Iniciar Sesión Registrarse

Exp 5 26 PPT.pdf

Pliego Técnico Ver licitación
{# full_text keeps real newlines; whitespace-pre-wrap renders them (so no |linebreaks filter, which would double the spacing). #}
PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA LA CONTRATACIÓN DE LOS SERVICIOS DE AUDITORÍA EXTERNA DE CERTIFICACIÓN DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) PARA EL CONSORCI DE LA ZONA FRANCA DE BARCELONA EXP. 5-2026 <!-- image --> ## ÍNDICE DE CONTENIDO | 1. | Objeto del contrato .................................................................................................................... 2 | Objeto del contrato .................................................................................................................... 2 | Objeto del contrato .................................................................................................................... 2 | |---------------------------------------------------------------------------------------------------------------------------------|-------------------------------------------------------------------------------------------------------------------------------------------------|-------------------------------------------------------------------------------------------------------------------------------------------------|-------------------------------------------------------------------------------------------------------------------------------------------------| | 2. | Alcance del contrato ................................................................................................................... 2 | Alcance del contrato ................................................................................................................... 2 | Alcance del contrato ................................................................................................................... 2 | | 2.1 | 2.1 | Servicio de Auditoría de Certificación ISO 27001 .......................................................... | 2 | | 2.2 | 2.2 | Plataforma Gestión Documental .................................................................................... | 3 | | 3. | Condiciones para los servicios .................................................................................................... 4 | Condiciones para los servicios .................................................................................................... 4 | Condiciones para los servicios .................................................................................................... 4 | | 3.1 | 3.1 | Equipo de trabajo ........................................................................................................... | 4 | | 3.2 | 3.2 | Responsable del contrato y coordinación del servicio ................................................... | 4 | | 3.3 | 3.3 | Seguridad del Información ............................................................................................. | 4 | | 3.4 | 3.4 | Lugar de prestación de los servicios ............................................................................... | 5 | | 3.5 | 3.5 | Acuerdos de Nivel de Servicio (ANS) .............................................................................. | 5 | | | 3.5.1 | Disponibilidad de la plataforma ..................................................................................... | 5 | | | 3.5.2 | Incidencias y soporte ..................................................................................................... | 5 | | 4. | Duración del contrato ................................................................................................................. 6 | Duración del contrato ................................................................................................................. 6 | Duración del contrato ................................................................................................................. 6 | | 5. | Facturación ................................................................................................................................. 7 | Facturación ................................................................................................................................. 7 | Facturación ................................................................................................................................. 