Documente Academic
Documente Profesional
Documente Cultură
NORM
privind gestionarea riscurilor operaionale generate de sistemele informatice utilizate de
entitile reglementate, autorizate/avizate i/sau supravegheate de Autoritatea de
Supraveghere Financiar
n temeiul prevederilor art. 3 alin. (1) lit. b), art.5, art. 6 alin. (2) i ale art. 14 din
Ordonana de urgen a Guvernului nr. 93/2012 privind nfiinarea, organizarea i funcionarea
Autoritii de Supraveghere Financiar, aprobat cu modificri i completri prin Legea nr.113/2013,
cu modificrile i completrile ulterioare;
n urma deliberrilor Consiliului Autoritii de Supraveghere Financiar din cadrul edinei
din data de 18 martie 2015,
Autoritatea de Supraveghere Financiar emite urmtoarea norm:
CAPITOLUL I
Dispoziii generale
Art. 1. (1) Prezenta norm stabilete cerinele la nivelul entitilor autorizate/avizate,
reglementate i/sau supravegheate de ctre Autoritatea de Supraveghere Financiar, denumit
n continuare A.S.F., pentru identificarea, prevenirea i reducerea impactului potenial negativ
al riscurilor operaionale generate de utilizarea tehnologiei informaiei i comunicaiilor la
nivel de oameni, procese, sisteme i mediu extern, inclusiv de fapte ce in de criminalitatea
informatic.
(2) Prezenta norm stabilete activiti i operaiuni pentru evaluarea, supravegherea i
controlul riscurilor operaionale generate de utilizarea sistemelor informatice i ale securitii
informatice.
Art. 2. - Prezenta norm se aplic urmtoarelor categorii de entiti autorizate/avizate,
reglementate i/sau supravegheate de A.S.F, denumite n continuare entiti:
a) operatori de pia/operatori de sistem;
b) societi de administrare a investiiilor (SAI), organisme de plasament colectiv
(OPC i AOPC) care se autoadministreaz, dup cum urmeaz:
1. Societi cu active nete n portofoliu/administrate n valoare total,
cumulat pentru toate fondurile administrate, de peste 250 milioane
euro, echivalent lei;
2. Societi cu active nete n portofoliu/administrate n valoare total,
cumulat pentru toate fondurile administrate, de pn la 250 milioane
euro, echivalent lei;
c) depozitari centrali, case de compensare/contrapri centrale;
1/22
2/22
4/22
CAPITOLUL IV
Auditarea i testarea sistemului informatic
Seciunea 1
Auditul informatic
Art. 9. - (1) Entitile ncadrate la categoria de risc major au obligaia de a audita
extern sistemul informatic utilizat, cu periodicitate anual.
(2) Entitile ncadrate la categoria de risc important au obligaia de a audita, extern
sau cu resurse interne certificate, sistemul informatic utilizat, o dat la 2 ani.
(3) Entitile ncadrate la categoria de risc mediu au obligaia de a audita, extern sau cu
resurse interne certificate, sistemul informatic utilizat, o dat la 3 ani.
(4) Entitile ncadrate la categoria de risc sczut au obligaia de a audita, extern sau cu
resurse interne certificate, sistemul informatic utilizat, o dat la 4 ani.
(5) A.S.F. este ndreptit s instituie n sarcina entitii obligaia auditrii externe a
sistemului informatic pentru activitile solicitate de ctre A.S.F dac:
a) n urma constatrilor rezult c o entitate nu a desfurat toate activitile minime
obligatorii categoriei de risc n care aceasta se ncadreaz, conform prevederilor
art.7 sau activitile desfurate au un caracter formal;
b) A.S.F apreciaz c se impune efectuarea unor investigaii suplimentare ale
sistemelor informatice.
(6) Instituirea de ctre A.S.F. a obligaiei de auditare a sistemului IT conform alin.(5),
este nsoit de termenul pn la care entitatea este obligat s transmit la A.S.F.
raportul de audit, iar acest termen nu poate s depeasc 90 de zile lucrtoare.
