“SERVICIO DE CONSULTORÍA PARA LA ELABORACIÓN DE DOCUMENTOS

DE GESTIÓN DE TECNOLOGÍAS Y SEGURIDAD DE LA INFORMACIÓN DEL

SERVICIO DE ADMINISTRACIÓN TRIBUTARIA DE PIURA”

TÉRMINOS DE REFERENCIA

1. ANTECED ENT ES

La Ley Nº 27658, Ley Marco de Modernización de la Gestión del Estado, aprobada

por el Congreso de la República en el año 2002, establece en su artículo 1:
“Declárese al Estado peruano en proceso de modernización en sus diferentes
instancias, dependencias, entidades, organizaciones y procedimientos, con la
finalidad de mejorar la gestión pública y construir un Estado democrático,
descentralizado y al servicio del ciudadano”.

El Estado Peruano a través del D.S. Nº 066-2011-PCM aprueba el “Plan de

Desarrollo de la Sociedad de la Información en el Perú - La Agenda Digital
Peruana 2.0”, en cuya Matriz de Objetivos y Estrategias, el Objetivo 7 establece la
necesidad de promover una Administración Pública de calidad orientada a la
población.

El 23 de Mayo del 2012, mediante R.M. N° 129-2012-PCM, fue aprobada el uso

obligatorio de la Norma Técnica Peruana “NTP-ISO/IEC 27001:2008 EDI
Tecnología de la Información. Técnicas de Seguridad. Sistemas de gestión de
seguridad de la Información. Requisitos” en todas las entidades integrantes del
Sistema Nacional de Informática. Los controles de seguridad deberán ser
implementados de acuerdo a las recomendaciones de la Norma Técnica Peruana
“NTP-ISO/IEC 17799:2007 EDI Tecnología de la Información. Código de Buenas
Prácticas para la gestión de la seguridad de la información. 2ª Edición” dispuesto
por la R.M. N° 246-2007-PCM del 22 de Agosto del 2007.

Que con Informe de Auditoria N°003-2009-2-5187, se hacen las siguientes

observaciones al Departamento de Informática: a) Inexistencia de un comité de
informática formalmente establecido, b) falta de una metodología de planificación
(Plan Estratégico de Tecnología de Información – PETI), c) carencia de un estudio
de vulnerabilidad de la entidad frente a los riesgos físicos o no físicos, que incluye
el riesgo informático, d) Inexistencia de puesto o cargo específico para la seguridad
y auditoría Informática, ni políticas de formales que establezcan responsables,
frecuencias y metodologías a seguir para efectuar revisiones de los archivos de
auditoria, e) Implementar normas que indiquen las tareas necesarias a realizar,
para recuperar la capacidad de procesamiento ante una eventual contingencia.
(Plan de Contingencia y Plan de Recuperación de Desastres)

Que con Informe de Auditoria N° 002-2011-2-5187 Obs. 5, se hacen las

siguientes observaciones: a) En cuanto a la Planeación y Organización; No se
cuenta con un Plan Estratégico de Tecnologías de Información – PETI, no existen
políticas de seguridad y manual de procedimientos, asimismo no se cuenta con
una definición formal de la arquitectura de información de la entidad, b) En cuanto
a la Adquisición, Implementación y Mantenimiento de recursos de TI, no existe un
Proyecto de Integración Empresarial, propuesto por RM N° 179-2004-PCM, c)
Referente a la entrega de servicios y soporte, no se cuenta con un Plan de
Continuidad del Negocio, que involucra un plan de contingencia y plan de
recuperación de desastres, asimismo no se cuenta con un Plan de Seguridad de la
Información y d) Referente al Monitoreo y Evaluación, no se cuenta con un proceso
implementado de Monitoreo de Tecnologías de Información.

Que con Informe N° 011-2011-DI-GA-SATP, se planificaron las actividades a

realizar para la ejecución de las recomendaciones citadas anteriormente, estando
sujeto a la capacitación y asesoramiento de profesionales expertos en estándares
internacionales para el levantamiento de dichas observaciones. No obstante no
pudo llevarse a cabo debido a la falta de disponibilidad presupuestal durante los
años 2011 y 2012.

Para el presente año mediante RGG N°140-2013-SATP, se aprueba el plan anual

de contrataciones (PAC) del año 2013, en el cual se incluye el Servicio de
Consultoría para la Elaboración de Documento de Gestión de TI.

