción de los límites físicos del SGSI. servidores). estructura. activos y el alcance y los límites de la responsabilidad de cada activo). que describen lo que está en el alcance.ec Los sistemas de información y las redes de telecomunicaciones. o Una lista preliminar de activos de información incluidos en el alcance.finanzas. -Documento de uso Interno- Página 19 de 36 . Descripción de la organización y sus características geográficas pertinentes al alcance. o Una lista de activos de las TIC incluidos en el alcance (por ejemplo.

funciones. DOCUMENTO DE REQUISITOS DE SEGURIDAD DE LA INFORMACIÓN QUE CONTENGA:  Identificación de los procesos.   Clasificación de los procesos/activos críticos. REALIZAR EL ANÁLISIS DE LOS REQUERIMIENTOS DE SEGURIDAD DE LA INFORMACIÓN 3.  Identificación (inventario) de los activos de información de la organización con su valorización. Este documento debería ser re-confirmado en una fase posterior del proyecto por cuanto es dependiente del resultado de la evaluación del riesgo. 4. -Documento de uso Interno- Página 20 de 36 . sistemas de información y redes de comunicación principales.finanzas.gob. 2. Teléfonos: (+593 2) 3998300 2557468 Fax :(+593 2) 2503111 Web: www. de negocio y contractuales de la organización. 10 de Agosto 1661 y J.  Lista de vulnerabilidades públicamente conocidas que serán consideradas como un resultado de los requerimientos de seguridad. Washington.  Clasificación de la seguridad de la información de los procesos y activos de información críticos.  Requisitos organizacionales de capacitación y educación sobre seguridad de la información.ec o Detalles y justificación para cualquier exclusión del alcance del SGSI. REPORTE DE ACTIVOS DE INFORMACIÓN QUE CONTENGA  Activos de información identificados de los principales procesos de la organización dentro del alcance del SGSI. Requerimientos de seguridad de la información derivados de los requerimientos legales.Dirección: Av. ubicaciones. regulatorios. POLÍTICA DEL SGSI (PRELIMINAR)  El entregable es un documento que describe la política del SGSI aprobada por la Dirección y debidamente documentada.

REALIZAR LA EVALUACIÓN DEL RIESGO Y LA PLANIFICACIÓN DEL TRATAMIENTO DEL RIESGO 6. Los resultados de la evaluación del riesgo. Aceptación de la Dirección de los riesgos residuales. Mapa de riesgos. Vulnerabilidades e Impacto. 10 de Agosto 1661 y J. REPORTE DE RESULTADOS DE EVALUACION DE SEGURIDAD DE LA INFORMACIÓN ACTUAL QUE CONTENGA  Documento que resume el estado evaluado de la seguridad de la organización. Una descripción de la relación entre los riesgos y los objetivos de control y los controles seleccionados (especialmente en el caso de reducción del riesgo). -Documento de uso Interno- Página 21 de 36 .finanzas. PLAN DE TRATAMIENTO DE RIESGO QUE CONTENGA:   Lista de los controles y objetivos de control seleccionados. Declaración de Aplicabilidad. QUE CONTENGA:    Aprobación escrita de la Dirección para implementar el SGSI. Plan de Tratamiento del Riesgo con: Una descripción de la relación entre los riesgos y la opción de tratamiento del riesgo seleccionada.Dirección: Av. Informe de Amenazas. Teléfonos: (+593 2) 3998300 2557468 Fax :(+593 2) 2503111 Web: www.ec 5. Washington. incluyendo los objetivos de control y los controles seleccionados. 7. REPORTE DE EVALUACIÓN DEL RIESGO QUE CONTENGA:     La descripción de las metodologías de evaluación del riesgo.gob. DECLARACIÓN DE APLICABILIDAD (SOA). y las vulnerabilidades evaluadas frente con los objetivos (de control y controles) deseados por organización – gap análisis. 8.

