Documente Academic
Documente Profesional
Documente Cultură
01A01-02 Exista, pentru fiecare din acesti responsbili, o definitie de functie precisa, in special, obiectivele, responsabilitatile 1 4 2 E2
si interfetele cu alte domenii de securitate?
01A01-03 Actiunile acestor responsabili fac obiectul unui tablou de bord si a unei supravegheri regulate? 1 4 E2
01A01-04 Exista un comitet sau o structura regrupand toti responsabili securitati, toate domeniile combinate, incarcate sa 0 2 2 R1
coordoneze diversele actiuni si de a lua toate deciziile tansversale, si intalnindu-se regulat?
01A01-05 Este abordarea de securitate recunoscuta in mod clar si sustinuta de catre Directoratul General? 1 2 3 2 E2
01A02 Organizarea si gestiunea securitatii sistemelor informatice
01A02-01 Exista un document care descrie politica de securitate in legatura cu sistemul informational, in speta in legatura 1 2 E1 5.1.1 Fiecarui angajat ii este adusa la cunostiinta
cu organizarea, administrarea si dirijarea politicii de securitate (roluri si responsabilitati), dar si principiile politica de securitate, un document in care
fundamentale care subliniaza admistrarea securitatii informatiei? sunt specificate principiile, rolurile si
responsabilitatile pentru asigurarea securitatii.
01A02-02 Aceasta politica de securitate este revizuita la intervale regulate sau atunci cand schimbarile semnificative, in 1 2 E2 5.1.2 Politica de securitate este modificata si
scopul de a asigura mentinerea relevantei si a eficacitati? modificarile acesteia sunt aduse la cunostiinta
celor implicati ori de cate ori este cazul
01A02-03 A definit in detaliu structura si organizarea gestiuni securitatii: RSSI si corespondenti sau responsabilii locali, 1 2 3 2 E2 6.1.2
precum rolurile si responsabilitatile respective si vis-a-vis de responsabili operationali, si aceasta structura este
operationala?
01A02-04 Aceasta structura are capacitatea sa alerteze fara intarzieri Directoratul General in caz de probleme grave? 0 4 3 E2 6.1.2
01A02-05 A definit in detaliu modul gestiunii securitatii si procesele de luare de decizii: metodologie (auditul vulnerabilitati, 1 4 E2 6.1.2
analiza riscului, etc), instrumente asociate, precum si actori (animatori, suporturi, formari, expertize, consultante,
etc)?
01A02-06 A definit clar rolul respectivilor responsabili ai securitatii, responsabililor operationali si ai responsabililor 0 4 2 E2 6.1.3
functionali ai domeniului ( proprietari si detinatori ai informatiei) in luarea deciziei finale, ca si in procesele de
arbitraj?
01A02-07 A definit in detaliu un mod de management global al securitatii sistemelor informatice: tablou de bord (continutul si 0 4 2 E2 6.1.3
periodicitatea), structura managementului si orientarea, tipurile de raport?
01A02-08 Stabileste anual un plan al securitatii sistemelor informatice regrupand toate planurile de actiuni, mijloacele de 1 2 E2
implementare, progranul, bugetul?
01A02-09 Managementul firmei este implicat in organizarea securitatii a informatiilor si, in special in elaborarea si aprobarea 1 2 E2 6.1.1
politicii securitatii, definirea responsabilitatilor , alocarea resurselor si controlul de eficacitate masurilor luate?
01A02-10 Mentine contracte cu autoritatile putand fi implicate de catre securitatea informatiei si situatiile de criza (Politie, 1 1 E2 6.1.6
Servicii de recensamant, Administrarea judiciara, Pompieri, Servicii publice, etc)?
01A03-04 Sistemul de declaratii si managementul incidentelor se aplica per ansamblul structurii si personalul intreprinderii 1 4 3 E2 13.1.1;
(inclusiv filialele)? 13.2.1
01A03-05 Tipologia si descrierea incidentelor sunt inregistrate intr-o baza, permitand imbogatirea progresiva precum si un 1 2 E2 13.2.2
acces selectiv, usor pentru a efectua tratarea si urmarires/supravegherea diverselor incidente?
