GHID DE NDRUMARE

a implementrii activitilor desfurate de ctre entiti n aplicarea Normei privind

gestionarea riscurilor operaionale generate de sistemele informatice utilizate de entitile
reglementate, autorizate/avizate i/sau supravegheate de Autoritatea de Supraveghere
Financiar
I. Domeniul de aplicare
Prezentul ghid de ndrumare cuprinde detalii i parametrii, n conformitate cu prevederile art.7
alin. (2) din Norma A.S.F. nr. 6/2015 privind gestionarea riscurilor operaionale generate de
sistemele informatice utilizate de entitile reglementate, autorizate/avizate i/sau supravegheate
de Autoritatea de Supraveghere Financiar, referitoare la modalitatea de implementare
corespunztoare a activitilor desfurate de ctre entiti n aplicarea acesteia.
Prezentul ghid stabilete modul n care este aplicat Norma A.S.F. nr. 6/2015 cu privire la
practicile adecvate referitoare la activitile desfurate de ctre entitile reglementate,
autorizate/avizate i supravegheate de A.S.F., aa cum sunt acestea prevzute n anexa nr.2 a
acestei norme.
Aceste ghiduri se refer la urmtoarele activiti:
A. Evaluarea intern a riscului operaional i registrul riscurilor
B. Organizarea pe procese a activitilor aferente utilizrii tehnologiei informaiei:
1. Managementul disponibilitii;
2. Managementul utilizatorilor;
3. Managementul incidentelor;
4. Managementul schimbrii;
5. Managementul capacitii;
6. Managementul configuraiilor;
7. Managementul nivelurilor de servicii;
8. Managementul securitii;
9. Managementul continuitii.
C. Punctele de control i msurare:
1. Controale generale;
2. Controale la nivelul programelor informatice;
3. Controale de flux financiar.
D. Elementele de control tip indicatori de performan (KPI) pe procese
E. Indicatorii cheie de risc (KRI) afereni punctelor de control
F. Managementul Securitii Sistemelor Informatice i de Comunicaii:
1. Msuri organizatorice;
2. Proceduri de securitate;
3. Evaluarea intern de securitate;
4. Plan de cooperare n domeniul securitii sistemelor i a informaiei.
II. Modalitatea de aplicare
Entitile reglementate, autorizate/avizate i supravegheate de A.S.F. vor ncorpora prezentele
ghiduri n activitatea lor curent, n funcie de categoria de risc n care sunt ncadrate conform
Normei A.S.F. nr. 6/2015 i n conformitate cu natura, dimensiunea i complexitatea activitilor
desfurate.

