termos de referência para a componente de formação
Transcrição
termos de referência para a componente de formação
República de Moçambique Ministério das Finanças CEDSIF - Centro de Desenvolvimento de Sistemas de Informação de Finanças UGEA-Unidade Gestora Executora das Aquisições UNIÃO EUROPEIA (FINANCIADO PELA UNIÃO EUROPEIA) LOTE 8: ITEM 1 Termos de Referência para a componente de Formação Formação em Certified Information Systems Security Professional (CISSP) da (ISC)² SSSI _______________________________________________________________ TERMOS DE REFERÊNCIA PARA A COMPONENTE DE FORMAÇÃO FORMAÇÃO EM CERTIFIED INFORMATION SYSTEMS SECURITY PROFESSIONAL (CISSP) DA (ISC)² 2 1. Nome do curso .......................................................................................................................................3 2. Justificativa da formação........................................................................................................................3 3. Objectivos ..............................................................................................................................................3 3.1 Gerais ............................................................................................................................................3 3.2 Específicos.....................................................................................................................................3 4. Conteúdo do curso e respectiva carga horária.......................................................................................3 5. Público-alvo e número de participantes .................................................................................................5 6. Qualificações gerais ...............................................................................................................................5 6.1 Qualificações específicas da pessoa colectiva (empresa) .............................................................5 6.2 Qualificações específicas da pessoa singular (formador) ..............................................................8 6.3 Experiência da empresa e do formador nesta componente de formação/capacitação ..................8 6.4 Condições das salas de aulas de formação e outros .....................................................................8 6.5 Metodologia da formação...............................................................................................................9 7. Resultados esperados desta acção de formação ..................................................................................9 8. Local de realização do curso .................................................................................................................9 TERMOS DE REFERÊNCIA PARA A COMPONENTE DE FORMAÇÃO FORMAÇÃO EM CERTIFIED INFORMATION SYSTEMS SECURITY PROFESSIONAL (CISSP) DA (ISC)² 3 1. Nome do curso Formação em Certified Information Systems Security Professional (CISSSP) da (ISC)². 2. Justificativa da formação No âmbito da renovação e modernização da infra-estrutura tecnológica do CEDSIF, impõe-se a necessidade de dotar os técnicos de uma maior capacidade técnica de modo a responder os desafios do dia-a-dia bem como preparar os mesmos para desafios futuros. A segurança da informação é a protecção dos sistemas de informação contra a negação de serviço a usuários autorizados, assim como contra a intrusão, e a modificação não-autorizada de dados ou informações, armazenados, em processamento ou em trânsito, abrangendo a segurança dos recursos humanos, da documentação e do material, das áreas e instalações das comunicações e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaças a seu desenvolvimento. Um dos grandes desafios da equipe do Serviço de Segurança de Sistemas e Infra-estrutura (SSSI) do CEDSIF é a implementação do sistema de segurança de informação em todas as áreas e processos da organização usando as boas práticas internacionalmente recomendadas pela ISO/27001/2, Lei SOX, ISACA, (ISC)² entre outras. No entanto para uma implementação eficiente e eficaz do sistema de segurança existe a necessidade constante de formar e actualizar os conhecimentos dos membros da equipe do SSSI nas diversas áreas de TI tais como comunicações, sistemas, sistemas de gestão de base de dados, gestão de riscos, segurança física/lógica, entre outros, de modo que a equipe tenha uma visão macro e abrangente de toda a infra-estrutura de TI. 3. Objectivos 3.1 Gerais Obter conhecimentos a nível de segurança de informação nos vários domínios que incluem análise e gestão de riscos, segurança no desenvolvimento de aplicações, computação na nuvem, segurança móvel, etc. 3.2 Específicos Ter os consultores pertencentes ao SSSI formados e dotados de capacidade técnica de modo a implementar o sistema de segurança de informação em todas as áreas e processos da organização usando as boas práticas internacionalmente aceites. 