Número de Expediente: ECON/000083/2021
“AUDITORIA, ASESORÍA, CONTROL DEL CUMPLIMIENTO y
CERTIFICACIÓN DE CONFORMIDAD EN MATERIA DE SEGURIDAD
DE LA COMUNIDAD DE MADRID (2 lotes)”,
LOTE 2:
Servicio de certificación de conformidad con el esquema nacional de
seguridad e ISO 27001
Informe técnico de valoración de criterios cualitativos cuya
cuantificación depende de un juicio de valor
DIRECCIÓN DE CIBERSEGURIDAD, PROTECCION DE DATOS Y
PRIVACIDAD
Número Expediente: ECON/000083/2021 – Lote 2 1
Contenido
1 Introducción ................................................................................................................................ 2
2 Criterios cualitativos cuya cuantificación depende de un juicio de valor .............................. 3
3 Valoración de la propuesta técnica: Hasta 36 puntos .............................................................. 4
3.1 CRITERIO NÚMERO 3. Hasta 18 puntos. .............................................................................................................. 4
3.1.1 AENOR ...................................................................................................................................................... 4
3.2 CRITERIO NÚMERO 4 –Hasta 18 puntos. ............................................................................................................. 5
3.2.1 AENOR ...................................................................................................................................................... 5
4 Resumen de la valoración de los criterios cualitativos. Hasta 36 puntos. ............................. 7
Número Expediente: ECON/000083/2021 – Lote 2 2
1 Introducción
Efectuada el lunes 30 de julio de 2021 la apertura de proposiciones técnicas de los ofertantes admitidos
a licitación del expediente número ECON/000083/2021 “AUDITORIA, ASESORÍA, CONTROL DEL
CUMPLIMIENTO y CERTIFICACIÓN DE CONFORMIDAD EN MATERIA DE SEGURIDAD DE LA
COMUNIDAD DE MADRID (2 lotes)”, A ADJUDICAR POR PROCEDIMIENTO ABIERTO MEDIANTE
PLURALIDAD DE CRITERIOS, procede realizar la valoración del LOTE2: SERVICIO DE
CERTIFICACIÓN DE CONFORMIDAD CON EL ESQUEMA NACIONAL DE SEGURIDAD E ISO
27001, correspondiente a los criterios cualitativos cuya cuantificación depende de un juicio de valor,
según lo establecido en el Pliego de Cláusulas Administrativas Particulares, cláusula 1, punto 8:
Criterios objetivos de adjudicación del contrato.
La única empresa que se ha presentado a licitación es:
Nº EMPRESA CIF
1 AENOR INTERNACIONAL S.A.U A83076687
A continuación, se desarrolla la valoración de la propuesta técnica presentada.
Número Expediente: ECON/000083/2021 – Lote 2 3
2 Criterios cualitativos cuya cuantificación depende de un juicio de valor
Tal y como se indica en el punto 8, de la cláusula 1 del Pliego de Cláusulas Administrativas Particulares
para la valoración de los criterios cualitativos cuya cuantificación depende de un juicio de valor, criterios
número 3, y 4 recogidos, se tendrá en cuenta lo siguiente:
CRITERIO NÚMERO
DESCRIPCIÓN DEL CRITERIO PONDERACIÓN
3
Se valorará el detalle, completitud y la mayor adecuación para cubrir las
necesidades y objetivos de Madrid Digital, del planteamiento integral para
abordar las auditorías de certificación de la norma ISO 27001 y Esquema
Nacional de Seguridad de manera conjunta y concurrente, con auditores
certificados en ambas normativas.
Hasta 18 puntos
4
Se valorará:
La calidad, detalle de la descripción y mayor adecuación a las
necesidades y objetivos de Madrid Digital de la metodología de
trabajo, actividades y entregables para la ejecución de las pre-
auditorías y revisiones previas a la auditoría de conformidad de ISO
27001 y ENS (hasta 9 puntos)
La calidad, detalle de la descripción de la metodología y su mayor
adecuación a las necesidades y objetivos de Madrid Digital, para la
ejecución de las auditorías de certificación de ISO 27001 y ENS, y los
modelos y nivel de detalle de los informes y entregables propuestos
(hasta 9 puntos).
Hasta 18 puntos
A la hora de valorar cada criterio se ha tenido en cuenta el valor que aporta cada oferta respecto a lo
exigido en pliego, conforme a la siguiente escala de valoración:
Si la propuesta se limita a cumplir los requisitos del pliego, se considerará que NO APORTA
VALOR, por lo que se puntuará con 0 puntos.
En el caso en que la propuesta aporte poco valor, se considerará ADECUADA. Se puntuará
con el 20% del máximo de los puntos asociados al criterio.