III. Ghiduri de implementare

A. Evaluarea intern a riscurilor operaionale i registrul riscurilor
A.1) Entitile i evalueaz intern riscurile operaionale generate de utilizarea tehnologiei
informaiilor i comunicaiilor i constituie un Registru al riscurilor operaionale generate de
utilizarea sistemelor informatice de ctre oameni, procese, sisteme i mediul extern.
A.2) Entitile identific toate categoriile relevante de risc, le menioneaz n registrul riscurilor
pe patru categorii: oameni, procese, sisteme/tehnologii i mediul extern, innd cont de riscurile
activitilor externalizate ctre furnizorii de produse i servicii informatice i de comunicaii.
A.3) Evaluarea de risc se efectueaz regulat, dar cel puin anual. Funcia de administrare a riscului
integreaz toate riscurile semnificative pentru entitate pe o hart ce reprezint profilul de risc al
entitii. Profilul de risc este analizat i discutat oricnd au loc schimbri importante n entitate.
A.4) A.S.F. va publica, pana la data de 30 iunie 2015, un exemplu de metodologie privind
evaluarea interna a riscurilor care va propune i o metod de calcul aferent evalurii riscurilor,
precum i un ablon pentru raportarea anual a evalurii interne a riscurilor.
B. Organizarea pe procese a activitilor aferente utilizrii tehnologiei informaiei
1) Managementul disponibilitii
B.1.1) Entitile implementeaz un proces documentat de management al disponibilitii n
vederea asigurrii funcionrii sistemelor informatice pentru asigurarea serviciilor contractate de
ctre clieni i a raportrilor ctre A.S.F.
Activitile aferente procesului managementului disponibilitii definesc, analizeaz, planific,
msoar i mbuntesc aspectele legate de disponibilitatea unui serviciu IT.
B.1.2) Entitile definesc nivelurile corespunztoare referitoare la disponibilitatea serviciilor IT
(interne sau externalizate), inclusiv a centrelor de procesare i stocare date. Entitile utilizeaz
centre de date pentru a asigura un timp corespunztor de funcionare raportat la durata unui an
calendaristic echivalent unui centru de date de nivel 2.
B.1.3) Entitile contracteaz servicii cu furnizori de soluii informatice care implementeaz cel
puin standardul SR ISO/IEC 27001, precum i cerinele prevzute la art. 11alin. (1) din Norma
A.S.F. nr. 6/2015. n cazul externalizrilor n lan, cerinele trebuie s fie ndeplinite de toi
furnizorii pe lanul externalizrii.
2) Managementul utilizatorilor
B.2.1) Entitile implementeaz un proces de instruire pentru utilizatorii sistemelor informatice,
astfel:
1. instruirea utilizatorilor - nstruirea individual cu privire la utilizarea sistemelor
informatice este obligatorie i trebuie s se fac innd cont de responsabilitile specifice
fiecrui utilizator;
2. instruirea noilor angajai - noii angajai trebuie s fie instruii obligatoriu cu privire la
utilizarea sistemelor informatice n momentul angajrii. Angajaii vor semna un document
prin care s se confirme faptul c au luat la cunotin politica de securitate a entitii;
3. instruirea pentru sistemele noi introduse - entitatile se angajeaz s instruiasc toi
utilizatorii sistemelor nou introduse pentru a garanta faptul c acestea vor fi folosite
eficient i c nu vor compromite securitatea informatic
B.2.2) Fiecare utilizator trebuie s aib un identificator unic i o parol personal secret pentru
accesul la sistemele/programele informatice ale entitii. Modul de selectare, folosire i protecie a
parolelor, ca mecanism principal de control al accesului, trebuie s se fac n conformitate cu o
politica de securitate intern. Accesul la sistemele proprii trebuie autorizat de ctre proprietarii
2

sistemelor, iar acest lucrul include drepturile de acces (sau privilegiile) acordate care trebuie
nregistrate n Listele de Control a Accesului (Access Control List). Toate privilegiile de acces la
sistemele informatice trebuie revocate imediat n momentul n care un angajat i nceteaz
activitatea n cadrul organizaiei.
B.2.3) Privilegiile acordate utilizatorilor trebuie revizuite periodic pentru a determina dac acestea
continu s fie necesare pentru ca utilizatorul s-i poat ndeplini sarcinile ce i revin. Dac nu,
aceste privilegii trebuie revocate imediat. Pentru orice conexiuni la distanta se va impune o durata
maxima de viata a conexiunii inactive.
B.2.4) Modulele de conectare n sistem trebuie configurate astfel nct s limiteze numrul de
ncercri de conectare nereuite nainte de a bloca accesul pentru utilizatorul respectiv. Pentru
deblocarea accesului, utilizatorul trebuie s ia legtura personal cu administratorul de sistem.
B.2.5) Entitile dispun de mecanisme privind gestionarea adecvat a accesului la
sistemele/programele informatice importante, care vor ine cont cel puin de urmtoarele:
1. Aplicaiile din producie la care au acces mai muli utilizatori trebuie s dispun de o
politic de control a accesului;
2. Controlul accesului la aplicaii trebuie configurat astfel nct s minimizeze riscurile
cu privire la securitatea informaiei i s permit desfurarea n bune condiii a
activitilor din cadrul organizatiei;
3. Utilizatorilor li se va permite accesul numai la comenzile i funciile sistem pe care au
dreptul s le foloseasc;
4. Accesul la informaiile cu caracter personal trebuie permis numai angajailor care au
nevoie de acest lucru pentru ndeplinirea sarcinilor ce le revin;
5. Accesul la sisteme trebuie jurnalizat i monitorizat pentru a putea identifica aciunile
de folosire necorespunztoare a acestora. Toate sistemele de calcul din producie trebuie
s dispun de jurnale de audit care s nregistreze cel puin activitile desfurate pe
parcursul unei sesiuni utilizator: ID-ul utilizatorului, data i timpul conectrii n sistem,
data i timpul deconectrii, aplicaiile apelate, modificrile efectuate asupra fiierelor
critice din sistem, adugarea sau modificarea de privilegii ale utilizatorului, precum i
momentele n care sistemul a fost pornit sau oprit.
B.2.6) Sistemele de calcul ce manipuleaz informaii confidentiale trebuie s jurnalizeze toate
evenimentele relevante din punct de vedere al securitii cum ar fi: ncercrile de conectare la
sistem, ncercrile de a folosi privilegii neautorizate, modificarea privilegiilor utilizatorilor,
modificarea aplicaiilor software din producie i modificarea software-ului de sistem.
B.2.7) Securitatea jurnalelor trebuie s fie suficient de ridicat pentru a evita dezactivarea,
modificarea, tergerea sau suprascrierea acestora. Accesul la jurnale trebuie permis numai
persoanelor autorizate.
3) Managementul incidentelor
B.3.1) Entitile implementeaz un proces documentat de management al incidentelor n vederea
identificarii, colectrii, analizrii i rezolvrii incidentelor care afecteaz buna funcionare a
activitii personalului propriu, a sistemelor informatice i de comunicaii, a asigurrii serviciilor
ctre clieni, a raportrilor ctre A.S.F..
4) Managementul schimbrii
B.4.1) Entitile implementeaz un proces documentat de management al schimbrii n vederea
asigurrii controlului asupra implementrii modificrilor/schimbrilor solicitate de planurile de
afaceri i operaionale, la nivelul organizaiei, al personalului, al proceselor, al sistemelor, al
3

