(FINANCIADO PELA UNIÃO EUROPEIA) LOTE 8: ITEM 3 Termos de Referência para a componente de Formação SSSI

Transcrição

1 República de Moçambique Ministério das Finanças CEDSIF - Centro de Desenvolvimento de Sistemas de Informação de Finanças UGEA-Unidade Gestora Executora das Aquisições UNIÃO EUROPEIA (FINANCIADO PELA UNIÃO EUROPEIA) LOTE 8: ITEM 3 Termos de Referência para a componente de Formação Certified in Risk and Information System Control (CRISC) Exam Review Course SSSI

2 2 1. Nome do curso Justificativa da formação Objectivos Gerais Específicos Conteúdo do curso e respectiva carga horária Público-alvo e número de participantes Qualificações gerais Qualificações específicas da pessoa colectiva (empresa) Qualificações específicas da pessoa singular (formador) Experiência da empresa e do formador nesta componente de formação/capacitação Condições das salas de aulas de formação e outros Metodologia da formação Resultados esperados desta acção de formação Local de realização do curso... 11

3 3 1. Nome do curso Certified in Risk and Information System Control (CRISC) Exam Review Course. 2. Justificativa da formação No âmbito da renovação e modernização da infra-estrutura tecnológica do CEDSIF, impõe-se a necessidade de dotar os técnicos de uma maior capacidade técnica de modo a responder os desafios do dia-a-dia bem como preparar os mesmos para desafios futuros. A segurança da informação é a protecção dos sistemas de informação contra a negação de serviço a usuários autorizados, assim como contra a intrusão, e a modificação não-autorizada de dados ou informações, armazenados, em processamento ou em trânsito, abrangendo a segurança dos recursos humanos, da documentação e do material, das áreas e instalações das comunicações e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaças a seu desenvolvimento. Um dos grandes desafios da equipe do Serviço de Segurança de Sistemas e Infra-estrutura (SSSI) do CEDSIF é a implementação do sistema de segurança de informação em todas as áreas e processos da organização usando as boas práticas internacionalmente recomendadas pela ISO/27001/2, Lei SOX, ISACA entre outras. No entanto para uma implementação eficiente e eficaz do sistema de segurança existe a necessidade constante de formar e actualizar os conhecimentos dos membros da equipe do SSSI nas diversas áreas de TI tais como comunicações, sistemas, sistemas de gestão de base de dados, gestão de riscos, segurança física/lógica, entre outros, de modo que a equipe tenha uma visão macro e abrangente de toda a infra-estrutura de TI. 3. Objectivos 3.1 Gerais Obter conhecimentos em sobre identificação de riscos, resposta a riscos, monitoramento de riscos, desenho e implementação de sistemas de informação, manutenção e monitoramento de sistemas de informação, etc. 3.2 Específicos Ter os consultores pertencentes ao SSSI formados e dotados de capacidade técnica de modo a implementar o sistema de segurança de informação em todas as áreas e processos da organização usando as boas práticas internacionalmente aceites. 4. Conteúdo do curso e respectiva carga horária O plano contempla a formação oficial dos seguintes cursos: Certified in Risk and Information System Control (CRISC) Exam Review Course Domínio 1- Identificação Risco, Avaliação e Avaliação Identificar, analisar e avaliar o risco de permitir a execução da estratégia de gestão de riscos corporativos. Domínio 1-Tarefa Demonstrações: 1.1 Recolha de informação e documentação de revisão para garantir que os cenários de risco são identificados e avaliados.