organizacional y física. o Persona a quien se debería reportar la implementación del control una vez que se lo haga. recursos para la implementación (recurso humano.finanzas.   Política de Seguridad de la Información (FINAL). El documento debe especificar para cada control (y debería formar parte del plan de proyecto del SGSI) lo siguiente: o Nombre de la persona responsable de la implementación de un control. costos. TDR´s). Washington. requerimientos de espacio. Teléfonos: (+593 2) 3998300 2557468 Fax :(+593 2) 2503111 Web: www. procedimientos y normas de seguridad de la información. requerimientos de recursos. 10 de Agosto 1661 y J. Tareas o actividades para implementar controles. -Documento de uso Interno- Página 22 de 36 .gob.  Documento de diseño de la seguridad de la información (REAL – APLICADO AL MINISTERIO DE FINANZAS) de las TIC. El documento debe especificar la estructura de seguridad de la información diseñada para la organización. Manual de procedimientos. PLAN DE IMPLEMENTACIÓN PROYECTO FINAL SGSI. RFP´s. El documento debe especificar los procesos.ec DISEÑAR EL SGSI 9. Definición del tiempo en el cual el control debería haber sido implementado.  Documento de Diseño de la estructura organizacional final para la seguridad de la información.Dirección: Av. o o o Prioridad del control para ser implementado. normas y procesos de seguridad de la información (Manual de Gestión de Seguridad de la Información). sus roles y responsabilidades.

– Referirse a la Norma ISO/IEC 27004. frecuencia de medición. áreas físicas y organizacionales a nivel operativo del sitio de trabajo. Diseño aplicado o Diseño de cada uno de los controles seleccionados para las TIC. -Documento de uso Interno- Página 23 de 36 . física y organizacional.finanzas. construcción de criterios de decisión.ec Especificación de las responsabilidades para el proceso de implementación: o Especificación de los objetivos de control con una descripción del estado planificado esperado o Asignación de los recursos (carga laboral. medidas y medición de atributos de los objetivos de control. operación de medición.  Documento de Diseño del procedimiento para la revisión por parte de la Dirección del SGSI – Programa de Medición de Seguridad de la Información: Documentación del Programa de Medición de Seguridad de la Información que incluya: desarrollo de indicadores. o Provisión de asistencia e implementación de los controles en el sitio de trabajo. evaluación y mejora del Programa de Medición. o Provisión de procedimientos e información para controles y material de cursos de capacitación para promover la conciencia de seguridad sobre los mismos.Dirección: Av.gob. análisis de datos e informe de resultados de la medición. 10 de Agosto 1661 y J. recursos financieros requeridos) o o Tiempo meta realista para implementación del control Opciones de integración con la seguridad de las TIC. o Ejemplificación de cada control de acuerdo con el diseño acordado. Washington. Teléfonos: (+593 2) 3998300 2557468 Fax :(+593 2) 2503111 Web: www.

 Documento de Diseño del programa de concientización.ec Procedimientos para la revisión por parte de la Dirección que cubran la auditoría. capacitación y educación sobre seguridad de la información. educación y capacitación sobre seguridad de la información. capacitación y educación sobre seguridad de la información.finanzas. Washington.gob. buscar y descartar datos. Estructura para concientización. documentar la duración de su almacenamiento. dentro de los procesos operativos de gestión. incluyendo roles y responsabilidades. Planes para la concientización. -Documento de uso Interno- Página 24 de 36 . procedimiento de revisión por la dirección. definiendo qué debería ser registrado. Documento que resuma los requerimientos para los registros del SGSI y el control de documentación.Dirección: Av.  Plan de implementación Final detallado: Plan estructurado y detallado de la implementación para controles relacionados con la seguridad organizacional (como parte del plan final del proyecto del SGSI). Monitoreo y Mejora Continua. Depósitos y plantillas para los registros requeridos del SGSI. el monitoreo y aspectos de medición. capacitación y educación sobre seguridad de la información. Teléfonos: (+593 2) 3998300 2557468 Fax :(+593 2) 2503111 Web: www.  Documento de Diseño de un marco referencial para la documentación del SGSI. 10 de Agosto 1661 y J. Documento que incluye los materiales de concientización. y que incluya un marco referencial documentado del grupo de normas de seguridad de la información. proteger. programa de concientización. y en qué medida. almacenar. incluyendo los controles requeridos para identificar. Documentación de Procedimientos de Revisión.