serviciilor IT i al operrii cu furnizorii externi. Entitile implementeaz procesul de

management al schimbrii printre altele pentru asigurarea trasabilitii, transparenei,
documentrii i evidenei, a reducerii erorilor i fraudelor.
B.4.2) Entitile implementeaz schimbri adaptnd, dup caz, bunele practici aferente
managementului de proiecte.
a) Managementul ciclului de via al programelor informatice
B.4.3) Entitile implementeaz un proces documentat de colectare a cerinelor de afaceri, de
analizare a lor, de redactare a specificaiilor de afaceri i tehnice, de alocare a resurselor, de
dezvoltare software a programului informatic, de testare, promovare, de suport dup
implementare i de primire de noi cerine pentru modificarea celor iniiale dup ce acestea sunt
deja n funciune.
b) Managementul versiunilor
B.4.4) Entitile pstreaz istoricul cu privire la procesul de versionare a aplicaiilor/sistemelor n
scopul normei, pe toat perioada de utilizare a aplicaiei/sistemului. n acest sens:
1) fiecare versiune a unui program informatic va primi un cod unic;
2) testele de acceptan sunt finalizate si semnate de utilizatorii de test i de
utilizatorii finali;
3) toate versiunile trebuie aprobate naintea implementrii.
c) Managementul testrii i asigurrii calitii programelor informatice
B.4.5) Entitile testeaz sistemul informatic utilizat cu resurse umane i tehnice interne sau
externe entitii.
B.4.6) Testarea se efectueaz n baza unei proceduri scrise i a unui scenariu formalizat de testare,
prin care s se asigure c testarea rspunde cerinelor impuse la managementul securitaii.
5) Managementul capacitii
B.5.1) Entitile implementeaz un proces documentat privind asigurarea performanei,
scalabilitii i a capacitii serviciilor IT asigurate de infrastructura informatic pentru prevenirea
afectrii pariale sau totale a capacitii de procesare, stocare sau furnizare a serviciilor ctre
beneficiari sau a raportrilor ctre A.S.F..
6) Managementul configuraiilor
B.6.1) Entitile implementeaz un proces documentat pentru evidena activelor tangibile i
intangibile informatice i de comunicaii, inclusiv utilizatori, manuale de utilizare si documentaii
ale programelor informatice.
7) Managementul nivelurilor de servicii
B.7.1) Entitile implementeaz un proces documentat privind definirea nivelurilor agreate de
servicii aferente furnizorilor de servicii externalizate.
B.7.2) Entitile identific i aplic msuri de securitate pentru gestionarea accesului furnizorilor
la mijloacele de procesare a datelor i la informaii.
B.7.3) Entitile prevd n contractul cu furnizorului extern:
1) responsabiliti i obligaii legale;
2) cerinele de securitate sau msurile interne de securitate necesare;