4 4 1.2 Identificar os requisitos legais, regulamentares e contratuais e políticas e normas organizacionais relacionadas a sistemas de informação para determinar seu potencial impacto sobre os objetivos do negócio. 1.3 Identificar ameaças e vulnerabilidades potenciais de processos de negócios, os dados associados e capacidades de suporte para auxiliar na avaliação de riscos corporativos. 1.4 Criar e manter um registro de riscos para garantir que todos os fatores de risco identificados são contabilizados. 1.5 Montar cenários de risco para estimar a probabilidade eo impacto de eventos significativos para a organização. 1.6 Analisar cenários de risco para determinar o seu impacto nos objectivos de negócio. 1.7 Desenvolver um programa de sensibilização para os riscos e realizar o treinamento para garantir que as partes interessadas compreender o risco e contribuir para o processo de gerenciamento de riscos e promover uma cultura de consciência dos riscos. 1.8 Correlacionar cenários de risco identificados nos processos de negócios relevantes para auxiliar na identificação de propriedade de risco. 1.9 Validar o apetite de risco e tolerância com a liderança sênior e as principais partes interessadas para garantir o alinhamento Domínio 1- Demonstrações conhecimento: 1.1 Conhecimento de normas, estruturas e práticas de liderança relacionados à identificação, avaliação e avaliação 1.2 Conhecimento de técnicas para a identificação de riscos, classificação, avaliação e avaliação 1.3 Conhecimento de evaluationmethods quantitativos e qualitativos de risco 1.4 Conhecimento das metas e objetivos de negócios 1.5 Conhecimento das estruturas organizacionais 1.6 Conhecimento dos cenários de risco relacionados a processos de negócios andinitiatives 1.7 Conhecimento dos critérios de informação de negócios 1.8 Conhecimento das ameaças e vulnerabilidades relacionadas aos processos e iniciativas de negócios 1.9 Conhecimento de arquitetura de sistemas de informação (por exemplo, plataformas, redes, aplicativos, bancos de dados e sistemas operacionais) 1.10 Conhecimento de conceitos de segurança da informação 1.11 Conhecimento de ameaças e vulnerabilidades relacionadas com o terço partymanagement 1.12 Conhecimento de ameaças e vulnerabilidades relacionadas com datamanagement 1.13 Conhecimento de ameaças e vulnerabilidades relacionadas com o ciclo de vida de desenvolvimento do sistema 1.14 Conhecimento de ameaças e vulnerabilidades relacionadas com o projeto e gestão do programa 1.15 Conhecimento de ameaças e vulnerabilidades relacionadas à continuidade de negócios e gerenciamento de recuperação de desastres 1.16 Conhecimento de ameaças e vulnerabilidades relacionadas com a gestão das operações de TI 1.17 O conhecimento dos elementos de um registro de riscos 1.18 Conhecimento de ferramentas e técnicas de desenvolvimento de cenário de risco 1.19 Conhecimento de ferramentas de formação a consciência do risco e as técnicas 1.20 Conhecimento dos princípios da apropriação risco 1.21 conhecimento das leis atuais e futuros, regulamentos andstandards 1,22 Conhecimento de ameaças e vulnerabilidades associadas às tecnologias emergentes Domínio 2 - Resposta a Riscos Desenvolver e implementar respostas aos riscos para garantir que os fatores e eventos de risco são abordados de uma forma rentável e em linha com os objetivos de negócios. Domínio 2-Tarefa Demonstrações: 2.1 Identificar e avaliar as opções de resposta de risco e fornecer à administração informações para que as decisões de respostas a riscos.

