Cargando

Agarda

STI-PA-8/2021

Realización dunha auditoría de seguridade, a realización de auditorías técnicas periódicas, a implantación dun sistema de xestión de seguridade da información, a correlación de eventos e a elaboración dun plan de formación
Importe sen impostos
164.000,00 EUR
Estado Avaliación
Período de solicitudes 19/Nov/2021 11:00 - 16/Dec/2021 23:59
Órgano de contratación Parlamento de Galicia
Tipo de contrato Servicios
Tipo de procedemento Aberto
SARA Si
Valor estimado sen impostos 344.000,00 EUR
Nº de lotes 4

Forma de presentación

O prazo para enviar ofertas finalizou

Estrutura da oferta

  • Sobre de documentación administrativa
    • A.a. Declaración responsable
    • A.b. Declaración de sometimiento á xurisdición española
    • Lote 1: Sistema de Xestión da Seguridade da Información (SXSI). Auditoría de seguridade e revisión de normativa
      • A.c. Compromiso de adscrición de medios
      • A.d. Declaración sobre consultor/analista
    • Lote 2: Auditorías técnicas periódicas
      • A.c. Compromiso de adscrición de medios
      • A.d. Declaración sobre consultor/analista
    • Lote 3: Correlación de eventos de seguridade
      • A.c. Compromiso de adscrición de medios
      • A.d. Declaración sobre consultor/analista
      • A.e. Acreditación de ser empresa autorizada polo CCN-CERT para a implementación de GLORIA
  • Sobre de condiciones técnicas
    • Lote 1: Sistema de Xestión da Seguridade da Información (SXSI). Auditoría de seguridade e revisión de normativa
      • B.1. Descripción oferta técnica
      • B.1.a. Plan de implantación do SXSI
      • B.1.b. Mecanismos para resolución de incidencias do SXSI
      • B.1.c. Características a maiores da ferramenta SXSI
      • B.1.d. Plan de transición, transferencia do coñecemento e devolución do servizo
      • B.1.e. Plan de auditoría
      • B.1.f. Procedementos/instrucións entregadas
      • B.1.g. Integración con ferramentas corporativas
    • Lote 2: Auditorías técnicas periódicas
      • B.2. Descripción oferta técnica
      • B.2.a. Metodoloxía das auditorías.
      • B.2.b. Relación de auditorías técnicas previstas.
    • Lote 3: Correlación de eventos de seguridade
      • B.3. Descripción oferta técnica
      • B.3.a. Plan de implantación
      • B.3.b. Plan de transición, transferencia do coñecemento e devolución do servizo
      • B.3.c. Mecanismos para resolución de incidencias
    • Lote 4: Programa de formación
      • B.4. Descripción oferta técnica
      • B.4.a. Procedemento para accións de sensibilización
  • Sobre de ofertas económicas
    • Lote 1: Sistema de Xestión da Seguridade da Información (SXSI). Auditoría de seguridade e revisión de normativa
      • C.1.a. Prezo da auditoría
      • C.1.b. Prezo do servizo SXSI
      • C.1.c Prezo da implantación SXSI
      • C.1.d.1 Tempo máximo de resolución de incidencias do SXSI para prioridade 2
      • C.1.d.2 Tempo máximo de resolución de incidencias do SXSI para prioridade 3
      • C.1.d.3 Tempo máximo de resolución de incidencias do SXSI para prioridade 4
    • Lote 2: Auditorías técnicas periódicas
      • C.2.a Precio
      • C.2.b Periodicidade das auditorías técnicas
    • Lote 3: Correlación de eventos de seguridade
      • C.3.a Prezo do servizo
      • C.3.b Prezo subministración
      • C.3.c.1 Tempo máximo de resolución de incidencias para prioridade 2
      • C.3.c.2 Tempo máximo de resolución de incidencias para prioridade 3
      • C.3.c.3 Tempo máximo de resolución de incidencias para prioridade 4
      • C.3.d Período máximo de entrega de informes de incidentes
    • Lote 4: Programa de formación
      • C.4.a Prezo dos contidos de teleformación
      • C.4.b Prezo sensibilización
      • C.4.c Tempo máximo de sensibilización
      • C.4.d Incremento do número de unidades didácticas

Moitos nos que o ficheiro está dividido

Lote Importe sen impostos Estado Código CPV
1 72.000,00 Avaliación
72150000-1 Servicios de consultoría en auditoría informática y en equipo informático

2 16.000,00 Avaliación
72150000-1 Servicios de consultoría en auditoría informática y en equipo informático

3 40.000,00 Avaliación
72150000-1 Servicios de consultoría en auditoría informática y en equipo informático

4 36.000,00 Avaliación
79632000-3 Servicios de formación de personal

Documentos e ligazóns publicados do expediente

Documento Data de publicación
Pliego técnico

Prego de prescricións técnicas

Publicado en 15/Nov/2021

Descarga

Descarga

Documentos adicionales a publicar

Memoria

Publicado en 15/Nov/2021

Descarga

Pliego administrativo

Pregos de cláusulas administrativas

Publicado en 17/Nov/2021

Descarga

Descarga

Documentos adicionales a publicar

Anexos

Publicado en 17/Nov/2021

Descarga

Descarga

Descarga

Descarga

Descarga

Descarga

Documentos adicionales a publicar

DEUC

Publicado en 19/Nov/2021

Descarga

Descarga

Documentos adicionales a publicar

Respostas a preguntas

Publicado en 03/Dec/2021

Descarga

Mesas de apertura de la licitación.