7 | | 6. | Cláusula de confidencialidad ...................................................................................................... 7 | Cláusula de confidencialidad ...................................................................................................... 7 | Cláusula de confidencialidad ...................................................................................................... 7 | | 7. | Oferta Técnica ............................................................................................................................. 7 | Oferta Técnica ............................................................................................................................. 7 | Oferta Técnica ............................................................................................................................. 7 | | 7.1 Aspectos Generales ........................................................................................................ | 7.1 Aspectos Generales ........................................................................................................ | 7.1 Aspectos Generales ........................................................................................................ | 7 | | 7.2 | 7.2 | Contenido de la Oferta técnica | ...................................................................................... 8 | | 7.3 | 7.3 | 7.3 | Memoria Técnica ............................................................................................................ 9 | | 7.4 | 7.4 | 7.4 | Limitaciones de extensión de la Oferta Técnica ............................................................. 9 | <!-- image --> ## 1. Objeto del contrato El Consorci de la Zona Franca de Barcelona (en adelante CZFB), es una entidad pública cuya misión consiste en la dinamización y promoción económica del entorno del área metropolitana de Barcelona. Su actividad principal es gestionar el Polígono Industrial de la Zona Franca y de su Zona Franca Aduanera, así como administrar sus activos y favorecer la proyección internacional de Barcelona, Cataluña y España en los sectores ferial, logístico e inmobiliario. Así como la transformación Industrial y dinamización de la nueva economía e Industria 4.0, focalizado en el nuevo centro dFactory Barcelona. Su misión corporativa es propiciar el progreso social y la creación de empleo, a partir de la implantación industrial y logística, el desarrollo empresarial y de escenarios para la actividad económica, y la transferencia tecnológica. En cada ciclo histórico ha contribuido al crecimiento económico y social con iniciativas pioneras. El objeto del presente pliego es la contratación de los servicios de auditoría externa de los sistemas de gestión de la Seguridad de la Información (SGSI) para Consorci Zona Franca Barcelona (CZFB). Con el objetivo último de mantener, la ISO/EIC 27001:2022 y revalidar la certificación del Sistema de Gestión de la Seguridad de la Información ISO/EIC 27001:2022. ## 2. Alcance del contrato ## 2.1 Servicio de Auditoría de Certificación ISO 27001 Consorci de la Zona Franca de Barcelona dispone de la certificación ISO 27001, y se requiere un servicio de auditoría externo para asegurar el mantenimiento de la certificación. Los marcos de referencia que se utilizarán durante la prestación del servicio son: - ISO/IEC 27001:2022 Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos. Estándar internacional que especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información (SGSI) según el conocido como 'Ciclo de Deming': PDCA . - ISO/IEC 27002:2022 Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI). Código de buenas prácticas para la gestión de la seguridad de la información. Estándar internacional que proporciona recomendaciones de las mejores prácticas en la gestión de la seguridad de la información a todos los interesados y responsables en iniciar, implantar o mantener sistemas de gestión de la seguridad de la información. El alcance del presente contrato abarcará todos los servicios, así como las actividades y tareas a llevar a cabo para la realización de las auditorías externas de seguimiento y re certificación, así como la auditoría de transición a ISO 27.001:2022, los cuales -a modo enunciativo, pero no limitativocubrirán: - Año1: <!