Audit Questionnaire: Sites Security

Number Question
02A Physical access control to the site and the Controlul accesului fizic la site și clădire
building Aici este considerat control de acces la întregul
Here is considered control of access to the whole site-ului sau a clădirii , sau la un anumit număr de
of the site or the building, or a certain number of etaje, care reprezintă "site-ul", în care sunt situate
floors, which represents the "site" in which are locatiile sensibile
situated the sensitive locations
02A01 Management of access rights to the site or building Gestionarea drepturilor de acces la site sau clădire

02A01-01 Are permanent or semi permanent (for a specific length of time) Drepturile de acces sunt permanente sau semi permanente
access rights to each site or building (or to a number of floors) ( pentru o anumită perioadă de timp ) pentru fiecare site-ul sau
based on typical profiles (staff on permanent or limited pentru construcții ( sau un număr de etaje) bazat pe profile
contracts, temporary staff, students, service providers etc.) and specifice ( personal cu contracte permanente sau limitate ,
to functional roles in the organization? personalul temporar , studenți, furnizorii de servicii etc. ) și roluri
Access rights should be granted to activity profiles and not to funcționale din organizație ?
named individuals. Drepturile de acces ar trebui să se acorde profilurilor de
activitate , și nu persoanelor fizice numite

02A01-02 Is there a list, kept up-to-date, of these profiles and the people Există o listă , ținuta la zi , a acestor profile si a
responsible for granting access rights for each of them? persoaneleorresponsabile pentru acordarea drepturilor de
acces pentru fiecare dintre ele ?

02A01-03 Are the rights and the validity conditions attributed to profiles Sunt drepturile și condițiile de valabilitate atribuite profilurilor
reviewed by the site or general security manager? revizuite de către site-ul sau directorul general de securitate ?

02A01-04 Do the profiles also allow definition of working time limits (daily Profilurile permit de asemenea definirea limitelor timpului de
hours and periods in the working calendar, weekends, holidays lucru ( ore zilnic și perioadele de lucru în calendar, sfârșit de
etc.)? săptămână, vacanța etc.) ?

02A01-05 Are these rights and profiles as defined above protected against Sunt aceste drepturi și profile definit ca mai sus protejate
any possibility of alteration or falsification during their storage or împotriva oricărei posibilități de modificare sau falsificare în
when transferred between decision makers and the personnel in timpul depozitării sau când transferate între factorii de decizie și
charge of implementing the rights? personalul care se ocupă de punerea în aplicare a drepturilor ?

02A01-06 Is there a regular audit, at least once a year of all rights Există un audit regulat , cel puțin o dată pe an, de toate
attributed to the various categories of personnel and a review of drepturile atribuite diferitelor categorii de personal și o revizuire
the pertinence of those access rights? a pertinenței acestor drepturi de acces ?

02A02 Management of access authorizations granted to the site or Managementul autorizațiilor de acces acordate pe site sau
the building in clădire
02A02-01 Does the procedure of granting permanent or semi permanent Are procedura de acordare a autorizației permanent sau semi
access authorization require the formal acceptance of line acces permanent necesită acceptarea oficială a
management or of the unit managing the external contractor (at managementului de linie sau a unității de gestionare a
a sufficiently senior level)? contractantului extern ( la un nivel suficient de înalt ) ?
An access authorization is granted to a person, it may provide O autorizație de acces se acordă unei persoane , acesta poate
access rights based on the job profile he or she is linked to. It is prevedea drepturi de acces pe baza profilului de locuri de
usually materialized by a badge carried by the employee. muncă el sau ea este legată de . Acesta este , de obicei,
materializat printr-un ecuson efectuate de angajat
02A02-02 Is the procedure for granting (or modification or retraction) of Este procedura de acordare ( sau modificarea sau retragerea )
access authorization documented and strictly controlled? de autorizare acces documentate și strict controlat ?
A strict control requires a formal recognition of the signature Un control strict necesită o recunoaștere formală a semnăturii
(electronic or otherwise) of the requestor, that the (electronic sau nu) al solicitantului , că punerea în aplicare a
implementation of the profile attributed to users is highly secure profilului atribuite utilizatorilor este foarte sigur și care se
and that each operation is recorded (mentioning the date of înregistrează fiecare operațiune ( menționând data emiterii
issue of the badge and its length of validity) that there be a insigna și o lungime de valabilitate ) să existe un control al
reinforced access control over the modification of such records accesului consolidat asupra modificării astfel de înregistrări și
and that any modification of records be logged and audited. că autentificat orice modificare a înregistrărilor trebuie și
auditate

02A02-03 Are access authorizations granted to named individuals as a Sunt autorizațiile de acces acordate persoanelor fizice numite în
function of their profile? funcție de profilul lor de ?

02A02-04 Are the access authorizations to the site materialized by a Sunt autorizațiile de acces la site-ul materializat prin o insignă
badge or a card? sau o carte ?

02A02-05 Are these access authorization badges or cards personalized Sunt aceste insigne de autorizare de acces sau carduri
i.e. with the name and picture of the owner? personalizate de exemplu cu numele și fotografia titularului ?

02A02-06 Can the list of valid access authorizations and corresponding Poate lista autorizațiilor de acces valabile și profilul
profile be reviewed at any time? corespunzător fi revizuită în orice moment ?

02A02-07 Is there a rapid and systematic process for revoking access Există un proces rapid și sistematic de revocare a autorizațiilor
authorizations (revocation of the badge to the automatic access de acces ( revocarea insigna a echipamentelor automate de
control equipments) and return of the corresponding badge or control acces ) și returnarea insigna sau cardul corespunzător
card at the time of departure of internal or external personnel, în momentul plecării personalului interne sau externe ,
change of site attachment (when the authorization is site schimbare de atașare site-ului ( în cazul în care autorizația este
dependent) or at the end of mission? site-ul dependent) sau la sfârșitul misiunii ?

02A02-08 Is there a procedure enabling the subsequent detection of Există o procedură care să permită detectarea ulterioară a
irregularities in the management of access authorizations nereguli în gestionarea autorizațiilor de acces ( ecuson sau
(badge or card not returned, usage of a lost badge, false badge carte nu sa întors , utilizarea o insignă pierdut, insigna false
etc.)? etc. ) ?

02A03 Access control to the site or the building Controlul accesului la site sau clădire

02A03-01 Is the site completely enclosed by a perimeter fence which is
difficult to cross or to scale?
For a building on the public highway to be considered secure,
all windows on the ground floor must be locked shut and all
access points must have been taken into consideration
(garages or underground car parks, roof etc.)
Este site-ul complet închis cu gard perimetral care este dificil să
treacă sau la scară ?
Pentru o clădire de pe drumurile publice să fie considerat sigur,
toate ferestrele de la parter trebuie să fie blocată închise și
trebuie să fi fost luate în considerare ( garaje sau parcari
subterane , acoperiș etc. ) toate punctele de acces

02A03-02 Is there an operational system (automatic or by security guard) Există un sistem operațional ( automată sau prin agent de
for controlling pedestrian and vehicular access to the site? securitate ) pentru controlul pietonilor și accesul vehicular la
site-ul ?

02A03-03 Does this system guarantee that all people entering are
checked?
An efficient control assumes a double or revolving door, or a
security guard who allows only one person to pass at a time (for
pedestrians) and for vehicles entering the site, controls all
people present in the vehicle.
Are acest sistem de garantare că toți oamenii care intra sunt
verificate ?
Unui control eficient presupune o ușă dublă sau rotative , sau
un agent de securitate care permite doar o singură persoană
pentru a trece la un moment dat ( pentru pietoni ) și pentru
vehiculele care intră în site-ul , controlează toate persoane
prezente în vehicul
02A03-04 Does such a system, if dependent on a badge, guarantee that Are un astfel de sistem , în cazul în care depinde de o insigna ,
the same badge cannot be used by a second person (by, for garanta că același insigna nu poate fi folosit de către oa doua
example, memorizing all entries and not allowing a further entry persoană ( prin, de exemplu , memorarea toate intrările și nu
without an intervening exit)? permite o intrare în plus , fără o ieșire a interveni ) ?

02A03-05 In the case where presentation of a badge or card is required to În cazul în care este necesară prezentarea unui insigna sau
gain access to a site, is there the possibility to immediately card pentru a avea acces la un site , există posibilitatea de a
validate the authenticity and validity of the card or badge? valida imediat autenticitatea și valabilitatea cardului sau
insigna ?

02A03-06 Are the automatic access control systems under 24 hr Sunt sistemele automate de control acces sub supraveghere 24
surveillance enabling the detection of a failure, a system de ore care să permită detectarea unei defecțiuni , un
deactivation or the usage of emergency exits in real time? dezactivarea sistem sau utilizarea ieșirilor de urgență în timp
real ?

02A03-07 Is there a procedure or automatic alert enabling the immediate Există o procedură sau de alertă automată care să permită
intervention of security personnel in the case of failure of the intervenția imediată a personalului de securitate în caz de
access control system (or the usage of an emergency exit)? defectare a sistemului de control al accesului ( sau utilizarea o
ieșire de urgență ) ?

02A03-08 Is there a control procedure enabling the detection of Există o procedură de control care să permită depistarea
irregularities in the access control procedure (audit of neregulilor în cadrul procedurii de control al accesului
procedures and parameters of access control systems, audit of ( auditarea procedurilor și a parametrilor de sisteme de control
exceptions and of interventions etc.)? acces , de audit a excepțiilor și a intervențiilor , etc.) ?

02A04 Intrusion detection to the site or the building Detectarea intruziunilor pentru site sau clădire
02A04-01 Is there an operational intrusion detection system to the site, Există un sistem operațional de detectare a intruziunilor la site-
linked to a 24 hr monitoring center? ul , legate de o centru de monitorizare de 24 de ore ?

02A04-02 Does this system detect all boundary incursion, all forced Are acest sistem a detecta toate incursiune limită , toate
attempts to open locked exits (windows and doors), all opening încercările de a deschide ieșiri blocate ( ferestre si usi ) , toate
of emergency exits and all exits kept open abnormally? de deschidere a ieșirilor de urgență , precum și toate ieșirile ,
ținute deschise anormal forțat ?

02A04-03 Is this system backed up by a video and audio control system Este acest sistem susținute de un sistem video și control audio
which allows the surveillance team to make a first analysis or care permite echipei de supraveghere pentru a face o primă
dismiss uncertainty from a distance? analiză sau respingerea incertitudinea de la distanță ?

02A04-04 Is the surveillance team dedicated to its task, having only Este echipa de supraveghere dedicat misiunii sale , având doar
security responsibilities and are any alarms immediately atribuții de securitate și sunt toate alarmele detectate și tratate
detected and treated as the highest priority? ca cea mai mare prioritate imediat ?

02A04-05 In the case of an intrusion detection alarm, does the În cazul unei alarme de detectare a intruziunilor , nu echipa de
surveillance team have the possibility of sending out an supraveghere au posibilitatea de a trimite o echipă de
intervention team without delay to verify the cause of the alarm intervenție , fără întârziere, pentru a verifica cauza alarmei și să
and to take appropriate action? ia măsurile corespunzătoare ?

02A04-06 Sites Security Securitatea siteului

02A04-07 Is there an advisory document clearly stating exactly what Există un document care să ateste în mod clar consultativ exact
action to take in the case of each alarm envisaged? ce măsuri să ia în caz de alarmă prevăzut fiecare ?
02A04-08 Is the intrusion detection system itself under surveillance (alarm Este sistemul de detectare a intruziunilor se sub supraveghere (
in the case of inhibition, auto-surveillance by camera etc.)? alarmă în caz de inhibare , auto - supraveghere prin camera ,
etc.) ?
02A04-09 Are intrusion control points and procedures for reaction to Sunt puncte și proceduri de control intruziune pentru
intrusions audited regularly? comportarea la intruziuni auditat periodic ?
 02A05 Access to the loading and unloading areas (goods receipt Accesul la zonele de încărcare și descărcare ( primirea
and consignment) or to areas open to public mărfurile și lotul ), sau în zone deschise publicului

02A05-01 Are there specific access control mechanisms from outside
through delivery and loading zones in place?
02A05-02 Are the delivery and loading zones established in such a way
that the delivery men cannot have access to inner parts of the
building or the site?
02A05-03 Are there specific measures allowing to isolate the moves of
external public and the access from the rest of the building?
Există mecanisme de control al accesului specifice din afara ,
prin zonele de livrare și de încărcare în loc ?
Sunt zone de livrare și încărcare stabilite în așa fel încât
oamenii de livrare nu pot avea acces la părțile interioare ale
clădirii sau site-ul ?
Există măsuri specifice care să permită pentru a izola miscarile
externe publice și accesul la restul cladirii ?

02B Protection Against Miscellaneous Protecția împotriva riscurilor de mediu Diverse

Environmental Risks
02B01 Analysis of Miscellaneous Environmental Risks
02B01-01 Has a thorough and systematic analysis of all the conceivable
environmental risks for the site been conducted?
Potential risks are : Avalanche, hurricane, storm, flooding, forest
fire, land slide, earthquake, Volcano, broken dam or dike,
torrential flood, falling rocks, collapse, gullies, drought
Protecția împotriva riscurilor de mediu Diverse
Protecția împotriva Diverse Enviro " a fost efectuat o analiză
minuțioasă și sistematică a tuturor riscurilor posibile de mediu
pentru site-ul?
Riscurile potențiale sunt : Avalanche , uragan , furtuna ,
inundatii , incendii forestiere , alunecări de teren , cutremur ,
vulcan , baraj rupt sau dig , inundații torențiale , căderilor de
pietre , colaps , rigole , secetă "
Riscuri nmental

02B01-02 Has a thorough and systematic analysis of all the conceivable
industrial risks for the site been conducted?
Potential risks are: high risk site nearby (Seveso like),
dangerous internal installations, gas station, transport of
dangerous materials...
A fost efectuat o analiză minuțioasă și sistematică a tuturor
riscurilor posibile pentru industriale pe site-ul ?
Riscurile potențiale sunt : site-ul de risc ridicat în apropiere
( Seveso ca ) , instalații interioare periculoase , benzinarie ,
transportul materialelor periculoase ...

02B01-03 Was each situation considered highly improbable or were A fost fiecare situație considerată extrem de improbabil sau au
appropriate measures taken? fost luate măsuri adecvate ?

02C Control of access to office areas Controlul accesului la zonele de birouri

02C01 Partitioning of office areas into protected zones Compartimentare de spatii de birouri în zone protejate

02C01-01 Has it been established a management policy for access rights A fi fost stabilită o politică de gestionare a drepturilor de acces la
to office area, built from an analysis of the security requirements zona de birouri , construita dintr-o analiză a cerințelor de
based on the business stakes? securitate bazate pe miza de afaceri ?
02C01-02 Have office areas been partitioned into protected security zones Au fost împărțit în zone de securitate protejate corespunzătoare
corresponding to homogeneous security constraints and spaces constrângeri de securitate omogene si spatii de încredere în
of confidence within which information can be freely care informațiile pot fi schimbate în mod liber zonele de birouri ?
exchanged?

02C01-03 Has it been ensured that the access control rules to assets are A trecut asigurat că normele de control al accesului la bunuri
coherent with this partitioning into protected zones? sunt în concordanță cu acest partiționare în zone protejate ?
Assets considered may be data, documents and equipments Activele considerate pot fi date , documente și echipamente
installed within these zones or accessible from them. instalate în aceste zone sau accesibile de la ei

02C01-04 Have specific procedures been defined for each kind of external
person, including providers, induced to intervene in the offices
(consultants, maintenance or cleaning staff, etc.): specific
budge, accompanying person, previous authorization
mentioning the identity of the beneficiary, etc)?
Au fost definite proceduri specifice pentru fiecare tip de
persoană externe , inclusiv a furnizorilor , a indus să intervină în
birourile ( consultanți , de întreținere sau de curățare personal ,
etc. ) : Budge specific , care însoțește persoană , autorizația
anterioară menționând identitatea beneficiarului , etc ) ?

02C01-05 Is there a systematic updating process for the partitioning rules Există un proces de actualizare sistematică a regulilor de
of the office zones? partiționare ale zonelor de birou ?
02C02 Physical access control to the protected office zones Controlul accesului fizic la zonele de birouri protejate

02C02-01 Is an automatic authentication and access control system used Este un sistem de autentificare și control al accesului automat
for protected areas? folosit pentru ariile protejate ?
02C02-02 Are there a procedure and calling means that people who do Există o procedură și chemare înseamnă că oamenii care nu au
not have authorization can use to access the protected areas? autorizație poate utiliza pentru a accesa zonele protejate ?

02C02-03 In the case of a person without authorization entering these În cazul unei persoane fără autorizație în această zonă , nu
areas, does the procedure, guarantee that the person will be procedura , garantează că persoana va fi însoțit ?
accompanied?

02C02-04 Is there a procedure or automatic alert enabling the immediate Există o procedură sau de alertă automată care să permită
intervention of security personnel in the case of failure or intervenția imediată a personalului de securitate în caz de eșec
invalidation of the access control system? sau invalidare a sistemului de control acces ?

02C02-05 Is the access control system for protected office areas equipped Este sistemul de control al accesului pentru zonele de birouri
with a no pass-back mechanism? protejate echipate cu un mecanism de nici un pass- spate ?