 Plan de continuidad del negocio (BCP) que incluya las acciones de refuerzo de la disponibilidad más allá de la existencia de un centro de respaldo en caso de desastre y en el que se indique adicionalmente: Documento de análisis de la situación actual de la administración de la continuidad. responsables.finanzas. estructura del equipo de implementación.14 del estándar ISO/IEC 27001:2005. 10.gob. PLAN DE CONTINUIDAD DE NEGOCIO  Documento del Proceso de Gestión para la Continuidad de Negocio en la organización (alcance definido) el cual trate los requisitos de seguridad de la información necesarios para la continuidad del negocio de la organización considerar el Anexo A. a la vista de los resultados del análisis de riesgo y de impacto. Diseño de la estrategia de respaldo y plan de continuidad que asegure la recuperación de cada proceso en los RTOs. numeral A. recursos requeridos. etc. prioridades. Washington. Documento análisis de riesgos (RIA) Documento de análisis de impacto en el negocio (BIA) Mapa o matriz de riesgos de no disponibilidad del proceso (RIA – BIA) Identificación de los tiempos de recuperación (RTO y RPO) de los diferentes procesos. 10 de Agosto 1661 y J. tareas involucradas. Teléfonos: (+593 2) 3998300 2557468 Fax :(+593 2) 2503111 Web: www. (como parte del Plan del Proyecto del SGSI) Especificación clara de los detalles de la implementación de controles.Dirección: Av. como cronograma. -Documento de uso Interno- Página 25 de 36 .ec Plan estructurado y detallado de la implementación de controles relacionados con la seguridad física y de las TIC. responsabilidades de diseño e implementación. en base al diseño realizado. plazo de ejecución esperado.

Cronograma de implementación real vs. coordinación y gestión realizadas para la implementación exitosa del control. DOCUMENTACIÓN ENTREGABLE RELACIONADA A LA GESTIÓN DEL PROYECTO:  Project Charter – Cronograma de trabajo.ec Elaboración del marco de referencia para el mantenimiento y revaluación.gob. INFORMES DE IMPLEMENTACIÓN  Informe de actividades realizadas por el Oferente como producto de la coordinación y gestión de la implementación de cada uno de los controles contratados a terceros (o ejecutados por alguna área específica del Ministerio de Finanzas) en la que conste al menos: Detalle de diseño del control a implementar.  Plan de recuperación de desastres (DRP) que incluya las acciones tanto de carácter técnico como organizativo para recuperar los activos TI en caso de desastre y con base en la estrategia de respaldo propuesta en el entregable anterior. IMPLEMENTACIÓN DE CONTROLES DEL SGSI 11. Washington. Selección del producto/servicio o procedimiento a implementar demostrando cómo éstos controles seleccionados mitigarán los riesgos según lo requiere el plan de tratamiento de riesgos.finanzas. Evaluación de resultados respecto a la efectividad de los controles implementados de acuerdo al plan. Teléfonos: (+593 2) 3998300 2557468 Fax :(+593 2) 2503111 Web: www. el planificado y reporte de tareas de seguimiento. pruebas y gestión del programa de continuidad del negocio. -Documento de uso Interno- Página 26 de 36 .Dirección: Av. 10 de Agosto 1661 y J. Aceptación (recepción) de los controles implementados. Estrategia de implementación y caso de negocio.