-- image --> - o Tasa Anual de Gestión de Expediente. - o Gestión del Programa de Auditoría. - o Realización de una auditoría externa de seguimiento. ## ▪ Año2: - o Tasa Anual de Gestión de Expediente. - o Gestión del Programa de Auditoría. - o Realización de una auditoría externa de seguimiento. - o Realización de una auditoría de transición a ISO 27001:2022. - Año3: Realización de una auditoría externa de re certificación. - o Tasa Anual de Gestión de Expediente. - o Gestión del Programa de Auditoría. - o Realización de una auditoría externa de seguimiento. ## 2.2 Plataforma Gestión Documental Forma parte del alcance de este contrato la puesta a disposición de una plataforma o sistema de gestión documental que permita estructurar, gestionar, actualizar, controlar las versiones, etc. de toda la documentación necesaria para la gestión del expediente y con el objetivo del mantenimiento de la certificación ISO 27001 en CZFB. Esta aplicación se ofrecerá en modo SaaS y cubrirá -a modo enunciativo, pero no limitativo- las siguientes funcionalidades y características: - Herramienta de Gestión/Sistema/Plataforma web. - La plataforma o Sistema debe disponer de los accesos securizados. - CZFB dispondrá de un número de usuarios ilimitados. - Configuración y Parametrización de la estructura documental necesaria. - Gestión de No Conformidades, Oportunidades y/u Observaciones. Las condiciones en las que se pondrá a disposición del CZFB esta plataforma son la siguientes: - La disponibilidad del servicio será 24x7x365. - Se dispondrá de un servicio de mantenimiento de incidencias y soporte de la plataforma, que de acuerdo a las siguientes condiciones: - o Se prestará vía telefónica y/o medios telemáticos. - o El horario sería De lunes a jueves (laborables) de 9:00h a 18:00h y los viernes de 08:00 a 14:00. - Este soporte será prestado por técnicos expertos en la plataforma. - El soporte se ofrecerá sin limitación de contactos o tickets generados. El adjudicatario deberá tener en cuenta la planificación establecida del programa de auditorías y deberá evitar la realización de tareas de mantenimiento de la plataforma (como actualización de versiones) durante las fechas previstas de las auditorías, evitando así el riesgo de indisponibilidad del servicio durante los períodos críticos de realización de auditorías. El adjudicatario en la memoria deberá especificar de forma detallada las características técnica de esta plataforma. <!-- image --> ## 3. Condiciones para los servicios ## 3.1 Equipo de trabajo El licitador propondrá un equipo de auditores integrado por el número que considere oportuno en para dar respuesta a los servicios detallados en el capítulo 2 'Alcance del contrato'. La empresa adjudicataria deberá garantizar y asegurar que la capacitación técnica y experiencia de las personas asignadas al servicio descrito en el presente pliego es suficiente y la adecuada para desarrollar la propuesta organizativa que oferte. En particular, se exige al equipo auditor adscrito a la ejecución del contrato -que podrá estar formado por una o más personas- que posea la siguiente certificación: - Certificación ISO 27.001 Lead Auditor El licitador propuesto como adjudicatario deberá presentar en el momento de presentación de la documentación previa a la adjudicación, los correspondientes certificados acreditativos de ostentar la certificación exigida, respecto de aquellos perfiles que vayan a ejecutar el contrato. El CZFB podrá solicitar cualquier información adicional necesaria para corroborar este extremo. La contratista se compromete a mantener durante toda la vida del contrato al equipo de trabajo propuesto y que ha sido objeto de valoración y, por tanto, determinante de la adjudicación. Durante la ejecución del contrato, la empresa adjudicataria deberá comunicar al CZFB cualquier variación en los miembros del equipo auditor. En caso de que, por causa ajena al contratista, hubiera de sustituirse a algún miembro del equipo, este deberá reunir además de los requisitos mínimos exigidos, aquellos que fueron determinantes de la adjudicación, lo que tendrá que ser acreditado por la contratista y comprobado previamente por el CZFB, quien aprobará la sustitución tras la comunicación del contratista. El CZFB se reserva el derecho a rechazar, de manera motivada, en cualquier momento a cualquiera de los miembros que se encuentren formando parte del equipo de trabajo por incurrir en falta de diligencia, comportamiento inapropiado o cualquier otro motivo que quede justificado y que haga aconsejable su reemplazo para el buen fin del contrato. El adjudicatario se compromete a cambiar adecuadamente al personal rechazado sin que en ningún momento suponga un perjuicio para el CZFB. La