EMPRESA DE ENERGÍA DE PEREIRA S.A. E.S.P.

INVITACIÓN A NEGOCIAR TI 001 – 2016

“ANALISIS, DISEÑO, PLANEACIÓN E IMPLEMENTACIÓN DE UN

MODELO DE SEGURIDAD DE LA INFORMACIÓN”

OCTUBRE DE 2016

EMPRESA DE ENERGÍA DE PEREIRA S.A. E.S.P.

“ANALISIS, DISEÑO, PLANEACIÓN E IMPLEMENTACIÓN DE UN

MODELO DE SEGURIDAD DE LA INFORMACIÓN”

1. OBJETO

La EMPRESA DE ENERGIA DE PEREIRA S.A. ESP, en adelante EEP, está

interesada en recibir la mejor oferta para prestar el servicio de Análisis, Diseño,

Planeación e Implementación de un Modelo de Seguridad de la Información,

basado en las prácticas de la Norma ISO/IEC 27001 y el cumplimiento CNO

788

2. NATURALEZA DE LA PRESENTE INVITACIÓN

La presente invitación y los documentos que se produzcan en desarrollo de la

misma por EEP no implican la realización de una oferta por parte de ella, ni

crean la obligación de contratar con quien la presente o cualquier otra

obligación. La contratación se regirá por las disposiciones del derecho privado,

el “Reglamento interno de contratación de La EEP” adoptado por la junta

directiva y el manual de compra de bienes y servicios de la compañía.

3. ANTECEDENTES Y JUSTIFICACIÓN

a) Se requiere realizar un análisis y diagnóstico del estado actual de

los procesos, procedimientos, controles y demás prácticas

relacionadas con Seguridad de la Información en el área de TI de la

EEP.

b) De acuerdo a los resultados obtenidos en la fase de análisis y

diagnóstico, se requiere diseñar un Modelo de Seguridad de la

Información para el área de TI en la EEP.

c) Se requiere realizar la Planificación de las actividades diseñadas,

relacionando los recursos necesarios para el Modelo de Seguridad

de la Información y las actividades propias de la Gestión de Riesgos

en Seguridad dela Información.

d) Adicionalmente, se requiere el acompañamiento, asesoría y soporte

para la implementación del Modelo de Seguridad de la Información

en el área de TI de la EEP.

e) El planteamiento de las anteriores fases busca adoptar las mejores

prácticas de Seguridad de la Información, como las descritas en la

Norma ISO/IEC 27001.

f) Se pretende dar apoyo en el cumplimiento del Acuerdo 788 del

Concejo Nacional de Operación (CNO); a la Circular 038 de la

Comisión de Regulación Energía y Gas (CREG); y la Ley 1581 de

protección de Datos Personales.

4. ALCANCE DEL SERVICIO

a) Análisis y diagnóstico del estado actual de los procesos. En esta

fase se debe incluir las actividades que se describen a continuación:

Identificación de requerimientos legales, normativos y contractuales.

Definición del Alcance y los Límites del proyecto y del Modelo de

Seguridad de la información a implementar.

Análisis de fortalezas y amenazas a los procesos del área de TI.

Importancia o nivel de criticidad de cada proceso.

Inventario de Activos de Información.

Inventario de Controles existentes.

Necesidades de Capacitación en Seguridad de la información.

b) Diseño del Modelo de Seguridad de la Información para el área de

TI en la EEP. En esta fase, el Modelo que se sugiera por parte del

oferente debe contemplar las actividades que se describen a

continuación:

Análisis de Integración ISO 27001 y las Guías NERC-CIP 002 a 009,

para el cumplimiento del acuerdo CNO 788.

Documento de Políticas y Objetivos de Seguridad de la Información.

Soporte para la documentación y levantamiento de procedimientos de

seguridad de la información.

