SISTEM DE MANAGEMENT AL SECURITATII INFORMATIEI Cod: P - 005

Data: ...................
S.C……..S.R.L. PROCEDURA
ANALIZA EFECTUATA DE MANAGEMENT
Subdiviziunea organizatorica unde se aplica: Toate departamentele firmei Pag. 1 din 6

Evidenta modificarilor:

Nr. Data/ Observatii

crt. Pagina Capitol Descrierea modificarii Versiunea

NUME FUNCTIA DATA SEMNATURA

ELABORAT Manager SMSI

VERIFICAT Consultant SMSI

APROBAT Director General

Note:
1. Acest document contine informatii si date care sunt proprietatea S.C. ..................... S.R.L.
2. Prezenta procedura este destinata utilizarii exclusive pentru propriile cerinte.
3. Utilizarea integrala sau partiala a acestei proceduri in orice scop sau activitate sau reproducerea partiala/
integrala in orice publicatie si prin orice procedeu (electronic, mecanic, fotocopiere, microfilmare etc) este
interzisa fara acordul scris al PROPRIETARULUI.

Cod: FP-001-1/ 1.1.

Versiunea: 1.1. TD: Original TC: Document controlat NC: Confidential

\\...........................
 SISTEM DE MANAGEMENT AL SECURITATII INFORMATIEI Cod: P - 005
Data: ...................
S.C……..S.R.L.
ISO/IEC
PROCEDURA
27000: 2014, Information technology - Security techniques - Information security management
ANALIZA EFECTUATA DE MANAGEMENT
systems- Overview and vocabulary.
Subdiviziunea organizatorica unde se aplica:
Toate departamentele firmei Pag. 2 din 6

1. SCOP
Procedura descrie modul in care se efectueaza analiza si evaluarea SMSI si a proceselor operationale, astfel
incat a se asigure:
- conformitatea documentatiei SMSI si a activitatilor desfasurate in ..................... cu cerintele
standardului de referinta SR ISO/CEI 27001:2013.
- nivelul de eficacitate a SMSI implementat, in realizarea obiectivelor privind securitatea informatiei.
- conformitatea politicii si obiectivelor SMSI cu cerintele de dezvoltare a organizatiei.

2. DOMENIU DE APLICARE
Procedura se aplica in cadrul ..................... cel putin o data pe an sau ori de cate ori se considera necesar
(ex. in urma unor audituri sau reclamatii care necesita analize mai detaliate).

3. DOCUMENTE DE REFERINTA

SR ISO/CEI 27001:2013, Tehnologia informaţiei. Tehnici de securitate. Sisteme de management al securităţii

informaţiei. Cerinţe.

SR ISO/CEI 27002:2013, Tehnologia informaţiei. Tehnici de securitate. Cod de bună practică pentru
managementul securităţii informaţiei

4. DEFINITII SI PRESCURTARI

4.1. DEFINITII
Sunt valabile si definitiile SR ISO/CEI 27001:2013.

4.2. PRESCURTARI
SMSI: Sistemul de management al securitatii informationale (componenta a SMSI)
P: Procedura
PL: Politica
SMSI: Manualul sistemului de management al securitatii informatiei
TD: Tipul documentului
TC: Tipul controlui aplicat documentului
NC: Nivelul de clasificare aplicat documentului (confidential sau neconfidential)

5. ASPECTE PREALABILE, FORMULARE

Managementul organizatiei la cel mai inalt nivel analizeaza SMSI pentru a se asigura ca acesta este in
permanenta corespunzator, adecvat si eficace. Analiza efectuata de management trebuie sa cuprinda
evaluarea oportunitatilor de imbunatatire si necesitatea schimbarilor in SMSI, incluzand politicile obiectivele si
tintele SMSI.
Managementul revizuieste SMSI la intervalele planificate (cel putin o data pe an) pentru a asigura de
continua adecvare, conformitate si eficienta.
Aceasta revizuire trebuie sa includa evaluarea oportunitatilor pentru imbunatatire si nevoia de schimbari in
cadrul SMSI, incluzand politica de securitate a informatiei si obiectivele de securitate a informatiei.
Rezultatele revizuirilor trebuie documentate clar, iar inregistrarile sunt pastrate.

