termos de referência para a componente de formação

Transcrição

República de Moçambique
Ministério das Finanças
CEDSIF - Centro de Desenvolvimento de Sistemas de
Informação de Finanças
UGEA-Unidade Gestora Executora das Aquisições
UNIÃO EUROPEIA
(FINANCIADO PELA UNIÃO EUROPEIA)
LOTE 8:
ITEM 1
Termos de Referência para a componente de Formação
Formação em Certified Information Systems Security Professional (CISSP) da (ISC)²
SSSI
_______________________________________________________________
TERMOS DE REFERÊNCIA PARA A COMPONENTE DE FORMAÇÃO
FORMAÇÃO EM CERTIFIED INFORMATION SYSTEMS SECURITY PROFESSIONAL (CISSP) DA
(ISC)²
2
1.
Nome do curso .......................................................................................................................................3
2.
Justificativa da formação........................................................................................................................3
3.
Objectivos ..............................................................................................................................................3
3.1
Gerais ............................................................................................................................................3
3.2
Específicos.....................................................................................................................................3
4.
Conteúdo do curso e respectiva carga horária.......................................................................................3
5.
Público-alvo e número de participantes .................................................................................................5
6.
Qualificações gerais ...............................................................................................................................5
6.1
Qualificações específicas da pessoa colectiva (empresa) .............................................................5
6.2
Qualificações específicas da pessoa singular (formador) ..............................................................8
6.3
Experiência da empresa e do formador nesta componente de formação/capacitação ..................8
6.4
Condições das salas de aulas de formação e outros .....................................................................8
6.5
Metodologia da formação...............................................................................................................9
7.
Resultados esperados desta acção de formação ..................................................................................9
8.
Local de realização do curso .................................................................................................................9
(ISC)²
3
1. Nome do curso
Formação em Certified Information Systems Security Professional (CISSSP) da (ISC)².
2. Justificativa da formação
No âmbito da renovação e modernização da infra-estrutura tecnológica do CEDSIF, impõe-se a
necessidade de dotar os técnicos de uma maior capacidade técnica de modo a responder os
desafios do dia-a-dia bem como preparar os mesmos para desafios futuros.
A segurança da informação é a protecção dos sistemas de informação contra a negação de
serviço a usuários autorizados, assim como contra a intrusão, e a modificação não-autorizada de
dados ou informações, armazenados, em processamento ou em trânsito, abrangendo a segurança
dos recursos humanos, da documentação e do material, das áreas e instalações das
comunicações e computacional, assim como as destinadas a prevenir, detectar, deter e
documentar eventuais ameaças a seu desenvolvimento.
Um dos grandes desafios da equipe do Serviço de Segurança de Sistemas e Infra-estrutura
(SSSI) do CEDSIF é a implementação do sistema de segurança de informação em todas as áreas
e processos da organização usando as boas práticas internacionalmente recomendadas pela
ISO/27001/2, Lei SOX, ISACA, (ISC)² entre outras. No entanto para uma implementação eficiente
e eficaz do sistema de segurança existe a necessidade constante de formar e actualizar os
conhecimentos dos membros da equipe do SSSI nas diversas áreas de TI tais como
comunicações, sistemas, sistemas de gestão de base de dados, gestão de riscos, segurança
física/lógica, entre outros, de modo que a equipe tenha uma visão macro e abrangente de toda a
infra-estrutura de TI.
3. Objectivos
3.1 Gerais
Obter conhecimentos a nível de segurança de informação nos vários domínios que incluem
análise e gestão de riscos, segurança no desenvolvimento de aplicações, computação na nuvem,
segurança móvel, etc.
3.2 Específicos
Ter os consultores pertencentes ao SSSI formados e dotados de capacidade técnica de modo a
implementar o sistema de segurança de informação em todas as áreas e processos da