5 5 2.2 respostas aos riscos revisão com as partes interessadas relevantes para a validação de eficiência, eficácia e economia. 2.3 Aplicar critérios de risco para ajudar no desenvolvimento do perfil de risco para a aprovação da gerência. 2.4 Auxiliar no desenvolvimento da ação de resposta ao risco pretende abordar os fatores de risco identificados no perfil de risco da organização. 2.5 Auxiliar no desenvolvimento de casos de negócios que apoiam o plano de investimentos para garantir respostas aos riscos estão alinhados com os objetivos de negócio identificados. Domínio 2- Demonstrações conhecimento: 2.1 Conhecimento de normas, estruturas e práticas de liderança relacionados à resposta ao risco 2.2 Conhecimento das opções de resposta de risco 2.3 Conhecimento de análise de custo-benefício e retorno sobre o investimento (ROI) 2.4 Conhecimento do apetite ao risco e tolerância 2.5 Conhecimento de políticas de gestão de risco organizacional 2.6 Conhecimento dos parâmetros para seleção de resposta ao risco 2.7 Conhecimento das ferramentas e técnicas de gerenciamento de projetos 2.8 Conhecimento do portfólio, investimento e gestão de valor 2.9 Conhecimento de gerenciamento de exceções 2.10 Conhecimento de risco residual Domínio 3- Monitoramento de Risco Monitorar risco e comunicar informações para as partes interessadas relevantes para garantir a eficácia continuada da estratégia de gestão de risco da empresa. Domínio 3-Tarefa Demonstrações: 3.1 Recolha e validar os dados que medem indicadores-chave de risco (KRI) para monitorar e comunicar o seu estado para as partes interessadas. 3.2 Monitorar e comunicar os principais indicadores de risco (KRI) e atividades de gestão para auxiliar as partes interessadas relevantes no seu processo de tomada de decisão. 3.3 Facilitar a avaliações de risco independentes e processo de gestão de risco opiniões para garantir que sejam realizadas de forma eficiente e eficaz. 3.4 Identificar e reportar riscos, incluindo o cumprimento, para iniciar ações corretivas e atender aos requisitos de negócios e regulamentares. Domínio 3- Demonstrações Conhecimento: 3.1 Conhecimento de normas, estruturas e práticas que levam relacionadas ao monitoramento de risco 3.2 Conhecimento dos princípios da apropriação risco 3.3 conhecimento dos requisitos de risco e relatórios de conformidade, ferramentas e técnicas 3.4 Conhecimento do indicador chave de desempenho (KPIs) e riskindicators chave (Kris) 3.5 Conhecimento das metodologias de avaliação de risco 3.6 Conhecimento de extração de dados, validação, agregação e análise de ferramentas e técnicas 3.7 Conhecimento de vários tipos de revisões de processo de monitoramento de risco da organização (por exemplo, auditorias internas e externas, análises pelos pares, revisões regulatórias, revisões de qualidade) Domínio 4- Design da Informação Sistemas de Controle e Implementação Projetar e implementar controles de sistemas de informação em alinhamento com o apetite de risco da organização e os níveis de tolerância para apoiar os objetivos de negócios. Domínio 4-Tarefa Demonstrações: Proprietários de processos 4.1 Entrevista e documentação do projeto processo de revisão para obter uma compreensão dos objectivos do processo de negócios. 4.2 Analisar e objectivos ea concepção de processos de negócios de documentos para identificar os controles necessários sistemas de informação.

6 6 4.3 Projeto de sistemas de informação controla, em consulta com os proprietários do processo para garantir o alinhamento com as necessidades e objetivos de negócios. 4.4 Facilitar a identificação de recursos (por exemplo, pessoas, infra-estrutura, informação, arquitetura) necessária para implementar e operar os controles de sistemas de informação em um nível ideal. 4.5 Monitorar o projeto de controle de sistemas de informação e processo de implementação para garantir que ele seja implementado de forma eficaz e dentro do prazo, orçamento e escopo. 4.6 Fornecer relatórios de progresso sobre a implementação de controles de sistemas de informação para informar as partes interessadas e para assegurar que os desvios sejam prontamente resolvidos. 4.7 sistemas de informação de teste controla para verificar a eficácia e eficiência antes da implementação. 4.8 Implementar sistemas de informação controles para mitigar o risco. 4.9 Facilitar a identificação de métricas e indicadores chave de desempenho (KPIs) para permitir a medição de desempenho de controle de sistemas de informação em atender os objetivos de negócios Avaliar e recomendar ferramentas para automatizar processos de controle de sistemas de informação Fornecer documentação e treinamento para garantir controles de sistemas de informação são efetivamente executadas Garantir que todos os controles são atribuídos proprietários de controle para estabelecer a responsabilidade Estabelecer critérios de controle para ativar o controle de gerenciamento de ciclo de vida Domínio 4- Demonstrações conhecimento: 4.1 Conhecimento de normas, estruturas e práticas de liderança relacionadas com projeto de controle de sistemas de informação e implementação 4.2 Conhecimento de ferramentas de revisão de processos de negócios e técnicas 4.3 Conhecimento das metodologias e práticas de teste relacionados com projeto de controle de sistemas de informação e implementação 4.4 Conhecimento de práticas de controle relacionados aos processos e iniciativas de negócios 4.5 Conhecimento da arquitetura de sistemas de informação (por exemplo, plataformas, redes, aplicações, bancos de dados e sistemas operacionais) 4.6 Conhecimento de controles relacionados à segurança da informação 4.7 Conhecimento de controles relacionados à gestão de terceiros 4.8 Conhecimento de controles relacionados à gestão de dados 4.9 Conhecimento de controles relacionados ao ciclo de vida de desenvolvimento do sistema 4.10 Conhecimento de controles relacionados ao projeto e programmanagement 4.11 Conhecimento de controles relacionados à continuidade de negócios e gerenciamento de recuperação de desastres 4.12 Conhecimento de controles relacionados à gestão das operações de TI 4.13 Conhecimento de software e hardware de certificação e práticas BBB 4.14 Conhecimento do conceito de objetivos de controle 4.15 Conhecimento de governança, risco e conformidade (GRC) ferramentas 4.16 Conhecimento de ferramentas e técnicas para educar e formar os utilizadores Domínio 5 Monitoramento, manutenção e controle do IS Monitorar e manter sistemas de informação controles para garantir que eles funcionem de forma eficaz e eficiente. Domínio 5-Tarefa Demonstrações: 5.1 Plano, supervisionar e realizar testes para confirmar a eficiência contínua e eficácia dos controles de sistemas de informação. 5.2 Recolha de informação e documentação de revisão para identificar deficiências de controle de sistemas de informação.