02C02-06 Is authentication based on tamper-proof means associated with Se autentificarea bazată pe falsificate înseamnă asociat cu
the user (for example a badge, smart card, or biometric utilizatorul ( de exemplu, o insignă , smart card , sau sistemul de
recognition system)? recunoaștere biometrică ) ?

02C02-07 Does the mechanism use strong authentication of the user, with Are mecanismul utilizeze autentificarea puternică a
two identifying factors? utilizatorului , cu doi factori de identificare ?
02C02-08 Does the mechanism provide a temporary means of access, to Are mecanismul oferi un mijloc temporar de acces , pentru a
allow for lost, stolen or forgotten badges? permite pierdute , furate sau insigne uitat ?
02C02-09 Does the temporary means of access grant only access to a Are mijloacele temporare de acces permite accesul doar la o
strictly limited area? zonă strict limitat ?
02C02-10 Does the access control system guarantee exhaustive checking Sistemul de control acces garanta verificarea exhaustivă a
of the people entering the premises (turnstile preventing more persoanelor care intră în sediul ( turnichet prevenirea mai mult
than one person from entering at a time, a process to prevent a de o persoană să intre la un moment dat , un proces pentru a
badge being used by more than one person, etc)? preveni o insigna folosit de mai mult de o persoană , etc ) ?

02C02-11 In addition to controlling access by the normal routes, is access În plus față de controlul accesului pe căile normale, acces pe
by other routes (such as windows accessible from outside, alte căi ( cum ar fi Windows accesibil din exterior , ieșirile de
emergency exits, or through false floors or ceilings) monitored? urgență , sau prin podele false sau plafoane ) monitorizat ?

02C02-12 Are the systems that provide automatic access control to Sunt sistemele care asigură controlul accesului automat la
protected areas operational and monitored permanently (24x24) zonele protejate operaționale și monitorizate permanent ( 24x24
so that any outage or deactivation is flagged in real time? ), astfel încât orice întrerupere sau dezactivarea este semnalizat
in timp real ?

02C02-13 Are the emergency exits monitored permanently (24x24) so that Sunt ieșirile de urgență monitorizate permanent ( 24x24 ), astfel
their use can be checked in real time? încât utilizarea lor să poată fi verificate în timp real ?
02C02-14 Is there an audit process to detect, after the event, any Există un proces de audit pentru a detecta , după eveniment,
anomalies in the access control system (audit of the orice anomalii în sistemul de control al accesului ( audit al
procedures and configuration of the access control system, procedurilor și configurarea sistemului de control al accesului ,
audit of exception procedures and intervention, etc)? auditarea procedurilor de excepție și de intervenție , etc. ) ?

02C02-15 Is there a process for systematically updating access control Există un proces de actualizare în mod sistematic politicile de
policies? control al accesului ?
02C03 Management of access authorizations to protected office De gestionare a autorizațiilor de acces la zona de birouri
area protejate
02C03-01 Does the procedure of granting access rights to a protected Are procedura de acordare drepturi de acces la o zonă de
office area require the formal authorization of the manager of birouri protejate necesita autorizarea oficială a administratorului
the protected area? ariei protejate ?
02C03-02 Is the authenticity of requests for attribution of access rights Este autenticitatea cererilor de atribuire a drepturilor de acces
verifiable and verified (signature control ) ? ( de control ) semnătura verificabile și verificate ?
02C03-03 Are the authorizations accorded to named individuals and Sunt autorizațiile acordate persoanelor fizice numite și
registered (with a mention of the day of the authorization and înregistrate ( cu o mențiune a zilei autorizației și durata de
the duration of its validity)? valabilitate ) ?
02C03-04 Is the validity of these authorizations limited in time? Este valabilitate a acestor autorizații limitate în timp ?
The validity duration shall be defined accordingly to the profile Durata de validitate este definit în consecință, pentru a profilului
of the person. persoanei
02C03-05 Is there a systematic process of removal of access rights to a Există un proces sistematic de eliminare a drepturilor de acces
protected office area at the time of departure ? la o zonă de birouri protejat la momentul plecării ?
02C03-06 Is there a systematic process of removal of access rights to a Există un proces sistematic de eliminare a drepturilor de acces
protected office area at the time of transfer or role change of la o zonă de birouri protejat la momentul plecării ?
staff?
02C03-07 Is there a regular audit, at least once a year, of all access rights Există un audit regulat , cel puțin o dată pe an , de toate
currently attributed to each protected office area? drepturile de acces atribuite în prezent fiecărui zona de birouri
This audit should also analyze the relevance of the protejate ?
authorizations granted. Acest audit ar trebui să analizeze , de asemenea, relevanța
autorizațiile acordate

02C03-08 Are all entries into protected zones recorded?
02C03-09 Are also all leavings from protected zones recorded?
02C03-10 Is there a procedure enabling the subsequent detection of
irregularities in the management or the use of access rights
(badge or card not returned, usage of a lost badge, false badge
etc.)?
Sunt toate intrările zone protejate înregistrate ?
Sunt , de asemenea, toate plecări din zonele protejate
înregistrate ?
Există o procedură care să permită detectarea ulterioară a
nereguli în gestionarea sau utilizarea drepturilor de acces
( ecuson sau carte nu sa întors , utilizarea unui ecuson pierdut,
insigna false etc. ) ?

02C04 Detection of intrusions into protected office areas Detectarea intruziunilor în zonele de birouri protejate

02C04-01 Is there an operational system, linked to a 24 hr monitoring
center, detecting the forcing of exits to the protected office
zones?
This system must monitor forced openings of exits (doors and
windows), the usage of an emergency exit or their being kept
open, etc.
Există un sistem operațional , legat la un centru de monitorizare
24 de ore , detectarea forțarea ieșirilor la zonele de birouri
protejate ?
Acest sistem trebuie să monitorizeze deschideri forțată a ieșiri
( usi si ferestre ) , utilizarea de o ieșire de urgență sau lor fiind
ținute deschise , etc

02C04-02 Is there an operational system detecting the presence of
persons outside normal working hours, linked to a 24 hr
monitoring center?
This system should control the presence of persons (volumetric
detection, etc.). It may also be a video surveillance system
linked to a 24 hr monitoring center.
Există un sistem operațional detectarea prezenței unor
persoane din afara orelor de lucru normale , legate de un centru
de monitorizare de 24 de ore ?
Acest sistem ar trebui să controleze prezența persoanelor
( detectarea volumetric , etc. ) . Acesta poate fi , de asemenea,
un sistem de supraveghere video conectat la un centru de
monitorizare 24 ore

02C04-03 Is this system backed up by a video and audio control system Este acest sistem susținute de un sistem video și control audio
which allows the security team to make a first analysis or care permite echipei de securitate pentru a face o primă analiză
remotely dismiss uncertainty? sau respingerea de la distanță incertitudine ?

02C04-04 In the case of an intrusion detection alarm, does the În cazul unei alarme de detectare a intruziunilor , nu echipa de
surveillance team have the possibility of sending out an supraveghere au posibilitatea de a trimite o echipă de
intervention team without delay to verify the cause of the alarm intervenție , fără întârziere, pentru a verifica cauza alarmei și să
and to take appropriate action? ia măsurile corespunzătoare ?

02C04-05 Has the security team sufficient resources to cover the Are echipa de securitate resurse suficiente pentru a acoperi
eventuality of multiple alarms set off intentionally? eventualitatea multiple alarme pornit în mod intenționat ?

02C04-06 Is the location of electronic systems for detection and Este locația de sisteme electronice pentru detectarea și
processing of alarms protected 24 hrs a day by an access procesarea alarmelor protejat de 24 de ore pe zi, printr-un
control system and by an intrusion detection system? sistem de control al accesului și de un sistem de detectare a
intruziunilor ?

02C04-07 Is the intrusion detection system itself monitored (alarm in the Este sistemul de detectare a intruziunilor se monitorizate
case of shutdown, video auto-surveillance etc.)? ( alarmă în caz de închidere , auto - supraveghere video ,
etc. ) ?
02C04-08 Are the control points for intrusion detection and the procedures Sunt punctele de control pentru detectare a intruziunilor și
for action subsequent to intrusion subject to regular audit? procedurile de acțiune ulterior intruziunea supuse auditului
periodic ?

02C05 Monitoring of protected office areas Monitorizarea zonelor protejate de birouri

02C05-01 Is there a complementary video surveillance system, complete Există un sistem complementar de supraveghere video ,
and coherent, for protected office areas, able to detect complet și coerent , pentru zonele de birouri protejate ,
movement and abnormal behavior? capacitatea de a detecta mișcarea și comportamentul anormal ?
02C05-02 In the case of an alarm, does the surveillance team have the
possibility of sending out an intervention team without delay to
verify the cause of the alarm and to take appropriate action?
02C05-03 Has the security team sufficient resources to cover the
eventuality of multiple alarms set off intentionally?
02C05-04 Is the security surveillance team also on duty at times when
cleaning of sensitive locations is done?
02C05-05 Is video surveillance material recorded and kept for a long
period?
02C05-06 Is the intrusion detection system itself under surveillance (alarm Este sistemul de detectare a intruziunilor se sub supraveghere (
in the case of shutdown, video auto-surveillance etc.)?
02C05-07 Are procedures for surveillance and intervention in the case of
abnormal behavior audited regularly?
02C06 Control of movement of visitors and occasional service
providers required to work in the offices
02C06-01 Is there a general control of movement of visitors and
occasional service providers (time stamping at arrival and
departure, signature of the person visited, etc.)?
02C06-02 Are visitors and occasional service providers always
accompanied (on the way in, return to reception, intervening
movements )?
02C06-03 Are visitor reception zones set aside specifically for that purpose Sunt zone de primire a vizitatorilor deoparte special pentru
comprising only welcoming areas, meeting rooms or zones
accessible to the public?
02C06-04 Have specific procedures been defined for each type of external
service provider given to operate in the offices (IT service
company, maintenance company, cleaning staff, etc.) such as
the wearing of a personalized badge, accompaniment by staff,
prior authorization indicating the name of the operative etc?
02C06-05 Do these procedures ensure that the service provided Nu aceste proceduri să se asigure că serviciul prestat
corresponds to the expressed requirement and that the actions corespunde cerinței exprimate și că acțiunile furnizorului de
of the service provider are limited only to that requirement? servicii se limitează doar la această cerință ?
02C06-06 Are visitors and occasional service providers recorded in such a
way as to enable a subsequent verification of the reason of their
visit and has a procedure been put in place which enables the
detection of dishonesty or abuse?
02C06-07 Is there a secure way to register the departure of visitors (e.g.
keeping their identity card)?
02C06-08 Are the control procedures of visitors and occasional service
providers movements regularly audited?
02D Protection of written information
02D01 Conservation and protection of important commonly used
documents
02D01-01 Are there facilities available for the staff to put away, close to
their desk, commonly used documents requiring a high degree
of preservation or protection?
02D01-02 Do these facilities allow to protect important documents from
risks of water damage or flooding?
02D01-03 Do these facilities allow to protect important documents from
risks of fire (fireproof vaults) ?
În cazul unei alarme , nu echipa de supraveghere au
posibilitatea de a trimite o echipă de intervenție , fără întârziere,
pentru a verifica cauza alarmei și să ia măsurile
corespunzătoare ?
Are echipa de securitate resurse suficiente pentru a acoperi
eventualitatea multiple alarme pornit în mod intenționat ?
Este echipa de supraveghere de securitate , de asemenea, la
datorie în momentele în care curățarea de locații sensibile se
face ?
Este un material de supraveghere video înregistrează și se
păstrează pentru o perioadă lungă de timp ?
alarmă în caz de închidere , auto - supraveghere video , etc. ) ?
Sunt procedurile de supraveghere și intervenție în caz de
comportament anormal auditate în mod regulat ?
Control de deplasare a vizitatorilor și furnizorii de servicii
ocazionale necesare pentru a lucra în birourile
Există un control general, de mișcare de vizitatori și furnizori de
servicii ocazionale ( marcare temporală la sosire și la plecare ,
semnătura persoanei vizitate, etc. ) ?
Sunt vizitatori și furnizorii de servicii ocazionale însoțit
întotdeauna ( pe drum , în , a reveni la recepție , intervenind
mișcări ) ?
acest scop , cuprinzând doar zone primitoare , camere sau
zone accesibile publicului întâlnirea ?
Au fost definite proceduri specifice pentru fiecare tip de
prestator extern de servicii oferite pentru a opera în birourile
( companie de IT service , companie de întreținere , personalul
de curățenie , etc.) , cum ar fi purtarea de o insignă personalizat
, acompaniament de personal , autorizarea prealabilă indicând
numele din etc operativ ?
Sunt vizitatori și furnizorii de servicii ocazionale înregistrate în
așa fel încât să permită o verificare ulterioară a motivul vizitei lor
și a unei proceduri fost puse în aplicare , care permite
detectarea necinste sau abuz ?
Există o modalitate sigură de a înregistra plecarea de vizitatori (
de exemplu, păstrarea cartea de identitate ) ?
Sunt procedurile de control de vizitatori și a mișcărilor furnizorii
de servicii ocazionale auditat periodic ?
Protecția informațiilor scrise
Conservarea și protecția documente importante utilizate în
mod obișnuit
Există facilități disponibile pentru personalul de a pune deoparte
, aproape de biroul lor , de obicei documente utilizate care
necesită un grad înalt de conservare sau de protecție ?
Face aceste facilități permit de a proteja documente importante
de riscurile de deteriorare apă sau inundații ?
Face aceste facilități permit de a proteja documente importante
de riscurile de foc ( seifuri ignifuge ) ?
02D01-04 Are the premises used for the storage of these documents
equipped with reinforced access control and intrusion
detection?
02D01-05 Does the shutdown of these security systems (fire, water
damage, access control, intrusion detection) trigger an alarm
with a surveillance center able to intervene rapidly?
Sunt premisele utilizate pentru depozitarea acestor documente
echipate cu control al accesului consolidată și de detectare a
intruziunilor ?
Are închiderea acestor sisteme de securitate (incendiu, daune
de apă , control acces , de detectare a intruziunilor ) declanșa o
alarmă cu un centru de supraveghere în măsură să intervină
rapid ?

02D01-06 Are these storage conditions subject to regular audit? Sunt aceste condiții de depozitare supuse auditului periodic ?

02D02 Protection of documents and removable support media Protecție a documentelor și a mass-media de sprijin mobile

02D02-01 Do security procedures and instructions define the rules for Face procedurile de securitate și instrucțiuni definirea normelor
protecting documents and information support media situated in de protecție a documentelor și a mass-media informații de
offices (regardless of the type of support media)? asistență situate în birouri ( indiferent de tipul de suport
media ) ?

02D02-02 Do the security procedures and instructions detail the rules for Face procedurile de securitate și instrucțiuni detaliu normele
protecting laptop microcomputers (storage, securing by cable pentru protecția microcomputere laptop ( depozitare ,
etc.)? asigurarea de cablu etc. ) ?
02D02-03 Do the security procedures and instructions also detail the rules Face procedurile de securitate și instrucțiunile de asemenea
for protecting Tablet PCs, electronic personal assistant or detaliat normele de protecție a tablet PC-uri , asistent personal
telephones which may contain sensitive information? electronic sau telefoane care poate conține informații sensibile ?

02D02-03 Do the security procedures and instructions detail the rules
relative to the printing of sensible documents?
02D02-04 Do the security procedures and instructions detail the rules for
the distribution of sensible documents?
02D02-05 Do the security procedures and instructions detail the rules
relative to the handling of sensible documents while carried
outside the organization?
Face procedurile de securitate și instrucțiunile detaliu regulile
relative la imprimarea de documente sensibile ?
Face procedurile de securitate și instrucțiuni detaliu regulile de
distribuire a documentelor sensibile ?
Nu procedurile de securitate și instrucțiuni detaliu normele în
raport cu tratarea documentelor sensibile în timp ce efectuează
în afara organizației ?

02D02-06 Do staff have secure storage facilities (secure cupboards ) Face personal au spatii de depozitare securizate ( dulapuri
immediately available on request, in the office or in close securizate ) este disponibil imediat , la cerere , la birou sau în
proximity to the office at any time? imediata apropiere a biroului , în orice moment ?

02D02-07 Are staff regularly made aware of the necessity to protect Sunt personalul făcut regulat conștienți de necesitatea de a
documents and other sensitive support media in their offices ? proteja documente și alte mass-media sensibile de sprijin în
birourile lor ?

02D02-08 Do security staff regularly check (effecting regular rounds) the Nu personalul de securitate a verifica periodic ( efectuarea
application of document tidying rules and various support media runde periodice ) aplicarea normelor dereticare profesionista de
situated in offices ? documente și diverse suporturi de sprijin situate în birouri ?

02D02-09 Are these controls also effected during opening hours, in the Sunt aceste controale , de asemenea, efectuată în timpul orelor
absence of the regular occupants of the offices? de program , în absența ocupanților periodice ale birourilor ?

02D02-10 Is the application of the security rules relative to the printing and Este aplicarea normelor de securitate în raport cu tipărirea și
distribution of sensitive documents regularly audited? distribuirea documentelor sensibile auditate în mod regulat ?