STI-PA-8/2021: Mesa de apertura de la sección Sobre C: Sobre de ofertas económicas

24 January 2022 13:30

Pendente

Para poder formular preguntas, debe estar rexistrado previamente ou ben expresar o interese rexistrando unha solicitude
En el pliego administrativo se indica que se requiere contar con un rol "consultor/analista" con la titulación "Titulación TIC de grado superior". - ¿Se considera "grado superior" una titulación de FFP2 "Técnico superior en…"? - ¿Se establece un mínimo de personas con el perfil "consultor/analista"? - ¿En el equipo se puede plantear un "consultor/analista" que se apoye en otras figuras, con otros roles, demostrando experiencia y conocimientos avanzados en el ámbito del contrato por todas las partes? ¿o por el contrario todos los perfiles deben tener el rol de "consultor/analista"?
Enviado

22/Nov/2021

Respondeu

02/Dec/2021

¿Se considera "grado superior" una titulación de FFP2 "Técnico superior en…"? No, titulación universitaria de grado superior (grado universitario TIC) ¿Se establece un mínimo de personas con el perfil "consultor/analista"? Como solvencia, mínimo 1 recurso/rol con este perfil ¿En el equipo se puede plantear un "consultor/analista" que se apoye en otras figuras, con otros roles, demostrando experiencia y conocimientos avanzados en el ámbito del contrato por todas las partes? ¿o por el contrario todos los perfiles deben tener el rol de "consultor/analista"? Se pide como mínimo 1 recurso con rol de consultor/analista. No se especifica el número de recursos para cada lote, los licitadores indicarán el equipo que consideren suficiente para prestar el servicio.
Respecto al pliego vigente de Servicios de consultoría en auditoría informática y en equipo informático, se nos plantean las siguientes dudas sobre el lote 4: 1.- Plataforma Moodle: ¿emplearemos la plataforma propia del Parlamento de Galicia o tenemos que hacer un servicio llave en mano con una configuración propia de la herramienta? 2.- "[77] Los contenidos versarán sobre los diferentes procedimientos implementados": de cara a realizar el dimensionamiento de la forma más eficaz posible, nos gustaría saber si podemos partir de alguna información sobre la documentación empleada por el Parlamento de Galicia. Con esto no pretendemos conocer el contenido, sino el volumen de la documentación, como por ejemplo saber el índice o los títulos de cada apartado. 3.- Entrega de contenidos: ¿para este punto existe algún requisito que solicite la entrega de contenidos específicos (tales como grabaciones, presentaciones, documentación…), o es un punto abierto a las propuestas planteadas por las empresas? 4.- ¿Podríais indicarnos una previsión de inicio del proyecto?
Enviado