organização usando as boas práticas internacionalmente aceites.
4. Conteúdo do curso e respectiva carga horária
O plano contempla a formação oficial dos seguintes cursos:
 Formação/Treinamento oficial em CISSSP da (ISC)²
o Número de formandos: 4;
o Duração do curso: 10 dias (duração do curso oficial);
o Data da realização do curso: logo que possível, no entanto as datas deverão ser
acordadas previamente com o SSSI;
(ISC)²
4
o A formação deverá ser ministrada em português usando material didáctico
(manuais, slides, etc.) na língua portuguesa ou inglesa;
o No final do curso deverá ser fornecido um certificado de participação oficial da
International Information Systems Security Certification Consortium ((ISC)²);
o Conteúdo do curso:
Os domínios do CISSP são retirados de vários tópicos de segurança da informação dentro da (ISC) ² CBK.
O CISSP CBK consiste nos dez domínios seguintes:
1. Controle de Acesso - um conjunto de mecanismos que trabalham juntos para arquitetura createsecurity
para proteger os ativos do sistema de informação.
• Conceitos / metodologias / técnicas
• Eficácia
• Ataques
2 Telecomunicações e Segurança de Rede -. Discute estruturas de rede, métodos de transmissão,
formatos de transporte e medidas de segurança utilizadas para prestar disponibilidade, integridade e
confidencialidade.
• Arquitetura de rede e design
• Os canais de comunicação
• Os componentes de rede
• Os ataques de rede
. 3 Governança de Segurança da Informação e Gestão de Riscos - a identificationof ativos de informação
de uma organização eo desenvolvimento, documentationand implementação de políticas, normas,
procedimentos e diretrizes.
• Segurança e governança política
• Classificação da informação / propriedade
• Os acordos contratuais e os processos de aquisição
• conceitos de gestão de riscos
• segurança pessoal
• educação de segurança, treinamento e conscientização
• Certificação e acreditação
4 Software Security Development -. Refere-se aos controles que estão incluídos no âmbito dos sistemas e
softwares aplicativos e os passos utilizados em seu desenvolvimento.
• ciclo de vida de desenvolvimento de sistemas (SDLC)
• controles de ambiente do aplicativo e de segurança
• Eficácia da segurança de aplicativos
5 Criptografia -. Os princípios, meios e métodos de disfarçar informações para garantir a sua integridade,
andauthenticity confidencialidade.
• conceitos de criptografia
• As assinaturas digitais
• ataques Cryptanalytic
• Infra-estrutura de chave pública (PKI)
• Informações escondendo alternativas
(ISC)²
5
6 Arquitetura e Design Segurança -. Contém os conceitos, princípios, estruturas e padrões utilizados para
projetar, implementar, monitorar e segura, sistemas operacionais, equipamentos, redes, aplicativos e os
controles utilizados toenforce vários níveis de confidencialidade, integridade e disponibilidade.
• Conceitos fundamentais de modelos de segurança
• Capacidades de sistemas de informação (por exemplo, proteção de memória, virtualização)
• princípios Contramedidas
• Vulnerabilidades e ameaças (por exemplo, computação em nuvem, agregação, controle de fluxo de
dados)
7 Operações de Segurança -. Utilizado para identificar os controles sobre hardware, mídia e os operadores
com privilégios de acesso a qualquer um desses recursos.
• Proteção de Recursos
• Resposta a Incidentes
• prevenção e resposta a ataque
• O gerenciamento de patches e vulnerabilidade
8 Continuidade de Negócios e Recuperação de Desastres Planejamento -. Aborda a preservação do
negócio em face de grandes perturbações nas operações normais de negócios.
• análise do impacto nas empresas
• estratégia de recuperação
• processo de recuperação de desastres
• Fornecer treinamento
9 Legal, Regulamentos, Investigações e Compliance - aborda as leis e regulamentos de criminalidade
informática.; as medidas de investigação e técnicas que podem ser usados para determinar se um crime
foi cometido e métodos para gatherevidence.
• Questões legais
• Investigações
• procedimentos forenses
• requisitos de conformidade / procedimentos
10 Física (ambiental) Segurança -. Aborda as ameaças, vulnerabilidades e contramedidas que podem ser
utilizados tophysically proteger os recursos de uma empresa e informações confidenciais.
• Considerações sobre o projeto do site / instalação
• A segurança do perímetro
• A segurança interna
• Instalações de segurança
5. Público-alvo e número de participantes
 Público-alvo: Consultores do SSSI;
 Número de participantes: 4.
6. Qualificações gerais
As qualificações desejadas para o Formador (entenda-se como Pessoa Colectiva) são as que a
seguir se indicam com base no Regulamento aprovado pelo Decreto 15/2010, de 24 de Maio:
i.Qualificação Jurídica
(ISC)²
6