7 7 Políticas de sistemas de informação 5.3 Revisão, normas e procedimentos para verificar que atender aos requisitos internos e externos da organização. 5.4 Avaliar e recomendar técnicas e ferramentas para automatizar processos de verificação de controle de sistemas de informação. 5.5 Avaliar o estado atual dos processos de sistemas de informação utilizando um modelo de maturidade para identificar as lacunas entre a maturidade do processo atual e direcionada. 5.6 Determinar a abordagem para corrigir deficiências de controle de sistemas de informação e lacunas maturidade para garantir que as deficiências sejam devidamente considerados e remediados. 5.7 Manter, evidências adequadas suficientes para apoiar as conclusões sobre a existência ea efetividade operacional dos controles de sistemas de informação. 5.8 Fornecer sistemas de informação de status de controle de relatórios para as partes interessadas relevantes para permitir a tomada de decisão informada. Domínio 5- Demonstrações conhecimento: 5.1 Conhecimento de normas, estruturas e práticas que levam relacionadas ao monitoramento e manutenção de controle de sistemas de informação 5.2 Conhecimento de arquitetura de segurança da empresa 5.3 Conhecimento das ferramentas e técnicas de monitorização 5.4 Conhecimento de modelos de maturidade 5.5 Conhecimento dos objetivos de controle, atividades e métricas relacionadas a operações de TI e processos e iniciativas de negócios 5.6 Conhecimento dos objetivos de controle, atividades e métricas relacionadas a incidentes e gerenciamento de problemas 5.7 Conhecimento de testes de segurança e ferramentas de avaliação andtechniques 5.8 Conhecimento dos objetivos de controle, atividades e métricas relacionadas à arquitetura (plataformas, redes, aplicativos, bancos de dados e sistemas operacionais) 5.9 Conhecimento dos objetivos de controle, atividades e métricas relacionadas à segurança da informação 5.10 Conhecimento dos objetivos de controle, atividades e métricas relacionadas com a gestão de terceiros 5.11 Conhecimento dos objetivos de controle, atividades e métricas relacionadas à gestão de dados 5.12 Conhecimento dos objetivos de controle, atividades e métricas relacionadas ao ciclo de vida de desenvolvimento do sistema 5.13 Conhecimento dos objetivos de controle, atividades e métricas relacionadas ao projeto e gestão do programa 5.14 Conhecimento dos objetivos de controle, atividades e métricas relacionadas a software e hardware de certificação e práticas BBB 5.15 Conhecimento dos objetivos de controle, atividades e métricas relacionadas à continuidade de negócios e gerenciamento de recuperação de desastres 5.16 Conhecimento de leis e regulamentos aplicáveis Duração do curso: 5 dias (duração do curso oficial); 5. Público-alvo e número de participantes Público-alvo: Consultores do SSSI; Número de participantes: Qualificações gerais As qualificações desejadas para o Formador (entenda-se como Pessoa Colectiva) são as que a