(7) Auditul extern se efectueaz n baza unui contract ncheiat ntre entitatea care a
solicitat auditarea i unul dintre auditorii IT avizai de A.S.F conform prevederilor art.10
alin. (2). Entitile nu pot contracta auditul IT cu acelai auditor IT pentru mai mult de 3
auditri obligatorii consecutive dintre cele prevzute la alin. (1) (4).
(8) Contractul de audit IT prevzut la alin. (7) cuprinde n mod obligatoriu clauze cu
privire la la faptul c auditorul IT are obligaia de a respecta cerinele necesare efecturii
auditului sistemului informatic, n conformitate cu prevederile prezentei norme i cu bunele
practici n domeniu.
(9) Contractul menionat la alin. (7) trebuie s conin o clauz expres prin care
auditorul se oblig s notifice n cel mai scurt timp posibil i n scris A.S.F. cu privire la orice
fapt sau act n legtur cu sistemul informatic i de comunicaii utilizat de entitate i care:
a) este de natur s afecteze continuitatea activitii entitii auditate;
b) poate conduce la o opinie de audit cu rezerve, la imposibilitatea exprimrii unei
opinii profesionale sau la o opinie negativ.
(10) Contractul prevzut la alin. (7) trebuie s conin o clauz expres prin care, la
solicitarea scris a A.S.F., auditorul se oblig s prezinte A.S.F.:
a) orice raport sau document ce a fost adus la cunotina entitii auditate;
b) o declaraie care s indice motivele de ncetare a contractului de audit, indiferent de
natura acestora;
5/22
(5) Pentru toate situaiile menionate la alin (4) lit. c)-e), A.S.F. va transmite
auditorului IT extern o notificare prealabil prin care se aduc la cunotin faptele pentru care
se va proceda la retragerea avizului A.S.F.
(6) Entitile adopt toate msurile necesare pentru evitarea conflictelor de interese ce
pot interveni n desfurarea activitii de audit IT.
(7) Activitatea de audit trebuie s fie independent fa de activitatea auditat, pentru a
nu fi compromis obiectivitatea activitii de audit. Auditorii trebuie s fie independeni i
obiectivi n toate aspectele legate de misiunea de audit.
(8) Entitile, inclusiv cele care efectueaz auditul IT cu resurse interne certificate,
sunt obligate s furnizeze auditorului informaii complete, corespunztoare, relevante i n
timp util, pentru a permite efectuarea n bune condiii a activitii de audit IT.
(9) La finalizarea auditului IT, auditorii IT au obligaia de a ntocmi un raport de audit
care s cuprind cel puin urmtoarele elemente:
a) titlul raportului, identificarea i descrierea entitii auditate, respectiv beneficiarul
raportului;
b) destinatarii raportului i orice restricii privind coninutul i circulaia raportului;
c) domeniul auditat, obiectivele activitii, perioada auditat;
d) natura, cronologia i gradul de acoperire al procedurilor de audit efectuate;
e) orice calificare de opinie sau limitare a ariei acoperite de audit;
f) datele de identificare ale membrilor echipei de audit, care cuprind cel puin numele
i prenumele, telefon, fax, e-mail i adresa unde i desfoar activitatea;
g) semntura coordonatorului certificat al echipei de audit i semntura
reprezentantului legal al auditorului persoan juridic;
h) locul auditrii;
i) data raportului;
j) descrierea ariei auditului, incluznd:
(i) descrierea sistemelor auditate;
(ii) msurile organizatorice: politicile aplicabile i procedurile
implementate;
(iii) identificarea aplicaiilor utilizate i a persoanelor implicate;
(iv) componentele sistemelor informatice utilizate;
(v) un sumar coninnd analiza riscurilor aferente activitii, a
posibilelor deficiene ale sistemului informatic auditat i a msurilor
de reducere a riscurilor asociate, n baza controalelor generale sau
specifice implementate conform prezentei norme;
(vi) referire cu privire la corectitudinea raportrilor efectuate n
conformitate cu art. 14 alin. (4) aferente perioadei dintre dou
activiti de auditare IT;
(vii) descrierea modului prin care s-a efectuat atacul etic/testul de
penetrare, n cazul entitilor care sunt obligate s efectueze teste de
penetrare conform tabelului din anexa nr. 2.