El Servicio de Administración de Tributaria de Piura (SATP) para poder afrontar

eficazmente la demanda de servicios e información de sus usuarios internos y
externos, y como parte del proceso de modernización institucional, tiene como
objetivo mejorar la gestión de sus sistemas de información e incorporar buenas
prácticas en materia de tecnologías y seguridad de la información. Para tal efecto
se ha planificado, para el año 2013, la elaboración e implementación de los
documentos de gestión de tecnología y seguridad de la información con el
acompañamiento una empresa consultora especializada.
2. OBJETIVO

2.1. Objetivo General

Contratación de una empresa especializada que brinde asesoría para la

elaboración e implementación de los documentos de gestión de tecnología y
seguridad de la información, que permita dotar a la institución de herramientas
para una gestión eficiente del servicio TIC, el desarrollo ordenado de los
proyectos informáticos y la aplicación de las mejores prácticas en seguridad de
la información y continuidad del negocio.

2.2. Objetivos Específicos

1) Asesorar la elaboración del Plan Estratégico de Tecnologías de

Información (PETI) y el Plan Operativo Informático (POI) del año 2013.
2) Elaborar el Plan de Seguridad de la Información (PSI), la Política y el
Alcance del Sistema de Gestión de Seguridad de la Información (SGSI)
así como un Plan de Adecuación para la Implementación de la NTP
ISO/IEC 27001:2008.
3) Elaborar e implementar el Plan de Continuidad del Negocio (PCN), Plan
de Contingencias (PC) y Plan de Recuperación de Desastres (PRD) en
concordancia con la NTP ISO/IEC 17799:2007, tomando como referencia
estándares internacionales como BS 25999 e ISO 22301.
4) Elaborar e implementar documentos operativos de tecnologías y
seguridad de la información que cubran los siguientes aspectos:
 Gestión de Accesos a Sistemas de Información.
 Gestión de Cambios en ambientes operativos.
 Gestión del Correo Electrónico.
 Respaldo y Recuperación.
 Adquisición, Desarrollo y Mantenimiento de Sistemas de Información.
 Metodología de Desarrollo de Sistemas.
 Gestión de Registros de Auditoría (Logs).
 Administración del Sofware Legal.
 Monitoreo de Tecnologías de Información.
 Mantenimiento Preventivo y Correctivo de Equipos.
 Portal Web y Transparencia.
5) Concientizar y sensibilizar al personal en materia de Seguridad de la
información y continuidad del negocio.
 6) Capacitar al personal del Departamento de Informática y personal clave
en Seguridad de la Información y Continuidad del Negocio.

3. FINALIDAD PÚBLICA

Los documentos de gestión de tecnología y seguridad de la información serán de

utilidad para el establecimiento y medición de los objetivos y metas de los
proyectos alineados al plan estratégico institucional, el soporte a la gestión de
tecnologías de información y comunicaciones, y el aseguramiento de la
información de la institución y sus contribuyentes, lo cual permitirá afrontar con
eficacia, eficiencia y seguridad la demanda de servicios e información de sus
usuarios internos y externos, y tendrá un impacto en la mejora del servicio de cara
al contribuyente.

4. PRODUCTOS ESPERAD OS

Como entregables del servicio se esperan los siguientes:

1) Plan Estratégico de Tecnologías de Información (PETI), que incluye: análisis

interno; análisis externo; acciones estratégicas; modelos de arquitectura de
procesos, datos, e infraestructura tecnológica; cartera de proyectos TIC, etc.
Considerando un horizonte de planificación de cuatro años. Adicionalmente se
asesorará la formulación y ejecución del Plan Operativo Informático (POI).
2) Plan de Seguridad de la Información (PSI) en concordancia con la NTP-
ISO/IEC 27001:2008. Incluyendo el plan de trabajo para la adecuación a la
misma.
3) Documentos de Política de Seguridad de la Información y Alcance del Sistema
de Gestión de Seguridad de la Información conforme a los requisitos de la
NTP-ISO/IEC 27001:2008.
4) Procedimientos Operativos de tecnologías y seguridad de la información que
cubren los siguientes aspectos:
 Gestión de Accesos a Sistemas de Información.
 Gestión de Cambios en ambientes operativos.
 Gestión del Correo Electrónico.
 Respaldo y Recuperación.
 Adquisición, Desarrollo y Mantenimiento de Sistemas de Información.
 Metodología de Desarrollo de Sistemas.
 Gestión de Registros de Auditoría (Logs).
 Administración del Sofware Legal.
 Monitoreo de Tecnologías de Información.
  Mantenimiento Preventivo y Correctivo de Equipos.
 Portal Web y Transparencia.
5) Documentos de Gestión de la Continuidad del Negocio: Plan de Continuidad
del Negocio (PCN), Plan de Contingencias (PC) y Plan de Recuperación de
Desastres (PRD).
6) Actas de asistencia a las charlas de concientización y sensibilización en
seguridad de la información y continuidad del negocio y a las charlas de
capacitación al personal del Departamento de Informática y personal clave.
7) Certificados de asistencia a los cursos de capacitación en seguridad de la
información y continuidad del negocio para el personal del Departamento de
Informática y personal clave.