09/Dec/2021

Respondeu

13/Dec/2021

1.- Se usará la plataforma Moodle del Parlamento, que se configurará para cargar los contenidos objeto de la contratación. 2.- A modo de ejemplo, el índice de la norma de utilización de los sistemas de información del PG (la más extensa con diferencia) es el siguiente: 1. INTRODUCCIÓN 2. ÁMBITO DE APLICACIÓN 3. VIGENCIA 4. REVISIÓN Y EVALUACIÓN 5. REFERENCIAS 6. UTILIZACIÓN DEL EQUIPAMIENTO INFORMÁTICO Y DE COMUNICACIONES ▼ 6.1 NORMAS GENERALES ▼ 6.2 USOS ESPECÍFICAMENTE PROHIBIDOS ▼ 6.3 NORMAS ESPECÍFICAS PARA EL ALMACENAMIENTO DE INFORMACIÓN ▼ 6.4 NORMAS ESPECÍFICAS PARA EQUIPOS PORTÁTILES Y MÓVILES ▼ 6.5 USO DE MEMORIAS/LÁPICES USB (PENDRIVES) ▼ 6.6 GRABACIÓN DE CDs Y DVDs ▼ 6.7 COPIAS DE SEGURIDAD ▼ 6.8 BORRADO Y ELIMINACIÓN DE SOPORTES INFORMÁTICOS ▼ 6.9 IMPRESORAS EN RED, FOTOCOPIADORAS Y FAXES ▼ 6.10 DIGITALIZACIÓN DE DOCUMENTOS ▼ 6.11 CUIDADO Y PROTECCIÓN DE LA DOCUMENTACIÓN IMPRESA ▼ 6.12 PIZARRAS Y FLIPCHARTS ▼ 6.13 PROTECCIÓN DE LA PROPIEDAD INTELECTUAL ▼ 6.14 PROTECCIÓN DE LA DIGNIDAD DE LAS PERSONAS 7. USO EFICIENTE DE EQUIPOS Y RECURSOS INFORMÁTICOS 8. INSTALACIÓN DE SOFTWARE 9. ACCESO A LOS SISTEMAS DE INFORMACIÓN Y A LOS DATOS TRATADOS 10. IDENTIFICACIÓN Y AUTENTICACIÓN 11. ACCESO Y PERMANENCIA DE TERCEROS EN LOS EDIFICIOS, INSTALACIONES Y DEPENDENCIAS DEL PARLAMENTO DE GALICIA ▼ 11.1 NORMAS ▼ 11.2 MODELO DE AUTORIZACIONES Y HABILITACIONES PERSONALES 12. CONFIDENCIALIDAD DE LA INFORMACIÓN 13. PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y DEBER DE SECRETO 14. TRATAMIENTO DE LA INFORMACIÓN 15. SALIDAS DE INFORMACIÓN 16. COPIAS DE SEGURIDAD 17. CONEXIÓN DE DISPOSITIVOS A LAS REDES DE COMUNICACIONES 18. PUESTO DE TRABAJO DESPEJADO Y EQUIPOS DESATENDIDOS 19. USO DEL CORREO ELECTRÓNICO CORPORATIVO ▼ 18.1 NORMAS GENERALES ▼ 18.2 USOS ESPECIALMENTE PROHIBIDOS ▼ 18.3 RECOMENDACIONES ADICIONALES 20. ACCESO A INTERNET Y OTRAS HERRAMIENTAS DE COLABORACIÓN ▼ 19.1 NORMAS GENERALES ▼ 19.2 USOS ESPECÍFICAMENTE PROHIBIDOS 21. INCIDENCIAS DE SEGURIDAD 22. COMPROMISOS DE LOS USUARIOS 23. CONTROL DE ACTUACIONES SOBRE LAS BASES DE DATOS DEL PARLAMENTO DE GALICIA 24. USO ABUSIVO DE LOS SISTEMAS DE INFORMACIÓN. ▼ 23.1 USO ABUSIVO DEL ACCESO A INTERNET ▼ 23.2 USO ABUSIVO DEL CORREO ELECTRÓNICO ▼ 23.3 USO ABUSIVO DE OTROS SERVICIOS Y SISTEMAS DEL PARLAMENTO DE GALICIA 25. MONITORIZACIÓN Y APLICACIÓN DE ESTA NORMATIVA 26. INCUMPLIMIENTO DE LA NORMATIVA 27. MODO DE ACEPTACIÓN Y COMPROMISO DE CUMPLIMIENTO 28. COMPENDIO DE NORMAS Y las normas de uso del correo electrónico (tamaño medio): 1.OBJETIVO 2.ÁMBITO DE APLICACIÓN 3.VIGENCIA 4.REVISIÓN Y EVALUACIÓN 5.REFERENCIAS 6.NORMAS PREVIAS 7.NORMATIVA 8.PREVENCIÓN CONTRA SPAM 9.MODO DE ACEPTACIÓN Y COMPROMISO DE CUMPLIMIENTO   3.- Se refiere a la entrega de todos los contenidos que se elaboren (textos, vídeos, imágenes, etc.) 4.- En el momento en que se firme el contrato (estimación marzo 2022)
En relación al Expediente del asunto queríamos solicitarles las siguientes aclaraciones sobre el Lote 3: - ¿Disponen de una estimación de eventos por segundo EPS o de volumen de GB al día que debe registrar GLORIA? - ¿Cuáles son las herramientas del CCN-CERT desplegadas en el Parlamento? - ¿Cuáles son las fuentes de eventos de seguridad que deben ser integradas en GLORIA? - ¿Disponen de algún requisito sobre los periodos de retención de logs?
Enviado

13/Dec/2021

Respondeu

14/Dec/2021

- ¿Disponen de una estimación de eventos por segundo EPS o de volumen de GB al día que debe registrar GLORIA? No menos de 30GB por día - ¿Cuáles son las herramientas del CCN-CERT desplegadas en el Parlamento? Carmen, Satinet, Lucía, Reyes, MicroClaudia, Pilar, Inés - ¿Cuáles son las fuentes de eventos de seguridad que deben ser integradas en GLORIA? Carmen, Reyes, Lucia y lo que podamos recoger de los syslog - ¿Disponen de algún requisito sobre los periodos de retención de logs? 2 meses deseable, 1 mes y medio podría ser suficiente
Sobre el syslog, ¿sería posible conocer qué tipos de fuentes está recogiendo?
Enviado

14/Dec/2021

Respondeu

15/Dec/2021

Todas las que nos lo permiten, valga como ejemplo: correo, firewalls, nagios, traductores al vuelo, buscadores, bases de datos, carmen, lucia, nominas, vcenter, biblioteca, …