persona sustituta deberá reunir, como mínimo, la misma experiencia y cualificación profesional que la persona sustituida. La empresa adjudicataria se responsabilizará de que las personas que realicen los trabajos no estén incursas en ninguna de las causas de prohibición para contratar con la administración establecidas en el Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público. ## 3.2 Responsable del contrato y coordinación del servicio El CZFB y el adjudicatario designarán cada uno a una persona (responsables de proyecto) que tendrán la autoridad para representar a su respectiva organización en relación con todos los aspectos del contrato. Los responsables de proyecto canalizarán las comunicaciones, instrucciones, consultas y notificaciones que se produzcan en la ejecución del contrato y recabarán las autorizaciones necesarias para ello. ## 3.3 Seguridad del Información <!-- image --> La infraestructura sobre la que esté instalada la plataforma proporcionados por el adjudicatario (apartado 2.2), deberá alojarse en uno o varios centros de proceso de datos (en adelante CPD) que residan dentro del territorio de la Unión Europea en cumplimiento con la normativa vigente en materia de protección de datos (Reglamento 2016/679 del Parlamento Europeo y del Consejo y Ley Orgánica 3/2018), así como para facilitar las tareas de supervisión, inspección y auditoría que fueran necesarias. En el caso de uso de una plataforma de nube pública, deberá cumplir con la normativa requerida en materia de seguridad de la información ISO 27001 o equivalente y dispondrá de certificación del cumplimiento con el Esquema Nacional de Seguridad (ENS). Será objeto y responsabilidad del adjudicatario velar por el cumplimiento de los códigos de buenas prácticas para este tipo de servicios (de acuerdo a los estándares ISO 27002 o equivalente), así como de sus posibles modificaciones y actualizaciones. ## 3.4 Lugar de prestación de los servicios El servicio será ofrecido por parte del adjudicatario en modo online y/o presencial. En cualquier caso, al menos el 70% de las sesiones se realizarán in-situ en las oficinas del CZFB. La planificación para la prestación se realizará de forma coordinada entre CZFB y el adjudicatario, asignando las jornadas mensuales necesarias hasta el máximo de jornadas u horas definidas por el adjudicatario en su propuesta. ## 3.5 Acuerdos de Nivel de Servicio (ANS) Los ANS, que se medirán mensualmente, se clasifican en dos grupos de diferente naturaleza: ## 3.5.1 Disponibilidad de la plataforma Se define como la disponibilidad del sistema completo con todos sus módulos operativos, sin incidencias reseñables en ninguno de ellos que impidan su correcto funcionamiento. | INDICADOR DE SERVICIO | CUMPLIMIENTO | |----------------------------|----------------| | Disponibilidad del sistema | >99,5% | No se considerará como indisponibilidades del servicio las paradas programadas que se produzcan, siempre que éstas estén acordadas y aprobadas por CZFB, ni las consideradas como 'fuerza mayor', ni las que se produzcan debido a terceros ajenos al adjudicatario y a su cadena de proveedores. ## 3.5.2 Incidencias y soporte Establecen las condiciones en las que el adjudicatario debe gestionar las incidencias y peticiones de soporte sobre la plataforma de gestión documental (apartado 2.2). Para medir el ANS de este apartado se definen en principio los siguientes conceptos: - Tiempo de respuesta de incidencias: por tiempo de respuesta se entiende el tiempo transcurrido desde que una incidencia, petición o consulta es notificada hasta que el adjudicatario realiza un primer contacto con el usuario, para consultar alguna duda o para informarle de que su petición está siendo gestionada. <!-- image --> - Tiempo de resolución de incidencias: por tiempo de resolución se entiende el tiempo transcurrido desde que una incidencia, petición o consulta es notificado hasta que se da por solucionada Igualmente se establece la siguiente tipificación de incidencias: | TIPO DE INCIDENCIA | DESCRIPCIÓN | CONSECUENCAS | |-----------------------------|------------------------------------------------------------------------------------------------------------------------------------------------|-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------| | Nivel 1: Incidencia crítica | La Plataforma no se encuen- tra disponible | -Afecta al entorno en producción. -Impide la prestación del Servicio contratado. -No existen alternativas viables a la prestación