Los documentos deberán presentarse en manera impresa (02 ejemplares) y en

medio magnético (02 CD’s).

5. CAPACITACIÓN

El PROVEEDOR deberá proveerá capacitación al personal del Servicio de

Administración Tributaria de Piura, para lo cual realizará las siguientes actividades:

1) Una charla de concientización y sensibilización en materia de seguridad de la

información para el personal de las diferentes áreas del SATP, con una
duración de una (01) hora para todo el personal y/o por grupos.
2) Un curso de especialización en Gestión de Seguridad de la Información y
Gestión de la Continuidad del Negocio con una duración de ocho (08) horas
para el personal del Departamento de Informática y personal clave un máximo
de diez (10) participantes. Incluye certificados de asistencia.

6. LUGAR Y PLAZO DE EJECUCIÓN DEL SERVICIO

6.1. LUGAR

El lugar de ejecución del servicio será en las instalaciones del servicio de

administración tributaria.

6.2. PLAZO

El servicio tendrá una duración máxima de tres (03) meses o seis (6)
quincenas.
7. CONFORMIDAD DEL SERVICIO

El Jefe del Departamento de Informática será responsable de la supervisión y

coordinación de las actividades del PROVEEDOR.

El Jefe del Departamento de Informática será quien otorgue conformidad a los

entregables, verificando que los resultados se ajusten a los Términos de
Referencia.

8. REQU ERIMIENTOS MÍNIMOS D EL POSTOR Y PERSONAL PROPUESTO

A. Del Postor

Contar por lo menos con dos (02) años de experiencia brindando servicios de
tecnologías y/o seguridad de la información y elaboración de políticas,
procedimientos u otros documentos normativos de tecnologías o seguridad para
instituciones públicas, empresas del estado o de propiedad municipal.

Para acreditar la experiencia se deberá presentar una hoja resumen a manera

de declaración jurada donde detalle la experiencia obtenida (fecha inicial y final)
y las cartas o certificados de conformidad de las empresas o instituciones
donde se hayan desarrollado dichos servicios.

B. Del Personal

El PROVEEDOR deberá asegurar la participación mínima de tres (03)

especialistas.

El currículum vitae de cada especialista deberá presentarse documentado con

los certificados y/o constancias que acrediten los estudios profesionales,
estudios de especialización y experiencia profesional. Cabe recalcar que para
acreditar la experiencia solicitada será válida la inclusión del detalle de las
funciones realizadas en el currículum vitae.

Los especialistas deben cumplir con los siguientes requisitos:

Cod. Especialista Función en el Servicio Participación

1 Consultor  Seguimiento del Servicio. A tiempo

Supervisor del  Presentaciones de inicio, parcial con
Servicio avance y cierre del Servicio. visitas de
 Capacitación especializada al frecuencia
personal de informática y semanal.
personal clave.
2 Consultor Senior  Asesorar la Elaboración e A tiempo
del Servicio Implementación de documentos completo
de gestión. mientras dure
 Capacitación y sensibilización el servicio.
al personal.
3 Consultor del  Trabajo de campo: entrevistas A tiempo
Servicio con el personal y talleres completo
grupales. mientras dure
 Elaboración e implementación el servicio.
de documentos de gestión.

1. Consultor Jefe del Equipo

Estudios Profesionales
 Titulado en Ingeniería de Sistemas ó similar.
 Ingeniero Colegiado y con colegiatura vigente.
 Estudios de Maestría en Administración de Empresas o Finanzas
Empresariales.

Estudios de Especialización
 Estudios de Post-Grado en Planeamiento Estratégico Informático.
 Estudios de Especialización en Tecnologías de información.
 Estudios en Seguridad de la Información y Seguridad Informática.
 Estudios en Diseño, Mejora o Modelamiento de Procesos.
 Estudios de Especialización relacionados con certificaciones en
seguridad CISSP y Security+.
 Estudios de Ethical Hacking.