02D03 Paper-bin collection and destruction of documents Colectare de hârtie - bin și distrugere de documente

02D03-01 Are the contents of all paper-bins subject to a system of secure Sunt conținutul tuturor de gunoi de hârtie supuse unui sistem de
destruction? distrugere securizat ?
02D03-02 Do staff have available a means of secure destruction for Nu personalului au la dispoziție un mijloc de distrugere sigur
sensitive documents (shredders, special paper collection )? pentru documentele sensibile ( tocătoare , de colectare special
hârtie ) ?
02D03-03 Do the paper destruction facilities available to personnel offer a Nu facilitățile de distrugere hârtie disponibile pentru a oferi
solid guarantee that documents destroyed cannot be personalului o garanție solidă că documentele distruse nu pot fi
reconstituted? reconstituite ?
For this, the shredder used must cross cut. Pentru aceasta, trebuie să traverseze Concasor tăiat

02D03-04 Is the capacity of the paper destruction facilities available to Este capacitatea instalațiilor de distrugere hârtie disponibile
personnel compatible with the average volume of documents to pentru a personalului compatibile cu volumul mediu al
destroy? documentelor pentru a distruge ?
02D03-05 Has a shredder of sufficient capacity been installed next to each
photocopier?
Note: the capacity necessary must take into account the
maximum thickness that photocopied document can generally
attain.
Are o shredder de capacitate suficientă fost instalat lângă
fiecare copiator ?
Notă : capacitatea necesară trebuie să se țină seama de
grosimea maximă care fotocopiată documentul în general poate
atinge

02D03-06 Are all paper destruction procedures and facilities regularly Sunt toate procedurile de distrugere hârtie și facilități auditat
audited? periodic ?
02D04 Security of post mail Securitatea mailului
02D04-01 Is the incoming and outgoing mail sorting and dispatching office Este sortarea e-mail de intrare și ieșire și dispecerizarea birou
kept locked when staff are not present? ținute încuiate atunci când personalul nu sunt prezente ?

02D04-02 Is the incoming and outgoing mail sorting and dispatching office Este sortarea e-mail de intrare și ieșire și dispecerizarea birou
protected against risks of fire and water damage (automatic protejat împotriva riscurilor de incendiu și daune de apă
detection and triggering of an alarm with a surveillance center ( detectare automată și declanșarea unei alarme cu un centru
able to intervene rapidly? de supraveghere în măsură să intervină rapid ?

02D04-03 Does the mail delivery round ensure that only the intended Are livrare e-mail runda a se asigura că numai departamentul
recipient department or person has access to its or their mail beneficiar intenționează sau persoana are acces la e-mail sau
(locked post boxes, direct distribution and delivery direct to the de ( cutii poștale blocat , distributie directa si livrare directă la
intended person etc.)? persoana vizat etc. ) ?

02D04-04 Within the office spaces, is any mail, either outgoing or În cadrul spatiilor de birouri , este orice e-mail , fie de ieșire sau
incoming, kept aside so as not to be read by an unintended third de intrare, păstrează o parte pentru a nu fi citit de o terță parte
party? neintenționate ?
02D04-05 Is confidential mail rendered neutral (double envelope with the Este e-mail confidențial prestate neutru ( dublu plic cu gradul de
degree of classification only being indicated on the internal clasificare numai fiind indicat pe plic intern ) ?
envelope)?

02D04-06 Are important mails sent systematically registered with Sunt mail importante trimisa sistematic recomandată cu
acknowledgement of receipt? confirmare de primire ?
02D04-07 Is the application of mail security advice and procedures Este aplicarea de consiliere și proceduri de securitate e-mail
regularly audited? auditat periodic ?
02D05 Security of faxes (traditional) Securitatea faxuri ( tradițional)
02D05-01 Is there a procedure or instruction stating the modes for sending Există o procedură sau instrucțiune precizând moduri pentru
and receiving confidential faxes? trimiterea și primirea de faxuri confidențiale ?
02D05-02 Is the location of each fax machine kept locked when staff are Este locația de fiecare fax ținut închis atunci când personalul nu
not present? sunt prezente ?
02D05-03 Is the incoming and outgoing faxes office protected against risks Este biroul faxurile primite și trimise protejate împotriva riscurilor
of fire and water damage (automatic detection and triggering of de incendiu și daune de apă ( detectare automată și
an alarm with a surveillance center able to intervene rapidly? declanșarea unei alarme cu un centru de supraveghere în
măsură să intervină rapid ?

02D05-04 Does the fax delivery round ensure that only the intended Are livrarea fax runda a se asigura că numai departamentul
recipients department or person has access to its or their faxes destinatarii sau persoana are acces la faxuri acestor comisii
(locked post boxes, direct distribution and delivery direct to the ( cutii poștale blocat , distributie directa si livrare directă la
intended person)? persoana vizat ) ?

02D05-05 Have the possibilities and modes of remote fax retrieval with
password been explained to personnel and relevant advice
displayed near to fax machines?
02D05-06 Is the remote retrieval with password mode obligatory for the
sending or receipt of a confidential fax?
02D05-07 Is the application of fax security advice and procedures
regularly audited?
02D06 Conservation and protection of important documents (to
be preserved during a long period)
Au fost explicate posibilitățile și modalitățile de recuperare fax
de la distanță cu parolă personalului și consultanță relevante
afișate în apropiere de fax mașini ?
Este recuperarea la distanță cu modul parolă obligatorie pentru
trimiterea sau primirea unui fax confidențial ?
Este aplicarea de consiliere și proceduri de securitate fax
auditat periodic ?
Conservarea și protecția documentelor importante ( care
urmează să fie conservate într-o perioadă lungă )

02D06-01 Is there a department specifically responsible for keeping and
protecting important documents that need to be kept for a long
period of time?
Such as important originals, elements usable as proof,
documentary evidence, etc.
Există un departament special responsabil de păstrarea și
protejarea documente importante care trebuie să fie păstrate
pentru o perioadă lungă de timp ?
Cum ar fi originale importante , elemente utilizabile ca dovadă ,
documente justificative , etc

02D06-02 Is there a procedure which obliges users to use this service for Există o procedură care obligă utilizatorii să folosească acest
all documents usable as proof, documentary evidence or serviciu pentru toate documentele utilizabile ca dovadă ,
important originals? înscrisuri sau originale importante ?
02D06-03 Are the corresponding documents kept in fireproof safes,
themselves located in rooms with appropriate equipments for
fire detection and extinguishing, flooding detection and water
draining?
02D06-04 Are the rooms used to store these documents equipped with
reinforced access control and intrusion detection systems?
02D06-05 Does the shutdown of security systems (fire, water damage,
access control, intrusion detection) trigger an alarm with a
surveillance center able to intervene rapidly?
02D06-06 Is the capacity to work on these documents ensured on a long
range?
02D06-07 Are the storage conditions and associated security systems
subject to regular audit?
02D07 Management of archived documents
02D07-01 Is there a department specifically responsible for archiving
documents to be kept for a long range?
02D07-02 Is there a procedure which obliges users to use this archiving
service for all documents to be kept for a long range?
02D07-03 Are the delays for archiving or returning documents in
accordance with the expectations of users?
Otherwise users may prefer to keep the documents next to
them.
02D07-04 Are the rooms used for archives équipped with appropriate
equipments for fire detection and extinguishing, flooding
detection and water draining?
02D07-05 Are these rooms equipped with reinforced access control and
intrusion detection systems?
02D07-06 Are the archive rooms under video-survey when they are not
occupied?
02D07-07 Are the cartons for archives marked without reference to their
content?
02D07-08 Are the correspondence tables associating the content to the
reference of archives not accessible to the personnel in charge de arhive care nu sunt accesibile personalului care se ocupă de
of managing physically the cartons of archives?
02D07-09 Are these tables subject to a saving policy ?
02D07-10 Does the shutdown of security systems (fire, water damage,
access control, intrusion detection) trigger an alarm with a
surveillance center able to intervene rapidly?
02D07-11 Is the requester of an archive authenticated with a strong
procedure?
02D07-12 Is the delivery of an archive registered and logged?
02D07-13 Is there a specific procedure used for the destruction of
archives?
02D07-14 Does this procedure guarantee that the requester has the
appropriate rights?
02D07-15 Are the archives protected against any diversion during their
transport between the archiving room and the requester?
02D07-16 Are the storage conditions for archives and associated security Sunt condițiile de depozitare pentru arhive si sisteme de
systems subject to regular audit?
Sunt documentele corespunzătoare păstrate în seifuri ignifuge ,
se află în camere cu echipamente adecvate pentru detectarea
și stingerea incendiilor , de detectare a inundațiilor și drenaj apă
?
Sunt camere folosite pentru a stoca aceste documente echipate
cu control acces consolidat și a sistemelor de detectie a
intruziunilor ?
Are închiderea sistemelor de securitate ( incendiu, daune de
apă , control acces , de detectare a intruziunilor ) declanșa o
alarmă cu un centru de supraveghere în măsură să intervină
rapid ?
Este capacitatea de a lucra la aceste documente a asigurat pe
o rază lungă ?
Sunt condițiile de depozitare și sistemele de securitate asociate
supuse auditului periodic ?
Managementul documentelor arhivate
Există un departament special responsabil pentru arhivarea
documentelor care trebuie păstrate pentru o serie lungă ?
Există o procedură care obligă utilizatorii să utilizeze acest
serviciu de arhivare pentru toate documentele care urmează să
fie păstrate pentru o serie lungă ?
Sunt întârzieri pentru arhivare sau returnarea documentelor , în
conformitate cu așteptările utilizatorilor ?
În caz contrar, utilizatorii pot prefera să păstreze documentele
lângă ei
Sunt camerele utilizate pentru arhive dotate cu echipamente
adecvate pentru detectarea și stingerea incendiilor , de
detectare a inundațiilor și drenaj apă ?
Sunt aceste camere dotate cu control al accesului consolidat și
a sistemelor de detectie a intruziunilor ?
Sunt camere de arhivă din cadrul video- sondaj atunci când
acestea nu sunt ocupate ?
Sunt cutiile pentru arhive marcat fără referire la conținutul
acestora ?
Sunt tabelele de corespondență asociere conținutul de referință
gestionarea fizic cutiile de arhive ?
Sunt aceste tabele obiectul unei politici de economisire ?
Are închiderea sistemelor de securitate ( incendiu, daune de
apă , control acces , de detectare a intruziunilor ) declanșa o
alarmă cu un centru de supraveghere în măsură să intervină
rapid ?
Este solicitantul unei arhive autentificată cu o procedură
puternică ?
Este livrarea unei arhive înregistrat și autentificat ?
Există o procedură specifică utilizată pentru distrugerea
arhivelor ?
Are această garanție procedură care solicitantul are drepturile
corespunzătoare ?
Sunt arhivele protejate împotriva oricărei devieri în timpul
transportului între camera de arhivare și solicitantului ?
securitate asociate supuse auditului periodic ?
R-V1 W

413
423
0 4

3.91
1 4

1 4

1 2

1 1

1 1

1 4
1 4

1 4

1 2

0 2

1 2

1 4

1 4

1 1

1 1

1 4
1 4

1 4

1 4

1 4

1 4

1 4

1 4

1 4

1 4

1 4

4
1 2

1 2

1 2
1 2

1 2

1 2

1 1

1 1

1 2

1 2

1 2

1 4

1 2

1 2

1 2
1 3

1 3

1 2

1 2

1 4

1 4

1 2

1 2

1 4

1 4

1 2

1 3

1 3

1 2

1 2

1 3

1 4

1 2
1 2

1 2

1 2

1 3
1 2

1 4

1 2

1 2

1 3

1 2

1 3

1 2

1 3

1 3

1 4
1 4

1 3

2
1 2

1 3

1 3

1 2

1 2

1 3

1 4

1 2

1 3

1 2

1 3

1 4

1 4

1 4
1 3

1 2

1 3

1 3

1 3

1 3

1 3

1 3

1 3

1 4

1 2

1 3

1 3

1 3

1 2

1 4

1 2

1 2
1 4

1 2

1 4

1 3

1 3

1 2

1 2

1 3

1 3

1 2

1 4

1 3

1 3

1 4

1 3

1 2

1 2

1 2
1 3

1 3

1 2

1 3

1 3

1 2

1 2

1 4

1 3

1 3

1 3

1 3

1 3

1 3
1 2

1 3

1 3
1 1

1 4

1 3

1 3
Audit Questionnaire: Securitatea spațiilor
Number Question

03A General Maintenance

03A01 Quality of energy supply
03A01-01 Does the energy supply conform to the maximum load levels
specified by installed equipment suppliers and with a sufficient
margin?
03A01-02 Is there an electricity regulation system which includes at least an
uninterruptible power supply for the most sensitive equipment?

03A01-03 Are there backup batteries (supplying one or more uninterruptible

power supplies) guaranteeing sufficient autonomy that equipment
shuts down safely and properly?

03A01-04 Is the energy supply system fitted with a control system which
signals to the intervention team any partial or complete failure of
equipment (disconnection of batteries, insufficient charge,
uninterruptible supply system shutdown etc.)?

03A01-05 Are energy regulation systems checked frequently (battery

capacities in particular) in comparison to system requirements
(autonomy needed to ensure a proper shutdown)?

03A01-06 Is the regular replacement of intermediate batteries effected in

accordance to the manufacturers' specifications?
03A02 Continuity of energy supply
03A02-01 Has it been established a documented policy relative to the
requirements about power supply continuity (and all fluids in
general)?
03A02-02 Is there a backup energy supply capable of guaranteeing service
continuity of critical equipment (making use a generator and
sufficient independent supply of fuel or independent energy feed)?

03A02-03 Is the backup system tested regularly in order to define the

appropriate load required (retaining only critical equipment load
levels)?
03A02-04 Is the start-up routine for the backup system tested regularly and
its compatibility with the requirements of service continuity (tests
include system run-down and eventual reconfiguration needed)?

03A02-05 Is the backup energy supply system equipped with an alarm which
signals to the intervention team any partial unavailability or failure
of equipment (failure of the backup system, low fuel, shutdown of
detection or switching system etc.)?

03A03 Air conditioning security

03A03-01 Is there an air conditioning system which regulates air quality
(temperature, pressure, water content, dust) corresponding to the
specifications of builders of installed equipment?

03A03-02 Is the air conditioning system regularly tested to ensure that it will
continue to function even in the worst climatic conditions
possible?
03A03-03 Will the air conditioning system continue to function within the
specifications despite a simple component failure (sufficient
equipment redundancy, backup air conditioning system etc.)?
 03A03-04 Is the capacity of the air conditioning system tested regularly in
spite of a simple equipment failure and under the worst possible
climatic conditions?
03A03-05 Is there a redundancy system for the most critical air conditioning
equipments?
03A03-06 Is the accidental or deliberately caused failure (shutdown) of the
air conditioning system detected and signaled to an intervention
team able to react swiftly?
03A03-07 Is the security of the air-conditioning system (detection of failure,
shutdown, intervention procedures) subject to a regular audit?

03A04 Quality of cabling

03A04-01 Is a file maintained detailing all cable paths and bays (with a
backup copy) and associated cabling cabinets and their
characteristics?
03A04-02 Are the cables individually labeled at each end?
03A04-03 Is cabling protected from accident risk (protected conduit ends)?

03A04-04 Are high and low voltage circuits properly separated?

03A04-05 Is cabling quality and protection checked regularly?

03A04-06 Is the update of the cabling map regularly audited?
03A05 Lightning protection
03A05-01 Is the building protected by a lightning conductor?
03A05-02 Are electrical circuits and cabling protected against surges and
against lightning by specialized equipment?
03A05-03 Is circuit protection equipment checked regularly?

03A06 Dependability of service equipment

03A06-01 Is there a complete and accurate list of all the service equipment
required by the IT and communications systems (cold water, air,
specific supplies, etc)?
03A06-02 Is each equipment covered by a maintenance contract tailored to
the requirements of the expected service?

03A06-03 For the most critical services, is there system redundancy or a

rapid replacement capability?
03A06-04 Are all outages, whether unplanned (breakdown) or planned
(stoppage), of service equipment detected and flagged to an
intervention team for rapid reaction?

03A06-05 Is the dependability of service equipment (detection of breakdown

or outage, intervention procedures, etc) audited regularly?

03B Control of access to sensitive locations (other

than office zones)
03B01 Access rights management to sensitive locations
03B01-01 Are permanent or semi permanent (for a specific length of time)
access rights to sensitive locations defined in relation to standard
profiles accounting for the function and status of staff?
These profiles should consider technical, telecom, general
maintenance or security staff, fire brigade, service providers,
students or visitors, etc.

03B01-02 Have an inventory and a classification of all the types of sensitive

locations been taken?
03B01-03 Has, for each sensitive location or type of location, a manager
been named to maintain up-to-date security access rights
attributed to each category of personnel and has each of the
managers taken up their post?

03B01-04 Do these persons in charge actually assuming this function and

do they provide reports to the CISO about it?
03B01-05 Do the profiles also allow definition of working time limits (daily
hours and periods in the working calendar, weekends, holidays
etc.)?
03B01-06 Are these rights and profiles as defined above protected against
alteration or falsification during their storage or when transferred
between decision makers and the personnel in charge of
implementing the rights?

03B01-07 Is there a regular audit or inspection, at least once a year, of all

rights given to the various categories of personnel and of the
management processes for these rights as well?
03B02 Management of access authorizations granted to sensitive
locations
03B02-01 Does the procedure of granting permanent or temporary access
authorizations require the formal authorization of line
management or of the unit managing external contractors (at a
sufficiently senior level)?

03B02-02 Is the procedure for granting (or modification or revocation) of

access authorizations, for each type of sensitive location,
documented and strictly controlled?
A strict control requires a formal recognition of the signature
(electronic or otherwise) of the requestor, that the implementation
of the profile attributed to users is highly secure and that each
operation is recorded (mentioning the date of issue of the badge
and its length of validity) that there be a reinforced access control
over the modification of such records and that all record
modifications be logged and audited.