8 8 seguir se indicam com base no Regulamento aprovado pelo Decreto 15/2010, de 24 de Maio: i.qualificação Jurídica Certidão de registo comercial e escritura pública ou documentos equivalentes; Documentos comprovativos do preenchimento de outros requisitos estabelecidos em legislação especial param o desempenho da actividade; Declaração do concorrente de que não se encontra m situação de impedimentos e conflitos de interesses. Projecto do consórcio ou documento do consórcio já constituído, se aplicável. ii.qualificação Económico-Financeira Declaração periódica de rendimentos; Declaração anual de informação contabilística e fiscal; Balanços patrimoniais e demonstrações contabilísticas dos últimos três exercícios fiscais, apresentados nos termos da lei; Declaração de que não há pedido de falência contra o Auditor e de que não requereu concordata; Facturação média anual nos três últimos exercícios fiscais de valor igual ou superior ao valor indicado no quadro abaixo, para cada lote a que for a concorrer: Lotes Item Nome Curso Facturação Média Anual para cada Lote (MT) 1 ITIL V3 Foundation Bridge Certificate Lote 1 Lote 2 Lote 3 2 CMMI: Introduction to CMMI for Development v ISO/IEC Foundation 4 ISO Awareness Training - Business Continuity Management 5 ISO Business Continuity Management Auditor/Lead Auditor Training Course 6 ISO Internal Auditing Course - Business Continuity Management Systems. 7 Sistemas de Gestão de Qualidade ISO 9001: Implementação e Avaliação 1 Gestão de Processos de Negócios 2 Gestão de Qualidade para Gestores Executivos 3 Gestão de Projectos de TI 4 PMI Risk Management Professional (PMI RMP) 1 Arquitectura e Design de Projectos Java 2 Gestão de Requisitos 3 Gerenciamento Ágil de Projectos de Software com SCRUM 4 ISTQB Foundation , , ,00 Lote 4 1 VMware vsphere 5 - Install, Configure, Manage and ,32

9 9 Lote 5 Lote 6 Lote 7 Lote 8 Troubleshooting 2 Sistemas de Cloud e Virtualização (vcloud Director) 3 Continuidade de Negócios/Business Continuity Planning-BCP 4 Administração da Solução SNAPPROTECT 5 Infraestrutura e Gestão de Data Centers 1 CCNA-I, II, III, IV 2 CCNA-Security 3 Red Hat JBoss Application Administration I e II (JB248, JB348) 4 Red Hat System Administration (RH124, RH255, RH135, RH413) 1 Oracle WebLogic Server 11g: Essentials and Advanced Administration 2 Oracle OBIEE 1 Gestão de Aprovisionamento 2 Gestão de Compras 3 Gestão, Recrutamento e Desenvolvimento de RH 4 Gestão e Estratégica de Formação de RH 5 Gestão de Comunicação e Imagem 6 Excel para Contabilistas 7 Desenvolvimento de Macros Em Vba - Microsoft Excel 8 Gestão e Liderança 1 Certified Information Systems Security Professional (CISSP) 2 Certified Information Systems Auditor (CISA) 3 Certified in Risk and Information Systems Control (CRISC) 4 Testes de Penetração USANDO OSSTMM , , , ,00 iii.qualificação Técnica Declaração do próprio concorrente comprovativa da equipe profissional e técnica disponível para a execução do objecto da contratação, acompanhada dos respectivos currículos; Declaração emitida por pessoa de direito público ou privado comprovativa de que, nos últimos três anos o concorrente adquiriu experiência em actividades com características técnicas similares às do objecto da contratação, com indicação dos dados necessários à sua verificação. iv.regularidade Fiscal Certidão válida de quitação emitida pela Administração Fiscal; Declaração válida emitida pela instituição responsável pelo sistema nacional de segurança social. O Cadastro válido substitui a apresentação dos documentos acima mencionados com excepção de: Projecto do consórcio ou documento do consórcio já constituído, se aplicável,