que constituya una práctica eficaz de la gestión de la seguridad y que brinde confianza. en el ámbito del Sistema Nacional de las Finanzas Públicas. procedimientos. Informe de corrección de hallazgos de la Auditoría Interna. dentro del alcance establecido y que permitan además cumplir con lo establecido por las normas ISO/IEC 27001:2005 -Documento de uso Interno- Página 27 de 36 . 10 de Agosto 1661 y J..Dirección: Av. Washington. Plan de Comunicación. etc. tanto dentro como fuera de la institución. Los productos anteriores serán entregados en formato físico dos (02) originales y en formato digital en dos (02) CD/DVD. prácticas. procesos..ec     Plan de Trabajo y Calidad del proyecto. y los controles necesarios requeridos de seguridad de la información indicados como referencia en las normas ISO/IEC 27001:2005 SGSI Anexo A . b) Contará como mínimo con una metodología de trabajo de aseguramiento de la información. DOCUMENTACIÓN ENTREGABLE RESPECTO A LA AUDITORÍA INTERNA Y PRE-AUDITORÍA    Informe de Auditoría Interna y revisión por parte de la Dirección. c) Contará con un Plan de Continuidad de Negocio.la NTE INEN-ISO/IEC 27001 Anexo A o ISO/IEC 27002 mismos que serán utilizados por los responsables de mantener la seguridad de la información de la institución. Procesos de Gestión de la Continuidad de Negocio. Plan de Recuperación de Desastres. responsabilidades. gestión de riesgos. Informe de corrección de hallazgos de la Pre-auditoría. Teléfonos: (+593 2) 3998300 2557468 Fax :(+593 2) 2503111 Web: www. contará con un Sistema de Gestión de Seguridad de la Información (SGSI) de calidad certificable bajo la norma ISO/IEC 27001:2005. políticas. 6.gob. RESULTADOS ESPERADOS a) El Ministerio de Finanzas de Ecuador.finanzas. etc. Plan de Sensibilización y Capacitación. Identificación de riesgos para el proyecto y plan de mitigación.

normas. INFORMES Al inicio del proyecto de la consultoría. así como en el uso de los procesos. 8. en coordinación con el delegado de Seguridad de la Información del Ministerio de Finanzas. 10 de Agosto 1661 y J. éstas serán previamente autorizadas por la contraparte del Ministerio de Finanzas correspondiente. procedimientos. b) Lugar de trabajo: El desarrollo del proyecto y reuniones de trabajo se llevarán a cabo en las instalaciones del Ministerio de Finanzas en un espacio físico adecuados para el número de personas del equipo de la Consultora con acceso telefónico e Internet.ec Anexo A o la NTE INEN-ISO/IEC 27001 Anexo A en su referencia a la Gestión de Continuidad de Negocio.4 y 5). la Firma Consultora presentará un informe para cada uno de los productos acordados según el cronograma a proponer y que deberán estar identificados como hitos: Informe 1: Informe sobre los entregables relacionados a la gestión del proyecto.finanzas. Así mismo. Teléfonos: (+593 2) 3998300 2557468 Fax :(+593 2) 2503111 Web: www. d) Contará con personal capacitado en el manejo e implementación de la norma ISO 27001:2005 o NTE INEN-ISO/IEC 27001. Informe 2: Informe de Definición de alcance del SGSI. En caso de requerirse reuniones de trabajo a realizarse de manera remota. -Documento de uso Interno- Página 28 de 36 .Dirección: Av. de acuerdo a un cronograma de trabajo establecido con el Oferente. c) Duración del proyecto: El proyecto completo (incluida la participación en la implementación de los controles seleccionados) deberá realizarse hasta en un período máximo de 18 meses (sin incluir el tiempo que tome la pre-auditoría). 7. Washington.gob. límites y políticas del SGSI (Productos 1 y 2). Informe 3: Informe sobre el Análisis de los Requerimientos de Seguridad de la Información (Productos 3. la Firma Consultora deberá presentar un Plan de Trabajo para la revisión y aprobación del Ministerio de Finanzas que cubra el plazo de ejecución del mismo. CARACTERÍSTICAS DE LA CONSULTORÍA a) Metodología de trabajo: Se desarrollarán reuniones de trabajo con las áreas involucradas de la institución. estándares y políticas de seguridad de la información de la institución.