03B02-03 Are access authorizations granted to named individuals as a

function of profile and materialized by a badge or a card or a key?

03B02-04 Are badges or cards which represent access authorizations

personalized using the name of the holder and his or her
photograph?

03B02-05 Can the list of access authorizations and corresponding profile be

reviewed at any time?
03B02-06 Is there a rapid and systematic process of attribution and
revocation of access authorizations (with invalidation of the badge
in automatic control systems) and the return of the badge or
corresponding card at time of change of site (if access rights
depend on the site), departure from the company or at the end of
a contract and applied both to internal and external staff?

03B02-07 Are keys or badges stored in a locked secure box or cupboard

resistant to break in?
For example: certified safes
03B02-08 Is it prohibited to enter the sensible premises with means of photo,
video, or audio taping?
03B02-09 Is there a regular audit, at least once a year, of all the badges
attributed to all categories of staff and of the pertinence of the
corresponding authorizations?
03B02-10 Is there a procedure enabling the subsequent detection of
irregularities in the management of access authorizations (badge
or card not returned, usage of a lost badge, false badge etc.)?
 03B03 Access control to sensitive locations
03B03-01 Is use made of an automatic system controlling access to
sensitive locations?
03B03-02 Does authentication employ user related data that cannot be
falsified (smart cards or biometric data for example)?
For example :(smart cards, biometric data, digital key, ...
03B03-03 Does the access control system guarantee that all personnel
entering the location are verified?
For example: double door limiting the number of people entering
to one-at-a-time or a process which prohibits the usage of a
badge by more than one person etc.

03B03-04 Is control assured of all entry and exit points including both normal
exits and others such as windows accessible from outside,
emergency exits, potential access via raised flooring and false
ceilings?

03B03-05 Are the automatic access control systems under 24 hr

surveillance enabling the detection of a failure, a system
deactivation or the usage of emergency exits in real time?

03B03-06 Is there a procedure or automatic alert enabling the immediate

intervention of security personnel in the case of a shutdown alarm
of the access control system (or usage of emergency exit)?

03B03-07 Is there an audit procedure enabling the detection of irregularities

in the access control procedures (audit of procedures and
parameters of access control systems, audit of exceptions and of
interventions etc.)?

03B04 Intruder detection in sensitive locations

03B04-01 Is there an operational on site intrusion detection system for
sensitive locations linked to a 24 hr monitoring center?

03B04-02 Does this system detect all attempts to force open locked exits
(windows and doors), all opening of emergency exits and all
normal exits abnormally kept open?
03B04-03 Does this system detect the presence of personnel outside of
normal working hours?
03B04-04 Is this system backed up by a video and audio control system
which allows the security team to make a first analysis or dismiss
uncertainty from a distance?
03B04-05 Is the surveillance team dedicated to its task, having only security
responsibilities and are any alarms immediately detected treated
as the highest priority?
03B04-06 In the case of an intrusion detection alarm, does the surveillance
team have the possibility of sending out an intervention team
without delay to verify the cause of the alarm and to take
appropriate action?

03B04-07 Has the security team sufficient resources to cover the eventuality
of multiple alarms set off intentionally?
03B04-08 Is there an advisory document clearly stating exactly what action
to take in the case of each alarm envisaged?
03B04-09 Is the intrusion detection system itself under surveillance (alarm in
the case of shutdown, auto-surveillance by camera etc.)?

03B04-10 Are intrusion control points and procedures for reaction to

intrusions audited regularly?
03B05 Perimeter monitoring (surveillance of entry points and
surroundings of sensitive locations)
03B05-01 Is the perimeter or surroundings of sensitive locations under
complete and coherent surveillance by video or direct visual
means?
03B05-02 Is the surveillance team dedicated to its task, having only security
responsibilities and are any alarms immediately detected and
treated as the highest priority?
03B05-03 In the case of an alarm, does the surveillance team have the
possibility of sending out an intervention team without delay to
verify the cause of the alarm and to take appropriate action?

03B05-04 Has the security team sufficient resources to cover the eventuality
of multiple alarms set off intentionally?
03B05-05 Is there an advisory document clearly stating exactly what action
to take in the case of each alarm envisaged?
03B05-06 Is video surveillance material recorded and kept for a long period?

03B05-07 Is the intrusion detection system itself under surveillance (alarm in

the case of shutdown, auto-surveillance by camera etc.)?

03B05-08 Are surveillance and intervention procedures audited regularly?

03B06 Surveillance of sensitive locations

03B06-01 For sensitive locations, is there an additional, complete and
coherent, video surveillance system which detects movement
inside the sensitive location and able to detect abnormal
behavior?

03B06-02 Is the surveillance team dedicated to its task, having only security
responsibilities and are any alarms detected immediately treated
as the highest priority?

03B06-03 In the case of an alarm, does the surveillance team have the
possibility of sending out an intervention team without delay to
verify the cause of the alarm and to take appropriate action?

03B06-04 Has the security team sufficient resources to cover the eventuality
of multiple alarms set off intentionally?
03B06-05 Is the security surveillance team also on duty at times when
cleaning of sensitive locations is done?
03B06-06 Is video surveillance material recorded and kept for a long period?

03B06-07 Is the intrusion detection system itself under surveillance (alarm in

the case of shutdown, auto-surveillance by camera etc.)?

03B06-08 Are procedures for surveillance and intervention in the case of

abnormal behavior audited regularly?
03B07 Cabling access control
03B07-01 Is physical access to cabling protected (specific conduits difficult
to access or kept locked)?
03B07-02 Are all cable paths kept under video surveillance with alerts in the
case of abnormal presence (to signal to staff which screen to pay
particular attention to)?
03B07-03 Are locations where it would be possible to place a parasitic
device on a LAN or WAN under reinforced security (named
personnel with badge access, biometric security)?

03B07-04 Are locations where it would be possible to place a parasitic

device on a LAN or WAN under video surveillance as soon as
accessed (with an alert to surveillance personnel)?

03B07-05 Are there regular security audits of cabling?

including effective control of access to conducts, audit of access
rights attributed and the intervention procedures on violation of
rights, inspection of locations where parasitic devices could be
placed.
 03B08 Location of sensible premises.
03B08-01 Are the sensible premises located in areas not accessible to the
public?
03B08-02 Are the data processing premises exempt of all exterior indication
of their content?
03B08-03 Is the location of sensible premises not displayed in telephone
directories?
03C Security against water damage
03C01 Prevention of risk of water damage
03C01-01 Has there been a systematic and exhaustive analysis of all the
possible points at which water might enter?
For example: position of locations relative to natural overflows in
the case of flood or violent storms, flooding from floors above,
rupture of hidden or exposed pipes, usage of fire extinguisher
systems, overflow of water evacuation conduits, untimely start of
humidifier systems etc.

03C01-02 Have each of the possible water entry points been determined as
low risk or have measures been taken to ensure that the risk of
flooding is very low?
For example: pre-emptive fire extinguisher systems, one way
valves on exhaust pipes, independent measurement of humidity,
etc.

03C01-03 Are each of the various systems to avoid water damage protected
from shutdown and under constant monitoring?
03C01-04 Is there a regular audit of the proper implementation of the
measures to prevent water damage and methods to ensure that
they remain pertinent (verification of risk analysis)?

03C02 Detection of water damage

03C02-01 Are there humidity detectors near to sensitive equipment (in
particular in raised flooring) linked to a 24 hr monitoring center?

03C02-02 Are there water detectors nearby sensitive equipment (in

particular in raised flooring) linked to a 24 hr monitoring center?

03C02-03 Is there a water leakage detection system on the floor above the
location of sensitive equipment linked to a 24 hr monitoring
center?

03C02-04 Does the security desk have the possibility of sending in a rapid
intervention team which has sufficient means to act?
For example: knowledge of the location of water cut off points and
protected shunts, computers with up-to-date piping plans and cut
off points, plastic covers in order to protect equipment etc.

03C02-05 Has the security team sufficient resources to cover the eventuality
of multiple alarms set off intentionally?
03C02-06 Is there an advisory document clearly stating exactly what action
to take in the case of each alarm envisaged?
03C02-07 In any shutdown of detection systems systematically signaled to a
24 hr monitoring center?
03C02-08 Is the detection equipment regularly tested and are procedures
and intervention capabilities regularly audited?
03C02-09 Are procedures and intervention capabilities regularly audited?

03C03 Water evacuation

 03C03-01 Are there permanent means for evacuating water (pumps, natural
drain-ways etc.) and a team able to use them effectively?

03C03-02 Is the shutdown of any water evacuation system signaled

immediately to a 24 hr monitoring center?
03C03-03 Are water evacuation systems regularly tested?
03C03-04 Are procedures and intervention capabilities regularly audited?

03D Fire security

03D01 Fire risk prevention
03D01-01 Has an in-depth and systematic analysis been carried out of all
fire risks?
For example: short circuits in cables, the effect of lightning, staff
smoking areas, normal electrical equipment, heating equipment,
fire spread from outside, spread via technical conduits or via the
air conditioning system etc.

03D01-02 Has it been possible to evaluate each risk as highly improbable or

taken action to render the risk of fire starting or spreading highly
improbable?
For example: protection of cables in specially adapted conduits,
separation of transmission cables from energy supply cables,
protection of sensitive equipment from lightning strikes, smoking
ban, fire resistant bins, non-inflammable materials, protection of
electrical circuits by differential circuit breakers, fire detection
equipment in nearby locations and in risers etc.

03D01-03 Are the different fire protection systems protected from shutdown
and under continual monitoring?
03D01-04 Is there a regular audit of the electric cabling due to changes of
the power supply configurations?
For example : control of possible hot points using an infrared
camera

03D01-05 Is there a regular audit of the proper implementation of fire

prevention measures and methods to ensure that they remain
pertinent?
verification of risk analysis

03D02 Fire detection

03D02-01 Is there an automatic fire detection system for sensitive locations
(raised floors and false ceilings if they exist)?
03D02-02 Does the fire detection system have at least two types of detector
(for example ionic and optical smoke detector)?
03D02-03 Are the automatic detectors linked to a 24 hr monitoring center,
equipped with a system which clearly identifies the location of the
alarms which have been set off?
03D02-04 Is any shutdown of fire detection systems systematically signaled
to a 24 hr monitoring center?
03D02-05 Is the detection equipment regularly tested? and are procedures
and intervention capabilities regularly audited?
03D02-06 Are procedures and intervention capabilities regularly audited?

03D03 Fire extinguishing

03D03-01 Is the monitoring center able to rapidly send in a team which has
sufficient means to act (precise diagnosis of the situation, manual
extinguishers, triggering of automatic extinguishers, emergency
call)?

03D03-02 Has the security team sufficient resources to cover the eventuality
of multiple alarms?
 03D03-03 Is there an advisory document clearly stating exactly what action
to take in the case of each alarm envisaged?
03D03-04 Is there specific and regular training of intervention personnel?

03D03-05 Are all mobile fire extinguishers regularly controlled by a

competent authority (filling, usage manuals, risk reduction,
location etc.)?

03D03-06 Are sensitive locations protected by an automatic extinguishing

system (air, raised floors, false ceilings)?
03D03-07 Are automatic extinguishing systems regularly maintained and
tested by approved specialists?
03D03-08 Is the shutdown of an automatic fire extinguisher system
immediately signaled to a 24 hr monitoring center?
03D03-09 Is there an installation of armed fire taps near to computer rooms
and is this installation periodically and regularly verified and
maintained?

03D03-10 Is the intervention time of the fire brigade under 15 minutes?

03D03-11 Are regular tests of fire extinguishing equipment and procedures
carried out and intervention capabilities regularly audited?

Mw
 W Max Min
R-V1
Întreținerea generală
Calitatea alimentării cu energie
Alimentarea cu energie respectă nivelurile maxime de încărcare 1 2
specificate de furnizorii de echipamente instalate si cu o marjă suficientă?

Există un sistem de reglementare a energiei electrice, care include cel 1 4

puțin o sursă de alimentare neîntreruptibilă pentru echipamentele cele
mai sensibile?

Sunt baterii de rezervă (care furnizează unul sau mai multe surse de 1 2
alimentare neîntreruptibile) care sa garanteze suficienta autonomiei ca
echipamentele se inchid in condiții de siguranță și în mod corespunzător?

Sistemul de alimentare cu energie este echipat cu un sistem de control 0 3 3

care semnalează echipei de interventie orice eșec parțial sau complet al
echipamentelor (deconectarea bateriilor, incarcarea insuficientă,
închiderea neîntreruptă a sistemului de alimentare etc.)?

Sistemele de reglare a energiei sunt verificate frecvent (capacitățile 1 3 3

bateriei, în special), în comparație cu cerințele sistemului (autonomie
necesare pentru a asigura o închidere adecvată)?

Înlocuirea periodică a bateriilor intermediare este afectată in concordanta 1 2 2

cu "specificațiile producătorului?

Continuitatea alimentării cu energie

Ar fi fost stabilita o politica de documentatie relativa cu cerintele despre 1 2 2
continuitatea de alimentare cu energie?

Există o aprovizionare cu energie de rezervă ce poate garanta 1 4 2

continuitatea serviciului de echipamente critice (utilizarea unui generator
și aprovizionare suficientă independentă de combustibil sau alimentare
independenta energică )?

Este sistemul de backup testat cu regularitate, în scopul definirii sarcinii 1 4

corespunzătoare necesare (păstrând doar un nivel de încărcare
echipamente critice)?
Este rutina de pornire a sistemului de backup testata cu regularitate și 1 2 2
compatibilitatea cu cerințele de continuitate a serviciului (teste includ
sistem run-jos și în cele din urmă de configurare necesare)?

Este sistemul de backup de alimentare cu energie, echipat cu o alarmă 1 3 3

care semnalează echipei de interventie orice indisponibilitate parțială sau
defectarea echipamentelor (defecțiuni a sistemului de backup, de
combustibil redus, închidere de detectare sau sistem de comutare etc.)?

Securitatea aerului condiționat

Există un sistem de aer condiționat, care reglementează calitatea aerului 1 4
(temperatura, presiunea, conținut de apă, praf) care corespunde
specificațiilor constructori de echipamente instalate?

Este sistemul de aer condiționat testate cu regularitate pentru a se 1 4

asigura că acesta va continua să funcționeze chiar și în cele mai grele
condiții climatice posibil?
Va continua sistemul de aer conditionat sa functioneze in cadrul 1 2
specificatiilor, in ciuda unui simplu esec component(echipament cu
suficienta redundanță, sistem de backup de aer conditionat etc.)?
Capacitatea sistemului de aer condiționat este testată cu regularitate, în 1 3 3
ciuda unui simplu eșec al echipamentelor dar și în cele mai rele condiții
climaterice posibile?
Există un sistem de redundanta pentru cele mai critice echipamentele de 0 4
aer conditionat?
Este eșecul accidental cauzat în mod deliberat (oprire) de detectarea 0 2 2
sistemul de aer condiționat și semnalat de o echipă de intervenție în
măsură să reacționeze rapid?
Este securitatea sistemului de aer condiționat (detectarea de eșec, 1 3 3
închidere, proceduri de intervenție), sub rezerva unui audit periodic?

Calitatea cablului
Există un fișier care detaliază toate componentele cablurilor și cadrelor 1 4
(care are și o copie de rezervă) și a spatiilor de depozitare a cablurilor dar
și caracteristicile acestora?
1 2
Sunt cablurile etichetate individual la fiecare capăt?
Este cablul protejat de riscul accidental (sistem protectie capete)? 1 4

Sunt circuitele de înaltă și joasă tensiune separate în mod 1 2

corespunzător?
Este verificata în mod regulat calitatea si protecția cablului? 1 3 3
Este actualizarea operatiunii de cablare auditată periodic? 1 2 2

Protectia impotriva trasnetelor

Este constructia protejată de un conductor de fulger? 1 4
Sunt circuitele electrice si cablurile protejate împotriva supratensiunii și 1 4
împotriva fulger de echipamente specializate?
Este un echipament de protecție a circuitului verificat în mod regulat? 1 3 3

Fiabilitatea echipamentelor de serviciu

Există o listă completă și exactă a tuturor echipamentelor de serviciu 1 4
cerută de sistemele informatice și de comunicații (apă rece, aerul,
consumabile specifice, etc.)?
Este fiecare echipament acoperit de un contract de întreținere adaptat la 1 4
cerințele de serviciu așteptate?

Pentru serviciile cele mai critice, există sistem de redundanță sistem sau 1 4
o capacitate de înlocuire rapidă?
Sunt toate întreruperile, fie neplanificate (avarie) sau planificate (oprirea), 0 2 2
de echipamente service detectate și semnalizate de o echipă de
intervenție pentru reacție rapidă?

Este fiabilitatea echipamentelor de serviciu (de detectare a unor 0 3 3

defecțiuni sau pană, proceduri de intervenție, etc.) auditată periodic?

Controlul accesului la locațiile sensibile (altele decât zonele de

birouri).

Acces de gestionare a drepturilor la locații sensibile.