k) concluziile detaliate ale echipei de audit privind ndeplinirea cerinelor prevzute la
art. 5, 8, 11, 12 i 13, pentru fiecare cerin, cu meniunea: DA/NU, precum i
motivaia, n cazul nerespectrii acesteia;
7/22
(2) Rezultatul testrilor prevzute la alin. (1) se consemneaz ntr-un raport de testare
IT care cuprinde cel puin urmtoarele elemente:
a) scopul testrii;
b) perioada testrii;
c) descrierea programului testat;
d) identificarea aplicaiilor utilizate i a persoanelor implicate;
e) analiza riscurilor implicate de achiziia sau modificarea programului informatic
important, a posibilelor vulnerabiliti i a msurilor de reducere a riscurilor
asociate prin controale de sistem sau de program informatic;
f) descrierea modului prin care s-au efectuat testele, scenariile de test, eventualele
norme sau standarde aplicate i rezultatul testrii;
g) concluzia echipei de testare;
h) semntura membrilor echipei de testare.
(3) Rapoartele de testare IT se pstreaz la entitate, cel puin pn la urmtoarea
auditare IT, i sunt puse la dispoziia auditorului IT i A.S.F la cerere.
CAPITOLUL V
Cerine de raportare
Art. 14. (1) Entitile au obligaia raportrii evalurii prevzute la art. 5 alin. (1) i
a auditrii prevzute la art. 9, astfel:
a) rezultatul evalurii interne a riscurilor operaionale este transmis A.S.F. anual pn
la 31 martie a anului curent, pentru anul anterior;
b) raportul de audit IT este transmis A.S.F. pn la 30 iunie a anului curent, pentru
perioada supus auditrii, corespunztoare fiecrei categorii de risc prevzute la art.
6 alin. (1).
(2) Entitile depun raportul de audit IT mpreun cu planul de aciune din care s
rezulte modalitatea de remediere a vulnerabilitilor identificate pe parcursul derulrii
activitii de audit IT, dac este cazul.
(3) Rapoartele privind evaluarea intern a riscurilor operaionale prevzute la alin.(1)
lit.a) i rapoartele de audit IT prevzute la alin. (1) lit.b) se depun la A.S.F. pe suport hrtie
sau n format electronic cu semntur electronic extins.
(4) Entitile transmit pn la data de 31 martie a anului curent, pentru anul anterior o
raportare electronic anual cu indicatorii menionai n anexa nr. 3, n msura n care aceti
indicatori sunt aplicabili i sunt afereni sistemelor informatice importante.
(5) Pentru situaiile n care datele referitoare la anumii indicatori nu sunt disponibile
n cazul unei anumite entiti din cauza tipului acesteia, naturii, dimensiunii sau complexitii
activitilor desfurate de aceasta, n celula corespunztoare din raport se va insera acronimul
N/A (neaplicabil).
10/22
CAPITOLUL VI
Contravenii
Art. 15. - Nerespectarea prevederilor prezentei norme de ctre entitile prevzute la
art. 2 constituie contravenie conform prevederilor art. 39 alin. (2) lit. a) din Legea nr.
32/2000 privind activitatea de asigurare i supravegherea asigurrilor, cu modificrile i
completrile ulterioare, respectiv ale art. 272 alin. (1) lit. a) pct. 6, lit b) pct. 5, lit. c) pct. 4, lit.
d) pct. 4, lit. e) pct. 6, lit. f) pct.3, lit. h) pct. 8, lit. j) pct. 17 i lit. k) pct. 3 din Legea nr.
297/2004, cu modificrile i completrile ulterioare, n funcie de tipul entitii.