5.1. Datele de intrare ale analizei efectuate de management a SMSI se refera la:

a) Rezultatele auditurilor şi analizelor anterioare;

b) Feedback de la părţile interesate;
c) Tehnici, produse şi proceduri care pot fi folosite pentru îmbunătăţirea performanţei şi eficienţei SMS;I
d) Stadiul acţiunilor corective şi preventive;
e) Vulnerabilităţi sau ameninţări netratate corespunzător în evaluarea de risc anterioară;
f) Actiuni care tin de eficienta masurarilor;
g) Acţiuni de urmarire ale analizelor de management anterioare;
h) Orice schimbări care pot afecta SMSI;
i) Recomandări de îmbunătăţire.

Versiunea: 1.1. TD: Original TC: Document controlat NC: Confidential

\\...........................
 SISTEM DE MANAGEMENT AL SECURITATII INFORMATIEI Cod: P - 005
Data: ...................
S.C……..S.R.L. PROCEDURA
ANALIZA EFECTUATA DE MANAGEMENT
Subdiviziunea organizatorica unde se aplica: Toate departamentele firmei Pag. 3 din 6

5.2. Datele de iesire ale analizelor efectuate de management trebuie sa cuprinda orice decizii si actiuni
referitoare la posibile schimbari in politici, obiective, tinte si alte elemente de imbunatatire ale SMSI, conform
cu angajamentul de imbunatatire continua.

Analiza efectuata de management se incheie cu un Program de imbunatatire a activitatii. Elementele de

iesire ale analizei de management trebuie sa includa printre altele si orice decizie sau actiuni legate de
urmatoarele:
a) imbunatatirea eficieniei SMSI.
b) actualizarea analizei de risc si a planului de tratare al riscului.
c) modificarea procedurilor si a masurilor care afecteaza securitatea informatiei, dupa cum este necesar,
pentru a raspunde evenimentelor interne sau externe care pot avea impact asupra SMSI, incluzand
schimbarile in ceea ce priveste:
1) cerintele afacerii;
2) cerintele de securitate;
3) procesele afacerii care afecteaza cerintele existente ale afacerii;
4) cerintele legale sau de reglementare;
5) obligatii contractuale; si
6) nivelurile de rise si/sau criteriile pentru acceptarea riscului.
d) nevoi de resurse;
e) imbunatatirea modului in care se masoara eficienta masurilor de securitate.

5.3. In cadrul ..................... analiza efectuata de management se extinde dincolo de verificarea SMSI,
asa incat elementele de iesire ale analizei efectuate de management pot fi utilizate de managementul
organizatiei ca elemente de intrare ale proceselor de imbunatatire care vizeaza dezvoltarea generala a
organizatiei.

5.4. Completarea formularului “Program de imbunatatire”, Cod: FP-005-1/ 1.1.

Camp Completarea campului

1 Data programului
2 Referentialul (ex. Analiza de management nr/ data etc)
3 Numar curent al actiunii
4 Descrierea aspectului care trebuie imbunatatit
5 Descrierea actiunii
6 Responsabilul cu implementarea actiunii (nume si semnatura)
7 Resursele necesare pentru implementarea actiunii. Resurse umane, materiale, financiare,
informationale, de timp.
8 Termenul pana la care trebuie intreprinsa actiunea
9 Persoana responsabila pentru verificare modului de implementarea a actiunii si evaluarea
eficacitatii (nume, semnatura)
10 Observatii privind modul de indeplinire a actiunii / eficacitatea actiunii
11 Numele si semnatura persoanei care a intocmit Programul
12 Aprobarea DG

Versiunea: 1.1. TD: Original TC: Document controlat NC: Confidential

\\...........................
 SISTEM DE MANAGEMENT AL SECURITATII INFORMATIEI Cod: P - 005
Data: ...................
S.C……..S.R.L. PROCEDURA
ANALIZA EFECTUATA DE MANAGEMENT
Subdiviziunea organizatorica unde se aplica: Toate departamentele firmei Pag. 4 din 6

SIGLA PROGRAM DE IMBUNATATIRE

Aprobat,
Data: (1) Referentialul: (2) Director General …………(12)

Nr. Descrierea Responsa Observ

Crt aspectului care Actiunea Responsabil Resurse Termen bil atii
. trebuie Verificare
imbunatatit
(3) (4) (5) (6) (7) (8) (9) (10)

Intocmit,
……………………… (11) Cod: FP-005-1/ 1.1.

6. DESCRIEREA PROCESULUI

6.1. Analiza SMSI se efectueaza anual sau ori de cate ori considera necesar Directorul General.

6.2. Datele de intrare ale analizei de management sunt colectate in intervalul de timp de la ultima sedinta de
analiza si pana la data respectiva si cuprinde evaluari bine structurate si complete care includ, daca este
cazul, elementele prezentate la punctual 5.1.