productos y/o informes correspondientes a los puntos 5 y 8. Informe 5: Plan de Implementación del Proyecto Final SGSI (Producto 9) Informe 6: Plan de Continuidad de Negocio (Producto 10) Informe 7: Informe de Implementación de controles (Producto 11 – de acuerdo a cronograma acordado con el Oferente). especificando detalladamente el estado de las actividades desarrolladas.COMPROMISOS ASUMIDOS POR LA CONSULTORA a) La consultora se compromete a entregar hasta dentro del plazo previsto para el presente proyecto todos los resultados.gob. La aprobación de todos los informes estará sujeta a la revisión del Ministerio de Finanzas a través de la Subsecretaría de Innovación de las Finanzas Públicas quien se reserva el derecho de revisar los mismos y solicitar los ajustes que estime necesarios. c) Las coordinaciones se llevarán a cabo a través de reuniones realizadas en los ambientes del Ministerio de Finanzas o dónde éste defina. b) La supervisión del desarrollo del proyecto será ejercida a través de la presentación de los informes indicados en el punto 8.7 y 8). 10. Teléfonos: (+593 2) 3998300 2557468 Fax :(+593 2) 2503111 Web: www. Los informes de avance se presentarán en formato digital (CD/DVD) e impreso en dos (02) originales.Dirección: Av. -Documento de uso Interno- Página 29 de 36 .ec Informe 4: Informe de Evaluación del Riesgo y Planificación del Tratamiento del Riesgo (Productos 6. y sin ningún tipo de costo adicional para el Ministerio de Finanzas. Al concluir la consultoría la Firma Consultora presentará un Informe Final en formato digital (CD/DVD) e impreso en dos (02) originales resumiendo los resultados alcanzados que deberá estar acompañado del acta de todos los requerimientos solicitados por cada uno de los usuarios con la fecha de solicitud y fecha de entrega de cada uno de ellos. 9. 10 de Agosto 1661 y J. Washington.finanzas. además de la firma de usuarios en señal de conformidad (incluido toda la documentación solicitada). SUPERVISIÓN / COORDINACIÓN a) La firma consultora trabajará en coordinación con el delegado de Seguridad de la Información del Ministerio de Finanzas. Informe final: Informe final y de resolución de Hallazgos de la Pre-Auditoría.

11. Teléfonos: (+593 2) 3998300 2557468 Fax :(+593 2) 2503111 Web: www.gob.PERSONAL REQUERIDO El personal mínimo ideal con la que deberá contar la consultoría es la siguiente: Un gerente de proyecto Dos consultores Senior (Diseño e Implementación Controles SGSI) Un consultor Senior BCP Un consultor Junior Se presentarán la Hoja de Vida del personal participante en la que se indiquen los títulos. Telecomunicaciones o afines. certificaciones y experiencia de personal ideal deberá considerase de entre las siguientes: Gerente de proyecto: o Título de 3er Nivel en Ingeniería de Sistemas. Informática. sin costo adicional. las cuales serán valoradas. posteriores al término del proyecto. Se excluye la instrumentación de cualquier cambio en controles producto de cambios solicitados al documento antes mencionado. Redes de la Información. dichos títulos. d) Todos los demás compromisos y requerimientos que así lo estipulen las normativas legales vigentes.ec b) La consultora se compromete a subsanar satisfactoriamente y en el plazo máximo 48 horas cualquier falencia que se presente en los informes o documentos entregados como por ejemplo el documento “Statement of Applicability”. “Manual de Gestión de Seguridad de la Información”.finanzas. mismo que será desarrollado y/o corregido. “Plan de Continuidad de Negocio” y/o “Plan de Recuperación de Desastres” o cualquier otro documento producido por la consultoría. c) La consultora se compromete a prestar el servicio de mantenimiento al documento “Manual de Gestión de Seguridad de la Información” por espacio de seis (06) meses sin costo adicional. Para tal efecto bastará el requerimiento por parte del Ministerio de Finanzas. certificaciones y experiencia del personal a participar. 10 de Agosto 1661 y J. “Reporte de Resultados de Evaluación de Riesgos”.Dirección: Av. así como en el rediseño e implementación documental y asesoramiento en la implementación de controles producto de los eventuales hallazgos de la pre-auditoría en un plazo razonable acordado en coordinación con el Ministerio de Finanzas. o Certificación Lead Auditor ISO 27001. al que la consultora responderá en un máximo 48 horas. Washington. -Documento de uso Interno- Página 30 de 36 .