3) responsabiliti i obligaii aferente accesrii, procesrii sau gestionrii informaiilor

entitii i a facilitilor sale de procesare a datelor;
4) responsabiliti i obligaii de planificare a perioadei de tranziie i rezolvarea
problemelor poteniale ale ntreruperii operaiunilor pe parcursul acestei perioade;
5) planificri pentru situaii neprevzute;
6) culegerea de informaii i monitorizarea privind incidentele de securitate i
managementul acestora;
7) planificarea i gestionarea tranziiei spre un acord de servicii IT externalizate i aplic
procese adecvate pentru managementul schimbrii i renegocierea/rezilierea
acordurilor.
B.7.4) Acordul de servicii externalizate prevede procedurile pentru continuarea procesrii n cazul
n care furnizorul devine incapabil s mai furnizeze serviciile, pentru a se evita ntrzierea
nejustificat n obinerea unor servicii nlocuitoare.
B.7.5) Acordurile de servicii externalizate pot implica i alte pri. Acordurile care ofer acces
unei tere pri trebuie s includ posibilitatea de desemnare explicit a acestora, criteriile precum
i condiiile pentru accesul i implicarea acestora.
8) Managementul securitii
a) Cerine generale
B.8.1)Entitile implementeaz cerinele generale de securitate astfel cum sunt prevzute la art. 8
alin. (1) din Norma A.S.F. nr. 6/2015.
B.8.2)De asemenea, entitile urmresc:(i) pstrarea la sediul propriu a documentaiei complete i
actualizate, pe fiecare nivel de acces, a programelor informatice utilizate;(ii) respectarea oricror
altor cerine care rezult din dispoziiile legale n vigoare, aplicabile n funcie de obiectul de
activitate al entitii;
b) Teste de penetrare
B.8.3)Entitile adopt msuri pentru implementarea unui proces de testare a posibilitii de
penetrare a sistemelor, cel puin din exteriorul entitii, la nivel de program informatic, sisteme de
operare, baze de date, reea.
9) Managementul continuitii
B.9.1) Entitile asigur replicarea datelor i a sistemelor informatice importante. Pentru sistemele
informatice importante, entitile urmresc s asigure:
a) o disponibilitate ridicat, corelat cu natura, dimensiunea i complexitatea activitii, la sediul
principal de procesare a entitii (propriu sau externalizat);
b) un sistem de recuperare n caz de dezastru situat fie ntr-o alt locaie a entitii, fie prin
intermediul unui furnizor extern de servicii, care s minimizeze riscul de dezastru natural;
c) furnizorul extern de servicii trebuie s respecte cerinele de la managementul disponibilitii
prevzute la cap. B.1.2)
B.9.2) Funcionarea planurilor alternative de recuperare i continuitate a afacerii se testeaz
periodic pe baza unor scenarii practice i reale, cu asigurarea posibilitii continurii operaiunilor
pe sistemele de rezerv.
B.9.3) Entitile i continu activitatea n caz de avarie sau dezastru, prin intermediul unui centru
de recuperare cu reluarea activitii ntr-un interval de timp foarte scurt, definit n cadrul
profilului de risc. Pentru entitile ncadrate n categoria de risc major intervalul de timp optim
5