Metodología de Análisis, Valoración y Tratamiento de Riesgos que

incluya Criterios de Evaluación, Criterios de Impacto y Criterios de

Aceptación del Riesgo, así como el proceso para determinar los

escenarios de incidente, valoración de incidentes y evaluación del

riesgo.

Matriz de Riesgos de Seguridad de la Información.

Cronograma de Capacitación en Seguridad de la información.

c) El Plan para la ejecución del Modelo de Seguridad de la

información, deberá incluir la estrategia para realizar las actividades

de la fase anterior y para la obtención de entregables como los

siguientes:

Inventario de recursos necesarios para el proceso de GRSI.

Ejecución del plan de capacitación.

Plan de sensibilización, divulgación y apropiación de la política y

objetivos de seguridad de la información en la organización.

Definición de perfiles y responsabilidades de las partes interesadas en

el proceso de GRSI.

Definición de indicadores para el proceso de GRSI y de efectividad de

los controles.

Matriz de riesgos de seguridad de la información en el área de TI.

Documento de Aplicabilidad de Controles.

Plan de seguimiento, monitoreo y control del Modelo de Seguridad de

la Información.

d) El soporte para la implementación del Modelo de Seguridad de la

Información, implica que el oferente acompañe y asesore el proceso

de implementación, mediante actividades como:

Definición del plan de Tratamiento de Riesgos.

Revisión y evaluación de la implementación de controles.

Evaluación de la apropiación de la política de Seguridad de la

información.

Auditoría de eficacia de la implementación del modelo de seguridad de

la información, (en un 90% de implementación).

Identificación de planes de mejora para el proceso de GRSI.

Informes de resultado de las auditorías.

e) Informe Gerencial de Terminación del Proyecto y perspectiva hacia

la Certificación del área de TI en la Norma ISO/IEC 27001, cumplimiento

del Acuerdo CNO 788 y demás requisitos legales, normativos y

contractuales.

NOTA: Las actividades, documentos y requisitos indicados pueden variar

de acuerdo al modelo propuesto por el oferente, en tal caso, se requiere

una justificación detallada de las ventajas de dichos cambios.

5. RESPONSABILIDADES DE LA EEP

La EEP facilitará documentación y acceso del personal de EL OFERENTE

para efectos de comprobar las condiciones actuales y dimensionar el proyecto.

6. SERVICIO DE TRANSPORTE

El transporte que debe estar incluido en el servicio hace referencia a:

El traslado del personal del contratista hacia los lugares en los que se

realicen las labores contratadas.

Transporte del equipamiento, materiales y herramientas requeridos

para la ejecución de las actividades.

7. PERSONAL

El oferente es libre de establecer el número de personas que habrán de

ejecutar los trabajos, de acuerdo con el enfoque de organización que le dé a

los mismos, no obstante, deberá presentar un esquema organizacional general

mínimo bajo los parámetros que se señalan a continuación en donde se

precisan en todo caso las funciones, responsabilidades e interrelaciones.

El oferente deberá incluir en el proyecto personas idóneas y para la ejecución

de los requerimientos anteriormente descritos, para esto se requiere los

siguientes perfiles:

Un (1) Gerente de proyecto encargado de coordinar todas las

actividades del proyecto, tanto desde el punto de vista interno como de

cara a Enerpereira, de todos los servicios acordados en contrato,

garantizando el cumplimiento de los compromisos y de los niveles de

servicio así como la entrega de informes, las certificaciones y

conocimiento con el que cuenta este perfil está enmarcado en:

Profesional universitario en ingeniería electrónica, de sistemas o afines.

Con especialización en gerencia de proyectos. Experiencia de dos (2)

años en gerencia de proyectos de tecnología y seguridad de la

información.

Un (1) responsable líder técnico del proyecto, encargado de la gestión

interna del equipo de trabajo a nivel técnico y metodológico.