CAPITOLUL VII
Dispoziii tranzitorii i finale
Art. 16. (1) Cerinele prevzute de prezenta norm sunt puse n aplicare de ctre
entiti, ncepnd cu data de 1 ianuarie 2016, cu excepia prevederilor art.11 referitoare la
furnizorii externi i furnizorii de servicii IT externalizate care se aplic ncepnd cu data de 30
septembrie 2016, iar entitile vor transmite notificrile menionate la art.11 alin.(3) pn la
31 decembrie 2016.
(2) Pn la data de 30 iunie 2016, toate entitile vor transmite A.S.F rezultatul primei
evaluri interne a riscurilor operaionale prevzut la art.14 alin. (1) lit. a), precum i prima
raportare electronic prevzut la art. 14 alin. (4).
(3) ncepnd cu data de 1 ianuarie 2017, toate entitile trebuie s efectueze raportrile
la termenele prevzute la art. 14.
(4) Pentru toate entitile, prima auditare IT se va realiza cel mai trziu pn la data de
31 decembrie 2016.
Art. 17. (1) La data de 30 iunie 2015 se abrog Instruciunea nr. 2/2011 privind
auditarea sistemelor informatice utilizate de entitile autorizate, reglementate i
supravegheate de Comisia Naional a Valorilor Mobiliare, aprobat prin Ordinul Comisiei
Naionale a Valorilor Mobiliare nr. 10/2011, publicat n Monitorul Oficial al Romniei,
Partea I, nr. 118 din 16 februarie 2011, cu modificrile ulterioare.
(2) La data intrrii n vigoare a prezentei norme se abrog:
a) Dispunerea de Msuri a Comisiei Naionale a Valorilor Mobiliare nr.19/20101;
b) art.25 din Normele privind principiile de organizare a unui sistem de control
intern i management al riscurilor, precum i organizarea i desfurarea activitii
de audit intern la asigurtori/reasiguratori, aprobate prin Ordinul Comisiei de
Supraveghere a Asigurrilor nr. 18/2009, publicat n Monitorul Oficial al Romniei,
Partea I, nr. 621 din 16 septembrie 2009, cu modificrile i completrile ulterioare;
c) orice dispoziie contrar prevederilor prezentei norme.
Art. 18. Anexele nr. 1 - 3 fac parte integrant din prezenta norm.
1
Dispunerea de msuri a Comisiei Naionale a Valorilor Mobiliare nr. 19/2010 nu a fost publicat n
Monitorul Oficial al Romniei, Partea I.
11/22
12/22
Anexa nr. 1
DEFINIII I ABREVIERI
13. centru de date - spaiu securizat, dotat cu tehnic de calcul i echipamente de comunicaii
prin intermediul crora se primesc, se stocheaz i se transmit date n form electronic,
care se implementeaz respectnd standardele specifice, utiliznd conceptul de nivel sau
un echivalent al acestuia, precum, dar fr a se limita la, standardele SR EN 50600
(European Standard - Data Centers Facilities and Infrastructures) sau TIA-942
(Telecommunications Industry Association);
14. centru de date de nivel 2 centru de date care indeplinete cerinele TIA-942 tier 2 sau
echivalent i a crui infrastructura prezint caracteristicile de disponibilitate de 99.741%,
circuit dedicat pentru rcire i alimentare cu energie electric, include componente
redundante, include podea nlat, surse nentreruptibile de putere, generator i se
ncadreaz ntr-un numr de maximum 22 ore de nefuncionare pe an.