4. Conteúdo do curso e respectiva carga horária O plano contempla a formação oficial dos seguintes cursos: Formação/Treinamento oficial em CISSSP da (ISC)² o Número de formandos: 4; o Duração do curso: 10 dias (duração do curso oficial); o Data da realização do curso: logo que possível, no entanto as datas deverão ser acordadas previamente com o SSSI; TERMOS DE REFERÊNCIA PARA A COMPONENTE DE FORMAÇÃO FORMAÇÃO EM CERTIFIED INFORMATION SYSTEMS SECURITY PROFESSIONAL (CISSP) DA (ISC)² 4 o A formação deverá ser ministrada em português usando material didáctico (manuais, slides, etc.) na língua portuguesa ou inglesa; o No final do curso deverá ser fornecido um certificado de participação oficial da International Information Systems Security Certification Consortium ((ISC)²); o Conteúdo do curso: Os domínios do CISSP são retirados de vários tópicos de segurança da informação dentro da (ISC) ² CBK. O CISSP CBK consiste nos dez domínios seguintes: 1. Controle de Acesso - um conjunto de mecanismos que trabalham juntos para arquitetura createsecurity para proteger os ativos do sistema de informação. • Conceitos / metodologias / técnicas • Eficácia • Ataques 2 Telecomunicações e Segurança de Rede -. Discute estruturas de rede, métodos de transmissão, formatos de transporte e medidas de segurança utilizadas para prestar disponibilidade, integridade e confidencialidade. • Arquitetura de rede e design • Os canais de comunicação • Os componentes de rede • Os ataques de rede . 3 Governança de Segurança da Informação e Gestão de Riscos - a identificationof ativos de informação de uma organização eo desenvolvimento, documentationand implementação de políticas, normas, procedimentos e diretrizes. • Segurança e governança política • Classificação da informação / propriedade • Os acordos contratuais e os processos de aquisição • conceitos de gestão de riscos • segurança pessoal • educação de segurança, treinamento e conscientização • Certificação e acreditação 4 Software Security Development -. Refere-se aos controles que estão incluídos no âmbito dos sistemas e softwares aplicativos e os passos utilizados em seu desenvolvimento. • ciclo de vida de desenvolvimento de sistemas (SDLC) • controles de ambiente do aplicativo e de segurança • Eficácia da segurança de aplicativos 5 Criptografia -. Os princípios, meios e métodos de disfarçar informações para garantir a sua integridade, andauthenticity confidencialidade. • conceitos de criptografia • As assinaturas digitais • ataques Cryptanalytic • Infra-estrutura de chave pública (PKI) • Informações escondendo alternativas TERMOS DE REFERÊNCIA PARA A COMPONENTE DE FORMAÇÃO FORMAÇÃO EM CERTIFIED INFORMATION SYSTEMS SECURITY PROFESSIONAL (CISSP) DA (ISC)² 5 6 Arquitetura e Design Segurança -. Contém os conceitos, princípios, estruturas e padrões utilizados para projetar, implementar, monitorar e segura, sistemas operacionais, equipamentos, redes, aplicativos e os controles utilizados toenforce vários níveis de confidencialidade, integridade e disponibilidade. • Conceitos fundamentais de modelos de segurança • Capacidades de sistemas de informação (por exemplo, proteção de memória, virtualização) • princípios Contramedidas • Vulnerabilidades e ameaças (por exemplo, computação em nuvem, agregação, controle de fluxo de dados) 7 Operações de Segurança -. Utilizado para identificar os controles sobre hardware, mídia e os operadores com privilégios de acesso a qualquer um desses recursos. • Proteção de Recursos • Resposta a Incidentes • prevenção e resposta a ataque • O gerenciamento de patches e vulnerabilidade 8 Continuidade de Negócios e Recuperação de Desastres Planejamento -. Aborda a preservação do negócio em face de grandes perturbações nas operações normais de negócios. • análise do impacto nas empresas • estratégia de recuperação • processo de recuperação de desastres • Fornecer treinamento 9 Legal, Regulamentos, Investigações e Compliance - aborda as leis e regulamentos de criminalidade informática.; as medidas de investigação e técnicas que podem ser usados para determinar se um crime foi cometido e métodos para gatherevidence. • Questões legais • Investigações • procedimentos forenses • requisitos de conformidade / procedimentos 10 Física (ambiental) Segurança -. Aborda as ameaças, vulnerabilidades e contramedidas que podem ser utilizados tophysically proteger os recursos de uma empresa e informações confidenciais. • Considerações sobre o projeto do site / instalação • A segurança do perímetro • A segurança interna • Instalações de segurança 5. Público-alvo e número de participantes Público-alvo: Consultores do SSSI; Número de participantes: 4. 