Sunt permanent sau semi permanent (pentru o anumită perioadă de timp) 1 2 2 2
drepturile de acces la locațiile sensibile definite în raport cu profilele
standard de contabilitate pentru funcția și statutul personalului? Aceste
profiluri ar trebui să ia în considerare tehnicile, telecomunicatiile,
întreținerea generala sau de personalul de securitate, pompieri, furnizorii
de servicii, studenți sau vizitatori, etc. "

A fost facut un inventar și o clasificare a tuturor tipurilor de locații 1 4

sensibile?
Pentru fiecare locație sensibilă sau tip de locatie, un manager a fost 0 4
numit pentru a menține până la data de securitate a drepturilor de acces
atribuite fiecărei categorii de personal, au fiecare manageri managerii
care sa-si preia postul?

Isi asuma aceste persoane responsabile aceasta functie si ofera rapoarte 2 2

catre CISO despre asta? 0
Permit profilurile, de asemenea definirea limitelor timpului de lucru (ore 1 4
zilnic și perioadele de lucru în calendar, sfârșit de săptămână, vacanța
etc.)?
Sunt aceste drepturi și profile definite ca mai sus protejate împotriva 1 3 3
modificării sau falsificarea în timpul depozitării sau când sunt transferate
între factorii de decizie și personalul care se ocupă de punerea în aplicare
a drepturilor?

Există un audit periodic sau de control, cel puțin o dată pe an, de toate 1 3 3
drepturile acordate diferitelor categorii de personal și a proceselor de
gestionare a acestor drepturi?
Management de autorizare a accesului acordat locațiilor sensibile

Necesită procedura de acordare a autorizațiilor permanente sau 1 2 2

temporare de acces autorizarea oficială a managementului de linie sau a
unității de gestionare a contractanților externi (la un nivel suficient de
înalt)?

Este procedura de acordare (sau modificarea sau revocarea) a 1 2 2

autorizațiilor de acces, pentru fiecare tip de locație sensibila,
documentate și strict controlate?
Un control strict necesită o recunoaștere formală a semnăturii (electronic
sau nu) a solicitantului, că punerea în aplicare a profilului atribuit
utilizatorilor este foarte sigura și se înregistrează fiecare operațiune
(menționând data emiterii insigna și o perioada de valabilitate).Trebuie să
existe un control al accesului consolidat asupra modificării unei astfel de
înregistrări și toate modificările de înregistrare să fie și auditate.

Sunt autorizațiile de acces acordate persoanelor fizice numite în funcție 1 4

de profil și materializate printr-o insignă sau un card sau o cheie?

Sunt insignele sau cardurile care reprezintă autorizații de acces 4

personalizate folosind numele titularului sau fotografia lui?
1
Poate fi revizuită lista autorizațiilor de acces și profilul corespunzător în 1 2 2
orice moment?
Există un proces rapid și sistematic de atribuire și revocare a autorizațiilor 1 2 2
de acces (cu invalidarea insignei în sistem de control automat) și
întoarcerea insignei sau cardul corespunzătoare la momentul de
schimbare a site-ului (în cazul în care drepturile de acces depind de site),
plecarea de la compania sau la sfârșitul unui contract și aplicat atât
pentru personalul intern și extern?

Sunt chei sau insigne stocate într-o cutie sigură blocata sau dulap 0 2 2
rezistent la distrugere?
De exemplu:seifuri
Este interzis a pătrunde în spatii sensibile cu mijloace de fotografie, video, 1 1
sau inregistrari audio?
Există un audit regulat, cel puțin o dată pe an, la toate insignele atribuite 1 2 2
pentru toate categoriile de personal și de pertinența autorizațiilor
corespunzătoare?
Există o procedură care să permită detectarea ulterioară de nereguli în 1 4
gestionarea autorizațiilor de acces (ecusonul sau carte nu s-a întors,
utilizarea unei insigne pierdut, insigna false etc.)?
Controlul accesului la locații sensibile
Este realizat un sistem automat de control de acces la locațiile sensibile? 1 4

Pentru autentificarea utilizatorului se folosesc date care nu pot fi 0 4 3

falsificate (carduri inteligente sau date biometrice, de exemplu)?
De exemplu: (carduri inteligente, date biometrice, chei digitale, …
Garanteaza accesul la sistemul de control ca tot personalul care intră în 0 4 3
sediu sunt verificate? De exemplu: ușă dublă, limitarea numărului de
persoane care intră la unul, un proces care interzice utilizarea unui
ecuson cu mai mult de o persoană, etc.

Este controlul asigurat de toate punctele de intrare și de ieșire, inclusiv 3 3

atât ieșirilor normale si altele, cum ar fi accesarea ferestrei din exterior,
ieșirile de urgență, accesul potențial prin podele ridicate și tavane false?

0
Sunt sistemele automate de control de acces sub supraveghere 24 de 0 2 2
ore care să permită detectarea unei defecțiuni, dezactivarea sistemului
sau utilizarea ieșirilor de urgență în timp real?

Există o procedură de alertă automată care să permită intervenția 0 2 2

imediată a personalului de securitate în cazul unei alarme oprite a
sistemului de control de acces (sau utilizarea de ieșire de urgență)?

Există o procedură de audit care să permită detectarea neregulilor în 1 3 3

procedurile de control ale accesului (auditarea procedurilor și a
parametrilor de sisteme de control de acces, auditul excepțiilor și
intervențiilor etc.)?

Detectarea intrușilor în locații sensibile

Există un sistem de detectare operațional pe site-ul intruziunilor pentru 1 2 2
locații sensibile legate de un centru de monitorizare de 24 de ore?

Acest sistem detectează toate încercările de a forța ieșiri blocate, 1 2 2

deschise (ferestre si usi),deschiderea ieșirilor de urgență, precum și toate
ieșirile normale anormal, ținute deschise?
Acest sistem detecteaza prezența personalului în afara orelor normale de 1 2 2
lucru?
Este acest sistem susținut de un sistem video și control audio care 1 3 3
permite echipei de securitate pentru a face o primă analiză sau
respingerea incertitudinii de la distanță?
Este echipa de supraveghere dedicata misiunii sale, având doar atribuții 3 3
de securitate și sunt toate alarmele imediat detectate tratate ca cea mai
mare prioritate?
0
În cazul unei alarme de detectare a intruziunilor,echipa de supraveghere 1 2 2
are posibilitatea de a trimite o echipă de intervenție, fără întârziere, pentru
a verifica cauza alarmei și să ia măsurile corespunzătoare?

Are echipa de securitate resurse suficiente pentru a acoperi 1 3 3

eventualitatea multiplelor alarme pornite în mod intenționat?
Există un document care să ateste în mod clar consultativ exact ce 1 2
măsuri să ia în caz de alarmă prevăzuta?
Este sistemul de detectare a intruziunilor sub supraveghere (alarmă în 1 3 3
caz de închidere, auto-supraveghere prin camera, etc.)?

Punctele de control și procedurile aplicate în cadrul unei efracții sunt 1 3 3

auditate periodic?
Monitorizarea parametrilor (supravegherea punctelor de intrare și
împrejurimile de locații sensibile).
Este perimetrul sau împrejurimile locației sensibil sub supraveghere 1 4
completa și coerenta prin video sau mijloace vizuale directe?
Este echipa de supraveghere dedicata misiunii sale, având doar atribuții 0 3 3
de securitate și sunt toate alarmele detectate și tratate ca cea mai mare
prioritate imediat?
În cazul unei alarme, echipa de supraveghere are posibilitatea de a 1 4
trimite o echipă de intervenție, fără întârziere, pentru a verifica cauza
alarmei și să ia măsurile corespunzătoare?

Are echipa de securitate resurse suficiente pentru a acoperi 0 3 3

eventualitatea unor multiple alarme pornite în mod intenționat?
Există un document care să ateste în mod clar consultativ exact ce 2
măsuri să se ia în caz de alarmă prevăzuta? 0
Este un material de supraveghere video care înregistrează și se 1 1
păstrează pentru o perioadă lungă de timp?
Este sistemul de detectare a intruziunilor sub supraveghere (alarmă în 1 3 3
caz de închidere, auto-supraveghere prin camera, etc.)?

Sunt proceduri de supraveghere și intervenții auditat periodic? 1 3 3

Supravegherea locații sensibile

Pentru locații sensibile, există un sistem de supraveghere suplimentar, 1 4 3
complet și coerent, video care detectează mișcarea în interiorul locației
sensibile și capabil să detecteze comportament anormal?

Este echipa de supraveghere dedicata misiunii sale, având doar atribuții 0 3 3

de securitate și sunt toate alarmele detectate imediat tratate ca cea mai
mare prioritate?

În cazul unei alarme, echipa de supraveghere are posibilitatea de a 1 2 2

trimite o echipă de intervenție, fără întârziere, pentru a verifica cauza
alarmei și să ia măsurile corespunzătoare?

Are echipa de securitate resurse suficiente pentru a acoperi 1 3 3

eventualitatea unor multiple alarme pornite în mod intenționat?
Este echipa de supraveghere de securitate, de asemenea, la datorie în 1 2
momentele în care curățarea de locații sensibile se face? 2
Este un material de supraveghere video care înregistrează și se 1
păstrează pentru o perioadă lungă de timp? 1
Este sistemul de detectare a intruziunilor sub supraveghere (alarmă în 1 3 3
caz de închidere, auto-supraveghere prin camera, etc.)?

Sunt procedurile de supraveghere și intervențiile în caz de comportament 1 3 3

anormal auditate în mod regulat?

Controlul accesului la cablu

Este accesul fizic la cablare protejat (conducte specifice greu accesibile 0 2 2
sau păstrate blocat)?
Sunt toate căile de cablu ținute sub supraveghere video cu alerte în cazul 0 3 3
prezenței anormale (pentru a semnala personalului care ecran pentru a
acorde o atenție deosebită)?
Sunt locuri în care ar fi posibil sa se plaseze un dispozitiv parazitar pe un 0 2 2
LAN sau WAN în securitate consolidata (personal numit cu insigna de
acces securitate biometrica)?

Sunt locuri în care ar fi posibilă plasarea un dispozitiv parazitar pe un 0 3 3

LAN sau WAN sub supraveghere video, de îndată ce este accesat (cu o
alertă directă către personalul de supraveghere)?

Exista audit de securitate al cablarii? - include controlul eficient al 0 3 3

accesului la comportamente, audit de drepturi de acces atribuite și
procedurile de intervenție privind încălcarea drepturilor, inspectarea
locațiilor în care dispozitivele parazitare pot fi plasate.
Locație spațiilor sensibile.
Sunt premisele sensibile situate în zone care nu sunt accesibile 1 1
publicului?
Sunt premisele de prelucrare a datelor scutite de toate indicațiile exteriore 1 1
ale conținutului lor?
Locația de spații sensibile nu este afișata în directoarele de telefon? 1 1

Securitate împotriva daune de inundatii

Prevenirea riscului de deteriorare al apei
A existat o analiză sistematică și exhaustivă a tuturor posibilitatilor 0 2 2
punctelor la care apa ar putea intra?
De exemplu: poziția de locuri față de revarsarile naturale în cazul
inundațiilor sau furtuni violente, inundații din etaje mai sus, ruptura de
conducte ascunse sau expuse, utilizarea sistemelor de stingere a
incendiilor foc, revărsare de conducte, evacuarea apei, sisteme de start
prematură a umidificatorului etc.

Fiecare dintre posibilele puncte de intrare a apei a fost determinată ca 1 4

risc scăzut sau s-au luat măsuri pentru a se asigura că riscul de inundații
este foarte scăzut?
De exemplu: sisteme de preempțiune Stingator, supape sens unic pe țevi
de eșapament, măsurarea independentă de umiditate, etc.

Sunt fiecare dintre diferitele sisteme, pentru a evita daune de apă 0 3 3

protejate de închidere și sub monitorizare constantă?
Există un audit periodic al punerii în aplicare corespunzătoare a măsurilor 0 3 3
de prevenire a daunelor și a metodelor de apă pentru a se asigura că
acestea rămân pertinente (verificarea analizei riscurilor)?

Detectarea daunelor de apă

Există detectoare de umiditate in aproapierea echipamentelor sensibile 0 4
legate de un centru de monitorizare de 24 de ore?

Există detectoare de apă în apropiere de echipamentele sensibile (în 1 4

special în podele ridicate) legate de un centru de monitorizare 24/24 ore?

0 4
Există un sistem de detectare a scurgerilor de apă pe podea deasupra
localizarii echipamentelor sensibile legate de un centru de monitorizare
de 24 de ore?
Biroul de securitate are posibilitatea de a trimite o echipă de intervenție 1 2 2
rapidă, care dispune de mijloace suficiente pentru a acționa?

Are echipa de securitate resurse suficiente pentru a acoperi 1 3 3

eventualitatea multiplelor alarme pornite în mod intenționat?
Există un document care să ateste în mod clar consultativ exact ce 1 3 3
măsuri să ia în cazul fiecarei alaerme avute in vedere?

În orice oprire de sisteme de detectare s-a semnalat în mod sistematic 1 2

într-un centru de monitorizare de 24 de ore?
Este echipamentul de detectare testat cu regularitate și sunt proceduri și 1 3 3
capacități de intervenție auditate periodic?
Sunt procedurile și capacitățile de intervenție auditat periodic? 1 2

Evacuarea apei
Există mijloace permanente pentru evacuarea apei (pompe, scurgere cai 0 2
naturale etc.) și o echipă capabil să le folosească în mod eficient?

Este închiderea oricărui sistem de evacuare a apei semnalat imediat la 0 2 2 3

un centru de monitorizare de 24 de ore?
0 3 3
Sunt sisteme de evacuare a apei testate cu regularitate?
Sunt procedurile și capacitățile de intervenție auditate periodic? 0 3 3

Securitatea în caz de incendiu

Prevenirea riscului de incendiu
A fost efectuată o analiză profundă și sistematică în ceea ce priveste 1 2 2
toate riscurile în cazul unui incendiu?
De exemplu: circuitele scurte în cabluri, efectul de fulger, zone de fumat
personal, echipamente electrice normale, echipamente de incalzire, de
răspândire a focului din exterior, răspândit prin intermediul conducte
tehnice sau prin sistemul de aer condiționat etc.

A fost posibil să se faca evaluarea fiecarui risc ca fiind foarte improbabil 1 4

sau să se ia măsuri pentru a face riscul de incendiu sau de raspandire a
incendiului foarte improbabil?
De exemplu: protecția cablurilor în conducte special adaptate, separarea
cablurilor de transmisie de la cabluri de alimentare cu energie, protejarea
echipamentelor sensibile din fulgere, interzicerea fumatului, containere
rezistente la foc, materiale non-inflamabile, protecție a circuitelor electrice
de întrerupătoare diferențiale, foc echipamente de detectare în locații din
apropiere și în coloane, etc.

Sunt diferitele sisteme de protecție împotriva incendiilor protejate de 1 3 3

întreruperi și sunt sub monitorizare continuă?
Există un audit periodic al cablurilor electrice datorat modificărilor de 1 4
configurațiile de alimentare cu energie?
De exemplu: controlul de posibile puncte fierbinti cu ajutorul unui aparat
de fotografiat în infraroșu

Există un audit periodic al punerii în aplicare corespunzătoare a măsurilor 1 3 3

și metodelor de prevenire a incendiilor pentru a se asigura că acestea
rămân pertinente?
verificarea analizei de risc

Detectarea incendiului
Există un sistem automat de detectare a incendiilor pentru locații 1 2
sensibile (pardoseli și tavane false în cazul în care există)?
Are sistemul de detectare a incendiului cel puțin două tipuri de detectoare 1 2 2
(de exemplu ionică și detector de fum optic)?
Sunt detectoare automate legate de un centru de monitorizare 24 de ore, 1 2
echipate cu un sistem care identifică în mod clar localizarea alarmelor
care au fost stabilite în afara?
Este orice oprire a sistemelor de detectare a incendiilor semnalat 1 2 2
sistematic la un centru de monitorizare de 24 de ore?
Sunt echipamentele de detectare testate cu regularitate? și sunt 1 3 3
procedurile și capacitățile de intervenție auditate periodic?
Sunt procedurile și capacitățile de intervenție auditate periodic? 1 3 3

Stingerea incendiilor
Este centrul de monitorizare capabil de a trimite rapid o echipă care 1 1 1
dispune de mijloace suficiente pentru a acționa (diagnostic precis al
situației, stingătoare manuale,declansarea stingătoarelor automate, apel
de urgență)?

Are echipa de securitate resurse suficiente pentru a acoperi 1 3 3

eventualitatea unor alarme multiple?
Există un document care să ateste în mod clar exact ce măsuri să se ia în 1 3 3
caz de alarmă ?
Există formare specifică și periodică a personalului de intervenție? 1 4

Sunt toate stingătoare de incendiu mobile controlate periodic de către o 1 1

autoritate competentă (umplere, manuale de utilizare, de reducere a
riscurilor, locație etc.)?
Sunt locațiile sensibile protejate de un sistem automat de stingere (aer, 1 2 2
pardoseli, tavane false)?
Sunt sistemele de stingere automate întreținute în mod regulat și testate 1 2
de către specialiști autorizați?
Este închiderea unui sistem automat de stingere a incendiului imediat 1 2 2
semnalat la un centru de monitorizare de 24 de ore?
Există o instalație de robinete de incendiu armate aproape de săli de 1 4
calculatoare și este această instalație periodic și în mod regulat verificată
și întreținută?

Este timpul de intervenție al pompierilor sub 15 minute? 1 2

Sunt teste regulate asupra echipamentului de stingere a incendiilor și 1 3 3
procedurilor efectuate și capacitățile de intervenție sunt auditate în mod
regulat?