finanzas. CISSP. o o Certificaciones CCNA. Washington. CISA. Experiencia profesional en la implementación de al menos un Sistema de Gestión de Seguridad de la Información certificado bajo la norma ISO 27001 en los últimos 5 años. Redes de la Información. Informática.Dirección: Av. Consultores Senior (Diseño e Implementación Controles SGSI) o Título de 3er Nivel en Ingeniería de Sistemas. Telecomunicaciones o afines. Consultores Junior o Título de 3er Nivel en Ingeniería de Sistemas. CRISC. certificados y experiencia. CISM. se presentarán copias de los títulos. Informática. CISSP. CISM. CBCP o afines. Consultor Senior BCP o Título de 3er Nivel en Ingeniería de Sistemas.ec o o o Certificación PMP del PMI o título de 4to Nivel en Gerencia de Proyectos. Telecomunicaciones o afines. CRISC o afines. Redes de la Información. CISM. o o o Certificaciones Lead Auditor o Internal Auditor ISO 27001.gob. Certificados que acrediten conocimiento y experiencia en Seguridad de la Información. Certificación CISA. CRISC. CGEIT o afines. Teléfonos: (+593 2) 3998300 2557468 Fax :(+593 2) 2503111 Web: www. CRISC. Como anexo a la Hoja de Vida del personal participante. CBCP. -Documento de uso Interno- Página 31 de 36 . o Experiencia profesional en la implementación de al menos un Plan completo de Continuidad del negocio en los últimos 5 años. Experiencia profesional en la implementación de al menos un Sistema de Gestión de Seguridad de la Información certificado en la norma ISO 27001 en los últimos 5 años. Certificación CISA. Informática. 10 de Agosto 1661 y J. Experiencia comprobable en definición de estrategias de continuidad y desarrollos de planes de continuidad del negocio. CISM. o o Certificaciones CISA. Redes de la Información. Telecomunicaciones o afines. CGEIT o afines. CISSP.

Washington. Plan de trabajo –preliminar-. capacitación y certificaciones del personal mínimo requerido en el área específica de estudio para el trabajo en el Diseño e Implementación de un SGSI certificable. metodología y oferta técnica detallada presentada de acuerdo a las características técnicas requeridas por el Ministerio de Finanzas y de su realidad actual para el cumplimiento de los objetivos planteados en el presente documento.es decir proporcionando al Ministerio de Finanzas de un Software de Gestión que permita la automatización de la gestión y mantenimiento del SGSI.CALIFICACIÓN DE OFERTAS Las ofertas de los interesados en el presente proceso.)”. 13. -Documento de uso Interno- Página 32 de 36 . serán calificadas tomando en consideración los siguientes parámetros: 1. 10 de Agosto 1661 y J. En la oferta presentada se deberá indicar qué herramienta se proporcionará.finanzas. Dicho plan deberá especificar en el mayor detalle posible las acciones del oferente. 4. Información a través de entrevistas a personal clave del Ministerio de Finanzas. instrumentos y equipos: Las ofertas presentadas tendrán una bonificación especial por la inclusión dentro de su oferta al ítem 8 de los objetivos específicos –“Automatizar la gestión y mantenimiento del SGSI implementado mediante la aplicación de una herramienta software (…. metodología de trabajo.ec 12. Se toma como referencia el perfil descrito en el punto 11 “Personal Requerido” del presente documento. Capacidad técnica y disponibilidad administrativa de la organización oferente. responsabilidades de su personal.gob. 2. 3.Dirección: Av. Experiencia demostrable de la organización oferente (persona natural o jurídica) en la Implementación de Sistemas de Gestión de Seguridad de la Información certificados bajo la norma ISO/IEC 27001 en los últimos 5 años. las características y el licenciamiento cubierto (durante y a menos hasta 3 años después de la duración del proyecto). productos y cronograma de entrega de los mismos. Experiencia. 5. Teléfonos: (+593 2) 3998300 2557468 Fax :(+593 2) 2503111 Web: www. Disponibilidad de recursos.INFORMACIÓN QUE DISPONE LA ENTIDAD Y QUE TENDRÁ DISPONIBLE LA EMPRESA CONSULTORA PARA LA EJECUCIÓN Mapa de procesos de nivel 0 del alcance definido. formación.