15. centrul principal de date centru de date care asigur serviciile IT i proceseaz n mod
curent, datele, tranzaciile i operaiunile entitii;
16. CERT/ Echip sau centru de rspuns la incidente de urgen aferente securitii
informatice structur organizaional specializat n vederea colectrii, analizrii,
identificrii, prevenirii i reaciei la incidente cibernetice cu impact semnificativ;
17. ciclu de via - totalitatea stadiilor din viaa unui serviciu IT, a unui element de
configuraie, a unui incident, a unei probleme sau a unei schimbri, fr a se limita la
acestea;
18. cloud computing public infrastructur informatic, cu resurse de calcul configurabile,
care permite furnizarea la cerere de servicii IT i este asigurat prin centre de date publice,
altele dect infrastructura informatic proprie entitii, prin intermediul unui furnizor
extern, ca un ansamblu distribuit de servicii de calcul, programe informatice, acces la
informaii i stocare de date;
19. COBIT / Obiective de Control pentru Tehnologia Informaiilor i Tehnologii Conexe
furnizeaz ndrumare i bun practic pentru managementul controalelor proceselor IT,
fiind publicat de ctre ISACA n colaborare cu IT Governance Institute (ITGI);
20. comunicaii/telecomunicaii sisteme de transmisie, precum i orice alte resurse care
permit transportul semnalelor prin fir, radio, fibr optic sau orice alte mijloace
electromagnetice, precum i tehnologiile utilizate n cadrul proceselor de comunicare,
care presupun existena unui mediu informatic constituit din echipamente hardware,
software specializat, precum i dispozitive electronice de transmisie/recepie date;
21. controale informatice - totalitatea politicilor, procedurilor, practicilor i a structurilor
organizaionale informatice proiectate s ofere o asigurare rezonabil asupra faptului c
obiectivele afacerii vor fi atinse i evenimentele nedorite vor fi prevenite sau detectate i
corectate;
22. date (informatice) - orice reprezentare a unor fapte, informaii sau concepte ntr-o form
care poate fi prelucrat printr-un sistem informatic, incluzndu-se i orice program
informatic care poate determina realizarea unei funcii similare de ctre un sistem
informatic;
23. disponibilitate- capabilitatea unui serviciu IT sau unui element de configuraie IT de a
efectua funciile agreate atunci cnd este necesar acest lucru;
14/22
24. dubla validare/validare dubl - validarea unei aciuni de ctre doi utilizatori sau
existena unei validri informatice duble ce implic un program care verific o anumit
aciune prin metode diferite;
25. externalizare servicii IT - utilizarea de ctre o entitate a unui furnizor extern de servicii
IT, n vederea desfurrii de ctre acesta, pe baz contractual i n mod continuu sau
pentru o perioad, a operaiunilor aferente suportului tehnic sau al procesrii, necesare
desfurrii activitii efectuate n mod obinuit de ctre entitatea n cauz;
26. externalizare n lan - externalizare n cadrul creia furnizorul extern subcontracteaz cu
ali furnizori externi elemente componente ale serviciilor prestate entitii;
27. factori de risc - situaii, mprejurri, elemente, condiii sau conjuncturi interne i externe,
uneori dublate i de aciune, ce determin ori favorizeaz materializarea unei ameninri
la adresa infrastructurilor importante, n funcie de o vulnerabilitate determinat,
genernd efecte de insecuritate;
28. furnizor extern persoan juridic sau fizic autorizat furnizoare de bunuri (precum
hardware, licene software, componente etc) i soluii informatice, care deine expertiz
n domenii specializate, cu respectarea cadrului legal aplicabil;
29. furnizor de servicii IT externalizate persoan juridic sau persoan fizic autorizat cu
obiect de activitate i expertiz n domeniul serviciilor informatice, furnizoare de servicii
informatice n condiiile respectrii cadrului legal aplicabil i a autorizrii primite;
30. hardware - ansamblul elementelor fizice i tehnice cu ajutorul crora datele se pot
culege, verifica, prelucra, transmite, afia i stoca, inclusiv suporturile de memorare a
datelor, precum i echipamentele de calculator auxiliare;
31. incident de securitate eveniment nregistrat i declarat la nivelul entitii privind
securitatea informaiei sau a sistemelor informatice cu o probabilitate semnificativ de
compromitere a operaiunilor i de ameninare a securitii IT a crei consecin a
determinat sau este de natur s determine compromiterea informaiilor sau a sistemelor
informatice;
32. indicatori cheie de performan (KPI) - parametri analitici reprezentativi selectai pentru
monitorizarea unor activiti i procese cheie pentru entiti, oferind o privire de
ansamblu asupra performanei;