2.99
 268

358

2.99
Audit questionnaire: Protection of users' work equipment
Number Question P
R-V1
11A Security of the operational Securitatea procedurile
procedures for the whole set of operaționale pentru întregul set de
users' equipment echipamente utilizatorilor
11A01 Control of the installation of new software Controlul instalarea de noi versiuni de
or system versions on the users' software sau de sistem pe echipamente
equipment utilizatorilor
11A01-01 Are the decisions to change or update users' Sunt deciziile de a schimba sau versiunile de 1 4
software versions subject to a control software de actualizare utilizatorilor obiectul
procedure (registration, planning, formal unei proceduri de control (de înregistrare, de
approval, communication to all concerned planificare, aprobare formală, comunicare la
individuals, etc.)? toate persoanele în cauză, etc.)?

11A01-02 Are the new versions validated on pilot Sunt noile versiuni validat pe echipament pilot 1 2
equipment before general installation înainte de instalare generală de-a lungul
throughout the user stations? stațiile de utilizator?

11A01-03 Is the remotely ordered validation of new Este validarea dispus la distanță de instalații 1 2
installations on users' equipment reserved to a noi de pe echipamente utilizatorilor rezervate
limited list of administrators in charge of users o listă limitată de administratori responsabile
work equipment? de utilizatori echipamentelor de lucru?

11A01-04 Are security parameters and configuration Sunt parametrii de securitate și normele de 1 4
rules of user equipment listed in detail and configurare de echipamente de utilizare
regularly updated? prezentate în detaliu și actualizate în mod
regulat?

11A01-05 Are security parameters and configuration Sunt parametrii de securitate și normele de 0 4
rules controlled following any configuration configurare controlată în urma oricărei
evolution of user equipment? evolutia configurare de echipamente de
utilizator?

11A01-06 Has the eventual impact of the user A fost considerat eventualul impact al 0 2
equipment configuration changes regarding schimbărilor de configurare echipamente de
the continuity plans been considered? utilizare în ceea ce privește planurile de
continuitate?

11A01-07 Are all the control procedures related to user
configurations subject to regular audit?
11A02 Control of the compliance of user
configurations
11A02-01 Has a list of authorized software for the user
equipment been established?
This list should state the reference versions
authorized and the possible parameterization
options accepted.
Sunt toate procedurile de control legate de 1 2
configurații de utilizator supuse auditului
regulat?
Controlul respectării de configurații de
utilizator
A fost stabilit o listă de software autorizat 1 4
pentru echipamentul de utilizator? Această
listă ar trebui să precizeze versiunile de
referință autorizate și opțiunile posibile
parametrizare acceptate.

11A02-02 Has a list of additional equipment authorized
on the user work stations been established?
This list should contain the authorized
reference versions and possibly the parameter
options used
A fost stabilit o listă de echipamente 0 4
suplimentare autorizate la stații de lucru de
utilizator? Această listă ar trebui să conțină
versiunile de referință autorizate și, eventual,
opțiunile parametrul utilizat

11A02-03 Are these lists protected against untimely or
illicit alteration by a robust sealing process?
11A02-04 Are the rights provided to users preventing
them to modify the system configurations of
their equipment (addition of hardware or
software)?
Sunt aceste liste protejate împotriva 1 2
modificării intempestivă sau ilicite printr-un
proces de etanșare robust?
Sunt drepturile furnizate utilizatorilor împiedică 1 4
să modifice configurațiile de sistem ale
echipamentului lor (adăugarea de hardware
sau software)?
11A02-05 Is the conformity of the hardware Este conformitatea configurațiile hardware 1 4
configurations for user workstations regularly pentru stațiile de lucru ale utilizatorilor
controlled relatively to the authorized options? controlată în mod regulat în raport cu opțiunile
autorizate?

11A02-06 Is the conformity of the software Este conformitatea configurațiile software 1 4

configurations for user workstations regularly pentru stațiile de lucru ale utilizatorilor
controlled relatively to the authorized options? controlată în mod regulat în raport cu opțiunile
autorizate?

11A02-07 Does the inhibition of the control process
trigger an alarm to a manager?
11A02-08 Is it also controlled that the users do not
possess the access rights required for the
installation of additional hardware or
software?
Are inhibarea procesului de control declanșa o 0 4
alarmă unui manager?
Este, de asemenea, controlate că utilizatorii 1 2
nu au drepturile de acces necesare pentru
instalarea de hardware sau software
suplimentar?

11A02-09 Are the processes of control themselves Sunt procesele de control se supun audituri 1 4
subject to regular audits? periodice?
11A03 Control of software and software package Controlul software și software de licențe
licenses pachet
11A03-01 Does the security policy state that it is strictly Are statul politica de securitate, care este 1 4
forbidden to load any piece of software on the strict interzis pentru a încărca orice bucată de
workstation without a proper license? software pe stația de lucru fără o licență
corespunzătoare?

11A03-02 Is a permanent inventory held up to date of Este un inventar permanent a avut loc până la 1 2
the software officially installed and declared data de software-ul instalat oficial și a declarat
on each work station? pe fiecare stație de lucru?
11A03-03 Is there a regular control of the conformity of Există un control periodic al conformității 1 4
the software installed to those declared or that software-ul instalat pentru cele declarate sau
they possess an authorized license? care posedă o licență autorizat?

11A03-04 Are these controls covering the equipment Sunt aceste controale care acoperă baza 1 2
base? echipamente?
11A03-05 Is the application of these controls subject to a Este aplicarea acestor controale fac obiectul 1 2
regular audit? unui audit regulat?
11A04 Conformity control of the reference De control al conformității programelor de
programs (source and executable) for user referință (sursa si executabile) pentru
software software-ul de utilizator

11A04-01 Does the IT operation manage a reference for Are operațiunea gestiona o referință pentru 1 4
each software product installed on the user fiecare produs software instalat pe stațiile de
workstations (source code and executable)? lucru ale utilizatorilor (cod sursă și
executabile)?

11A04-02 Is this reference version protected against
untimely or illicit alteration (media signed and
kept by a responsible person of high rank,
electronic sealing, etc.)?
Este această versiune de referință protejate 1 2
împotriva modificării intempestivă sau ilicit
(media semnat și păstrat de către o persoană
responsabilă de rang înalt, de etanșare
electronic, etc.)?

11A04-03 Is this protection considered as inviolable Este această protecție considerat ca inviolabil 1 4
(cryptographic sealing approved by the (etanșare de codificare aprobate de CISO)?
CISO)?
11A04-04 Is there an automatic control of the sealing (or, Există un control automat al etanșare (sau, cel 1 4
at least, a deposited signature) for each new puțin, o semnatura depus) pentru fiecare nouă
installation of a user workstation? instalare a unei stații de lucru utilizator?

11A04-05 Is a check made of the proof of origin and Este o verificare din dovada de origine și de 1 4
integrity of received maintenance module or a integritate de modul de întreținere a primit sau
new version, from the editor or the o nouă versiune, de la editorul sau
manufacturer (for operating systems)? producătorul (pentru sistemele de operare)?

11A04-06 Are there regular audits of protection Există audituri periodice de proceduri de 0 4
procedures for reference programs? protecție pentru programe de referință?
 11A05 Management of service suppliers and
providers relating to the operation and
handling of the user workstations base
11A05-01 Is it regularly ensured that the security
services allocated to suppliers or providers for
the operation and handling of the user
workstations are efficiently implemented and
maintained by them?
Managementul furnizorilor de servicii si
furnizorii cu privire la funcționarea și
manipulare a bazei de utilizatori stații de
lucru
Este asigurat în mod regulat că serviciile de 1 4
securitate alocate furnizori sau de prestatori
pentru operarea și manipularea stațiile de
lucru ale utilizatorilor sunt implementate și
menținute de către acestea în mod eficient?

11A05-02 Is it ensured that the service suppliers or Se asigură faptul că furnizorii de servicii sau 1 2
providers for the operation and handling of the de furnizorii pentru operarea și manipularea
user workstations have efficiently prepared the stațiile de lucru ale utilizatorilor au pregătit în
appropriate arrangements to ensure that the mod eficient măsurile corespunzătoare pentru
services are provided as agreed? a asigura că serviciile sunt furnizate ca a fost
de acord?

11A05-03 Is the respect of the security provisions by the Este respectarea prevederilor de securitate de 1 4
suppliers or providers regularly reviewed? către furnizori sau de prestatori revizuite
periodic?
11A05-04 Is it ensured that the suppliers and providers Este asigurat că furnizorii și prestatorii de 1 4
report and document any security incident raportul și documentul de orice incident de
concerning operation and handling of the user securitate în ceea ce privește funcționarea și
workstations? manipularea stațiile de lucru ale utilizatorilor?

11A05-05 Is there a regular review of these incidents or Există o revizuire periodică a acestor 1 2
malfunctions with the concerned suppliers and incidente sau defecțiuni cu furnizorii și
providers? furnizorii în cauză?
11A05-06 Are any changes in the contract relationship Sunt orice modificări în relația contractului 0 2
(obligations, service levels, etc.) analyzed for (obligații, nivelele de servicii, etc.) analizate
resulting potential risks? pentru rezultat riscurile potențiale?

11B Protection of workstations Protecția stații de lucru

11B01 Control of access to workstations Controlul accesului la stații de lucru

11B01-01 Is access to the workstation itself (even for Este accesul la stația de lucru în sine (chiar si 1 4
local use) protected by a password or pentru uz local) protejat cu un sistem de
authentication system? autentificare parola sau?
11B01-02 Does the process of creation or modification of Are procesul de creare sau modificare a 1 4
user authentication means respect a set of autentificarea utilizatorului inseamna respect
rules which ensures its intrinsic validity? un set de reguli care asigură validitatea sa
In the case of passwords: sufficient length (8 intrinsecă? În cazul parole: lungime suficientă
characters or more), mandatory mixture of (8 caractere sau mai mult), amestec
types of characters, frequent change (less obligatorie de tipuri de personaje, schimbări
than once a month), impossibility of reusing frecvente (mai puțin de o dată o lună),
an old password, non-trivial word test using a imposibilitatea reutilizării unei parole vechi, de
dictionary, banning of "standard systems", first testare cuvânt non-trivial, folosind un dicționar,
names, anagrams of username, dates etc. In interzicerea "Standa sisteme de CD",
the case of authentication based on prenume, anagrame de nume de utilizator,
cryptographic mechanisms and of certificates: datele etc. În cazul de autentificare bazat pe
a generation process evaluated or publicly mecanisme criptografice și a certificatelor : un
recognized, encryption keys of a sufficient proces de generare a evaluat sau public
length etc. recunoscut, chei de criptare de o lungime
suficientă, etc.
11B01-03 Does the process of providing credentials for
authentication (like user password) guarantee
its inviolability?
The usage of a password will always be a
weak point. The only process which does not
divulge observable information consists either
of introducing an object containing a secret
(smart card), or using a code which changes
at every moment (token card type SecureId)
or providing some biometric character.
Are procesul de furnizare a prerogativelor de 0 4
autentificare (cum ar fi parola de utilizator) să
garanteze inviolabilitatea ei? Utilizarea unei
parole va fi întotdeauna un punct
slab. Singurul proces care nu divulga
informații observabile constă fie din
introducerea unui obiect care conține un
secret (smart card), sau cu ajutorul unui cod
care se schimbă la fiecare moment (token
card de tip SecureId) sau furnizarea de unele
caractere biometrice.

11B01-04 Is the authentication process permanent Este procesul de autentificare permanent 1 2

(smart card)? (smart card)?
11B01-05 If the authentication process is not permanent, În cazul în care procesul de autentificare nu 1 2
must it be reinitialized after a short period of este permanentă, trebuie să fie reinițializat
inactivity? după o scurtă perioadă de inactivitate?

11B01-06 Is the workstation protected against the Este stația de lucru protejat împotriva 1 2
installation of software by anyone apart from instalarea software-ului de către oricine în
workstation administrators? afară de administratori de stații de lucru?

11B01-07 Is there a procedure allowing an authorized Există o procedură care să permită un 1 2

administrator to access to the workstation in administrator autorizat de acces la stația de
the event of departure or of disappearance of lucru în caz de plecare sau de dispariție a
its holder? titularului său?

11B01-08 Are the workstations protected against any
use by individuals other than the incumbent
(particularly if the post is left temporarily, for
more than 10 min for example)?
Sunt stațiile de lucru protejate împotriva 0 3
oricărei utilizări de către alte persoane decât
operatorul tradițional (în special în cazul în
care postul este lăsat temporar, pentru mai
mult de 10 min, de exemplu)?

11B01-09 Is the shutdown of the access control system Este închiderea sistemului de control acces 1 2
detected dynamically at the time of connection detectat dinamic la momentul de conectare la
to the enterprise network? reteaua companiei?
11B01-10 Are the procedures and services for access Sunt procedurile si servicii pentru controlul 1 3
control subject to regular audit? accesului supuse auditului periodic?

11B02 Work effected off company premises
11B02-01 Have a security policy and associated
recommendations relative to working off
premises been established?
The recommendations and directives should
cover the precautions to take working at
home, when on business travel, on public
transport and should cover the protection of
mobile computers, the usage of firewalls and
up to date antivirus software, connections to
public or third party networks, precautions to
take concerning written documents, instant
message services, telephone and
conversations.
De lucru efectuate în afara spațiilor
companiei
Au o politică de securitate și recomandările 1 4
aferente în raport cu care lucrează în afara
spațiilor fost stabilit?Recomandările și
directivele ar trebui să acopere măsurile de
precauție pentru a lua de lucru la domiciliu,
atunci când pe călătorii de afaceri, pe
transportul public și ar trebui să acopere
protecția computere mobile, utilizarea de
firewall-uri și până la data de software
antivirus, conexiune s la rețelele publice de
partid sau a treia, măsuri de precauție pentru
a lua cu privire la documentele scrise, servicii
de mesagerie instant, telefonie și conversații.
11B02-02 Has it been established a security policy and A fi fost stabilită o politică de securitate și 1 4
recommendations relative to teleworking using recomandări în raport cu munca la distanță,
remote connections to the office network)? folosind conexiuni la distanță la rețeaua de
The recommendations and instructions should birou)? Recomandările și instrucțiunile ar
cover the precautions and means to trebui să acopere măsurile de precauție și
implement and cover the security of the mijloacele de punere în aplicare și să acopere
connection to the company network securitatea conexiunii la rețeaua companiei
(reinforced authentication, VPN, etc.), possible (autentificare armat, VPN, etc.), posibila
restriction of access authorizations, restrângere a autorizațiilor de acces, măsurile
precautions concerning the use of personal de precauție con vind utilizarea stațiilor de
workstations by individuals other than the lucru cu caracter personal de către altele
incumbent (family, friends, etc.). decât revin (familie, prieteni, etc.) persoanele
fizice.

11B02-03 Does the security policy formally forbid to Are politica de securitate interzice în mod 1 4
carry out of the premises documents classified oficial pentru a efectua a documentelor
or carrying a value of proof? clasificate sau spațiilor care transportă o
valoare de probă?

11B02-04 Are personnel likely to work off site made
aware of and receive training on the measures
to be applied in order to protect documents,
systems and the data they contain?
These measures cover physical and logical
protection against theft as well as disclosure
or unauthorized access by family members as
well as by other persons.
Sunt personal susceptibile de a lucra în afara 1 4
amplasamentului conștienți de și beneficiază
de o formare cu privire la măsurile care
trebuie aplicate pentru a proteja documentele,
sistemele și datele pe care le conțin? Aceste
măsuri acoperă protecția fizică și logică
împotriva furtului, precum și divulgării sau
accesului neautorizat prin familie Membrii,
precum și de alte persoane.

11B02-05 Are the computing systems used off site only
those belonging to the company and
configured specifically for that purpose (in
particular if they permit an access to the
internal network)?
Sunt sistemele de calcul utilizate în afara 1 2
amplasamentului numai cele care aparțin
societății și configurat în mod special pentru
acest scop (în special dacă acestea permit un
acces la rețeaua internă)?

11B02-06 Is the configuration of computing systems Este configurația de sisteme de calcul utilizate 0 3
used for work outside company buildings pentru muncă în afara clădirilor companiei
(portable computers) regularly checked? (calculatoare portabile) verificate periodic?

11B03 Use of personal equipment or external Utilizarea echipamentelor personale sau un

equipment (not owned by the organization) echipament extern (nu este deținută de
organizație)
11B03-01 Has an exhaustive analysis of all the work Are o analiză exhaustivă a tuturor situațiilor de 1 4
situations or professional exchanges using muncă sau schimburile profesionale utilizând
equipments that do not belong to the echipamente care nu fac parte din
organization? organizație?

11B03-02 Has an exhaustive analysis of all the external Are o analiză exhaustivă a tuturor 1 4
peripheral connection possibilities to the posibilităților externe periferice conectarea la
Information Systems of the organization (USB sistemele de informare ale organizației (porturi
ports, bluetooth, etc...) ? USB, Bluetooth, etc ...)?

