Societatea:TPG-The Practice Group

Domeniul:Organizarea securitatii

Chestionar de audit : Organizarea securitatii

Referinta Intrebari
01A Roluri și structuri de securitate
01A02 Organizarea si gestiunea securitatii sistemelor informatice
Exista un document care descrie politica de securitate in legatura cu sistemul informational, in
speta in legatura cu organizarea, administrarea si dirijarea politicii de securitate (roluri si
01A02-01 responsabilitati), dar si principiile fundamentale care subliniaza admistrarea securitatii
informatiei?

01A02-02 Exista o procedura pentru a actualiza in mod regulat documentele referitoare la securitatea
sistemului informational o data cu schimbarea structuriilor organizationale?

01A04 Organizarea auditului si a programului de audit

A fost comunicata functia de securitate auditorilor interni (sau structurii responsabile de auditorii
01A04-01 interni) o referinta ghid legata de o informatie a sistemului de securitate, descriind in particular,
obligatiile fiecarei categorii de personal,directivele si recomandarile imputernicitului?
01A05 Managementul crizei legat de securitatea informatiei
01A05-02 Exista o procedura de alerta, distribuita pe intreaga organizatie, care dau posibilitatea direct sau
indirect (supravietuirea personalului)sa contacteze persoane variate initiate intr-un plan de criza?
01B Referentialul de securitate
01B02 Directivele generale relative la protejarea informatiei
01B02-03 Exista un document care sa definesca regulile generale aplicate protejarii accesului la resursele
computerului (stocari si elemente ale retelei, sisteme, alicatii, date, media, etc.) si conditiile
cerute pentru rezultatul final, managementul si controlul drepturilor de acces?

Exista un document care sa stabilesca sarcini, responsabilitatile si procedurile de aplicat pentru

a proteja arhive importante pentru companie?
01B02-09

01B04 Gestiunea activelor

01B04-01 Sunt obligatiile si responsabilitatile angajatiilor legate de folosirea si protejarea bunurilor si
resurselor care apartin companiei detaliate intr-un memoriu sau intr-un document disponibil
conducerii?
01C01 Angajamentul personalului, clauzele contractuale
Exista in contractele de angajare sau in regulamentul interior, o clauza care precizeaza obligatiile
01C01-02 de a respecta ansamblul de reguli de securitate in vigoare?

01C06 Inregistrarea persoanelor

Exista un identificator unic (ID) asociat fiecarui user (angajat, exteriorului, etc) care poate avea
01C06-03 acces la informatiile sistemului?

TOTAL
Mw=valoarea medie stabilita
SRi*Wi=24
Mw = 4 * Σ Ri * Wi / Σ Wi = 4 * 24/28 = 3,43
Nivelul calitatii(Q)=Mw=3,43
In ceea ce priveste organizarea securitatii,societatea prezinta un nivel de risc de
3,43.

Organizarea si implicatiile acesteia asupra securitatii este realizata de catre departamentul administrativ s
departamentul resurse umane sub indrumarea managementului.Acestia elaboreaza Manualul
angajatului:un ghid complet pentru angajati ce cuprinde un set de principii,norme si proceduri de
securitate obligatorii.

Puncte slabe: Pentru bunurile si resursele companiei nu exista o procedura clara

pentru angajati,acestea nefiind detaliate intr-un document care sa cuprinda
responsabilitatile angajatilor privind folosirea si protejarea bunurilor.
Y/N Wi Max Min ISO Comentarii
Typ
27002

5.1.1 Fiecarui angajat ii este adusa la cunostiinta politica de

securitate, un document in care sunt specificate principiile,
E1 rolurile si responsabilitatile pentru asigurarea securitatii.
1 2
5.1.2 Procedura de securitate este modificata si modificarile acesteia
sunt aduse la cunostiinta celor implicati ori de cate ori este
E2
cazul.
1 2

Auditorii au fost informati corespunzator.

E2
1 4 3

Politica de securitate include si procedura privind actionarea in

1 2 E1
situatie de criza.

10.8.1; Managementul drepturilor de acces la sistemul informatic este

10.7.3 sub un control foarte strict asigurat de departamentul
administrativ si departamentul resurse umane. Posesorii de
E2 informatii au posibilitatea limitarii accesului la aceste
informatii.

1 2
15.1.3 In ceea ce priveste arhivele in societate este desemnata o
persoana care se ocupa de acestea: atat arhivele pe suport de
E1
hartie cat si cele pe suport magnetic,fiind pastrate in conditiile
1 4 specifice pastrarii.

Pentru bunurile si resursele companiei nu exista o procedura

E2 clara pentru angajati.
0 4

6.1.5; Pe langa clauzele de confidentialitatea din contractul de munca

E2 8.1.3 exista manualul angajatului obligatoriu care prezinta si
1 4 principiile de securitate.

11.2.1 Fiecare angajat are asociat un identicficator unic numit user

E2 prin intermediul caruia primeste drepturile de acces
1 4 caracteristice fisei postului.
8 28
artamentul administrativ si
aza Manualul
me si proceduri de