del servicio. | | Nivel 2: Incidencia grave | Una función o parte de la Plataforma que no resulta fundamental para la presta- ción del Servicio no se en- cuentra disponible | -Afecta al entorno en producción. -Reducen significativamente las funcionalidades de que disfruta el Cliente. -No existen alternativas viables para el desarrollo de las funcionalidades afectadas. | | Nivel 3: Incidencia me- nor | La Plataforma y sus distintas funcionalidades se encuen- tra disponibles, pero el Ser- vicio se desarrolla conforme a los estándares acordados | -No presentan un importante impacto en la funcionalidad de la Plataforma. -Existen alternativas viables. | Se definen los siguientes tiempos de respuesta y resolución en función de la criticidad de las incidencias: | NIVEL DE SEVERIDAD | TIEMPO DE RESPUESTA | TIEMPO DE RESOLUCIÓN | HORARIO DE PRESTACIÓN | |----------------------|-----------------------|---------------------------------------------------------------------------------|-------------------------| | Nivel 3: menor | 1 horas | 4 semanas o hasta la siguiente actualización del software (lo que ocurra antes) | 8x5xNBD | | Nivel 2: grave | 2 horas | 3 día | 8x5xNBD | | Nivel 3: crítica | 4 horas | 1 día | 24x7 | En cuanto a las peticiones de soporte se establecen los siguientes valores: | NIVEL DE SEVERIDAD | TIEMPO DE RESPUESTA | TIEMPO DE RESOLUCIÓN | HORARIO DE PRESTACIÓN | |----------------------|-----------------------|------------------------|-------------------------| | N/A | 8 horas | 16 horas | 8x5xNBD | ## 4. Duración del contrato Se prevé que la duración del contrato es de 3 años sin posibilidad de prórrogas adicionales. La fecha de inicio del contrato se considerará en el momento de firma del mismo. <!-- image --> ## 5. Facturación Los servicios se facturarán anualmente de acuerdo al siguiente esquema: - Al inicio del contrato se realizará la facturación por un 23% del precio del precio ofertado por el licitador en el Modelo de proposición económica. - Al final del primer año de contrato se realizará la facturación por un 32% del precio del precio ofertado por el licitador en el Modelo de proposición económica. - Al final del segundo año de contrato se realizará la facturación por un 45% del precio del precio ofertado por el licitador en el Modelo de proposición económica. Las facturas deberán emitirse con el formato fijado por el CZFB, vía FACe, en todo caso conteniendo el desglose de los impuestos indirectos aplicables indicando el número de expediente del Contrato, y se corresponderán en forma y contenido con el correspondiente pedido realizado por el CZFB, debiendo hacer constar en ellas el Número de Autorización de Pedido (Número de Pedido). ## 6. Cláusula de confidencialidad Toda información o documentación a la que acceda el personal de la empresa adjudicataria tendrá la consideración de estrictamente confidencial y no será difundida fuera del marco de la relación establecida en este pliego. ## 7. Oferta Técnica ## 7.1 Aspectos Generales A la hora de preparar la Oferta técnica, las empresas licitadoras deberán tener en cuenta lo siguiente: - La estructura y contenido de la Oferta técnica en general y de la Memoria Técnica en particular debe ajustarse estrictamente a lo establecido en sus respectivos apartados. Toda información que no se encuentre dentro de dicha estructura no se tendrá en cuenta, salvo que los pliegos establezcan lo contrario. - La Oferta técnica incluirá, en su caso, Anexos con información relacionada con el contenido de la Memoria Técnica. La inclusión de Anexos será opcional para las empresas licitadoras excepto en los casos en los que los pliegos establezcan la obligatoriedad de incluir alguno. La información de los Anexos no intervendrá en la valoración de los criterios de adjudicación y, por lo tanto, su contenido será complementario y/o servirá como elemento de verificación de lo incluido en la Memoria Técnica. No obstante, la no inclusión de Anexos que los pliegos establezcan como obligatorios será motivo de exclusión de la oferta. - La estructura y el contenido de la Memoria Técnica se corresponde uno a uno con los 'aspectos a valorar' de los criterios de adjudicación cuantificables mediante un juicio de valor. Con el fin de incluir en cada apartado la información adecuada, se recomienda la lectura de la metodología de valoración de este tipo de criterios incluida en los pliegos. <!