11B03-03 Are these analyses regularly updated ? Sunt aceste analize actualizate periodic? Un 1 2
A technological survey should be effected so sondaj tehnologică ar trebui să fie efectuată
as to improve knowledge of new types of astfel încât să îmbunătățească cunoștințele de
devices and new vulnerabilities. noi tipuri de dispozitive și noi vulnerabilități.
11B03-04 Has it been deduced from them a security
policy regarding the use of personal
equipment for work purposes?
The instructions should consider the
introduction and use of personal equipment
such as laptops, PDAs, external disks, optical
supports, USB keys, etc.
A trecut dedus de la ei o politică de securitate 1 2
în ceea ce privește utilizarea echipamentului
individual de muncă în scopul? Instrucțiunile
trebuie să ia în considerare introducerea și
utilizarea echipamentelor personale cum ar fi
laptop-uri, PDA-uri, discuri externe, suporturi
optice, chei USB, etc.

11B03-05 Have means of control regarding the use of
personal equipment been defined and
implemented?
Such as specific parameters of the operating
systems, filtering capabilities, etc.
Au fost definite și implementate? Mijloace de 1 2
control în ceea ce privește utilizarea
echipamentului individual decum ar fi
parametrii specifice ale sistemelor de operare,
capacități de filtrare, etc.

11B03-06 Are the means of control protected against Sunt mijloacele de control protejate împotriva 0 2
untimely or illicit alteration? modificării prematură sau ilicite?
11B03-07 Is there a regular audit of the procedures and Există un audit periodic al procedurilor și 1 2
means of control? mijloacelor de control?
11C Protection of data on the Protecția datelor cu caracter pe
workstation stația de lucru
11C01 Protection of the confidentiality of data on Protecția confidențialității datelor de pe
the workstation or on a data server (logical stația de lucru sau pe un server de date
disk for the workstation) (disc logic pentru stația de lucru)

11C01-01 Is confidential data stored encrypted, whether Este datele confidențiale stocate criptate, 1 4
on the user workstation or hosted on a data dacă pe stația de lucru utilizator sau găzduit
server (logical disk)? pe un server de date (disc logic)?
11C01-02 Are all elements of the encryption process Sunt toate elementele procesului de criptare 1 3
securely protected against any alteration, protejate în siguranță față de orice modificare,
modification or inhibition? modificare sau inhibarea?

11C01-03 Are workstations equipped with an effective Sunt posturi de lucru echipate cu un sistem 1 4
file erasing system which ensures that any file eficient ștergerea de fișiere care asigură că
deleted (whether from a local or shared disk) orice fișier șters (dacă de la un disc local sau
cannot be subsequently reread? comun) nu poate fi recitit ulterior?

11C01-04 Are workstations equipped with a true and Sunt posturi de lucru echipate cu un sistem de 1 4
efficient system which erases temporary files adevărat și eficient care șterge fișierele
after their use (whether on a local or a shared temporare după utilizarea lor (fie la nivel local
disk)? sau un disc partajat)?

11C01-05 Is the process or the directives concerning file Este procesul sau directivele privind criptarea 1 4
encryption extended to messages and fișierelor extins la mesaje și atașamente
message attachments? mesaj?
11C01-06 Does the process or the directives concerning Are procesul sau directivele privind criptarea 0 2
file encryption extended to information fișierelor extins la informații cu privire la
residing on the address book? reședința agenda?
11C01-07 Have users received an appropriate training Au utilizatorii primit un formare adecvată 1 2
on file encryption and erasing systems, privind criptarea fișierelor și a sistemelor de
indicating in particular the rules to follow to ștergerea, indicând în special normele de
ensure that encryption is not circumvented? urmat pentru a se asigura că de criptare nu
este eludată?

11C01-08 Are regular audits carried out on the usage of Sunt audituri periodice efectuate pe utilizarea 1 3
file encryption and erasing facilities by users? de criptare de fișiere și facilitățile ștergere de
utilizatori?
11C02 Protection of the confidentiality of data Protecția confidențialității datelor stocate
stored on removable media pe un suport amovibil
11C02-01 Is confidential data stored encrypted on Este de date confidențiale stocate criptate pe 4
removable media? suport amovibil?
11C02-02 Are the elements used for the encryption
process protected strongly against any illicit
alteration, modification or blocking ?
11C02-03 Is the encryption process applied whichever
media type (external disk, USB key, PDA,
etc.)?
11C03 Confidentiality considerations during
maintenance operations on user
workstations
11C03-01 Is there a procedure which details the actions
to carry out before calling maintenance to
ensure that unauthorized staff do not gain
access to sensitive information which may be
stored on the workstation (physical erasing of
sensitive data and of temporary files, retaining
of disks etc.)?
11C03-02 Is there a written procedure and a binding
clause in personnel maintenance contracts
stipulating that any storage media which
contained sensitive data be destroyed before
disposal?
11C03-03 Is there a procedure of checking for system
integrity after maintenance intervention
(absence of spyware, or trojans etc.)?
11C03-04 Are the procedures described above
obligatory in all circumstances and do any
derogations require the signature of senior
management?
11C03-05 Are the above procedures subject to regular
audit?
11C04 Protection of the integrity of files stored on Protecția integrității fișiere stocate pe
workstations or on data servers (logical
disk for workstations)
11C04-01 Are integrity sensitive files (whether stored on
workstations or hosted on a data server) write-
protected and is there an integrity control
mechanism?
Such a mechanism may authorize the creation
of modifiable working copies while
guaranteeing the integrity of the original
11C04-02 Are the components of the integrity control
process security protected against any
alteration, modification or inhibition?
11C04-03 Is the process or the directives concerning
integrity control extended to messages and
message attachments?
11C04-04 Is the process or the directives concerning
integrity control extended to information
contained in address books
11C04-05 Have users undergone training on integrity
control means indicating in particular the rules
to respect such that integrity control cannot be
circumvented?
Sunt elementele utilizate pentru procesul de 1 4
criptare protejate puternic împotriva orice
modificare ilicite, modificare sau blocare?
Este procesul de criptare aplicate oricare tip 1 4
media (disc extern, stick USB, PDA, etc.)?
Considerații confidențialitatea în cursul
operațiunilor de întreținere la stațiile de
lucru ale utilizatorilor
Există o procedură care detaliază acțiunile 1 4
pentru a efectua înainte de a chema
întreținere pentru a se asigura că personalul
neautorizat nu avea acces la informații
sensibile care pot fi stocate pe stația de lucru
(ștergere fizică a datelor sensibile și a
fișierelor temporare, păstrând de discuri
etc.) ?
Există o procedură scrisă și o clauză 1 2
obligatorie în contractele de întreținere a
personalului care prevede că orice mediu de
stocare care conțineau date sensibile să fie
distruse înainte de eliminare?
Există o procedură de verificare de integritate 1 3
a sistemului după intervenția de întreținere
(absența spyware, troieni sau etc.)?
Sunt procedurile descrise mai sus obligatoriu 0 3
în toate circumstanțele și nu orice derogări
necesită semnătura conducerii superioare?
Sunt procedurile de mai sus fac obiectul 1 3
auditului periodic?
stațiile de lucru sau pe servere de date
(disc logic pentru stații de lucru)
Sunt de integritate fisiere sensibile (dacă 1 4
stocate pe stațiile de lucru sau găzduit pe un
server de date) scrie-protejate și există un
mecanism de control de integritate? Un astfel
de mecanism poate autoriza crearea de copii
de lucru modificabili garantând în același timp
integritatea originalului
Sunt componentele de securitate proces de 1 3
control a integrității protejate împotriva oricărei
modificări, modificare sau inhibarea?
Este procesul sau directivele privind controlul 1 4
integrității extins la mesaje și atașamente
mesaj?
Este procesul sau directivele privind controlul 1 4
integrității extins la informațiile conținute în
agende
Au beneficiat de formare pe utilizatorii 1 2
mijloacelor de control integritate, indicând, în
special, normele de a respecta astfel încât
controlul integritatea nu pot fi eludate?
11C04-06 Are regular audits carried out on the usage of Sunt audituri periodice efectuate pe utilizarea 1 3
means of integrity control by users? mijloacelor de control integritate de către
utilizatori?
11C05 Security of Email and Electronic Securitatea e-mail și schimburi de
Information Exchanges informații electronice
11C05-01 Is there a security policy specific to emails Există o politică de securitate specifică la e- 1 2
defining precautions for use and security mailuri care definesc precauții speciale pentru
measures to implement? utilizare și măsurile de securitate pentru a
pune în aplicare?

11C05-02 Does this policy state the rules concerning the
use of email address out of the internal space
(internet site, forum, etc...)?
It is advisable to use aliases rather than
professional email address
Are acest stat politică normele privind 1 2
utilizarea adresa de email din spațiul intern
(site-ul de internet, forum, etc ...)? Este
recomandabil de a utiliza pseudonime, mai
degrabă decât de e-mail profesional adresa

11C05-03 Does this policy impose that message sent Are această politică impune ca mesaj transmis 1 3
with a high importance be systematically cu o mare importanță să fie sistematic solicita
requesting an acknowledgement of receipt o confirmare de primire controlate de
controlled by the sender? expeditor?

11C05-04 Is there also a security policy attached to
various other electronic exchange of
information (telephonic or video conference,
coopérative work, document sharing, FTP
services, instant messaging, etc.) defining the
security measure and precautions to
implement?
Există, de asemenea, o politică de securitate 1 2
atașat la diverse alte schimbul electronic de
informații (telefonic sau video conferință,
coopà © lucru rative, partajarea de
documente, servicii de FTP, mesagerie
instant, etc.) definirea măsurii și măsuri de
precauție de securitate să pună în aplicare?

11C05-05 Has it been implemented an encrypted
electronic messaging service?
11C05-06 Has it been implemented a digital signature
service?
11C05-07 Is a service in charge of collection and
treatment of undesirable messages?
Undesirable messages (spams, virus, false
virus alerts, etc...) must be immediately sent to
this service, which will estimate the threat and
put in place counter measures: specific
filtering, internal warning, etc...
A fost pusă în aplicare aceasta un serviciu de 0 3
mesagerie electronică criptat?
A fi fost implementat un serviciu de semnătură 1 3
digitală?
Este un serviciu care se ocupă de colectarea 1 3
și tratarea mesajelor nedorite? Mesaje
nedorite (spam, virus, alerte false virus, etc ...)
trebuie să fie trimise imediat la acest serviciu,
care va estima amenințarea și să pună în
măsuri contra loc: specific filtrare, avertizare
interne, etc ...

11C05-08 Are regular audits carried out on the Sunt audituri periodice efectuate cu privire la 1 2
procedures and instructions concerning email procedurile și instrucțiunile privind e-mail și
and electronic exchanges security? schimburile electronice de securitate?

11C06 Protection of documents printed on shared Protecția documentelor tipărite pe

printers imprimante partajate
11C06-01 Are the shared printers located in rooms with Sunt imprimantele partajate situate în camere 1 2
controlled access? cu acces controlat?
11C06-02 Is the access control system considered as Este sistemul de control al accesului 0 4
sufficiently strong? considerate ca suficient de puternic?
11C06-03 Is the access to the printer's room reserved to Este accesul la camera imprimantei rezervat 1 4
persons of the same service sharing the same persoanelor de același împărtășind aceleași
rights? drepturi serviciu?
11C06-04 Is it possible for this personnel to cancel, if Este posibil ca acest personal să anuleze, 1 4
necessary, a printout in the waiting list? dacă este necesar, o imprimare în lista de
așteptare?

11C06-05 Is it possible for this personnel to destroy Este posibil ca acest personal să distrugă 1 4
printed documents put on scrap in a secure documentele imprimate pus pe resturi într-un
way? mod securizat?
11C06-06 Are regular audits conducted on the protective Sunt audituri periodice efectuate cu privire la
measures for printouts from a shared printer? măsurile de protecție pentru tipărite la o
imprimantă partajată?
11D Service continuity of the work
environment
11D01 Organization of user hardware
maintenance
11D01-01 Is all computing hardware covered by a
maintenance contract (personal computers,
peripherals, etc.)?
11D01-02 Are there specific maintenance contracts for
all hardware requiring a high availability and
for which repair or swap is required swiftly?
11D01-03 Do these maintenance contracts include
specific obligation to provide an equivalent
equipment?
11D01-04 Do the maintenance contracts include specific
obligations stipulating maximum intervention
and reparation times which are compatible
with availability requirements?
11D01-05 Are maintenance contracts, selection of
service providers and the associated
maintenance procedures regularly audited?
11D02 Organization of user software
maintenance (system, middleware and
application)
11D02-01 Are there maintenance contracts for all
software installed on user workstations?
11D02-02 Is a technical support center available for
each software supplier which guarantees
rapid and qualified telephone support?
11D02-03 Are there specific maintenance contracts for
all software requiring high availability and for
which standard repair times are not
acceptable?
11D02-04 Are maintenance contracts, selection of
service providers and the associated
procedures regularly audited?
11D03 Users' configurations backup plans
11D03-01 Has it been established a backup plan
including all the configuration parameters of
the user workstations?
11D03-02 Is this backup plan included into automated
operational processes?
11D03-03 Is there a regular test that the backup of the
configuration parameters of the user
workstations allow the effective rebuild of the
user working environment upon a new station
or a complete restoring, within time limits
compatible to the business requirements?
1 2
Continuitatea serviciului de
mediul de lucru
Organizarea de întreținere hardware
utilizator
Este toate componentele hardware de calcul 1 2
reglementat de un contract de întreținere
(calculatoare personale, periferice, etc.)?
Există contracte specifice de întreținere pentru 1 2
toate componentele hardware necesită o
disponibilitate ridicată și pentru care repararea
sau de swap este necesară rapid?
Face aceste contracte de întreținere includ 0 3
obligație specifică de a furniza un echipament
echivalent?
Face contractelor de întreținere includ obligații 1 2
specifice care prevăd intervenție și reparație
ori maxime care sunt compatibile cu cerințele
de disponibilitate?
Sunt contracte de întreținere, selectarea 1 3
furnizorilor de servicii, precum și procedurile
de întreținere legate auditat periodic?
Organizarea de întreținere software de
utilizator (de sistem, middleware și de
aplicare)
Există contractele de întreținere pentru toate 1 2
software-ul instalat pe stațiile de lucru ale
utilizatorilor?
Este un centru de suport tehnic disponibil 0 2
pentru fiecare furnizor de software care
garantează suport telefonic rapidă și
calificată?
Există contracte specifice de întreținere pentru 1 2
toate software-necesită disponibilitate ridicată
și pentru care ori standard, de reparație nu
sunt acceptabile?
Sunt contracte de întreținere, selectarea 1 3
furnizorilor de servicii, precum și procedurile
aferente auditate în mod regulat?
Planurile configurații de rezervă ale
utilizatorilor
A fost stabilit că un plan de rezervă, inclusiv 1 4
toți parametrii de configurare ale stațiilor de
lucru de utilizator?
Este acest plan de rezervă inclus în procesele 1 2
operaționale automatizate?
Există un test obișnuit ca rezervă de 1 4
parametrii de configurare ai stațiilor de lucru
de utilizator permit reconstrui eficientă a
mediului de lucru de utilizator pe un nou post
sau o complet restaurarea, într-un termen
compatibil cu cerințele de afaceri?
11D03-04 Are the production routines which ensure
backups of user configurations protected,
against illicit or undue modification, by secure
mechanisms?
Such mechanisms might be electronic seal or
any equivalent modification detection system.
Sunt procedurile de producție care asigură 1 4
backup de configurații de utilizator protejate,
împotriva modificărilor ilicite sau nejustificată,
prin mecanisme sigure? Astfel de mecanisme
ar putea fi sigiliu electronic sau orice alt sistem
de detectare a modificare echivalent.

11D03-05 Are user configuration backup plans and Sunt planurile și procedurile de configurare de 1 2
procedures subject to regular audit? backup de utilizator supuse auditului periodic?

11D04 Backup plans for user data stored on data Planuri de rezervă pentru datele de
servers utilizator stocate pe serverele de date

11D04-01 Is all user data stored on data servers Este toate datele de utilizator stocate pe 1 4
systematically backed up? serverele de date în mod sistematic susținute?

11D04-02 Has the frequency of backups been
communicated to users?
11D04-03 Are several generations of save files available
in order to guard against missing or
unreadable files, by organizing, for example a
rotation of backup media?
A frecvenței de backup fost comunicate 1 2
utilizatorilor?
Mai multe generații de a salva fișierele 1 2
disponibile, în scopul de a proteja împotriva
fișiere lipsă sau ilizibile, prin organizarea, de
exemplu, o rotație a mass-media de rezervă?

11D04-04 Is a complete quarterly or six-monthly backup Este un trimestrial complet sau semestrial set 1 2
set kept to serve as an emergency archive? de backup păstrează pentru a servi ca o
arhivă de urgență?
11D04-05 Are the backup procedures, for office data Sunt procedurile de backup, pentru datele 0 3
stored on servers, subject to a regular audit? stocate pe servere de birou, obiectul unui
audit regulat?

11D05 Backup plan for data stored on user Plan de rezervă pentru datele stocate pe
workstations. stațiile de lucru ale utilizatorilor.

11D05-01 Are the users made aware and trained to Sunt utilizatorii informați și instruiți pentru a 1
backup operations for sensitive data possibly operațiunilor de backup pentru datele
stored in their workstation? sensibile, eventual, stocate în stația de lucru
lor?
3
11D05-02 Is all user data (stored on workstations) Este toate datele de utilizator (stocate pe 1 4
systematically backed up (by users, at a fixed stațiile de lucru) susținută sistematic (de către
frequency or when connecting to the internal utilizatori, la o frecvență fixă sau atunci când
network)? vă conectați la rețeaua internă)?