6.3. Analiza efectuata de management asupra functionarii SMSI se finalizeaza cu un Program de

imbunatatire a activitatii care va contine elementele prezentate la pct 5.4.

6.4. In situatia in care in timpul sedintei de analiza efectuate de management se constata lipsa unor
informatii dintr-o anumita zona sau pentru un anumit element al SMSI, informatii necesare pentru luarea unor
decizii de catre management, Directorul General poate dispune efectuarea ulterioara a unui audit intern sau
efectuarea unei analize pentru colectarea informatiilor respective. Aceasta investigatie se va finaliza cu un
raport, care va cuprinde:
- rezultatele auditului (evaluarii), neconformitati constatate, masuri de rezolvare a neconformitatilor;
- necesitatea revizuirii SMSI si implicit a documentatiei;
- planul si termenele de executie a modificarilor SMSI;
- planuri de perspectiva si estimari pentru noi lucrari, modificari de personal etc;
- asigurarea resurselor umane, financiare, informationale, materiale pentru realizarea obiectivelor;
- responsabilitatile functiilor implicate.

6.5. Managerul SMSI indosariaza Programul de imbunatatire a activitatii in Dosarul “ Analize de

management”, care va fi pastrat si arhivat prin grija sa. Timpul de pastrare este de 3 ani de la data finalizarii
actiunilor mentionate in program. Copii ale Programul de imbunatatire a activitatii se distribuie catre:
- Directorul General.
- Sefii subdiviziunilor organizatorice implicati in analiza efectuata etc.

6.6. La sedintele de analiza participa Directorul General si Sefii de subdiviziuni organizatorice. Acestia sunt
informati de care Managerul SMSI cu privire la data si problemele care urmeaza fi discutate. In functie de
obiectul analizei pot participa si alte persoane din interiorul organizatiei.

6.7. Analiza efectuata de management este utilizata de management ca instrument de imbunatatire a

functionarii organizatiei.

6.8. Calendarul analizelor este ales astfel incat sa se poata furniza in timp util datele necesare, in contextul
planificarii strategice a organizatiei.
Versiunea: 1.1. TD: Original TC: Document controlat NC: Confidential
\\...........................
 SISTEM DE MANAGEMENT AL SECURITATII INFORMATIEI Cod: P - 005
Data: ...................
S.C……..S.R.L. PROCEDURA
ANALIZA EFECTUATA DE MANAGEMENT
Subdiviziunea organizatorica unde se aplica: Toate departamentele firmei Pag. 5 din 6

6.9. Elementele de iesire ale analizei (planul de imbunatatire) este comunicat personalului organizatiei,
explicandu-le ca rezultatul procesului de analiza efectuata de management va conduce la noi obiective care
vor aduce beneficii organizatiei.

6.10. Abordarea ca proces a analizei efectuate de management:

Elemente ale abordarii Definire elemente

Denumire proces Analiza efectuata de management
Indicatori de performanta Numar de analize de management / an – planificat/ realizat.
Numar de actiuni de imbunatatire planificate/ realizate.
Proprietar de proces Directorul General
a) Rezultatele auditurilor şi analizelor anterioare;
b) Feedback de la părţile interesate;
c) Tehnici, produse şi proceduri care pot fi folosite pentru îmbunătăţirea
performanţei şi eficienţei SMS;I
d) Stadiul acţiunilor corective şi preventive;
e) Vulnerabilităţi sau ameninţări netratate corespunzător în evaluarea de risc
anterioară;
Intrari f) Actiuni care tin de eficienta masurarilor;
g) Acţiuni de urmarire ale analizelor de management anterioare;
h) Orice schimbări care pot afecta SMSI;
i) Recomandări de îmbunătăţire.
a) imbunatatirea eficieniei SMSI.
b) actualizarea analizei de risc si a planului de tratare al riscului.
c) modificarea procedurilor si a masurilor care afecteaza securitatea informatiei,
dupa cum este necesar, pentru a raspunde evenimentelor interne sau externe care
pot avea impact asupra SMSI, incluzand schimbarile in ceea ce priveste:
Iesiri 1) cerintele afacerii;
2) cerintele de securitate;
3) procesele afacerii care afecteaza cerintele existente ale afacerii;
4) cerintele legale sau de reglementare;
5) obligatii contractuale; si
6) nivelurile de rise si/sau criteriile pentru acceptarea riscului.
d) nevoi de resurse;
e) imbunatatirea modului in care se masoara eficienta masurilor de securitate.
Procese referitoare la relatia partile interesate.
Proces din amonte Procese interne de management, asigurare de resurse, adaugare de valoare si
procese de sustinere.
Furnizor de proces Managementul organizatiei.
Proces din aval Strategii si politici.
Programe de imbunatatire a proceselor si serviciilor organizatiei.
Directorul General
Client intern Sefii de subdiviziuni organizatorice.
Personalul organizatiei.
Client extern Partenerii organizatiei