01A03-06 Colectarea probelor este realizata de fiecare data cand o actiune juridica apare? 1 2 E2 13.2.3
01A03-07 Punerea in actiune si tinerea la zi a sistemului de gestiune a incidentelor fac obiectul unui tablou de bord si a unei 0 2 2 R1
supravegheri regulate , traducandu-se printr-un plan de actiune?
01A04 Organizarea auditului si a programului de audit
01A04-01 A fost comunicata functia de securitate auditorilor interni (sau structurii responsabile de auditorii interni) o referinta 1 4 3 E2 Auditorii au fost informati corespunzator.
ghid legata de o informatie a sistemului de securitate, descriind in particular, obligatiile fiecarei categorii de
personal,directivele si recomandarile imputernicitului?
01A04-02 Exista o procedura de derogare a directivelor descrise in referentialul de audit si aceasta procedura este obiectul 1 4 E2
unui audit ?
01A04-03 Exista o structura de coordonare sau o procedura permitand lui RSSI sa defineasca programul de audit intern 0 4 E3
anual sau sa participe la definirea lui?
01A04-04 Responsabilul securitatii sistemelor informatice este informat de rezultatele auditului asupra aspectelor atinse de 1 2 3 2 E2
securitatea sistemelor informatice?
01A04-05 Responsabilul de securitatea sistemelor informatice este informat de rezultatele sintetice ale auditului nespecific 1 4 3 E2
al securitatii sistemelor informatice si poate avea acces la raporturile detaliate corespondente?
01A05-02 Exista o procedura de alerta, distribuita pe intreaga organizatie, care dau posibilitatea direct sau indirect 1 2 E1
(supravietuirea personalului)sa contacteze persoane variate initiate intr-un plan de criza?
01B01-01 Obligatiile si responsabilitatile personalului in timpul utilizari, conservari arhivajului informatiilor si protejari 1 4 E1
secretului sunt precizate intr-o nota sau un document pus la dispozitia managementului?
01B01-02 Aceste documente precizeaza obligatiile si responsabilitatile personalului in timpul utilizari si protejari mijlocelor 1 1 E2 11.3.1
de autenficare (parola, chei, token-uru, badge-uri) puse la dispozitia lor?
01B01-03 Obligatiile si responsabilitatile personalului precizeaza cum sa procedeze cand lasa postul vacant (inchiderea 0 1 E2 11.3.2
sesiunii, logoff, blocare, etc)?
01B02-09 Exista un document care sa stabilesca sarcini, responsabilitatile si procedurile de aplicat pentru a proteja arhive 1 4 E1 15.1.3 In ceea ce priveste arhivele in societate este
importante pentru companie? desemnata o persoana care se ocupa de
acestea: atat arhivele pe suport de hartie cat
si cele pe suport magnetic,fiind pastrate in
conditiile specifice pastrarii.
01B01-12 Managerii asigura si trebuie sa tina cont, de conformitatea politicilor si standardelor in vigoare? 0 2 3 R1 15.2.1
01B01-13 Exista o revizuire periodica a cartii de obligatii si responsabilitati personalului (sau note corespunzatoare)? 0 2 3 R1
01B02 Directivele generale relative la protejarea informatiei
01B02-01 Exista un document care defineste regulile generale aplicate in ceea ce priveste protejazarea site-urilor vis-a-vis 1 2 E2 11.4.2
de exterior, conditiile cerute pentru a accesa fiecare site din exterior si protejarea domeniilor sensibile?
01B02-03 Exista un document care sa definesca regulile generale aplicate protejarii accesului la resursele computerului 1 2 E2 10.8.1; Managementul drepturilor de acces la sistemul
(stocari si elemente ale retelei, sisteme, alicatii, date, media, etc.) si conditiile cerute pentru rezultatul final, 10.7.3 informatic este sub un control foarte strict
managementul si controlul drepturilor de acces? asigurat de departamentul administrativ si
departamentul resurse umane. Posesorii de
informatii au posibilitatea limitarii accesului la
aceste informatii.
01B02-04 Aceste reguli sunt stabilite in functie de nivelul de clasificare a resurselor private? 1 2 E2 10.7.3;
10.8.1;
01B02-11 Mijloacele si solutiile de securitate puse la dispozitia responsabililor si utilizatorilor sunt coerente cu directivele 0 4 3 E2 7.2.2
precedente?
