Chestionar de audit : Organizarea securitatii

Referinta Intrebare R-V1 P Max Min Typ ISO 27002 Comentarii

01A Roluri și structuri de securitate
01A01 Organizarea și gestionarea securității generale
01A01-01 Toate domeniile corespunzatoare securitatii, au un responsabil desemnat [securitate informatica si 1 4 3 E1 Securitatea informatiei este obtinuta prin
telecomunicatii, securitatea mediului de munca (documente, telecopii, telefon), securitatea fizica generala a site- implementarea unui set adecvat de politici,
urilor locale] sau un interlocuitor privelegiat [ DRH pentru actiunile de sensibilizare, formare, contracte de munca, practici, proceduri, structuri organizationale si
gestiunea conturilor utilizatorilor si a drepturilor de acces, tratarea (sanctiunea) operatiunilor delicate si ilicite et functii software.
neglijienta interna] ?

01A01-02 Exista, pentru fiecare din acesti responsbili, o definitie de functie precisa, in special, obiectivele, responsabilitatile 1 4 2 E2
si interfetele cu alte domenii de securitate?
01A01-03 Actiunile acestor responsabili fac obiectul unui tablou de bord si a unei supravegheri regulate? 1 4 E2
01A01-04 Exista un comitet sau o structura regrupand toti responsabili securitati, toate domeniile combinate, incarcate sa 0 2 2 R1
coordoneze diversele actiuni si de a lua toate deciziile tansversale, si intalnindu-se regulat?
01A01-05 Este abordarea de securitate recunoscuta in mod clar si sustinuta de catre Directoratul General? 1 2 3 2 E2
01A02 Organizarea si gestiunea securitatii sistemelor informatice
01A02-01 Exista un document care descrie politica de securitate in legatura cu sistemul informational, in speta in legatura 1 2 E1 5.1.1 Fiecarui angajat ii este adusa la cunostiinta
cu organizarea, administrarea si dirijarea politicii de securitate (roluri si responsabilitati), dar si principiile politica de securitate, un document in care
fundamentale care subliniaza admistrarea securitatii informatiei? sunt specificate principiile, rolurile si
responsabilitatile pentru asigurarea securitatii.

01A02-02 Aceasta politica de securitate este revizuita la intervale regulate sau atunci cand schimbarile semnificative, in 1 2 E2 5.1.2 Politica de securitate este modificata si
scopul de a asigura mentinerea relevantei si a eficacitati? modificarile acesteia sunt aduse la cunostiinta
celor implicati ori de cate ori este cazul

01A02-03 A definit in detaliu structura si organizarea gestiuni securitatii: RSSI si corespondenti sau responsabilii locali, 1 2 3 2 E2 6.1.2
precum rolurile si responsabilitatile respective si vis-a-vis de responsabili operationali, si aceasta structura este
operationala?

01A02-04 Aceasta structura are capacitatea sa alerteze fara intarzieri Directoratul General in caz de probleme grave? 0 4 3 E2 6.1.2

01A02-05 A definit in detaliu modul gestiunii securitatii si procesele de luare de decizii: metodologie (auditul vulnerabilitati, 1 4 E2 6.1.2
analiza riscului, etc), instrumente asociate, precum si actori (animatori, suporturi, formari, expertize, consultante,
etc)?
01A02-06 A definit clar rolul respectivilor responsabili ai securitatii, responsabililor operationali si ai responsabililor 0 4 2 E2 6.1.3
functionali ai domeniului ( proprietari si detinatori ai informatiei) in luarea deciziei finale, ca si in procesele de
arbitraj?
01A02-07 A definit in detaliu un mod de management global al securitatii sistemelor informatice: tablou de bord (continutul si 0 4 2 E2 6.1.3
periodicitatea), structura managementului si orientarea, tipurile de raport?
01A02-08 Stabileste anual un plan al securitatii sistemelor informatice regrupand toate planurile de actiuni, mijloacele de 1 2 E2
implementare, progranul, bugetul?
01A02-09 Managementul firmei este implicat in organizarea securitatii a informatiilor si, in special in elaborarea si aprobarea 1 2 E2 6.1.1
politicii securitatii, definirea responsabilitatilor , alocarea resurselor si controlul de eficacitate masurilor luate?

01A02-10 Mentine contracte cu autoritatile putand fi implicate de catre securitatea informatiei si situatiile de criza (Politie, 1 1 E2 6.1.6
Servicii de recensamant, Administrarea judiciara, Pompieri, Servicii publice, etc)?