6. Qualificações gerais As qualificações desejadas para o Formador (entenda-se como Pessoa Colectiva) são as que a seguir se indicam com base no Regulamento aprovado pelo Decreto 15/2010, de 24 de Maio: i.Qualificação Jurídica TERMOS DE REFERÊNCIA PARA A COMPONENTE DE FORMAÇÃO FORMAÇÃO EM CERTIFIED INFORMATION SYSTEMS SECURITY PROFESSIONAL (CISSP) DA (ISC)² 6 Certidão de registo comercial e escritura pública ou documentos equivalentes; Documentos comprovativos do preenchimento de outros requisitos estabelecidos em legislação especial param o desempenho da actividade; Declaração do concorrente de que não se encontra m situação de impedimentos e conflitos de interesses. Projecto do consórcio ou documento do consórcio já constituído, se aplicável. ii.Qualificação Económico-Financeira Lotes Lote 1 Lote 2 Lote 3 Lote 4 Declaração periódica de rendimentos; Declaração anual de informação contabilística e fiscal; Balanços patrimoniais e demonstrações contabilísticas dos últimos três exercícios fiscais, apresentados nos termos da lei; Declaração de que não há pedido de falência contra o Auditor e de que não requereu concordata; Facturação média anual nos três últimos exercícios fiscais de valor igual ou superior ao valor indicado no quadro abaixo, para cada lote a que for a concorrer: Item Nome Curso 1 2 ITIL V3 Foundation Bridge Certificate CMMI: Introduction to CMMI for Development v 1.3 3 4 ISO/IEC 20000 Foundation ISO 22301 - Awareness Training - Business Continuity Management ISO 22301 - Business Continuity Management Auditor/Lead Auditor Training Course 5 Facturação Média Anual para cada Lote (MT) 6 ISO 22301 - Internal Auditing Course - Business Continuity Management Systems. 7 Sistemas de Gestão de Qualidade ISO 9001: Implementação e Avaliação 1 Gestão de Processos de Negócios 2 3 4 1 Gestão de Qualidade para Gestores Executivos Gestão de Projectos de TI PMI Risk Management Professional (PMI – RMP) Arquitectura e Design de Projectos Java 2 3 4 1 Gestão de Requisitos Gerenciamento Ágil de Projectos de Software com SCRUM ISTQB Foundation VMware vSphere 5 - Install, Configure, Manage Troubleshooting Sistemas de Cloud e Virtualização (vCloud Director) 2 3.574.330,00 1.907.588,00 4.199.735,00 and 3.457.655,32 TERMOS DE REFERÊNCIA PARA A COMPONENTE DE FORMAÇÃO FORMAÇÃO EM CERTIFIED INFORMATION SYSTEMS SECURITY PROFESSIONAL (CISSP) DA (ISC)² 7 Lote 5 3 4 5 1 Continuidade de Negócios/Business Continuity Planning-BCP Administração da Solução SNAPPROTECT Infraestrutura e Gestão de Data Centers CCNA-I, II, III, IV 2 3 4 1 CCNA-Security Red Hat JBoss Application Administration I e II (JB248, JB348) Red Hat System Administration (RH124, RH255, RH135, RH413) Oracle WebLogic Server 11g: Essentials and Advanced Administration Lote 6 Lote 7 Lote 8 2 1 Oracle OBIEE Gestão de Aprovisionamento 2 3 4 5 6 7 8 1 Gestão de Compras Gestão, Recrutamento e Desenvolvimento de RH Gestão e Estratégica de Formação de RH Gestão de Comunicação e Imagem Excel para Contabilistas Desenvolvimento de Macros Em Vba - Microsoft Excel Gestão e Liderança Certified Information Systems Security Professional (CISSP) 2 3 4 Certified Information Systems Auditor (CISA) Certified in Risk and Information Systems Control (CRISC) Testes de Penetração USANDO OSSTMM 4.195.268,80 2.413.940,00 2.380.621,60 1.561.800,00 iii.Qualificação Técnica Declaração do próprio concorrente comprovativa da equipe profissional e técnica disponível para a execução do objecto da contratação, acompanhada dos respectivos currículos; Declaração emitida por pessoa de direito público ou privado comprovativa de que, nos últimos três anos o concorrente adquiriu experiência em actividades com características técnicas similares às do objecto da contratação, com indicação dos dados necessários à sua verificação. iv.Regularidade Fiscal Certidão válida de quitação emitida pela Administração Fiscal; Declaração válida emitida pela instituição responsável pelo sistema nacional de segurança social. O Cadastro válido substitui a apresentação dos documentos acima mencionados com excepção de: Projecto do consórcio ou documento do consórcio já constituído, se aplicável, Facturação média anual nos três últimos exercícios fiscais, Certidão válida de quitação emitida pela Administração Fiscal, Declaração TERMOS DE REFERÊNCIA PARA A COMPONENTE DE FORMAÇÃO FORMAÇÃO EM CERTIFIED INFORMATION SYSTEMS SECURITY PROFESSIONAL (CISSP) DA (ISC)² 8 válida emitida pela instituição responsável pelo sistema nacional de segurança social, Declaração emitida por pessoa de direito público ou privado comprovativa de que, nos últimos três anos o concorrente adquiriu experiência em actividades com características técnicas similares às do objecto da contratação e a Declaração de que não há pedido de falência contra o Concorrente. 