POLITICA DE

SECURITATE PRIVIND
INFORM ATIA
FINANCIAR-CONTABILA
CONFIDENTIALA
Paza buna trece prie!"ia rea#e$te % zica&a ce $e p%tri'e$te e(tre "e
bine c%panii&%r care i$i $t%c)eaza "ate c%n*i"entia&e pe $up%rt
e&ectr%nic+ Pr%b&ea e ca %brazu& $ubtire,'irtua&-cu
c)e&tuia&a,ne'irtua&a-$e tine#
.+ STAREA DE FAPT IN DOMENIUL APLICARII POLITICII
In conditiile economiei de piata, o parte din informatiile contabile devintransparente. Ele
privesc situatia patrimoniala, rezultatele si situatia financiara, relatiile unitatii cu tertii si sunt produsul
contabilitatii financiare. Cealalta parte a informatiilor contabile sunt confidentiale , privesc numai
conducerea unitatii si sunt produsul contabilitatii de gestiune. Separarea celor doua categorii de
informatii contabile genereaza dualismul in contabilitate.
Pentru a-si indeplini functiile, contabilitatea trebuie sa satisfaca anumite cerinte: sa fie
organizata si condusa in mod corespunzator normelor legale, sa fie tinuta la zi, sa fie clara si precisa, sa
cuprinda date complete care sa fie furnizate la timp conducerii unitatii si celor interesati in cunoasterea
rezultatelor obtinute si gestionarea patrimoniului.
Rolul politicii de securitate este de a informa pe toti cei ce activeaza intr-o organizatie asupra
modului in care trebuie sa se comporte in ceea ce priveste informatiile financiar-contabile, in special
cele confidentiale; care ar trebui sa fie pozitia managementului referitor la aceasta tema si care sunt
actiunile specifice pe care organizatia trebuie sa le intreprinda in functie de situatiile aparute.
/+ SCOPUL POLITICII DE SECURITATE
Informatia este un bun de valoare care trebuie proteat, mai cu seama in lumina cresterii
semnificatiei e-businessului si e- comunicatiei. Securitatea informatiei este un program de succes
pentru orice organizatie. !in aceasta cauza este necesar sa se minimalizeze riscurile cauzate de aflarea
informatiilor confidentiale, de pierderea partiala sau incompleta ori de utilizarea abuziva a acestor date.
Scopul politicii este cel de a protea informatiile organizatiei impotriva unei game variate de
amenintari, fraude electronice, spiona, sabota, vandalism, sau dezastre naturale in scopul asigurarii
continuitatii activitatii, minimizarii daunelor posibile si pastrarii avantaului competitiv, profitabilitatii,
si c"iar a legalitatii. #otodata se doreste sensibilizarea intregului personal sa participe la securitatea
informatiilor intrucat acestea reprezinta o posibila tinta din cauza informatiilor detinute, indiferent de
postul pe care il ocupa.
Politica de securitate poate fi catalogata ca o $lege$ interna a fiecarei organizatii menita sa
impuna vointa administratorului %asociatilor& de a protea resursele informationale confidentiale. '
astfel de (lege$ trebuie dedicata activitatii fiecarei organizatii in parte, e)plicata intregului personal,
mentinuta si permanent adaptata activitatilor specifice organizatiei respective. *ceasta trebuie sa aiba in
vedere toate activitatile din cadrul organizatiei; ea reglementeaza modul in care sunt tratate datele si
informatiile sensibile atat la modul general cat si in fiecare departament pentru fiecare post de lucru.
0+ AUTORII POLITICII
*utorul politicii este administratorul de sistem sau alta persoana autorizata de catre acesta de a
realiza prezenta politica de securitate. Persoana in cauza este responsabila cu optimizarea conditiilor de
pastare a suporturilor de memorare a informatiilor, protearea calculatoarelor firmei, sa se ocupe de
actualizarea elementelor care securizeaza sistemul informatic: fire+all, antivirus, antisp,+are,
instrumente de criptare.