Responsable por la validación de la calidad de los entregables y el

trabajo realizado. las certificaciones y conocimiento con el que cuenta

este perfil está enmarcado en, EC-Council Certified Ethical Hacker

(CEH v8), Auditor Líber ISO/IEC 27001:2013 y Certified SCADA

Security Architect (CSSA), Con cinco (5) años experiencia de

profesional en seguridad de la información

Un (1) consultor de seguridad sénior: Encargado de la revisión de la

implementación de la solución propuesta de acuerdo a las fases

anteriormente descritas, las certificaciones y conocimiento con el que

cuenta este perfil está enmarcado en: Auditor interno ISO27001, EC-

Council Certified Ethical Hacker, Con 3 años experiencia de profesional

en seguridad de la información

Este personal debe ser puesto a consideración de la EEP en su oferta,

incluyendo toda su experiencia y su nivel académico, debidamente

certificados. Las hojas de vida que no presenten los soportes solicitados no

serán tenidas en cuenta en la calificación.

No se autoriza la subcontratación ni tercerización total o parcial de personal

por parte del Oferente, así mismo, se deberá tener especial preocupación por

la idoneidad del personal que asigne a la prestación del servicio materia de

este contrato, dando cumplimiento estricto a los requisitos exigidos en cada

caso.

En todo caso, se deberá indicar en la oferta la persona responsable que se

relacionará con la EEP para la ejecución del contrato con facultades de

decisión en todos los aspectos Operativos, Administrativos y de Prevención de

Riesgo y responsable de la coordinación general de contrato y de entregar los

resultados a la EEP.

8. HERRAMIENTAS

El oferente deberá manifestar e indicar si va a disponer en todo momento de

los equipos, transporte, herramientas y todos aquellos que las buenas

prácticas del desarrollo de una actividad aconsejan, necesarios para la

correcta ejecución de todos los servicios que se contraten, dentro de los plazos

parciales y totales convenidos y presentados en la oferta.

9. EXPERIENCIA

El oferente deberá acompañar a su propuesta certificaciones de experiencia

en empresas similares o de tamaño significativo, realizando labores similares

a las del objeto de la presente invitación como mínimo en 2 trabajos

relacionados con el objeto a contratar como; Actualización o implementación

de SGSI basado en la norma ISO 27001 o en trabajos realizados o en

ejecución con la implementación del acuerdo CNO 788. Cuando se trate de un

"Consorcio” se tendrá en cuenta la experiencia de cada uno de los Integrantes.

10. ASPECTO ECONÓMICO

El PROPONENTE debe presentar la propuesta económica indicando los

valores ofertados los cuales deberán cubrir los costos directos e indirectos

requeridos para cumplir con el objeto de la invitación, lo que implica que:

Para todos los efectos legales, en caso que los precios de la oferta no

desagreguen el valor del IVA, éste se entenderá incluido en la misma.

Se deben incluir los valores unitarios, sin embargo en la evaluación se

tendrá en cuenta únicamente el valor final de la oferta.

En razón a todo lo anterior, queda entendido que todos los gastos que

demande la ejecución de los trabajos a que se refiere la presente

invitación, durante todo el tiempo de ejecución del contrato serán

asumidos por el oferente a quien se le adjudique el contrato; la EEP no

tendrá más obligación que la de pagar los precios convenidos.

En general, se deberá incluir en la oferta todo costo relacionado con la

correcta ejecución de los trabajos especificados.

11. POLIZAS

El oferente deberá tener en cuenta al presentar su oferta que en caso que se

acuerde celebrar el contrato con él, deberá constituir para su ejecución, las

siguientes pólizas de garantía particulares en la cual debe aparecer como

beneficiario la EEP que avalen:

Garantía de Calidad y Cumplimiento.

Pago de salarios, prestaciones sociales e indemnizaciones

Responsabilidad civil Extracontractual que incluya las cláusulas de:

o Proveedor Del Servicio y Subproveedor Del Servicio

o Responsabilidad Civil Cruzada

o Gastos.