este de dou ore. Pentru entitile ncadrate n categoria de risc important intervalul de timp optim
este de dou zile. Pentru entitile ncadrate n categoria de risc mediu intervalul de timp optim
este de patru zile. Pentru entitile ncadrate n categoria de risc sczut intervalul de timp optim
este de cinci zile.
B.9.4) Entitile urmresc urmtoarele caracteristici ale centrului de date i ale planului de
recuperare:
a) este permanent operaional, pe perioada de definire a serviciilor (numr zile pe
sptmn, numr ore pe zi) i asigur serviciile IT susinute de sistemele informatice importante
i definite n planul de recuperare, n timpul angajat prin registrul riscurilor i comunicat ctre
A.S.F.;
b) este sincronizat cu sistemul principal pentru a se asigura acelai nivel sau un nivel de
servicii cu o scdere acceptabil de servicii pentru serviciile replicate;
c) asigur comutarea i continuarea activitii n locaia alternativ, n intervalul de timp
prevzut n profilul de risc al entitii, evaluat i comunicat ctre A.S.F. Entitile urmresc
ncadrarea n intervalul de timp optim prevzut la pct. B. 8.3).
B.9.5) Entitile definesc un proces de control al incidentului n cadrul planului de continuare a
activitii, prin intermediul unui plan de urgen pentru administrarea situaiei de criz.
C) Puncte de control i msurare
C.1) Entitile implementeaz urmtoarele tipuri de controaleca urmare a evalurilor proprii i,
cnd este cazul:
a) controale preventive;
b) controale de avertizare.
C.2) Entitile controleaz riscurile generate de utilizarea sistemelor informatice prin:
a) stabilirea de obiective de control;
b) implementarea de puncte de control de ctre entitate sau de furnizorul extern de
servicii;
c) monitorizarea punctelor de control i a indicatorilor cheie de risc.
n acest scop, se implementeaz att controale generale la nivelul sistemului informatic, ct i
controale specifice la nivelul fiecrei componente a acestuia, dup caz. Informaiile din punctele
de control vor fi colectate periodic la alegerea entitii sau cnd este cazul i vor fi pstrate la
dispoziia entitii i raportate ctre A.S.F. pe baza cerinelor de raportare.
C.3) Entitile aplic proceduri operaionale n domeniul combaterii splrii banilor i finanrii
terorismului, precum i regimului de sanciuni internaionale ca parte integrat a reglementrilor
emise de A.S.F..
a) Controale generale
Controalele generale la nivelul entitilor sau al furnizorilor externi de servicii sunt proiectate
nct informaiile financiare generate de sistemele informatice ale entitii s fie de ncredere,
reale i corecte. Controalele generale includ:
a) controale referitoare la sincronizarea de timp la o referin recunoscut naional sau
internaional;
b) controale asupra operrii centrului de date;
c) controale asupra sistemelor de aplicaii;
d) controale asupra securitii accesului;
e) controale asupra dezvoltrii, administrrii i ntreinerii programelor informatice.
Controalele generale includ i verificarea existenei i aplicrii unei strategii de informatizare, a
politicilor de aprobare i efectuare a achiziiilor, a externalizrilor serviciilor informatice, inclusiv
prevenirea riscului sistemic datorat criminalitii informatice.
6

b) Controale programe informatice

Entitile implementeaz controale la nivelul programelor informatice prin proceduri de validare
i control incluse n codul software utilizat, prin includerea punctelor de control n codul software
pentru prevenirea i detectarea tranzaciilor neautorizate, precum i proceduri manuale de
verificare a modului de procesare a tranzaciilor i a efecturii operaiunilor.
Entitile implementeaz controale aferente separrii mediului de dezvoltare a programelor
informatice de mediul de testare a programelor informatice i de mediul de operare a programelor
informatice. Accesul la diversele medii trebuie controlat, innd cont de exigena limitrii
riscurilor i a fraudei. Controalele susin sigurana datelor i a informaiilor, separarea de atribuii
n funcie de cele trei tipuri de medii, limitnd accesul persoanelor neautorizate la informaii i n
mediul de operare i nregistrnd toate tentativele de acces neautorizate.
Entitile asigur sigurana fizic a sistemelor hardware, software i a bazelor de date, pentru
prevenirea utilizrii necorespunztoare a informaiei de ctre personalul entitii n vederea
obinerii unor beneficii personale sau prejudicierea reputaiei societii.
Entitile se asigur c furnizorii de programe informatice dezvoltate la cerere de ctre entiti
utilizeaz obiectivele de control recomandate de bunele practici n domeniu pentru controalele
aferente programelor informatice.
c) Controale de flux financiar
Entitile implementeaz controale de flux financiar pentru verificarea periodic, din perspectiva
procesrii electronice, a fluxurile de date dintre datele din contabilitate, datele din activitile
operaionale, datele de la parteneri.
D) Elemente de control tip indicatori de performan (KPI) pe procese
Entitile selecioneaz i monitorizeaz indicatorii cheie de performan (KPI) pe care i
consider relevani pentru procesele proprii.
E) Indicatori cheie de risc (KRI) afereni punctelor de control
E.1) Entitile urmresc riscurile operaionale din perspectiva expunerii i a schimbrilor n
profilul de risc operaional prin indicatori de risc n funcie de natura, dimensiunea i
complexitatea activitii. Entitile i definesc apetitului la risc prin definirea unor limite la care
indicatorii de risc sunt folosii ca suport. Entitile asigur procesul de monitorizare i msur prin
indicatorii cheie de risc (KRI), identificnd pierderile operaionale poteniale cauzate de
deficienele legate de IT i comunicaii.
E.2) Entitile i stabilesc un set de indicatori cheie de risc (KRI) afereni proceselor specificate
n Norma A.S.F. nr. 6/2015, n conformitate cu categoria proprie de risc.
F) Managementul Securitii Sistemelor Informatice i de Comunicaii
Entitile care utilizeaz sisteme informatice de prelucrare automat a datelor vor elabora un set
de msuri de siguran, n concordan cu legislaia n domeniu, utiliznd principiile
referenialului SR ISO/CEI 27002 (fr a se solicita certificarea expres), n funcie de profilul i
apetitul de risc, natura, dimensiunea i complexitatea activitii entitii i de categoria de risc
alocat de ctre A.S.F. sau a solicitrii exprese a A.S.F. ctre o entitate specific, ce va include cel
puin urmtoarele elemente:

1. Msuri organizatorice
(1) Entitile definesc i implementeaz urmtoarelor activiti, proceduri i
responsabiliti:
a) politica de securitate;
b) obiectivele de securitate;
c) desemnarea responsabilului cu securitatea informaiei;
d) desemnarea n cadrul entitii a personalului responsabil cu:
(i) intervenia n caz de incidente;
(ii) mentenana programelor informatice i a echipamentelor;
(iii) recuperarea datelor n caz de dezastre;
(iv) formularea propunerilor privind modificarea regulamentelor interioare i a
procedurilor de lucru, astfel nct s se asigure ndeplinirea obiectivelor de securitate.
(2) Entitile se nregistreaz obligatoriu ca operatori de date cu caracter personal conform
legii.
(3) Entitile instruiesc periodic personalul angajat, inclusiv angajaii cheie, n vederea
cunoaterii riscurilor generale i specifice generate de oameni, procese, sisteme i mediul extern,
riscurile aferente criminalitii i a obligaiilor ce decurg din setul de msuri prevzut n prezentul
ghid.
2. Proceduri de securitate
(1) Entitile dein proceduri de securitate care descriu activitile sau procesele specificate
n Norma A.S.F. nr. 6/2015, conform ncadrrii n categoria de risc, care se desfoar la nivelul
tuturor departamentelor.
(2) Toate documentele referitoare la procedurile de sistem vor face parte integrant din
procedurile de securitate.
3. Evaluarea intern de securitate
Entitile evalueaz intern anual, sau de cte ori este nevoie, rezultatele sistemului de
securitate, revizia rezultatelor i aciunile corective pentru determinarea nivelului de maturitate
intern a controalelor de securitate ale entitii, conform tabelului de mai jos, care este parte
integrant din evaluarea intern a riscurilor entitii respective.
Evaluare intern a maturitii controalelor de securitate
Domenii ale
Securitii
Informaiei
I. Politici de
securitate

II. Securitatea
organizaional
a

III. Controlul
i clasificarea
activelor

0 - Ne
existent
Nu au fost
stabilite
politici prin
care s se
defineasc
securitatea
informaional

Nu au fost
definite
principiile
care stau la
baza
management
ului
securitii
Nu au fost
definite
proceduri de
securitate i

Ratingul maturitii controalelor de securitate

1 - Iniial /
2 - Repetabil dar intuitiv
3 - Proces definit
Ad-Hoc

4 - Controlat i
msurabil

5 - Optimizat

Politicile i
procedurile
nu au fost
formalizate

Au fost definite obiective,

dar acestea nu sunt clare si
concise sau, dupa caz, nu
sunt aplicabile in raport
activitatea propriu-zisa
desfasurate de entitate

Personalul
responsabil a fost
informat si instruit
cu privire la
politicile si
obiectivele
stabilite

Se aplic
proceduri de
verificare a
realizrii
obiectivelor
stabilite prin
politici

Exist principii
la nivel
informal

Au fost definite principii,

dar acestea nu sunt clare i
concise sau, dupa caz, nu
sunt aplicabile in raport
activitatea propriu-zisa
desfasurata de entitate

Intreg personalul
responsabil a fost
informat si instruit
in legatura cu
principiile
aprobate de
conducere

Se aplic
proceduri de
verificare a
respectrii
principiilor
stabilite i
aprobate

Politicile
corespund
exigentelor
sporite, sunt
revizuite periodic,
inclusiv in cazul
aparitiei riscurilor
semnificative
Procedurile sunt
revizuite si
imbunatatite
periodic, inclusiv
in cazul aparitiei
riscurilor
semnificative