1+ PERSOANELE RESPONSABILE
CU CONTROLUL APLICARII
POLITICII
Protectia informatiilor reprezinta o obligatie ce revine tuturor persoanelor autorizate care le emit,
le gestioneaza sau care intra in posesia lor. !e aplicarea masurilor de protectie a informatiilor sunt
raspunzatori conducatorii unitatilor detinatoare de informatii clasificate. 'bligatiile conducatorilor
unitatilor care gestioneaza informatii clasificate sunt prevazute la art. -. alin. %/& din 01 2-234554.
'rice angaat sau compartiment din cadrul firmei trebuie sa se asigure ca sunt respectate
prevederile prezentei politici de securitate a informatiilor financiar contabile.*dministratorul precum si
sefii compartimentelor din cadrul societatii trebuie sa aiba in vedere toate modalitatile posibile pentru a
se asigura confidentialitatea informatiilor.
Contabilul-sef poarta raspundere pentru indeplinirea stricta de catre toate subdiviziunile si
serviciile conform cerintelor legale fata de prezentarea informatiilor financiar-contabile astfel incat
acestea sa nu fie divulgate in mod necorespunzator.
2+PERIOADA DE CONTROL AL APLICARII POLITICII SI
ACTUALI3ARE A POLITICII DE SECURITATE
Politica de securitate in ceea ce priveste utilizarea informatiilor contabile este
controlata permanent, asigurand datele confidentiale impotriva divulgarii necorespunzatoare a
acestora.
*ctualizarea politicii se realizeaza ori de cate ori se descopera sustragerea frauduloasa de
informatii, distrugerea acestora accidental sau intentionat, furtul unor ec"ipamente de stocare a
informatiilor sensibile; aceasta mai are loc si atunci cand se actualizeaza reglementarile legislative in
domeniu, ca urmare a progresului inregistrat printre te"nologiile de stocare, de prelucrare, de stergere a
informatiilor. ' data lasase luni administratorul de sistem reciteste si aduce modificari politicii in
functie de conte)tul e)istent in intreprindere in momentul respectiv.
4+ CONSECINTELE NERESPECTARII POLITICII
Consecintele nerespectarii politicii sunt reprezentate de sustrageri de date si informatii strict
secrete care preudiciaza intreprinderea, de perturbari ale desfasurarii normale a activitatii. In cazul in
care se constata nerespectarea acestei politici in randul angaatilor, intr-o prima faza se
aplica un avertisment persoanei in cauza, la a doua abatere va fi sanctionat cu o scadere de salariu
urmand ca la a treia abatere sa fie concediat. 'rice abatere de la reglementarile legale va fi semnalata
ogranelor competente. 'bligatia nedivulgarii datelor sensibile pentru a aduce preudicii firmei se
regaseste si printre dispozitiilor 6egii contabilitatii nr. -43/77/, atrage, dupa caz, raspunderea
contraventionala, civila sau penala.
8. SI#9*#II6E !E E:CEP#IE
Intreprinderea va avea dreptul sa dezvaluie informatia confidentiala in urmatoarele cazuri:
a& in cazul unei dispozitii legale care prevede acest lucru;
b& in cazul in care are acordul partii vizate%beneficiarul&;
c& in cazul declansarii unei proceduri legale fata de beneficiar, la cererea instantelor udecatoresti sau a
altor organe abilitate conform legii.
In cazul unui control efectuat de 1arda ;inanciara, organul de control va avea acces la toate
informatiile, inclusiv la cele depozitate in seifuri, avand obligatia sa pastreze confidentialitatea datelor
verificate.
-. REC'<*=!*RI
/& #ransmiterea informatiilor in interiorul unitatii se va face prin posta electronica a unitatii, retea,
prin distributie directa, cu semnatura si etic"eta ce delimiteaza caracterul confidential al datelor;
informatiile sunt e)pediate doar destinatarilor aprobati %confirmati& de sistemul intern.
4& #ransmiterea in e)teriorul firmei se va face prin e-mail cu semnatura electronica, transportori
privati legitimati %informatia fiind stocata pe cd-uri sau disc"ete criptate& si alte metode aprobate de
transmisie electronica a fisierelor.