Certidão de registo comercial e escritura pública ou documentos equivalentes;
Documentos comprovativos do preenchimento de outros requisitos estabelecidos em
legislação especial param o desempenho da actividade;

Declaração do concorrente de que não se encontra m situação de impedimentos e
conflitos de interesses.

Projecto do consórcio ou documento do consórcio já constituído, se aplicável.
ii.Qualificação Económico-Financeira





Lotes
Lote 1
Lote 2
Lote 3
Lote 4
Declaração periódica de rendimentos;
Declaração anual de informação contabilística e fiscal;
Balanços patrimoniais e demonstrações contabilísticas dos últimos três exercícios
fiscais, apresentados nos termos da lei;
Declaração de que não há pedido de falência contra o Auditor e de que não requereu
concordata;
Facturação média anual nos três últimos exercícios fiscais de valor igual ou superior ao
valor indicado no quadro abaixo, para cada lote a que for a concorrer:
Item
Nome Curso
1
2
ITIL V3 Foundation Bridge Certificate
CMMI: Introduction to CMMI for Development v 1.3
3
4
ISO/IEC 20000 Foundation
ISO 22301 - Awareness Training - Business Continuity
Management
ISO 22301 - Business Continuity Management Auditor/Lead
Auditor Training Course
5
Facturação
Média
Anual
para cada Lote
(MT)
6
ISO 22301 - Internal Auditing Course - Business Continuity
Management Systems.
7
Sistemas de Gestão de Qualidade ISO 9001: Implementação e
Avaliação
1
Gestão de Processos de Negócios
2
3
4
1
Gestão de Qualidade para Gestores Executivos
Gestão de Projectos de TI
PMI Risk Management Professional (PMI – RMP)
Arquitectura e Design de Projectos Java
2
3
4
1
Gestão de Requisitos
Gerenciamento Ágil de Projectos de Software com SCRUM
ISTQB Foundation
VMware vSphere 5 - Install, Configure, Manage
Troubleshooting
Sistemas de Cloud e Virtualização (vCloud Director)
2
3.574.330,00
1.907.588,00
4.199.735,00
and
3.457.655,32
(ISC)²
7
Lote 5
3
4
5
1
Continuidade de Negócios/Business Continuity Planning-BCP
Administração da Solução SNAPPROTECT
Infraestrutura e Gestão de Data Centers
CCNA-I, II, III, IV
2
3
4
1
CCNA-Security
Red Hat JBoss Application Administration I e II (JB248, JB348)
Red Hat System Administration (RH124, RH255, RH135, RH413)
Oracle WebLogic Server 11g: Essentials and Advanced
Administration
Lote 6
Lote 7
Lote 8
2
1
Oracle OBIEE
Gestão de Aprovisionamento
2
3
4
5
6
7
8
1
Gestão de Compras
Gestão, Recrutamento e Desenvolvimento de RH
Gestão e Estratégica de Formação de RH
Gestão de Comunicação e Imagem
Excel para Contabilistas
Desenvolvimento de Macros Em Vba - Microsoft Excel
Gestão e Liderança
Certified Information Systems Security Professional (CISSP)
2
3
4
Certified Information Systems Auditor (CISA)
Certified in Risk and Information Systems Control (CRISC)
Testes de Penetração USANDO OSSTMM
4.195.268,80
2.413.940,00
2.380.621,60
1.561.800,00
iii.Qualificação Técnica

Declaração do próprio concorrente comprovativa da equipe profissional e técnica
disponível para a execução do objecto da contratação, acompanhada dos respectivos
currículos;

Declaração emitida por pessoa de direito público ou privado comprovativa de que, nos
últimos três anos o concorrente adquiriu experiência em actividades com características
técnicas similares às do objecto da contratação, com indicação dos dados necessários
à sua verificação.
iv.Regularidade Fiscal