Las pólizas señaladas anteriormente, constituyen una mención genérica de los

amparos que pueden exigirse al momento de suscribir el contrato; finalmente,

el objeto, el alcance y las obligaciones que se establezcan a cada una de las

partes dentro dicho acuerdo, definirán los amparos, la vigencia y el valor

asegurado de las garantías que finalmente se exijan.

12. IMPUESTOS Y DEDUCCIONES

Serán por cuenta del oferente todos los impuestos, gastos, tasas, y derechos

que implique la constitución, ejecución y perfeccionamiento del contrato en

caso que sea favorecido. Es entendido que la EEP no está obligada a expedir

ningún certificado o a suscribir cualquier otro documento destinado a que algún

oferente obtenga exención del pago de impuestos o derecho a su cargo y

derivados del contrato.

13. FORMA DE PAGO

La EEP paga las facturas a los cuarenta y cinco (45) días previa radicación

en la oficina de central cuentas y visto bueno del interventor del contrato.

Se liquidarán por medio de Actas Parciales Mensuales, donde se cancelará

el 100 % del valor mensual.

14. SALUD OCUPACIONAL Y PREVENCIÓN DE RIESGOS

LABORALES

La EEP, establece sus políticas de salud ocupacional y seguridad industrial

bajo un marco legal, con el propósito de garantizar que todas las actividades

que se ejecuten estén libres de riesgos o impactos ambientales que puedan

dañar el entorno, la integridad física de los empleados o propiedad.

En razón y como consecuencia de lo anterior quien resulte favorecido con

fundamento en legislación Colombiana en materia de salud ocupacional,

deberá dar cumplimiento entre otras a las siguientes normas: resolución 1016

de Marzo 31 de 1989, resolución 1725 de 1993, resolución 2013 de junio 6 de

1986 emanadas por el Ministerio de Salud, decreto 1295 de Junio 22 de 1994.

Así mismo y si la EEP se lo exige, debe ajustar sus políticas de salud

ocupacional y medio ambiente a las políticas fijadas por ella, las cuales estarán

encaminadas a fomentar la prevención de los accidentes de trabajo,

promoción y protección de la salud de todos los empleados.

La EEP entregará al OFERENTE seleccionado la documentación legal y los

parámetros del sistema de gestión en seguridad y salud ocupacional que

deberá adoptar durante la ejecución del contrato.

15. ASEGURAMIENTO DE CALIDAD

El proponente debe tener en cuenta al momento de preparar su oferta las

siguientes obligaciones que aplicarán durante la ejecución del contrato:

16. OBLIGACIONES DEL CONTRATISTA RESPECTO A EL SISTEMA

DE GESTIÓN DE CALIDAD

El contratista deberá presentar el certificado vigente de su Sistema de

Gestión de Calidad para el alcance objeto de la presente invitación, y

se compromete a mantenerlo vigente durante toda la ejecución del

contrato.

El contratista deberá acoger todos los documentos que la EEP emita en

lo concerniente al Sistema de Gestión de Calidad.

El contratista será el único responsable del control de calidad de los

servicios independientemente de los controles y pruebas que efectúe o

exija la EEP por sus propios medios o por los de un tercero designado,

para estos efectos. Estos controles efectuados por la EEP, no alterarán

ni eximirán parcial ni totalmente la plena responsabilidad que

exclusivamente incumbe al contratista. De todas maneras, la EEP

permanentemente efectuará las auditorias del servicio con la finalidad

de verificar y certificar el cumplimiento del contratista con las

indicaciones, reglamentos, normativas, objetivos, metas, etc. y/o

exigencias definidas por la EEP o descritas por el plan de auditoria que

previamente ha sido aprobado por el interventor del contrato. La

auditoría se realizará en forma directa e indirecta y/o a través de

terceros.

Presentar a la Dirección de operaciones de la EEP y al gestor del

contrato un informe final que contenga la información referente a las

acciones que se hayan realizado durante la ejecución del contrato.