>& Stocarea informatiilor se face prin pastrarea in locuri neaccesibile persoanelor neautorizate, pe
suporturi magnetice sau pe "artie, in ar"iva, in seif, in fisiere parolate.
?& !istrugerea informatiilor se face: pentru cele invec"ite si pastrate pe "artie, prin arderea
dosarelor sau taiere cu ec"ipamente moderne de dezintegrare; pentru cele electronice, prin stergere
%prin formatare& sau distrugere fizica prin casare. *ceste procese sunt supraveg"eate de doua persoane
si sunt confirmate prin eliberarea unui raport de distrugere a documentelor.
2& =u trebuie difuzate informatii sensibile non-criptate prin intermediul e-mail-ului, al retelei sau
alte metode aprobate.
.& <onitorul computerului trebuie amplasat departe de fereastra pentru a feri informatiile
sensibile de privirile indiscrete ale curiosilor. Seiful nu va fi desc"is in prezenta unei persoane straine si
nici nu se va mentiona in discutiile purtate cu diverse persoane din e)teriorul firmei de e)istenta
acestuia. Cifrul cu care se securizeaza seiful este o informatie secreta care nu trebuie cunoscuta decat
de persoana care are acces permanent.
8& *ngaatii trebuie sa fie foarte atenti la informatiile transmise prin intermediul convorbirilor
telefonice cu persoane cunoscute sau necunoscute, pentru a nu fi furnizate informatii confidentiale
tertilor neautorizati.
-& 9tilizatorii trebuie sa foloseasca programe antivirus si fire+all deoarece unii virusi pot fura
datele contului prin inregistrarea tastelor care sunt apasate. !in acest motiv, e recomandabila instalarea
unui anti-virus si actualizarea acestuia in mod frecvent.
7& Protearea informatiei impotriva accesului neautorizat se va realiza prin criptare. 'data criptate,
datele nu vor putea fi accesate decat folosindu-se un certificat digital corespunzator. Criptarea datelor la
nivelul statiei de lucru se va realiza in doua feluri: criptarea la nivel de fisier si criptarea la nivel de
partitie a "ard dis@-ului.
/5& Sistemul informatic trebuie sa dispuna de capacitate de cautare dupa cuvinte3siruri c"eie si
trimiterea de alerte auts la protearea informatiilor sensibile ale organizatiei. In momentul in care un
angaat trimite un e-mail cu un document continand cuvantul (confidential$, acel e-mail poate fi blocat
si o alerta corespunzatoare este trimisa administratorului petru certificare.
//& Elaborarea unui plan de recuperare in caz de dezastru %incendiu, inundatie, cutremur, cresteri de
tensiune& are o importanta deosebita in desfasurarea optima a activitatii si in protearea informatiilor.
In vederea protectiei si confidentialitatii datelor acestea se vor copia pe diverse medii %C!, C!-RA,
!B!, !B!C3-RA, !!S, banda magnetica, dicuri optice, etc& urmand ca mediile sa fie ulterior stocate
intr-un loc sigur %seiful&.
/4& *ngaatii care manipuleaza aceasta categorie de informatii sunt obligati sa nu modifice,
distribuie, transmita, afiseze, publice, reproduca, sa transfere sau sa vanda orice fel de informatii
obtinute in urma prelucrarilor care sa preudicieze activitatea firmei.
/>& Inainte de parasirea biroului, persoana care isi desfasoara activitatea in acel loc trebuie sa
verifice daca geamurile sunt bine inc"ise, daca documentele si suporturile magnetice de stocare cu
informatiile sensibile sunt depuse in seif, daca computerul si celelalte ec"ipamente %imprimanta, fa)-ul,
copiatorul& sunt inc"ise, daca sistemul de alarma este activat, usa este incuiata cu c"eia.
/?& In timpul calatoriilor de afaceri, informatiile sensibile trebuie tinute la purtator, sub nici o forma
nu vor fi depozitate in valiza. <ai e)ista si posibilitatea pastrarii in seiful "otelului la care se cazeaza,
dar din cauza riscului sustragerii de catre personalul "otelului, estepreferabila pastrarea lor asupra
persoanei.