7. REASPONSABILITATE SI AUTORITATE

7.1. Directorul General

7.1.1. Aproba data desfasurarii analizei, programul si masurile care vor fi intreprinse pentru imbunatatirea
activitatii organizatiei si coordoneaza desfasurarea analizei de management.
7.1.2. In cadrul sedintei de analiza, in functie de politicile si obiectivele generale ale organizatiei, aproba
modificarile privind obiectivele SMSI.
7.1.3. Dispune revizuirea obiectivelor, ploticilor, procedurilor si a documentatiei SMSI in cazul identificarii
unor neconformitati sau in cazul in care documentatia nu descrie realitatea activitatilor desfasurate in
organizatie.
7.1.4. Aloca resursele umane, informationale, financiare, materiale si de timp pentru realizarea noilor
obiective in domeniul SMSI si masurilor de imbunatatire rezultate in urma analizei.
Versiunea: 1.1. TD: Original TC: Document controlat NC: Confidential
\\...........................
 SISTEM DE MANAGEMENT AL SECURITATII INFORMATIEI Cod: P - 005
Data: ...................
S.C……..S.R.L. PROCEDURA
ANALIZA EFECTUATA DE MANAGEMENT
Subdiviziunea organizatorica unde se aplica: Toate departamentele firmei Pag. 6 din 6

7.1.5. In situatia identificarii unor neconformitati sau in conditiile lipsei de date si informatii pentru evaluarea
unui proces dispune realizarea unor audituri si evaluari interne neplanificate.

7.2. Managerul SMSI

7.2.1. Planifica data sedintei de analiza si propune ordinea de zi.
7.2.2. Organizeaza sedinta de analiza, la data planificata.
7.2.3. Elaboreaza Programul de imbunatatire a activitatii .
7.2.4. In cadrul sedintei de analiza, in functie de obiectivelesedintei, propune solutii pentru remedirea
deficientelor si imbunatatirea activitatii.
7.2.5. Dispune revizuirea obiectivelor, politicilor, procedurilor si a documentatiei SMSI sau realizarea unui
audit intern neplanificat pentru identificarea exacta a neconformitatilor (daca este cazul).
7.2.6. Verifica modul de implementare a masurilor propuse in urma analizarii SMSI.
7.2.7. Propune alocarea resurselor umane, informationale, financiare, materiale si de timp pentru realizarea
obiectivelor in domeniul SMSI.
7.2.8. Asigura desfasurarea analizei SMSI intr-o maniera sistematica si inregistreaza rezultatele analizei in
procesul verbal pe care il redacteaza cu aceasta ocazie.
7.2.9. Intocmeste Procesul verbal al sedintei de analiza.
7.2.10. Prezinta, spre semnare, Procesul verbal la sfarsitul sedintei, dupa care realizeaza numarul de copii
necesare si le difuzeaza persoanelor participante, iar originalul il indosariaza conform pct. 6.5. in Dosarul
“Analize ale SMSI”.
7.2.11. Evalueaza efectele actiunilor corective/ preventive rezultate in urma analizei SMSI.

7.3. Sefii de subdiviziuni organizatorice

7.3.1. Participa constructiv la sedintele de analiza ale SMSI;
7.3.2. Prezinta neconformitatile proceselor operationale din carul subviziunilor organizatorice si propun
masuri de imbunatatire a SMSI precum si a activitatilor desfasurate in cadrul subdiviziunilor organizatorice pe
care le coordoneaza;
7.3.3. Raspund de modul de implementare a actiunilor imbunatatire rezultate in urma analizei SMSI.

8. INREGISTRARI

8.1. Raportul Managerului SMSI privind functionarea SMSI.

8.2. Proces verbal al sedintei de analiza de managemEnt a SMSI.
8.3. Program de imbunatatire, Cod: FP-005-1/ 1.1.

9. ANEXE

9.1. Anexa 1 . Program de imbunatatire, Cod: FP-005-1/ 1.1.

Versiunea: 1.1. TD: Original TC: Document controlat NC: Confidential

\\...........................