que tengan como objetivo asegurar la calidad de los entregables del servicio.METODOLOGIA DE TRABAJO La Consultora deberá aplicar de manera obligatoria una metodología estructural y formal como establece el PMI. se realizará en las instalaciones del Ministerio de Finanzas o donde éste determine en la ciudad de Quito. Los puntajes de calificación serán otorgados en base al siguiente cuadro adjunto y cuya calificación máxima es de 100 puntos. 14. Distrito Metropolitano. Teléfonos: (+593 2) 3998300 2557468 Fax :(+593 2) 2503111 Web: www. Ejecución. que permita cumplir las expectativas del Ministerio de Finanzas: Gestión del Alcance. Gestión del Tiempo. 10 de Agosto 1661 y J. y. Gestión de la Calidad.finanzas.DURACIÓN Y LOCALIZACIÓN La consultoría de diseño e implementación del SGSI tendrá una duración máxima de 18 meses. aplicando buenas prácticas e instrumentos de investigación y análisis. Transferencia de Tecnología y Capacidad Técnica de Profesionales Nacionales.gob. El oferente deberá aplicar el siguiente grupo de procesos para una adecuada gestión del proyecto de consultoría. Seguimiento y Control. que permita cumplir las expectativas del Ministerio de Finanzas: Planificación. Cierre La consultora deberá aplicar como mínimo las siguientes áreas del conocimiento.Dirección: Av. -Documento de uso Interno- Página 33 de 36 . 15.ec 6. El plazo máximo mencionado no incluye el tiempo requerido por la pre-auditoría de certificación. Washington. El puntaje mínimo para ser considerado como posible adjudicatario es de 70/100 puntos.

16.TRANSFERENCIA DE CONOCIMIENTO La transferencia de conocimiento se realizará mediante la presentación progresiva de los productos.PRESUPUESTO REFERENCIAL El presupuesto referencial es de USD. para máximo 8 personas designadas por el Ministerio de Finanzas.900. Mantenimiento y Mejora continua del SGSI.gob. Washington. Mantenimiento y Mejora continua del SGSI será dictado para un máximo de 10 participantes designados por el Ministerio de Finanzas. 10 de Agosto 1661 y J. Gestión de la Comunicación. para máximo 5 personas designadas por el Ministerio de Finanzas. En estas presentaciones se transferirá el conocimiento mínimo de: Metodología de Evaluación de Riesgos. valor que no incluye IVA. 17. entregables y avance a las personas que el Ministerio de Finanzas designe. y. Gestión del Riesgo Así mismo deberá utilizar una metodología definida para la Evaluación del Riesgo como por ejemplo ISO/IEC 27005 (o similares) y una metodología para la implementación del SGSI como ISO/IEC 27003. Cursos de Sensibilización en Seguridad de la Información y Continuidad del Negocio Mínimo 2 cursos adicionales de mutuo acuerdo en Seguridad de la Información y Continuidad del Negocio El curso de Metodología de Evaluación de Riesgos.Dirección: Av. Adicionalmente se deberán proveer los siguientes cursos de certificación: Certificación Auditor Interno ISO 27001.00. -Documento de uso Interno- Página 34 de 36 .2.1. Teléfonos: (+593 2) 3998300 2557468 Fax :(+593 2) 2503111 Web: www. Operación.1. Certificación Auditor Líder ISO 27001.finanzas. El curso de Sensibilización será dictado de acuerdo a lo establecido en la sección 4. 567.ec Gestión de los Recursos Humanos. Operación.

-Documento de uso Interno- Página 35 de 36 .gob. 15% contra entrega de informe 6 (máximo a los 330 días calendario luego de la suscripción del contrato).finanzas. 10% Con entrega de informe sobre Asistencia y participación en la Implementación de controles (de acuerdo a cronograma propuesto por el oferente). 20% contra entrega de informe 4 y 5 (máximo a los 240 días calendario luego de la suscripción del contrato). 10% sobre solución de hallazgos de pre-auditoría (máximo a los 540 días calendario luego de la suscripción del contrato).FORMA DE PAGO 30% de anticipo.ec 18. 10 de Agosto 1661 y J. Teléfonos: (+593 2) 3998300 2557468 Fax :(+593 2) 2503111 Web: www. 2 y 3 (máximo a los 120 días calendario luego de la suscripción del contrato). Washington.Dirección: Av. 15% contra entrega de informe 1.

Ministerio de Finanzas del Ecuador 2013 .