-- image --> - La información que se incluya en toda la Oferta técnica no debe incluir ningún dato o valor referido a los criterios evaluables mediante fórmulas, ni información que permita deducirlos ya, de ser así, la propuesta en su conjunto se excluirá automáticamente del proceso de licitación. - Sobre la Memoria Técnica: - o Cuando, para un 'Subapartado' concreto de la Memoria Técnica (correspondiente a un 'Aspecto a valorar'), los pliegos establezcan la necesidad de incluir una tablaresumen, ésta deberá incluirse obligatoriamente y contendrá, al menos, los siguientes datos (columnas de la tabla): requerimiento mínimo, valor ofertado con sus características y ventajas para el CZFB en caso de que lo ofertado supere el requerimiento mínimo exigido. En caso de no incluirse dicha tabla, la puntuación que se asignará a dicho 'Aspecto a valorar' será de 0 puntos. - o En el caso de establecerse limitaciones de extensión de la Memoria Técnica, el contenido de las páginas que excedan dicha extensión no se tendrá en cuenta a la hora de la valoración de los criterios sujetos a un juicio de valor y, en consecuencia, los ' Aspectos a valorar' afectados se puntuarán con 0 puntos. - o La mesa de contratación podrá exigir a los licitadores documentación justificativa que acredite cualquier aspecto incluido en la Oferta técnica, así como precisiones o aclaraciones sobre las ofertas presentadas o información complementaria relativa a ellas, si bien las respuestas no podrán suponer una modificación de los elementos fundamentales de la oferta. ## 7.2 Contenido de la Oferta técnica La oferta técnica estará formada por un único documento (fichero) y constará obligatoriamente de los siguientes apartados: 1. Portada en la que se identifique claramente el título y el número de expediente al que corresponde la oferta 2. Índice de la oferta técnica 3. Acatamiento de los pliegos e identificación de la empresa licitadora en una página con la siguiente información: - a. Párrafo en el que la empresa licitadora exprese el acatamiento de la totalidad de lo establecido en los pliegos y en el que se declare la veracidad de la información incluida en la oferta técnica. - b. Cuadro en el que se incluyan los datos de licitador y los de la persona de contacto 4. Resumen Ejecutivo dónde se explique de forma concisa y sencilla la solución propuesta y los aspectos relevantes a destacar de la oferta. El Resumen Ejecutivo no será objeto de valoración (no se puntuará), si bien ayudará a la comprensión global de la oferta. 5. Memoria Técnica, que contiene de forma ordenada todos los criterios cuya valoración está sujeta a un juicio de valor. <!-- image --> ## 7.3 Memoria Técnica La Memoria Técnica deberá ajustarse obligatoriamente a la siguiente estructura y contenido: | CAPÍTULO | CAPÍTULO | APARTADO | APARTADO | SUBAPARTADO | SUBAPARTADO | |------------|----------------------------------|------------|----------------------------------|---------------|------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------| | 1 | 1 | | | | | | | Servicio Auditoría | 1 | Metodología | a) | Se valorarán el grado de detalle de la planificación, metodología de trabajo, medidas de control y aseguramiento de la calidad, seguridad y confidencialidad | | 2 | 2 | 2 | 2 | 2 | 2 | | | Plataforma tecnológica propuesta | 1 | Plataforma tecnológica propuesta | a) | Solución propuesta, que dé respuesta a los requerimientos funcionales tanto establecidos como mínimos como otros adicionales, cuya utilidad para el CZFB expondrá en su propuesta. | | 3 | 3 | 3 | 3 | 3 | 3 | | | Equipo de trabajo | 1 | Equipo de trabajo | a) | Se valorará: - Composición: roles y dedicación de cada perfil integrante del grupo de trabajo. - CV de cada integrante: titulación y experiencia y certificaciones. | ## 7.4 Limitaciones de extensión de la Oferta Técnica Se establecen las siguientes limitaciones en la extensión de la Oferta técnica: - Resumen Ejecutivo (punto 4 de la Oferta técnica): 1 páginas. - Memoria Técnica (punto 5 de la Oferta técnica): 20 páginas. En ambos casos las páginas se ajustarán a las siguientes características: - Tamaño hoja: A4. - Tipo letra: Arial o tipo con tamaño de letra equivalente. - Tamaño letra mínimo: 11 ppp. (puntos por pulgada). - Márgenes mínimos: 2 cm a cada borde. - Interlineado mínimo: sencillo. VºBº <!-- image --> Fdo: Carlos García Gómez Administrador de Sistemas <!-- image --> Barcelona, a fecha firma digital. <!-- image --> 23 de febrero de 2026 | 16:11 CET El Delegado Especial del Estado en el Consorcio de la Zona Franca de Barcelona