Procedurile de
securitate i
siguran a
activelor sunt

A fost stabilita modalitatea

de control, dar acestea nu se
efectueaza in mod concret

Persoanele
responsabile au
fost informate in
raport cu

Persoanele
responsabile
aplic adecvat
procedurile de

Procedurile de
securitate i
siguran a
activelor sunt

Domenii ale
Securitii
Informaiei

0 - Ne
existent

Ratingul maturitii controalelor de securitate

1 - Iniial /
2 - Repetabil dar intuitiv
3 - Proces definit
Ad-Hoc

4 - Controlat i
msurabil

5 - Optimizat

procedurile de
securitate i
siguran a
activelor

securitate i
siguran a
activelor

revizuite i
modificate
periodic, inclusiv
in cazul aparitiei
riscurilor
semnificative
Procedurile sunt
revizuite si
imbunatatite
periodic, inclusiv
in cazul aparitiei
riscurilor
semnificative

siguran a
activelor

aplicate
informal

Nu au fost
definite
principiile
care stau la
baza
management
ului
securitii si
incidentelor
Nu au fost
definite
planuri/
proceduri de
securiate

Exist principii
la doar la nivel
informal

Au fost definite principii,

dar acestea nu sunt clare i
concise sau, dupa caz, nu
sunt aplicabile in raport
activitatea propriu-zisa
desfasurata de entitate

Asupra principiilor
aprobate de
conducere a fost
informat si instruit
ntreg personalul
responsabil

Se aplic
proceduri de
verificare a
respectrii
principiilor
stabilite i
aprobate

Exist politici
si proceduri
doar la nivel
informal

Au fost definite proceduri,

dar acestea nu sunt clare i
concise sau, dupa caz, nu
sunt aplicabile in raport
activitatea propriu-zisa
desfasurata de entitate

Asupra
procedurilor
aprobate de
conducere a fost
informat si instruit
ntreg personalul
responsabil

Se aplic
proceduri de
verificare a
respectrii
principiilor
stabilite i
aprobate

VI.
Securitatea
echipamentelo
r

Nu au fost
definite
planuri/
proceduri de
securiate

Exist politici
si proceduri
doar la nivel
informal

Au fost definite proceduri,

dar acestea nu sunt clare i
concise sau, dupa caz, nu
sunt aplicabile in raport
activitatea propriu-zisa
desfasurata de entitate

VII. Controale
generale

Nu au fost
definite
controalele
generale
pentru
gestionarea
activitii

Exist politici
si proceduri
doar la nivel
informal

Au fost definite proceduri,

dar acestea nu sunt clare i
concise sau, dupa caz, nu
sunt aplicabile in raport
activitatea propriu-zisa
desfasurata de entitate

Asupra
procedurilor
aprobate de
conducere a fost
informat si instruit
ntreg personalul
responsabil
Asupra
procedurilor
aprobate de
conducere a fost
informat si instruit
ntreg personalul
responsabil

VIII.
Managementu
l operaiunilor
i a
comunicaiilor

Nu au fost
definite
obiectivele
specifice

Exist politici
si proceduri
doar la nivel
informal

Au fost definite proceduri,

dar acestea nu sunt clare i
concise sau, dupa caz, nu
sunt aplicabile in raport
activitatea propriu-zisa
desfasurata de entitate

Asupra
procedurilor
aprobate de
conducere a fost
informat si instruit
ntreg personalul
responsabil

IX. Controlul
accesului

Nu au fost
definite
controalele
pentru
verificarea
accesului

Exist politici
si proceduri
doar la nivel
informal

Au fost definite proceduri,

dar acestea nu sunt clare i
concise sau, dupa caz, nu
sunt aplicabile in raport
activitatea propriu-zisa
desfasurata de entitate

X.
ntreinerea i
dezvoltarea
sistemelor

Nu au fost
definite
instrumente
i proceduri

Exist politici
si proceduri
doar la nivel
informal

Au fost definite proceduri,

dar acestea nu sunt clare i
concise sau, dupa caz, nu
sunt aplicabile in raport
activitatea propriu-zisa
desfasurata de entitate

Principiile care
guverneaz
accesul securizat
la informaii au
fost aduse la
cunostinta
personalului
responsabil, care a
fost instruit in
consecinta
Asupra
procedurilor
aprobate de
conducere a fost
informat si instruit
ntreg personalul
responsabil