01B02-12 Regulile care vizeaza protejarea informatiilor si resurselor sunt usor accesate de intregul personal ( intranet, de 0 4 2 E2
exemplu) si regulat actualizate in functia de exigentele business-ului?
01B03 Clasificarea resurselor
01B03-02 Aceasta schema de clasificare defineste marcajul diferitul tipuri de resurse in functie de clasificarea lor? 1 1 E2 7.2.2
01B03-03 A efectuat o clasificare a informatiilor (documente, date, fisiere, baze de date, etc) in functie de impactul ca un 1 4 2 E2 7.2.1
dezastru ar afecta aceste informatii ale intreprinderii?
01B04-06 Exista reguli la iesirea activelor (autorizatii, persoane autorizate, inregistrarea iesirii si intrarii, etc)? 1 4 E2 9.2.7
01C01-06 Managementul are responsabilitatea de a asigura ca personalul, personalul subcontractat sau terti respecta 0 1 E2 8.2.1
politicile si procedurile de seccuritate a organizatiei?
01C01-07 Exista o procedura de control al autenticitatii si al pertinentei regulilor de securitate difuzate personalului? 1 4 3 R1
01C05 Gestiunea tertilor (parteneri, furnizori, clienti, public, etc.)
01C05-01 S-au analizat riscurile asociate accesului tertilor (furnizori) in sistemul de informatii sau in locurile care contin 0 4 3 2 E2 6.2.1 Pentru accesul terţilor, o evaluare a riscului ar
informatii si s- au stabilit si masurile de securitate necesare? trebui să fie efectuată pentru a stabili
implicaţiile de securitate şi cerinţele de control.
01C05-02 S-au analizat riscurile asociate accesului clientilor sau al publicului in sistemul de informatii ( sau parte a 1 4 E2 6.2.2
sistemului de informatii ) sau in locurile care contin informatii si s- au stabilit masurile de securitate necesare?
01C05-04 Au fost stabilite toate clauzele de securitate care ar trebui sa includa acordul semnat cu tertii care implica accesul 0 4 3 E2 6.2.3
in sistemul de informatii sau in locuri care contin informatii?
01C06 Inregistrarea persoanelor
Sistemul de informatii include o varietate de informatii sau mijloace de prelucrare , transport si comunicare de
01C06-01 informatii.
Exista proceduri formale de inregistrare si de interzicere a persoanelor? 1 4 3 2 E2 11.2.1
01C06-02 Aceste proceduri implică managementul personalului și ierarhia ? 1 4 2 E2 11.2.1
01C06-03 Exista un identificator unic (ID) asociat fiecarui user (angajat, exteriorului, etc) care poate avea acces la 1 4 E2 11.2.1 Autentificarea se realizeaza pe baza
informatiile sistemului? identificatorului unic si parolei.
01C06-04 Drepturile acordate utilizatorilor la înregistrare ( servicii comune , mesaje , etc. ) au fost aprobate de către 1 4 3 E2 11.2.1
proprietarii resurselor în cauză ?
01C06-05 Toti utilizatorii sunt informati , la înregistrare , despre drepturile dobândite și obligațiile referitoare la orice drepturi 0 4 2 E2 11.2.1
de alocare ( dobândite după înregistrare sau primite mai târziu ) ?
01C06-06 Sunt aceste proceduri verificate si eventualele anomalii studiate si corectate in timp real? 1 4 3 2 R1 11.2.1
01E Continuitatea activitatii
01E01 A tine cont de nevoile de continuitate a activitatii
01E01-03 Exista procese, regulate puse in aplicare, analiza riscurilor , legate la informatiei, pot conduce la o intrerupere a 0 2 E2 14.1.1
activitatilor intreprinderii, ceea ce duce la definirea exigentelor de securitate, responsabilitatile, procedurile sa
aplice si mijloacele de pune in aplicare inainte de permite elaborarea unui plan de continuitate?
03A01-03 Există baterii de rezervă (furnizarea uneia sau mai multor surse de alimentare neîntreruptibile) care să 1 2 E2 9.2.2
garanteze o autonomie suficientă astfel încât echipamentele să fie închise în mod corespunzător și în
condiții de siguranță?