33. indicatori cheie de risc (KRI) parametrii care msoar efectiv riscurile aferente
procedurilor i activitilor entitii, furniznd n timp semnalri corespunztoare ale
consecinelor cu efect negativ, care pot genera poteniale pierderi directe sau indirecte;
34. indisponibilitate (ca durat n timp) - intervalul de timp din cadrul perioadei agreat ca
disponibilitate a serviciului, n care un serviciu IT sau o component critic/important a
serviciului nu este disponibil;
35. informaie rezultatul prelucrrii datelor printr-un sistem informatic care sunt baza
pentru asigurarea cunoaterii prin intermediul unor elemente noi n raport cu cunotinele
anterioare i constituie o resurs care trebuie protejat;
36. infrastructura informatic elemente ale bazei tehnico-materiale, pe componente sau ca
sistem care susin culegerea, stocarea i managementul datelor, precum i integrarea,
cutarea i vizualizarea datelor i alte calcule i servicii de procesare a informaiei
utiliznd tehnologii informatice, deinute sau contractate extern de ctre entitate i
necesare bunei funcionri a acesteia;
15/22
53. reea ansamblu de echipamente legate ntre ele prin canale de transmisie, precum, dar
fr a se limita la, o reea de calculatoare;
54. risc de securitate - orice circumstan sau eveniment care are un efect negativ potenial
asupra securitii sistemelor informatice;
55. risc sistemic - riscul de afectare a unei zone importante a sistemului financiar sau a unei
piee financiare, cu potenial de consecine negative serioase pentru piaa intern i
economia real, instabilitate a sistemului financiar, posibil catastrofic, cauzat sau
accentuat de evenimente idiosincratice sau de condiii ale entitilor;
56. riscuri semnificative - riscuri cu impact nsemnat asupra situaiei financiare, patrimoniale
i/sau reputaionale a entitilor;
57. raport de audit IT - instrumentul prin care se comunic scopul auditrii, obiectivele
urmrite, normele/standardele aplicate, perioada acoperit, natura, ntinderea, procedurile,
constatrile i concluziile auditului, precum i orice rezerv pe care auditorul IT o are
asupra sistemului informatic auditat;
58. raport de testare IT - instrumentul prin care se comunic scopul testrii, obiectivele
urmrite, normele/standardele aplicate, perioada acoperit, natura, ntinderea, procedurile,
constatrile i concluziile testrii, precum i orice rezerv pe care echipa de testare o are
asupra sistemului informatic testat;
59. risc aferent tehnologiei informaiei (IT) - subcomponent a riscului operaional care se
refer la riscul actual sau viitor de afectare negativ pe de o parte a profiturilor i
capitalului entitilor sau a investitorilor, participanilor sau asigurailor, pe de alt parte,
determinat de inadecvarea strategiei i politicilor IT, a tehnologiei informaiei i a
procesrii acesteia, din punct de vedere a capacitii de gestionare, integritate,
controlabilitate i continuitate, sau de utilizare necorespunztoare a tehnologiei
informaiei;
60. securitate (cibernetic) - capacitatea unei reele sau a unui sistem informatic, rezultat n
urma aplicrii unui ansamblu de msuri proactive i reactive, de a rezista, la un nivel de
ncredere dat, unei aciuni accidentale sau ruvoitoare care compromite disponibilitatea,
autenticitatea, integritatea sau confidenialitatea datelor stocate sau transmise, ori a
serviciilor conexe oferite de reeaua sau de sistemul informatic respectiv, sau accesibile
prin intermediul acestora;
61. semntur electronic (digital) atribut indispensabil al documentului electronic,
obinut n urma transformrii criptografice a acestuia, cu utilizarea cheii private, conform
prevederilor Legii nr. 455/2001 privind semntura electronic, republicat;
62. serviciu IT combinaie de persoane, procese i tehnologii furnizate n interiorul entitii
sau de ctre un furnizor de servicii IT, care se bazeaz pe folosirea tehnologiei
informaiei i care asigur suportul tehnic necesar desfurrii activitii entitii, i care ar
trebui s fie definit ntr-un acord al nivelului agreat de serviciu (SLA);
63. sistem informatic - ansamblu de elemente intercorelate funcional n scopul automatizrii
obinerii informaiilor necesare activitilor operaionale i manageriale ntr-o entitate,
prin intermediul serviciilor IT, al echipamentelor hardware i produselor software,
proceduri manuale, baze de date i modele matematice pentru analiz, planificare, control
i luarea deciziilor, utiliznd componente de introducere i prelucrare date, componente
de procesare precum servere, calculatoare, sisteme software de operare de baz, programe
17/22
18/22
Anexa nr. 2
Activiti desfurate de ctre entiti
Entitile vor desfura activitile precizate n tabelul de mai jos, conform categoriilor de risc
corespunztoare.