/2& In cazul in care o persoana cade victima unui furt de informatii, acest incident trebuie raportat
imediat administratorului intreprinderii care va face demersurile necesare la autoritatile competente.
/.& Partea care a fost preudiciata, in orice mod, prin nerespectarea obligatiilor de confidentialitate,
se va putea adresa cu plangere instantei competente pentru repararea preudiciului.
/8& #ransmiterea informatiilor clasificate catre alti utilizatori se va efectua numai daca acestia
detin certificate de securitate sauautorizatii de acces corespunzator nivelului de secretizare. Conform
art.. din 01 8-/34554 Daccesul persoanelor la informatiile secrete de serviciu este permis numai in
baza autorizatiei scrise, emisa de conducatorul unitatii Eane)a /E a caror evidenta se tine centralizat de
structura3functionarul de securitate in Registrul pentru evidenta autorizatiilor Eane)a 4
/-& In vederea eliberarii autorizatiei de acces la informatii secrete de serviciu, persoana care
urmeaza sa ocupe o functie ce presupune accesul la astfel de informatii, prezinta
structurii3functionarului de securitate recomandari si referinte asupra onestitatii si profesionalismului,
care va prezenta conducatorului unitatii propuneri privind oportunitatea eliberarii autorizatiei de acces
la informatiile secrete de serviciu, iar persoana va semna si un angaament de confidentialitate E ane)a
>.
/7& Pentru identificarea documentelor cu caracter secret de serviciu, numarul de inregistrare al
acestora va fi precedat de litera S, iar pe fiecare pagina se va inscrie Dsecret de serviciu$.
45& Evidenta documentelor secrete de serviciu se tine separat de cea a documentelor secrete de stat
si nesecrete, intr-un registru special destinat acestui scop.
4/& *nual, documentele se claseaza in dosare, potrivit problematicii si termenelor de pastrare
stabilite in nomenclatoarele ar"ivistice, potrivit legii. Clasarea documentelor sau materialelor care
contin informatii clasificate se face separat, in functie de suportul si formatul acestora, cu folosirea
miloacelor de pastrare si proteare adecvate.
44& <ultiplicarea documentelor clasificate se face numai de catre persoane autorizate sa aiba acces
la astfel de informatii, in incaperi special destinate, pe baza aprobarii conducatorului unitatii
detinatoare, cu avizul structurii de securitate, ambele inscrise pe cererea de multiplicare.
4>& Conform art. -/ din 01 2-234554 Ddocumentele si materialele ce contin informatii clasificate
se transporta prin intermediul unitatii specializate a Serviciului Roman de Informatii$, fiind Dinterzisa
e)pedierea documentelor si materialelor ce contin informatii clasificate prin Posta Romana$.
Colectarea, transportul, distribuirea si protectia, pe teritoriul Romaniei a corespondentei clasificate se
realizeaza conform prevederilor 01 />?734554.
4?& Incalcarea de catre oricare dintre parti a oricarora dintre termenii, conditiile sau dispozitiile
acestei politici de confidentialitate, nu seva interpreta ca o renuntare la aceasta sau ca drept al partii de
a eluda dispozitiile politicii de confidentialitate.
42& In cazul in care una sau mai multe dintre dispozitiile acestei politici de confidentialitatea vor
deveni nule, ilegale sau lipsite de valabilitate uridica, legalitatea, validitatea si eficienta uridica a
restului dispozitiilor acesteia nu vor fi afectate sau diminuate in nici un fel.
Faza legala:
6egea /-434554 E 6ege privind protectia informatiilor clasificate;
01 2-234554 E 0otarare pentru aprobarea Standardelor nationale de protectie a informatiilor
clasificate in Romania;
01 8-/34554 E 0otarare privind protectia informatiilor secrete de serviciu;
01 />?734554 E 0otarare privind colectarea, transportul, distribuirea si protectia, pe teritoriul
Romaniei, a corespondentei clasificate.