10 10 Facturação média anual nos três últimos exercícios fiscais, Certidão válida de quitação emitida pela Administração Fiscal, Declaração válida emitida pela instituição responsável pelo sistema nacional de segurança social, Declaração emitida por pessoa de direito público ou privado comprovativa de que, nos últimos três anos o concorrente adquiriu experiência em actividades com características técnicas similares às do objecto da contratação e a Declaração de que não há pedido de falência contra o Concorrente 6.1 Qualificações específicas da pessoa colectiva (empresa) A empresa deverá ser um centro oficial de formação da ISACA, ou seja, deverá estar certificada pela ISACA para a realização de formações oficiais da mesma. A empresa deverá ser um centro de formação a pelo menos 3 anos. 6.2 Qualificações específicas da pessoa singular (formador) O formador deve possuir certificados oficiais da ISACA que lhe habilitam a ministrar a formação pretendida; O formador deve falar e escrever fluentemente Português; O formador deve possuir uma formação pedagógica adequada, nomeadamente: o O formador deve ter uma boa capacidade de transmissão de conhecimentos; o Experiência de trabalho como formador (mínimo 3 anos); o Domínio nas matérias a leccionar (possuindo certificado oficial da ISACA para cada uma das formações que irá ministrar). 6.3 Experiência da empresa e do formador nesta componente de formação/capacitação O formador deverá colocar no seu C.V. a referência das instituições em que ministrou as formações pretendidas; O formador deve ter experiência de trabalho auditoria de sistemas informáticos, segurança de informação, gestão de risco, governança de TI, etc.; 6.4 A participação no concurso está aberta, nas mesmas condições de igualdade, para todas as pessoas colectivas elegíveis para o efeito, individualmente ou em consórcio de proponentes estabelecidos em Moçambique ou num dos Estados do ACP; Estados-Membros da Comunidade Europeia, países candidatos oficialmente reconhecidos como tal pela Comunidade Europeia ou Estados membros do Espaço Economico Europeu; e qualquer outro país, sempre que o acesso recíproco à assistência externa tenha sido estabelecido. O acesso recíproco no tocante aos países menos avançados, nos termos da definição das Nações Unidas, é automaticamente concedido aos membros do CAD/OCDE. Isto no quadro do qual o presente concurso é financiado. 6.5 Para cada Lote do Concurso serão convidados a apresentar propostas no mínimo 4 e no máximo 8 empresas candidatas. Se o número de empresas candidatas elegíveis e reunindo os critérios para a sua selecção for inferior ao mínimo de 4, a Entidade Contratante poderá convidar os candidatos que preencheram os critérios, a apresentarem as suas propostas. No caso de mais de 8 candidatos elegíveis preencherem os critérios de selecção a Entidade Contratante fara a selecção com base no maior número de formações com características técnicas similares às do objecto da contratação foram implementados pelos candidatos nos últimos 3 anos. Os candidatos podem apresentar uma candidatura para cada lote, vários lotes ou para todos os lotes. Os candidatos serão adjudicados lote a lote e cada lote constituirá um contrato separado.

11 11 Candidaturas parciais dos lotes serão desqualificadas. 6.6 Condições das salas de aulas de formação e outros A empresa deverá garantir que as condições de formação (sala de formação, infraestrutura de TI, material didáctico da formação, etc.) estejam de acordo com os padrões da ISACA; A empresa deverá fornecer manuais oficiais de acompanhamento de cada um dos cursos em formato digital e impresso; A empresa deverá garantir a disponibilização do local (espaço), dos equipamentos/infraestrutura de TI e outros necessários para a realização das formações; A empresa deverá fornecer de forma detalhada todo o conteúdo programático de cada um dos cursos pretendidos; A empresa deverá garantir e disponibilizar a formação de forma prática; Deve garantir os lanches para os formandos. 6.7 Metodologia da formação A formação deverá seguir a metodologia estabelecida pela ISACA para ministrar o curso pretendido. 7. Resultados esperados desta acção de formação Ter os consultores formados e capacitados de acordo com o conteúdo programático dos cursos pretendidos. 8. Local de realização do curso Em qualquer parte do mundo, incluindo Moçambique N.B. As propostas Técnica e Financeira não devem ser apresentadas na fase da Manifestação de Interesse. Maputo, Setembro de 2014 SSSI - Serviço de Segurança de Sistema de Informação