El contratista debe manifestar expresamente que acepta que el

cumplimiento de todas las obligaciones previstas en este documento,

es esencial para la EEP y que, por lo tanto, su inobservancia dará

derecho a la EEP para dar por terminado el contrato sin que haya lugar

a indemnización alguna a favor del contratista y sin perjuicio de las

demás sanciones que resulten procedentes.

17. ADMINISTRACIÓN DEL CONTRATO

La ejecución del servicio y el alcance del mismo, estará bajo la responsabilidad

administrativa de un líder y del control y supervisión de un interventor

designados por la EEP quienes ejercerán las funciones señaladas

internamente para cada uno de ellos, pudiendo coincidir en una sola persona

los dos. Sin embargo, ésta labor no eximirá de responsabilidad a quien resulte

elegido, en la implementación de controles, pruebas, registros, etc., que sean

necesarios para la correcta ejecución del alcance de esta invitación.

El líder en todo caso se encargará de recibir, impartir y hacer cumplir las

instrucciones que en cuanto a personal y presupuesto del contrato se refiera.

18. PRESENTACION DE OFERTAS

a. Calendario de actividades

EVENTO FECHA

Invitación

Serie de Preguntas

Respuestas publicadas en la

página Web

Recepción de Oferta

b. Requisitos y documentos de la oferta

Pueden presentar oferta todas las personas naturales o jurídicas que acrediten

competencia técnica y financiera para proveer el servicio materia de esta

invitación siempre y cuando se pronuncien expresamente sobre sus relaciones

comerciales o de parentesco con quienes ostentan la calidad de

administradores y/o colaboradores ejecutivos, directivos o sus equivalentes

dentro de la compañía, así como sobre los incumplimientos o sanciones que

le hayan sido impuestos o declarados judicialmente con ocasión de su

actividad contractual en los últimos tres (3) años.

La oferta deberá contener los documentos que a continuación se relacionan,

los cuales deberán ser presentados en el siguiente orden:

Carta de presentación debidamente firmada por el Oferente o el

representante legal, indicando dirección de correo, teléfono y correo

electrónico.

En ningún caso se suscribirá contrato que implique uso de información

privilegiada, acto de competencia o conflicto de interés, ni celebrarse

con personas jurídicas en las que alguno de sus socios se encuentre en

las condiciones referidas, salvo cuando se trate de sociedades

anónimas abiertas.

Declaración de conformidad: Declaración de haber recibido toda la

información necesaria para el estudio de la invitación a negociar y estar

conforme y conocer los términos, documentos de ésta y el reglamento

interno de contratación.

Certificado de existencia o representación legal de la persona jurídica

que presenta la correspondiente oferta con una expedición no mayor a

30 días.

Fotocopia de la cedula del representante legal y/o del oferente si es

persona natural

Fotocopia del Rut

Autorización para contratar por la EEP otorgada al representante legal

por el órgano de administración competente según estatutos de la

sociedad oferente en caso de que las características so la cuantía del

contrato así lo requiera.

Certificado vigente de su Sistema de Gestión de Calidad para el alcance

objeto de la presente invitación

Certificaciones de experiencia en empresas similares o de tamaño

significativo

Propuesta técnica

Propuesta económica

Garantía de seriedad de la oferta: el oferente deberá constituir a favor

de E.E.P. una garantía que cubra el cumplimiento de las obligaciones

derivadas de la oferta presentada, por una suma equivalente al cinco

por ciento (15%) del valor estimado de la oferta, con una vigencia igual

al plazo de validez de la misma contados a partir de la fecha de

expedición de la garantía.

Estados financieros de la sociedad o persona natural que presenta la

oferta

Copia digital de la propuesta

LUIS ESTEBAN GUERRA CARDONA

LIDER DE TI

EMPRESA DE ENERGIA DE PEREIRA S.A. E.S.P.