Activiti obligatorii ale entitilor, pe categorii de risc.
Activitate
Management utilizatori
Management incidente
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
4 Management schimbare
a) Management ciclu via
programe informatice
b) Management versiuni
c) Management testare
5
Management capacitate
6
Management
configuraii
7
Management niveluri
servicii (SLA)
8 Management securitate
a) Cerine generale
b) Teste de penetrare
9
Management
continuitate
C) Puncte de control i msur
a) Controale generale
b) Controale program
informatic
c) Controale flux
financiar
x
19/22
Activitate
x
D)Implementare
indicatori
cheie de performan (KPI)
x
x
E)Implementare
indicatori
cheie de risc (KRI)
F) Managementul securitii sistemului informatic
x
x
a) Msuri organizatorice
x
x
b) Proceduri de securitate
c) Evaluare securitate
d) Plan de cooperare
20/22
Anexa nr. 3
Indicatori de raportare electronic anual
Pentru raportarea indicatorilor din tabelul de mai jos, entitile vor raporta:
a) Conform prevederilor art. 14 alin (4) din Norma Autoritii de Supraveghere
Financiar nr. 6/2015 privind gestionarea riscurilor operaionale generate de sistemele
informatice utilizate de entitile reglementate, autorizate/avizate i/sau supravegheate
de Autoritatea de Supraveghere Financiar;
b) 0 zero dac nu sunt valori ale indicatorului respectiv pentru perioada raportat
sau, dup caz, la sfritul perioadei de raportare;
c) valoarea indicatorului - dac sunt nregistrate valori diferite de zero ale indicatorului
respectiv pentru perioada raportat sau, dup caz, la sfritul perioadei de raportare.
Indicatori de raportat:
Obiectiv n
Indicator
perioada de
raportare
Indicatori referitori la accesarea online a serviciilor oferite de entitate
Numr de clieni (total utilizatori) care acceseaz serviciile online
oferite de entitate
Indicatori referitori la persoanele care pot s efectueze modificri ale
sistemelor/programelor informatice importante
Numr de persoane (total utilizatori) care au acces direct la bazele
de date ale entitii (referitor la portofolii, tranzacii si active) cu
drepturi de modificare asupra acestora, rol de administrator sau
privilegii echivalente
Numr de persoane (total utilizatori) care au drepturi de modificare
asupra programelor informatice importante ale entitii (programe
informatice interne/externe/on-line accesate via Internet)
Indicatori referitori la principiul dublei validri prin operaiuni in sistemele
informatice importante
Numr de operaiuni INIIATE care presupun dubla validare
Numr de operaiuni CONFIRMATE care presupun dubla validare
Numr de operaiuni ANULATE care presupun dubla validare
Indicatori referitori la accesul la sistemele informatice importante
Numr de persoane (total utilizatori) care au acces la sistemele
informatice importante care conin
informaii referitoare la
portofolii, tranzacii i active
Numr administratori de sistem (total utilizatori) care au acces la
21/22
22/22