Si aporta detalles que permitan identificar un valor claro respecto a lo requerido, se considerará
que la propuesta es BUENA. Se puntuará con el 50% del máximo de los puntos asociados al
criterio.
Será considerada NOTABLE en el caso en que aporte beneficios para el servicio, de forma
clara y significativamente por encima de lo requerido. Se puntuará con el 80% del máximo de
los puntos asociados al criterio.
Cuando la propuesta sea excepcional, será calificada como SOBRESALIENTE. Se puntuará
con el máximo de los puntos asociados al criterio.
El resultado asignado a cada criterio se redondeará al medio punto más cercano.
Número Expediente: ECON/000083/2021 – Lote 2 4
3 Valoración de la propuesta técnica: Hasta 36 puntos
Para el LOTE 2, y para cada criterio, se aporta la valoración de la propuesta técnica presentada y la
puntuación obtenida.
3.1 CRITERIO NÚMERO 3. Hasta 18 puntos.
Se valorará el detalle, completitud y la mayor adecuación para cubrir las necesidades y objetivos de
Madrid Digital, del planteamiento integral para abordar las auditorías de certificación de la norma ISO
27001 y Esquema Nacional de Seguridad de manera conjunta y concurrente, con auditores certificados
3.1.1 AENOR
La propuesta de AENOR a este criterio se considera SOBRESALIENTE, debido a los siguientes
puntos:
La propuesta basa el proceso de Auditoría en la Norma Internacional ISO 19011:2002, donde
se incluyen, de forma clara y detallada, los criterios para la metodología de gestión y desarrollo
de procesos de auditorías, y perfiles de competencia de auditores, así como en las normas y
guías específicas desarrolladas por ENAC para la certificación de la Norma ISO 27001 y
Esquema Nacional de Seguridad (ENS).
La propuesta hace un muy buen planteamiento integral para abordar, de manera conjunta y
concurrente, la auditoría de la normativa ISO 27001 y el Esquema Nacional de Seguridad,
integrando en cada una de las etapas de la metodología ambas normativas. En la propuesta se
detalla las actividades a realizar para la auditoria de ambas normativas de manera muy clara y
detallada.
En la estructura y equipo de trabajo, AENOR propone que tanto el Jefe de Proyecto como el
responsable técnico serán auditores senior de AENOR con doble calificación ISO 27001 y ENS,
con amplia experiencia en la ejecución de auditorías tanto de la ISO 27001 como del Esquema
Nacional de Seguridad. En la propuesta se detallan los clientes para las que han realizado
trabajos similares al objeto del pliego los miembros del equipo propuesto y los clientes a los
cuales AENOR ha emitido certificados del Esquema Nacional de Seguridad.
Cabe destacar también que todos los trabajos a realizar en el marco del presente contrato se
realizarán por personal propio de AENOR, no incurriéndose en la figura de la subcontratación.
Según la valoración realizada, la puntuación de la oferta es de:
CRITERIO NÚMERO 3: Hasta 18 puntos 18
Número Expediente: ECON/000083/2021 – Lote 2 5
3.2 CRITERIO NÚMERO 4 –Hasta 18 puntos.
Se valorará:
CRITERIO 4.1: La calidad, detalle de la descripción y mayor adecuación a las necesidades y
objetivos de Madrid Digital de la metodología de trabajo, actividades y entregables para la
ejecución de las pre-auditorías y revisiones previas a la auditoría de conformidad de ISO 27001
y ENS (hasta 9 puntos)
CRITERIO 4.2: La calidad, detalle de la descripción de la metodología y su mayor adecuación
a las necesidades y objetivos de Madrid Digital, para la ejecución de las auditorías de
certificación de ISO 27001 y ENS, y los modelos y nivel de detalle de los informes y entregables
propuestos (hasta 9 puntos).
3.2.1 AENOR
CRITERIO 4.1
La propuesta de AENOR a este criterio se considera que NO APORTA VALOR, debido a que:
No establece una descripción detallada ni una metodología de trabajo específica, ni actividades
y entregables para la realización de las pre-auditorías y el GAP análisis, si bien específica que
“El Esquema Nacional de Seguridad no permite la relación de GAP Análisis dentro del proceso de
auditoría según instrucciones de ENAC”, pero no así con la ISO 27001.
CRITERIO 4.2
La propuesta de AENOR a este criterio se considera SOBRESALIENTE, debido a que:
Propone una metodología de trabajo detallada, que se basa en un esquema siguiendo el
modelo del ciclo de Mejora Continua (Ciclo Planificar-Hacer-Verificar-Actuar), y está
compuesta por 3 etapas:
o Etapa I: Estudio de documentación y Auditoría presencial
o Etapa II: Ejecución de la Auditoría
o Etapa III: Evaluación y Decisión
Cada una de las etapas propuestas tienen un alto nivel de detalle y concreción, con descripción
de las actividades y ejemplos orientativos.