03A01-04 Este prevăzut sistemul de alimentare cu energie cu un sistem de control care să semnaleze echipei de 1 2 3 R1
interventie orice defecțiuni parțiale sau complete ale echipamentelor (deconectarea bateriilor, încărcarea
incompletă, închiderea sistemului cu alimentare neîntreruptibilă etc.)?
03A01-05 Sistemele de reglare a energiei (capacitatea bateriilor în special) sunt verificate frecvent în comparație cu 0 2 3 C2
cerințele sistemului (autonomie necesară pentru o închidere corespunzătoare)?
03A01-06 înlocuirea periodică a bateriilor intermediare este efectuată in concordanta cu "specificațiile producătorului? 1 2 2 E2
03A02-05 Este prevăzut sistemul de backup al alimentării de energie cu o alarmă care să anunțe echipa de intervenție 1 2 3 R1
de orice defecțiuni ale echipamentelor ?(defecțiuni ale sistemului de backup,combustibil redus etc)
03A03-02 Sistemul de aer conditionat este verificat cu frecvență pentru asigurarea functionării acestuia chiar și in cele 1 4 C1
mai rele condiții climaterice ?
03A03-03 Va continua să funcționeze sistemul de aer condiționat în ciuda unei simple defecțiuni a componentelor ? 1 2 E3 9.2.2
03A04-04 Circuitele de înaltă și joasă tensiune sunt separate în mod corespunzător? 1 2 E1 9.2.3
03A04-05 Calitatea și siguranța cablării sunt verificate în mod regulat? 1 2 3 C1
03A04-06 Actualizarea planului de cablare este controlată periodic? 0 2 2 C1
03A05 Paratrăsnet
03A05-01 Este clădirea protejată de un paratrăsnet? 1 4 E1
03A05-02 Circuitele electrice si cablurile sunt protejate de echipamente specializate împotriva supratensiunii și 1 4 E1
împotriva fulgerelor ?
03A05-03 Echipament de protecție a circuitului este verificat în mod regulat? 1 2 3 C1
03A06 Fiabilitatea echipamentelor de serviciu
03A06-01 Există o listă completă și exactă a tuturor echipamentelor de serviciu cerute de sistemele IT și de către cele 1 4 E2 9.2.2
de comunicații (apă rece, aerul, consumabile specifice, etc.)?
03A06-02 1 4 C1
Fiecare echipament este acoperit de un contract de întreținere adaptat la cerințele de serviciu așteptate?
03A06-03 Pentru serviciile cele mai critice, există o redundanță a sistemului sau o capacitate de înlocuire rapidă? 1 4 E2
03A06-04 Toate întreruperile neplanificate (avarie) sau planificate (oprirea) ale echipamentelorsunt detectate și 1 2 2 R1
semnalizate către o echipă de intervenție pentru o reacție rapidă?
03A06-05 Este fiabilitatea echipamentelor de serviciu (detectarea unor defecțiuni , proceduri de intervenție, etc.) 1 2 3 C1 Sunt realizate lunar controale in ceea ce priveste
controlată periodic? fiabilitatea echipamentelor.
03B
Controlul accesului la locațiile sensibile (altele decât zonele de birouri)
03B01 Managementul drepturilor de acces la locațiile sensibile
03B01-02 A fost realizat un inventar sau o clasificare a tuturor tipurile de locații sensibile? 0 4 E2
03B01-03 Pentru fiecare locație sensibilă sau tip de locatie, a fost numit un manager pentru a actualiza drepturile de 0 4 E1
acces la securitate atribuite fiecărei categorii de personal și au fost preluate posturile de către acești
manageri?
03B01-04 Îsi asumă de fapt aceste persoane responsabile această funcție și oferă rapoarte lui CISO despre asta? 4 2 E2
0
03B01-05 Aceste profiluri permit de asemenea si definirea limitelor timpului de lucru (ore pe zi și perioadele în 0 4 E2
calendarul de lucru,weekenduri, vacanțe)?
03B01-06 Sunt aceste drepturi protejate împotriva modificării sau falsificării în timpul depozitării sau în timpul 1 1 3 R1
transferului de la factorii de decizie la personalul care se ocupă de punerea în aplicare a acestora?