Experiencia Laboral
 Experiencia mínima de siete (07) años en Tecnologías de la
Información en entidades públicas, empresas del estado o de
propiedad municipal.
 Experiencia mínima de tres (03) años en Seguridad de la Información
en entidades públicas, empresas del estado o de propiedad municipal.
 Como mínimo tres (3) servicios de consultoría en entidades públicas,
empresas del estado o de propiedad municipal en materia de
tecnología o seguridad de la información.
  Como mínimo dos (2) servicios de auditoría en entidades públicas,
empresas del estado o de propiedad municipal.
 Experiencia demostrable en Docencia Universitaria.

Otros
 Certificación Profesional CISM (Certified Information Security
Manager) de ISACA.

2. Consultor Senior del Servicio

Estudios Profesionales
 Titulado en Ingeniería de Sistemas ó similar.
 Ingeniero Colegiado y con colegiatura vigente.
 Estudios de Maestría en Administración de Empresas o Finanzas
Empresariales.

Estudios de Especialización
 Estudios en Tecnología de la Información.
 Estudios en Seguridad de la Información y Seguridad Informática.
 Estudios en Auditoría y Control Interno.
 Estudios en COBIT.
 Estudios en COSO.

Experiencia Laboral
 Experiencia mínima de cinco (05) años en Tecnologías de la
Información.
 Experiencia mínima de tres (03) años en Seguridad de la Información
y/o Continuidad del Negocio.
 Experiencia mínima de un (01) año como Oficial de Seguridad de la
Información en entidad pública, empresa del estado o de propiedad
municipal.
 Experiencia mínima de un (01) año como especialista en organización
y métodos y/o gestión por procesos en entidad pública, empresa del
estado o de propiedad municipal.
 Experiencia mínima de tres años (03) en Control Interno, Auditoría de
TI y Seguridad de la Información.
 Experiencia demostrable en Docencia Universitaria.

3. Consultor del Servicio

Estudios Profesionales
 Titulado en Ingeniería de Sistemas ó similar.
 Estudios de Especialización
 Estudios en Tecnologías de Información.
 Estudios de en Auditoría de Sistemas y Seguridad de la Información.
 Estudios en Seguridad en Redes y Telecomunicaciones.

Experiencia Laboral

 Experiencia mínima de tres (03) años en TI, seguridad de la información,

continuidad del negocio y/o gestión de riesgos.
 Experiencia demostrable como jefe o responsable de organización y
métodos.
 Experiencia demostrable como Oficial de Seguridad de la Información.

Carreras similares a la Ingeniería de Sistemas

Las carreras que serán consideradas como similares son las siguientes: Ingeniería
de Sistemas y/o Informática y/o Electrónica y/o Telecomunicaciones y/o Industrial
y/o Software y/o Computación y/o Redes y/o Seguridad.

El Currículum Vitae u Hoja de vida deberá presentarse documentado con los

certificados y/o constancias que acrediten la formación y experiencia requeridas,
cabe recalcar que para la experiencia solicitada será válida la inclusión del detalle
de las funciones realizadas en el Currículum Vitae.

9. CRONOGRAMA DEL SERVICIO

Las actividades del servicio se muestran a continuación:

Cronograma
Actividades Quin. Quin. Quin. Quin. Quin. Quin.
1 2 3 4 5 6

1. Presentación inicial y actividades de

inicio del proyecto.
2. Entrevistas y recopilación de
información.
3. Elaboración del Plan Estratégico de
Tecnologías de Información (PETI).
4. Elaboración de Plan de Seguridad de
la Información; Política y Alcance del
SGSI.
5. Elaboración del Plan de Continuidad
del Negocio, Plan de Contingencia y
 Cronograma
Actividades Quin. Quin. Quin. Quin. Quin. Quin.
1 2 3 4 5 6

Plan de Recuperación de Desastres.

6. Elaborar e implementar documentos
operativos de tecnologías y seguridad
de la información.
7. Concientizar y sensibilizar al personal
en materia de Seguridad de la
Información y Continuidad del
Negocio.
8. Capacitar al personal de Informática y
personal clave en Seguridad de la
Información y Continuidad del
Negocio.
9. Cierre del Proyecto, ajustes finales y
formalización de documentos.

10. OBLIGACIÓN DE CONFIDENCIALIDAD

El PROVEEDOR debe reconocer que, con ocasión de la ejecución del servicio de

consultoría, se compromete a no revelar, comentar, suministrar o transferir de
cualquier forma a terceros, cualquier información estrictamente confidencial que
hubiese recibido directa o indirectamente del Servicio de Administración Tributaria
de Piura y la que pudiera haberse generado, aún después de cumplir la vigencia
del contrato. Esta obligación incluye a todo el personal designado para la
prestación del servicio.