Certidão válida de quitação emitida pela Administração Fiscal;
Declaração válida emitida pela instituição responsável pelo sistema nacional de
segurança social.
O Cadastro válido substitui a apresentação dos documentos acima mencionados com excepção de:
Projecto do consórcio ou documento do consórcio já constituído, se aplicável, Facturação média anual nos
três últimos exercícios fiscais, Certidão válida de quitação emitida pela Administração Fiscal, Declaração
(ISC)²
8
válida emitida pela instituição responsável pelo sistema nacional de segurança social, Declaração emitida
por pessoa de direito público ou privado comprovativa de que, nos últimos três anos o concorrente adquiriu
experiência em actividades com características técnicas similares às do objecto da contratação e a
Declaração de que não há pedido de falência contra o Concorrente.
6.1 Qualificações específicas da pessoa colectiva (empresa)
 A empresa deverá ser um centro oficial de formação da (ISC)², ou seja, deverá estar
certificada pela (ISC)² para a realização de formações oficiais da mesma.
 A empresa deverá ser um centro de formação a pelo menos 3 anos.
6.2 Qualificações específicas da pessoa singular (formador)
 O formador deve possuir certificados oficiais da (ISC)² que lhe habilitam a ministrar as
formações em CISSP;
 O formador deve falar e escrever fluentemente Português;
 O formador deve possuir uma formação pedagógica adequada, nomeadamente:
o O formador deve ter uma boa capacidade de transmissão de conhecimentos;
o Experiência de trabalho como formador (mínimo 3 anos);
o Domínio nas matérias a leccionar (possuindo certificado oficial da (ISC)² para
cada uma das formações que irá ministrar).
6.3 Experiência da empresa e do formador nesta componente de formação/capacitação
O formador deverá colocar no seu C.V. a referência das instituições em que ministrou as
formações pretendidas;
O formador deve ter experiência de trabalho nos domínios abrangidos pelo CISSP;
6.4 A participação no concurso está aberta, nas mesmas condições de igualdade, para todas as pessoas
colectivas elegíveis para o efeito, individualmente ou em consórcio de proponentes estabelecidos em
Moçambique ou num dos Estados do ACP; Estados-Membros da Comunidade Europeia, países
candidatos oficialmente reconhecidos como tal pela Comunidade Europeia ou Estados membros do
Espaço Economico Europeu; e qualquer outro país, sempre que o acesso recíproco à assistência
externa tenha sido estabelecido. O acesso recíproco no tocante aos países menos avançados, nos
termos da definição das Nações Unidas, é automaticamente concedido aos membros do CAD/OCDE.
Isto no quadro do qual o presente concurso é financiado.
6.5 Para cada Lote do Concurso serão convidados a apresentar propostas no mínimo 4 e no máximo
8 empresas candidatas. Se o número de empresas candidatas elegíveis e reunindo os critérios
para a sua selecção for inferior ao mínimo de 4, a Entidade Contratante poderá convidar os
candidatos que preencheram os critérios, a apresentarem as suas propostas. No caso de mais de
8 candidatos elegíveis preencherem os critérios de selecção a Entidade Contratante fara a
selecção com base no maior número de formações com características técnicas similares às do
objecto da contratação foram implementados pelos candidatos nos últimos 3 anos.
 Os candidatos podem apresentar uma candidatura para cada lote, vários lotes ou para todos
os lotes.
 Os candidatos serão adjudicados lote a lote e cada lote constituirá um contrato separado.
 Candidaturas parciais dos lotes serão desqualificadas.
(ISC)²
9
6.6 Condições das salas de aulas de formação e outros
 A empresa deverá garantir que as condições de formação (sala de formação, infraestrutura de TI, material didáctico da formação, etc.) estejam de acordo com os padrões
da (ISC)²;
 A empresa deverá fornecer manuais oficiais de acompanhamento de cada um dos cursos
em formato digital e impresso;
 A empresa deverá garantir a disponibilização do local (espaço), dos equipamentos/infraestrutura de TI e outros necessários para a realização das formações;
 A empresa deverá fornecer de forma detalhada todo o conteúdo programático de cada um
dos cursos pretendidos;
 A empresa deverá garantir e disponibilizar a formação de forma prática.
6.7 Metodologia da formação
A formação deverá seguir a metodologia estabelecida pela (ISC)² para ministrar o curso
pretendido.
7. Resultados esperados desta acção de formação
Ter os consultores formados e capacitados de acordo com o conteúdo programático dos cursos
pretendidos.
8. Local de realização do curso
Em qualquer parte do mundo, incluindo Moçambique
N.B. As propostas Técnica e Financeira não devem ser apresentadas na fase da Manifestação de
Interesse.
Maputo, Setembro de 2014
SSSI - Serviço de Segurança de Sistema de Informação
…………………………
(ISC)²

termos de referência para a componente de formação

Transcrição

Documentos relacionados

O compêndio de tópicos sobre segurança da informação

PlAnO DE CArrEIrA

Fator-Humano

Série 300 PV - V

Isc Brasil e Intersecurity 2011

Segurança da informação e a natureza humana

RESPOSTAS REFERENTE AOS QUESTIONAMENTOS DA

LOTE: 1304040

- Instituto de Saúde Coletiva

Notas/Faltas de Etapas Data: 2014 09:57:19 Professor(a