6.1 Qualificações específicas da pessoa colectiva (empresa) A empresa deverá ser um centro oficial de formação da (ISC)², ou seja, deverá estar certificada pela (ISC)² para a realização de formações oficiais da mesma. A empresa deverá ser um centro de formação a pelo menos 3 anos. 6.2 Qualificações específicas da pessoa singular (formador) O formador deve possuir certificados oficiais da (ISC)² que lhe habilitam a ministrar as formações em CISSP; O formador deve falar e escrever fluentemente Português; O formador deve possuir uma formação pedagógica adequada, nomeadamente: o O formador deve ter uma boa capacidade de transmissão de conhecimentos; o Experiência de trabalho como formador (mínimo 3 anos); o Domínio nas matérias a leccionar (possuindo certificado oficial da (ISC)² para cada uma das formações que irá ministrar). 6.3 Experiência da empresa e do formador nesta componente de formação/capacitação O formador deverá colocar no seu C.V. a referência das instituições em que ministrou as formações pretendidas; O formador deve ter experiência de trabalho nos domínios abrangidos pelo CISSP; 6.4 A participação no concurso está aberta, nas mesmas condições de igualdade, para todas as pessoas colectivas elegíveis para o efeito, individualmente ou em consórcio de proponentes estabelecidos em Moçambique ou num dos Estados do ACP; Estados-Membros da Comunidade Europeia, países candidatos oficialmente reconhecidos como tal pela Comunidade Europeia ou Estados membros do Espaço Economico Europeu; e qualquer outro país, sempre que o acesso recíproco à assistência externa tenha sido estabelecido. O acesso recíproco no tocante aos países menos avançados, nos termos da definição das Nações Unidas, é automaticamente concedido aos membros do CAD/OCDE. Isto no quadro do qual o presente concurso é financiado. 6.5 Para cada Lote do Concurso serão convidados a apresentar propostas no mínimo 4 e no máximo 8 empresas candidatas. Se o número de empresas candidatas elegíveis e reunindo os critérios para a sua selecção for inferior ao mínimo de 4, a Entidade Contratante poderá convidar os candidatos que preencheram os critérios, a apresentarem as suas propostas. No caso de mais de 8 candidatos elegíveis preencherem os critérios de selecção a Entidade Contratante fara a selecção com base no maior número de formações com características técnicas similares às do objecto da contratação foram implementados pelos candidatos nos últimos 3 anos. Os candidatos podem apresentar uma candidatura para cada lote, vários lotes ou para todos os lotes. Os candidatos serão adjudicados lote a lote e cada lote constituirá um contrato separado. Candidaturas parciais dos lotes serão desqualificadas. TERMOS DE REFERÊNCIA PARA A COMPONENTE DE FORMAÇÃO FORMAÇÃO EM CERTIFIED INFORMATION SYSTEMS SECURITY PROFESSIONAL (CISSP) DA (ISC)² 9 6.6 Condições das salas de aulas de formação e outros A empresa deverá garantir que as condições de formação (sala de formação, infraestrutura de TI, material didáctico da formação, etc.) estejam de acordo com os padrões da (ISC)²; A empresa deverá fornecer manuais oficiais de acompanhamento de cada um dos cursos em formato digital e impresso; A empresa deverá garantir a disponibilização do local (espaço), dos equipamentos/infraestrutura de TI e outros necessários para a realização das formações; A empresa deverá fornecer de forma detalhada todo o conteúdo programático de cada um dos cursos pretendidos; A empresa deverá garantir e disponibilizar a formação de forma prática. 6.7 Metodologia da formação A formação deverá seguir a metodologia estabelecida pela (ISC)² para ministrar o curso pretendido. 7. Resultados esperados desta acção de formação Ter os consultores formados e capacitados de acordo com o conteúdo programático dos cursos pretendidos. 8. Local de realização do curso Em qualquer parte do mundo, incluindo Moçambique N.B. As propostas Técnica e Financeira não devem ser apresentadas na fase da Manifestação de Interesse. Maputo, Setembro de 2014 SSSI - Serviço de Segurança de Sistema de Informação ………………………… TERMOS DE REFERÊNCIA PARA A COMPONENTE DE FORMAÇÃO FORMAÇÃO EM CERTIFIED INFORMATION SYSTEMS SECURITY PROFESSIONAL (CISSP) DA (ISC)²