11D05-03 Do users also have the possibility to effect a
backup themselves if necessary?
11D05-04 Are several generations of saved files
available in order to guard against missing or
unreadable files, by organizing, for example a
rotation of backup media?
Nu utilizatorii au, de asemenea, posibilitatea 1 4
de a efectua o copie de rezervă se, dacă este
necesar?
Mai multe generații de fișiere salvate 0 2
disponibile pentru a proteja împotriva fișiere
lipsă sau ilizibile, prin organizarea, de
exemplu, o rotație a mass-media de rezervă?

11D05-05 Is a complete quarterly or six-monthly backup Este un trimestrial complet sau semestrial set 1 2
set kept to serve as an emergency archive? de backup păstrează pentru a servi ca o
arhivă de urgență?
11D05-06 Are the backup procedures for user data Sunt procedurile de backup de date de 1 3
subject to a regular audit? utilizator pentru a face obiectul unui audit
periodic?
11D06 Anti virus (malware, unauthorized Anti virus (malware, cod executabil
executable code, etc.) protection for user neautorizat, etc.) de protecție pentru stații
workstations. de lucru de utilizator.
11D06-01 Has it been defined a policy to prevent risks of
attack from malevolent codes (virus, Trojan
Horse, worms, etc.) like prohibit the use of
unauthorized software, protection measures
during file retrieval via external networks and
reviews of installed software?
A fi fost definită o politică pentru a preveni 1 2
riscurile de atac de coduri răuvoitoare (virus,
Cal Troian, viermi, etc.) le place să interzică
utilizarea de software neautorizat, măsuri de
protecție în timpul de recuperare fișier prin
intermediul rețelelor externe și comentarii
despre software-ul instalat?

11D06-02 Are user workstations equipped with a means Sunt stațiile de lucru ale utilizatorilor echipat 1 4
to protect from viruses and malware? cu un mijloc de a proteja de viruși și malware?

11D06-03 Is the anti virus product regularly updated?
With internet, new threats are instantaneous
thus forcing to control at least every day of the
existence of a corrective update
Este produsul anti-virus actualizat în mod 1 2
regulat? Cu internet, noi amenințări sunt
instantanee forțând astfel să controleze cel
puțin în fiecare zi a existenței unui update de
corecție

11D06-04 Is there a regular and automatic analysis of all Există o analiză regulată și automată a tuturor 1 2
the files on the workstations? fișierelor de pe stațiile de lucru?
11D06-05 Have actions to be taken by users' support Au acțiunile care trebuie întreprinse de către 1 3
team in case of an attack by malevolent code echipa de suport utilizatorilor în cazul unui
(alert, confinement measures, triggering of a atac de cod răuvoitoare (alertă, măsuri de
crisis management process, etc.) been confinare, declanșarea unui proces de
defined? gestionare a crizelor, etc.) a fost definit?

11D06-06 Is it possible for the users' support team to Este posibil ca utilizatorilor echipe de sprijin 1 2
make, at any time, a complete check of the pentru a face, în orice moment, o verificare
users' workstation base? completă a utilizatorilor de bază stație de
lucru?

11D06-07 Has it been defined a policy and protection
measures to fight against unauthorized
executable codes (applets, ActiveX controls,
etc.) (blocking or environment control where
the codes execute, control of accessible
resources by mobile codes, issuer
authentication, etc.)?
A trecut definit o politică de protecție și măsuri 1 3
de combatere a codurilor neautorizate
executabile (applet, controale ActiveX, etc.)
(blocarea sau de control mediu în care
codurile executa, controlul resurselor
accesibile prin codurile mobile, autentificare
emitent, etc.)?

11D06-08 Is the activation and update of anti-virus Este activarea și actualizarea sistemelor de 1 3
systems on workstations regularly audited? anti-virus pe statiile de lucru auditat periodic?

11D07 Recovery Plans for the users' workstations Planurilor de redresare pentru stațiile de
lucru ale utilizatorilor
11D07-01 Have all the scenarios which may impact the Au fost considerate toate scenariile care ar 1 4
users' workstation base been considered and, putea avea un impact de bază stație de lucru
for each scenario, the consequences in terms a utilizatorilor și, pentru fiecare scenariu,
of service unavailability for users? consecințele în ceea ce privește
indisponibilitate servicii pentru utilizatori?

11D07-02 Has it been defined, to resolve each scenario
identified above, a sequence of minimal
services recovery in accordance with user
requirements?
The user services need to be considered
qualitatively and quantitatively (percentage of
the base to be reinstalled)
A trecut definite, pentru a rezolva fiecare 1 4
scenariu identificat mai sus, o secvență de
recuperare minim de servicii în conformitate
cu cerințele utilizatorilor? Serviciile de
utilizator trebuie să fie luate în considerare
calitativ și cantitativ (procent din Baza care
trebuie reinstalat)
11D07-03 Has an activity recovery solution been defined
and implemented to resolve each scenario
identified above, in accordance with user
requirements?
11D07-04 Are the technical, organizational and human
resources sufficient to address the
organization's requirements?
This means being able to correct personnel
deficiencies
11D07-05 Are the technical, organizational and human
resources educated to address the
organization's requirements?
This implies to train appropriately all
concerned staff.
11D07-06 Are all these solutions for the continuity of
users' services related to the workstations
base described in detail in Disaster Recovery
Plans including the conditions for triggering
the plan, the actions to execute, the priorities,
the actors to mobilize and their contact
details?
11D07-07 Are these plans tested at least once a year?
11D07-08 Are above tests able to guarantee the
capacity of the recovery solution to cope,
under full operational load, the minimum
services required by users?
The tests required to obtain this guarantee are
preferably full scale tests of each variant of
scenario, involving all users. The results of the
tests have to be registered and analyzed in
order to improve the capability of the
organization to answer to the situations
considered.
11D07-09 If the recovery solutions include delivery of
hardware components (which cannot be
triggered during tests), is there a contractual
commitment by the manufacturer or any
relevant third party (distributor) to deliver the
replacement hardware within fixed and
anticipated time limits as stated in the
recovery plan?
11D07-10 Are the existence, the pertinence and the
updates of the users' workstations Recovery
Plans regularly controlled?
11D07-11 Is the updating of the above procedures within Este actualizarea procedurilor de mai sus
the recovery plan subject to regular audit? în cadrul planului de redresare care face
obiectul auditului periodic?
11D08 Access management to office data and
files
11D08-01 Is the list of office file formats, that are
required to be accessible, kept up to date?
A fost definită o soluție de recuperare 1 4
activitate și puse în aplicare pentru a rezolva
fiecare scenariu identificat mai sus, în
conformitate cu cerințele utilizatorilor?
Sunt resursele tehnice, organizaționale și 0 4
umane suficiente pentru a răspunde cerințelor
organizației?Aceasta înseamnă a fi capabil de
a corecta deficiențele de personal
Sunt resursele tehnice, organizaționale și 1 4
umane educate pentru a aborda cerințele
organizației?
Sunt toate aceste soluții pentru continuitatea 1 4
serviciilor utilizatorilor legate de baza de stații
de lucru descris în detaliu în planurile de
redresare în caz de dezastru, inclusiv
condițiile pentru declanșarea planului de
acțiuni, de a executa, prioritățile, actorii de
mobilizare și datele lor de contact?
Sunt aceste planuri testate cel puțin o dată pe 1 4
an?
Sunt teste de mai sus în măsură să garanteze 1 4
capacitatea soluției de recuperare pentru a
face față, sub sarcină operațională deplină,
serviciile minime necesare de către
utilizatori? Testele necesare pentru a obține
această garanție sunt teste la scară, de
preferință, pe deplin de fiecare variantă de
scenariu, care implică toți
utilizatorii. Rezultatele testelor trebuie să fie
înregistrate și analizate în scopul de a
îmbunătăți capacitatea organizației de a
răspunde la t el situații considerate.
În cazul în care soluțiile de recuperare includ 1 4
livrarea de componente hardware (care nu pot
fi declanșate în timpul testelor), există un
angajament contractual de către producător
sau de orice terță parte relevantă (distribuitor)
pentru a furniza hardware-ul de înlocuire în
limite fixe și anticipate de timp după cum se
menționează în recuperarea plan?
Sunt existența, pertinența și actualizările de 1 2
stații de lucru ale utilizatorilor planurilor de
redresare controlate în mod regulat?
1 2
Management accesul la date și fișiere de
birou
Este lista de formate de fișiere de birou, care 1 4
sunt necesare pentru a fi accesibile,
actualizate?
11D08-02 Are the necessary hardware and software Sunt hardware și software elementele 1 4
elements required for the access to all the necesare necesare pentru accesul la toate
types of office files put in archive available or tipurile de fișiere de birou pus în arhiva
easily made available? disponibile sau ușor puse la dispoziție?

11D08-03 Do the procedures of allocation and Nu procedurile de alocare a și personalizare 0 4

personalization of office files encryption and de criptare de fișiere de birou și de protecție
protection capabilities guarantee possibilities capabilități garantează posibilități de a accesa
to access the files, even if their owners are fișierele, chiar dacă proprietarii lor sunt
absent or have left the organization? absente sau care au părăsit organizația?

11D08-04 Are the recovery capabilities of the access or Sunt capacitățile de recuperare a accesului 1 4
encryption keys protected against accidental sau de criptare cheile protejate împotriva
or malevolent unavailability? indisponibilității accidentale sau răuvoitoare?

11D08-05 Are there regular audits of the mechanisms Există audituri periodice a mecanismelor și 0 2
and procedures that guarantee the continuity procedurilor care garantează continuitatea
of access to office files? accesului la fișiere de birou?

11E Control of administrative rights Controlul drepturi administrative

11E01 Management of privileged access rights Gestionarea drepturilor de acces
granted on user workstations privilegiate acordate pe stațiile de lucru ale
(administrative rights) utilizatorilor (drepturi administrative)

11E01-01 Have profiles been defined, within users Au fost definite profiluri, în cadrul operațiunilor 1 1
workstation operations staff, corresponding to de personal de utilizatori de stații de lucru,
each type of activity (assistance, installation, corespunzător fiecărui tip de activitate (ajutor,
maintenance, etc.)? instalare, intretinere, etc.)?

11E01-02 For each profile have the necessary rights and Pentru fiecare profil au fost definite drepturile 1 4
privileges been defined? și privilegiile necesare?
11E01-03 Does the process of attributing special rights Are procesul de atribuire a drepturilor speciale 1 4
require the formal authorization of necesită autorizarea oficială a
management (or the manager responsible for managementului (sau managerul responsabil
external service providers) at a sufficiently cu prestatorii externi de servicii) la un nivel
high level? suficient de ridicat?

11E01-04 Is the process of attributing special rights Este procesul de atribuire a drepturilor 1 4
allocated only in relation to the profile of the speciale alocate numai în raport cu profilul de
holder? titularului?

11E01-05 Is the process of granting (modification or Este procesul de acordare a (modificarea sau 0 4
revocation) of special rights to an individual revocarea) de drepturi speciale pentru un
strictly controlled? individ strict controlate? Un control strict
A strict control requires a formal recognition of necesită o recunoaștere formală a semnăturii
the signature (electronic or not) of the (electronic sau nu) a solicitantului, să existe
requestor, that there be a tight control of un control strict al accesului, în scopul de a
access in order to attribute or modify such atribui sau modifica aceste drepturi și că
rights and that any modification of special autentificat orice modificare a drepturilor
rights be logged and audited. speciale, să fie și auditate.

11E01-06 Is there a systematic process of removal of Există un proces sistematic de eliminare a 1 2

special rights at the time of departure or role drepturilor speciale în momentul de plecare
change of user support operations staff? sau de rolul schimbare a personalului
operațiunilor de sprijin de utilizare?

11E01-07 Is there a regular audit, at least once a year, of Există un audit regulat, cel puțin o dată pe 0 1
all special rights attributed ? an, a tuturor drepturilor speciale atribuite?

11E02 Authentication and control of the access Autentificarea și controlul drepturile de acces
rights of administrators and operational ale administratorilor și a personalului de
personnel exploatare
11E02-01 Is the authentication of the administrator Este autentificarea administratorului necesare 1 4
required before taking control of a user înainte de a lua controlul asupra unei stații de
workstation? lucru utilizator?
11E02-02 Is the authentication protocol used for Este protocolul de autentificare utilizat pentru 1 4
administrators or holders of special rights administratorii sau deținătorii de drepturi
considered to be secure? speciale considerate a fi sigure? Un protocol
An authentication protocol is considered de autentificare este considerată sigură în
secure if it is not susceptible to being broken cazul în care nu este susceptibil de a fi rupt de
by a listening device on the network or un dispozitiv de ascultare în rețea sau
rendered inoperable by specialists tools (in nefuncțional de către specialiști instrumente
particular password crack tools ). Such (în special instrumente parola fisurilor ). O
security usually uses cryptographic methods. astfel de securitate utilizează, de obicei, meto
criptografice ds.

11E02-03 Are the rules, for instance in the case of Sunt regulile, de exemplu, în cazul de parole, 1 2
passwords, considered to be very strict? considerate a fi foarte strict? Reguli stricte
Strict rules impose the use of tested non-trivial impune utilizarea unor parole testate non-
passwords, using a mixture of different types triviale, folosind un amestec de diferite tipuri
of characters and of a reasonable length (ten de caractere și cu o lungime rezonabila (zece
characters). It is desirable that these rules caractere). Este de dorit ca aceste norme au
have been approved by the Information fost aprobate de către responsabilul de
Security Officer securitate a informațiilor

11E02-04 Is there a consistent control of the Există un control consecvent al drepturilor 1 4

administrator's rights, of its context, and of the administratorului, de contextul său, precum și
suitability of this context with the requested de adecvarea acest context cu accesul
access, as per formal rules of access control? solicitat, conform regulilor formale de control
al accesului?

11E02-05 Are authentication parameters under strict Sunt parametrii de autentificare sub control 1 4
control? strict? Un control strict impune ca lista de
A strict control requires that the list of people oameni capabili de a schimba regulile de
able to change authentication rules, the autentificare, acreditările înșiși, precum și
credentials themselves and the surveillance normele de supraveghere de tentative de
rules of connection attempts be strictly limited, conectare să fie strict limitată, să existe un
that there be a reinforced access control in control de acces consolidat pentru a fi în
order to be able to modify these rights and măsură să modif y aceste drepturi și că
that any modification of these rights be logged autentificat fi orice modificare a acestor
and audited and that there be a general audit drepturi și auditate și să existe un audit
at least once a year of all authentication general cel puțin o dată pe an, a tuturor
parameters. parametrilor de autentificare.

11E02-06 Are the processes that guarantee Sunt procesele care garantează autentificare 1 4
authentication under strict control? sub control strict? Un control strict necesar ca
A strict control requires that the software used software-ul utilizat a fost validată și supus unui
has been validated and undergoes a regular test obișnuit pentru integritate (sigiliu) și că
test for integrity (seal) and that there is an există un audit cel puțin o dată pe an, a
audit at least once a year of the authentication procedurilor și proceselor de autentificare.
procedures and processes.

11E02-07 Is there a regular audit of the procedures of Există un audit periodic al procedurilor 0 4
the security parameters attached to protecting parametrilor de securitate atașate la
profiles and rights? protejarea profilurilor și a drepturilor?
11E03 Surveillance of system administrators' Supravegherea administratorii de sistem
actions over the users' workstations "acțiuni asupra utilizatorilor stații de lucru

11E03-01 Has a detailed analysis been carried out of the
events and operations carried out with
administrative rights on the users'
workstations which may potentially have an
impact on system security?
O analiză detaliată a fost efectuată de 1 2
evenimentele și operațiunile efectuate cu
drepturi administrative pe stațiile de lucru ale
utilizatorilor, care pot avea potențial impact
asupra securității sistemului?
11E03-02 Are these events recorded as well as all Sunt aceste evenimente înregistrate, precum 1 4
parameters which may be useful for their și toți parametrii care pot fi utile pentru analiza
subsequent analysis? lor ulterioară?
11E03-03 Is there a system able to detect any Există un sistem capabil să detecteze orice 1 4
modification or deletion of a past record and to modificare sau ștergere a unei înregistrări
immediately trigger an alarm to a manager? trecut și pentru a declanșa imediat o alarmă
unui manager?

11E03-04 Is there a summary of these records enabling Există un rezumat al acestor evidențe care să 0 4
management to detect abnormal behavior? permită management pentru a detecta
comportament anormal?
11E03-05 Is there a system enabling the detection of Există un sistem care să permită detectarea 1 4
any modification of recording parameters and orice modificare a parametrilor de înregistrare
to immediately trigger an alarm to a manager? și pentru a declanșa imediat o alarmă unui
manager?

11E03-06 Does any inhibition of the recording and Are orice inhibarea înregistrarea și 1 4
processing of the logged events system prelucrarea sistemului evenimente logat
trigger an alarm to a manager? declanșa o alarmă unui manager?

11E03-07 Are all records or summary analyses
protected against any falsification or
destruction?
11E03-08 Are all records or summary analyses kept for
a long period?
Sunt toate înregistrările sau rezumat analize 1 2
protejate împotriva orice falsificare sau
distrugere?
Sunt toate înregistrările sau rezumat analize 1 2
păstrate pentru o perioadă lungă de timp?

11E03-09 Are the procedures, which record and process Sunt procedurile, care înregistrează și 0 2
privileged operations, regularly audited? procesele operaționale privilegiate, auditate în
mod regulat?
 424

507

3.35