La propuesta incluye con un alto nivel concreción los modelos y ejemplos de los documentos
de trabajo y de los entregables facilitados a Madrid Digital a la conclusión de los trabajos,
destacando:
o Una muy buena propuesta de programa de auditoría, previo a la emisión del Plan de
Auditoría, que servirá para plantear, consensuar y confirmar los centros y fechas
Número Expediente: ECON/000083/2021 – Lote 2 6
o Un Plan formal de Auditoría que recogerá de forma detallada la planificación de las
visitas a los distintos centros, su horario, equipo auditor visitante y requisitos de la
norma aplicables sujetos a evaluación en la visita
o Un Informe del resultado de la Auditoría donde se podrán integrar los resultados las
distintas normas que han sido objeto de auditoría.
o Las correspondientes certificaciones obtenidas, de acuerdo los modelos aprobados
por AENOR, incluyendo adicionalmente un Certificado IQNet para cada certificado ISO
27001 emitido
Cabe destacar que la propuesta recoge en los anexos los modelos de Programa de Auditoría,
Plan de Auditoría e Informe de Auditoría de manera precisa y detallada.
AENOR propone, en el caso de ser necesario, la realización de auditorías extraordinarias,
sometidas a las reglas establecidas por la Entidad Nacional de Acreditación en lo referente a
la duración y objeto de las mismas.
Se propone la posibilidad de optar por modelos individuales de certificación para las distintas
áreas o departamentos afectadas (p.e. organismo pagador) o por modelos multi-
emplazamiento, que incluyen en un mismo certificado varios centros/departamentos, siendo
este planteamiento de gran valor añadido, permitiendo una gran flexibilidad a Madrid Digital
para establecer la estrategia de certificación.
AENOR dispone de sendas acreditaciones para la certificación de Sistemas de Gestión de la
Seguridad de la Información conforme a ISO 27001 y ENS, emitidas por la Entidad Nacional
de Acreditación (ENAC). AENOR se compromete a mantener en vigor dichas acreditaciones
durante la duración del contrato.
Según la valoración realizada, la puntuación de la oferta es de:
CRITERIO NÚMERO 4: Hasta 18 puntos 9
CRITERIO 4.1: La calidad, detalle de la descripción y mayor adecuación a las necesidades y objetivos de Madrid
Digital de la metodología de trabajo, actividades y entregables para la ejecución de las pre-auditorías y revisiones
previas a la auditoría de conformidad de ISO 27001 y ENS (hasta 9 puntos) 0
CRITERIO 4.2: La calidad, detalle de la descripción de la metodología y su mayor adecuación a las necesidades
y objetivos de Madrid Digital, para la ejecución de las auditorías de certificación de ISO 27001 y ENS, y los modelos
y nivel de detalle de los informes y entregables propuestos (hasta 9 puntos). 9
Número Expediente: ECON/000083/2021 – Lote 2 7
4 Resumen de la valoración de los criterios cualitativos. Hasta 36
puntos.
A continuación, se recoge el resumen de la valoración final de la única propuesta presentada, la de la
empresa AENOR:
CRITERIOS Puntuación
AENOR
3
Se valorará el detalle, completitud y la mayor adecuación para cubrir las necesidades y objetivos de Madrid Digital, del planteamiento integral para abordar las auditorías de certificación de la norma ISO 27001 y Esquema Nacional de Seguridad de manera conjunta y concurrente, con auditores certificados.
18
4
Se valorará: La calidad, detalle de la descripción y mayor adecuación a las necesidades y objetivos de Madrid Digital de la metodología de trabajo, actividades y entregables para la ejecución de las pre-auditorías y revisiones previas a la auditoría de conformidad de ISO 27001 y ENS
0
Se valorará: La calidad, detalle de la descripción de la metodología y su mayor adecuación a las necesidades y objetivos de Madrid Digital, para la ejecución de las auditorías de certificación de ISO 27001 y ENS, y los modelos y nivel de detalle de los informes y entregables propuestos
9
TOTALES 27
La oferta técnica de la empresa AENOR responde a los requisitos técnicos recogidos en el Pliego de
Prescripciones Técnicas, y se adecua a las necesidades de Madrid Digital, siendo la única oferta
presentada al Lote 2.
La Directora de Ciberseguridad, Protección de Datos y Privacidad
Fdo.: Esther Muñoz Fuentes