03B01-07 Există control, de cel puțin o dată pe an, a tuturor drepturilor acordate diferitelor categorii de personal 1 1 3 C1 9.1.2
precum și a proceselor de gestionare a acestor drepturi?
03B02 Managementul autorizațiilor de acces acordate locațiilor sensibile
03B02-01 Procedura de acordare a autorizațiilor permanente sau temporare de acces necesită autorizarea oficială a 1 4 2 E1
managementului de linie sau a unității care gestionează contractanții externi (la un nivel suficient de înalt)?
03B02-02 Este procedura de acordare a autorizațiilor de acces, pentru fiecare tip de locație sensibilă, documentată și 1 4 2 E2
strict controlată? Un control strict necesită o recunoaștere formală a semnăturii solicitantului, ca punerea în
aplicare a profilului atribuit utilizatorilor să fie foarte sigură și ca fiecare operațiune să fie înregistrată astfel
încât să existe control al accesului consolidat asupra modificării unor astfel de înregistrări și ca toate
modificările de înregistrare să fie și auditate.
03B02-03 Sunt autorizațiile de acces acordate persoanelor fizice numite în funcție de profil și materializate printr-o 1 4 E2
insignă sau o carte sau o cheie?
03B02-04 Iinsignele sau cardurile care reprezintă autorizații de acces sunt personalizate folosind numele titularului 4 E2
și/sau fotografia ? 1
03B02-05 lista autorizațiilor de acces și a profilului corespunzător poate fi revizuită în orice moment? 0 4 2 E3
03B02-06 Există un proces rapid și sistematic de atribuire și revocarea a autorizațiilor de acces (cu invalidarea insignei 0 2 2 E2
în sistemele de control automat) și înapoierea insignei sau cardului corespunzător în momentul schimbării
locației (în cazul în care drepturile de acces depind de locație), a plecării de la la companie sau la sfârșitul
unui contract aplicat atât pentru personalul intern și extern?
03B02-07 Sunt cheile sau insignele păstrate într-o cutie sau dulap sigure impotriva spargerilor? De exemplu seifuri 0 4 2 E2
certificate
03B02-08 Este interzisă intrarea în cladire cu mijloace video, adudio, foto ? 1 1 E3 9.1.5
03B03-03 Garantează sistemul de control al accesului că tot personalul care intră în cladire este verificat? 1 4 3 E2
De exemplu: ușă dublă pentru limitarea numărului de persoane care intră sau un proces care interzice
utilizarea unui ecuson de mai multe persoane, etc.
03B03-04 Este asigurat controlul tuturor punctelor de intrare și de ieșire, inclusiv al ieșirilor normale si altele, cum ar fi 4 3 E2
ferestrele accesibile din exterior, ieșirile de urgență, potențialul acces prin podele ridicate și tavane false?
1
03B03-05 Sunt sistemele automate de control sub supraveghere permanentă care să permită detectarea unei 1 2 2 R1 Sunt folosite camere de supraveghere permanenta
defecțiuni, dezactivarea sistem sau utilizarea ieșirilor de urgență în timp real? in toate punctele cheie ale cladirii.
03B03-06 Există o procedură sau alertă automată care să permită intervenția imediată a personalului de securitate în 1 2 2 R2
cazul unei alarme de oprire a sistemului de control (sau utilizarea ieșirii de urgență)?
03B03-07 Există o procedură de audit care să permită detectarea neregulilor în procedurile de control (auditarea 1 2 3 C1
procedurilor și a parametrilor sistemelor de control , auditul excepțiilor și intervențiilor etc.)?
07A01-08 Exista un audit regulat, cel putin o data pe an, al ansamblulului de drepturi atribuite la fiecare profil si proceduri 1 4 2 C1 11.2.4
de management al profilurilor?
07A02 Managementul autorizarii de acces si privilegiile ( atributiile, delegarile, pensionarea)
07A02-01 Necesita procedura de acordare a autorizarii accesului accesului aprobarea oficiala a managementului de linie 0 4 2 E1
( la un nivel suficient de inalt) ?