Se aplic
proceduri de
verificare a
respectrii
principiilor
stabilite i
aprobate
Se aplic
proceduri de
verificare
stabilite si
aprobate de
conducere, se
respecta
indicatiile privind
controalele
generale
Se aplic
proceduri de
verificare a
respectrii
principiilor
stabilite i
aprobate de
conducere
Se aplic
proceduri de
verificare a
respectrii
principiilor
stabilite i
aprobate de
conducere

IV.
Securitatea
personalului

V. Securitatea
fizica i de
mediului de
lucru

Au fost
respectate
cerintele legate
de securitate ce
trebuie avute in
vedere in fiecare
etapa a ciclului
de viata a
sistemelor

Procedurile sunt
revizuite periodic,
si sunt avute in
vedere concluziile
controalelor
generale
implementate in
cadrul entitatilor
Procedurile sunt
revizuite si
imbunatatite
periodic, inclusiv
in cazul aparitiei
riscurilor
semnificative
Procedurile sunt
revizuite si
imbunatatite
periodic, inclusiv
in cazul aparitiei
riscurilor
semnificative

Procedurile sunt
revizuite si
imbunatatite
periodic, inclusiv
in cazul aparitiei
riscurilor
semnificative
Procedurile sunt
revizuite si
imbunatatite
periodic, inclusiv
in cazul aparitiei
riscurilor
semnificative

Procedurile sunt
revizuite si
imbunatatite
periodic, inclusiv
in cazul aparitiei
riscurilor
semnificative

Domenii ale
Securitii
Informaiei
XI.
Continuitatea
afacerii

XII.
Conformitate

0 - Ne
existent
Nu au fost
definite
controalele
de
management
al
continuitatii
Nu au fost
definite
controalele
privind
asigurarea
conformitii

Ratingul maturitii controalelor de securitate

1 - Iniial /
2 - Repetabil dar intuitiv
3 - Proces definit
Ad-Hoc
Exist politici
si proceduri
doar la nivel
informal

Au fost definite proceduri,

dar acestea nu sunt clare i
concise sau, dupa caz, nu
sunt aplicabile in raport
activitatea propriu-zisa
desfasurata de entitate

Exist politici
si proceduri
doar la nivel
informal

Au fost definite proceduri,

dar acestea nu sunt clare i
concise sau, dupa caz, nu
sunt aplicabile in raport
activitatea propriu-zisa
desfasurata de entitate

Asupra
procedurilor
aprobate de
conducere a fost
informat si instruit
ntreg personalul
responsabil
Asupra
procedurilor
aprobate de
conducere a fost
informat si instruit
ntreg personalul
responsabil

4 - Controlat i
msurabil

5 - Optimizat

Se aplic
proceduri de
verificare a
respectrii
principiilor
stabilite i
aprobate
Se aplic
proceduri de
verificare a
respectrii
principiilor
stabilite i
aprobate

Procedurile sunt
revizuite si
imbunatatite
periodic, inclusiv
in cazul aparitiei
riscurilor
semnificative
Procedurile sunt
revizuite si
imbunatatite
periodic, inclusiv
in cazul aparitiei
riscurilor
semnificative

4. Plan de cooperare
a) Entitile coopereaz n cadrul unui Plan de cooperare n domeniul securitii sistemelor
i a informaiei care va fi stabilit de ctre A.S.F. itransmit date i informaii relevante n acest
sens privind ameninrile, vulnerabilitile i incidentele generatoare de riscuri majore i crize,
proprii sau ale furnizorilor externi, inclusiv cele de securitate cibernetic, tehnici i tehnologii
folosite n rezolvarea incidentelor/crizelor, precum i bune practici pentru protecia
infrastructurilor proprii, inclusiv cibernetice.
b) Entitile particip, la solicitarea A.S.F., i susin schimbul de informaii anonimizate
dintre diverse echipe de rspuns la situaii de urgen, precum echipele tip CERT, utilizatori,
autoriti, productori de echipamente i soluii de securitate cibernetic, precum i furnizori de
servicii informatice i comunicaii.
c) Entitile nfiineaz puncte de contact pentru colectarea sesizrilor i a informaiilor
despre incidente de securitate att automatizat, ct i prin comunicare direct securizat, dup caz.

10