07A02-02 Autorizatiile sunt acordate catre indivizii numiti doar ca o functie a profilului lor ? 1 2 E1
07A02-03 Este procedura de acordare (sau schimbare sau revocare) a autorizaţiei către o persoană (fie direct sau prin 1 4 2 E2 11.2.2
profilul său) strict controlată?
07A02-04 Exista un proces sistematic de actualizare a tabelului de autorizatii la momentul plecarii personalului ( intern 1 4 3 E2 11.2.4
sau extern organizatiei) ?
07A02-05 Exista un proces sistematic de actualizare a tabelului de autorizatii la schimbarea functiei? 1 4 3 E3 11.2.4
07A02-06 Exista un proces strict controlat ( precum cel de sus) care permite delegarea autorizatiei proprie, in parte sau 1 4 2 E3
in intregime , unei persoane la alegere pentru o perioada de timp determinata (in cazul absentei )?In acest Se poate realiza delegarea drepturilor unui
caz drepturile delegate nu mai trebuie sa fie autorizate persoanei care le-a delegat in acest timp. Detinatorul, utilizator catre alt utilizator, realizarea
oricum trebuie sa aiba posibilitatea sa le primeasca inapoi printr-un proces prin care el sau ea pun capat acestor drepturi putandu-se exercita pentru
efectiv delegarii. fiecare user in parte.
07A02-07 Este posibil sa se controleze in orice moment , pentru toti utilizatorii, drepturile, autorizatiile si privilegiile in 0 2 2 C1
07A02-08 vigoare ? audit regulat, cel putin o data pe an, al profilurilor si autorizatiilor acordate tuturor utilizatorilor si al
Exista un 1 1 2 C1 11.2.4
prcedurilor pentru managementul profilurilor atribuite
07A03 Autenficarea utilizatorilor sau entitatea cerand acces
07A03-01 Procesul de distribuire sau de schimbare a autenficarii garanteaza ca singurul titular poate sa aiba acces 1 2 1 E1 11.5.3
( difuzarea confidentiala, schimbarea parolei de catre utilizator, etc)?
07A03-02 Procesul de atribuire sau modificare a legitimatiilor utilizatorilor respecta o serie de reguli care asigura 4 2 E2 11.2.3; Pentru setarea parolei exista un set de reguli
validitatea intrinseca a acestora?In cazul parolelor: lungime adecvata(8 caractere sau mai mult), obligatoriu 11.5.3 stricte pentru a duce la bun sfarsit acest
mixaj de tipuri diferite de caractere, schimbarea frecventa(cel putin o data pe luna), imposibilitatea reutilizarii proces.
unei parole vechi, cuvintelor banale, poreclelor, numelor, anagrame, date etc. In cazul certificatelor si
autentificarilor bazate pe un mecanism criptografic: procesul de evaluare a persoanelor sau recunoastere
publica, parole de lungime suficienta etc.
07C01-09 Procesul care asigura inregistrarea conexiunilor si aplicatiile sunt sub un control strict? 1 4 3 C1
07D Securitatea arhitecturii
07D01 Siguranta functionarii a elementelor arhitecturii
07D01-01 A analizat criticitatea sistemelor generale ( de la arhitectura aplicativa, dar si inclusiv, sistemele generale 1 4 2 E2 S-a realizat o analiza a echipamentelor si
perifice atat si sistemele sau roboti de backup, servere de imprimare sau echipamente centrale de imrpimare, comportamentul acestora in cazul unor erori.
etc) pentru a pune in evidenta nevoile de continuitate a serviciului?
07D01-02 Aceasta analiza a permis de a formaliza perfomantele minimale sa asigure la nivelul fiecarui sistem si aceste 1 4 2 E2
performante minimale au fost acceptate de catre utilizatori?
07D01-07 Procedeaza regulat la teste care vizeaza sa demonstreze capacitatea elementelor de securitate sa asigure 1 2 3 2 C1
performantele minimale in cazul unui incident sau de pana de curent?
07D02 Izolarea sistemelor sensibile
07D02-01 A analizat sensibilitatea sistemelor generale (in functie de aplicatii si datele tratate, inclusiv sistemele generale 1 3 2 E2 11.6.2
periferice atat si sistemele sau roboti de backup, servere de imprimare sau echpamente centrale de
imprimare, etc) pentru a pune in evidenta exigenta securitatii?