Mise à jour : janvier 2010 459863081.xlsx ! 01 Org page 1

Chestionar de audit : Organizarea securitatii
Referinta Intrebare R-V1 P Max Min Typ ISO 27002 Comentarii
01A02-11 Asigura o veche tehnologie in materie de securitate (participarea la cercuri, asocieri, congrese…) 0 1 2 E2 6.1.7
01A02-12 Responsabilitatile si procedurile sunt stabilite inaintea de a furniza rapid solutii efective la incidentele de 1 2 E2 13.2.1;
securitate? 13.1.1
01A02-13 Exista o procedura de actualizare a notelor relative la securitatea sistemelor informatiei in functie de evolutia 0 2 3 2 R1 6.1.8
structurii sau intervalelor planificate?
01A03 Sistemul general de declaratii si managementul incidntelor
01A03-01 Are un sistem de declaratii a incidentelor langa corespondenti RSSI cu o sinteza a incidentelor transmise la 1 1 E1 13.1.1
RSSI?
01A03-02 Sistemul de declaratii si managementul incidentelor include toate incidentele (exploatare, dezvoltari, mentinere, 1 4 2 E1 13.1.1
utilizarea SI) fizice, logice sau organizationale?
01A03-03 Sistemul de declaratii si managementul incidentelor include tentative actiunile daunatoare sau neautorizate 1 4 3 2 E3 13.1.1
nedeterminate?

01A03-04 Sistemul de declaratii si managementul incidentelor se aplica per ansamblul structurii si personalul intreprinderii 1 4 3 E2 13.1.1;
(inclusiv filialele)? 13.2.1
01A03-05 Tipologia si descrierea incidentelor sunt inregistrate intr-o baza, permitand imbogatirea progresiva precum si un 1 2 E2 13.2.2
acces selectiv, usor pentru a efectua tratarea si urmarires/supravegherea diverselor incidente?

01A03-06 Colectarea probelor este realizata de fiecare data cand o actiune juridica apare? 1 2 E2 13.2.3
01A03-07 Punerea in actiune si tinerea la zi a sistemului de gestiune a incidentelor fac obiectul unui tablou de bord si a unei 0 2 2 R1
supravegheri regulate , traducandu-se printr-un plan de actiune?
01A04 Organizarea auditului si a programului de audit
01A04-01 A fost comunicata functia de securitate auditorilor interni (sau structurii responsabile de auditorii interni) o referinta 1 4 3 E2 Auditorii au fost informati corespunzator.
ghid legata de o informatie a sistemului de securitate, descriind in particular, obligatiile fiecarei categorii de
personal,directivele si recomandarile imputernicitului?
01A04-02 Exista o procedura de derogare a directivelor descrise in referentialul de audit si aceasta procedura este obiectul 1 4 E2
unui audit ?
01A04-03 Exista o structura de coordonare sau o procedura permitand lui RSSI sa defineasca programul de audit intern 0 4 E3
anual sau sa participe la definirea lui?
01A04-04 Responsabilul securitatii sistemelor informatice este informat de rezultatele auditului asupra aspectelor atinse de 1 2 3 2 E2
securitatea sistemelor informatice?
01A04-05 Responsabilul de securitatea sistemelor informatice este informat de rezultatele sintetice ale auditului nespecific 1 4 3 E2
al securitatii sistemelor informatice si poate avea acces la raporturile detaliate corespondente?

01A04-06 Programul de audit a fost presentat si validat de catre Directorat? 1 4 E2

01A04-07 Programul de audit anual relativ al securitatii sistemelor informatice fac obiectul unui tablou de bord si de 1 2 3 R1
supraveghere regulata?
01A05 Managementul crizei legat de securitatea informatiei
01A05-01 Exista un plan al crizei in toate cladirile specificandu-se , in functie de diversele simptome, numele si 1 4 2 E1
coordonatele persoanelor de a preveni pentru care sa poata sa efectueze primul diagnostic, in functie de acest
diagnostic, responsabilii celulei de criza se aduna sa conduca actiunile urgente?

01A05-02 Exista o procedura de alerta, distribuita pe intreaga organizatie, care dau posibilitatea direct sau indirect 1 2 E1
(supravietuirea personalului)sa contacteze persoane variate initiate intr-un plan de criza?

Mise à jour : janvier 2010 459863081.xlsx ! 01 Org page 2

Chestionar de audit : Organizarea securitatii
Referinta Intrebare R-V1 P Max Min Typ ISO 27002 Comentarii
01A05-03 Planul crizei descrie in detaliu situatiile de criza majora fiind legate sistemelor informatice si include aspectele 0 4 2 E2
specifice al acestiu domeniu?
01A05-04 Definirea unui plan de criza este insotit de punerea in aplicare a mijloacelor logistice corespondente (sala 1 4 2 E2
echipata, mijloace de comunicatie, etc) ?
01A05-05 Exista instrumente sau proceduri permitand actualizarea unu plan de criza si aceasta actualizare este auditata? 0 4 3 R1

01B Referentialul de securitate

01B01 Obligatiile si responsabilitatile personalului si managementului
Este vorba de tot personalul intern si extern (subcontranti, stagiari, etc) asociati activitati intreprinderii

01B01-01 Obligatiile si responsabilitatile personalului in timpul utilizari, conservari arhivajului informatiilor si protejari 1 4 E1
secretului sunt precizate intr-o nota sau un document pus la dispozitia managementului?

01B01-02 Aceste documente precizeaza obligatiile si responsabilitatile personalului in timpul utilizari si protejari mijlocelor 1 1 E2 11.3.1
de autenficare (parola, chei, token-uru, badge-uri) puse la dispozitia lor?
01B01-03 Obligatiile si responsabilitatile personalului precizeaza cum sa procedeze cand lasa postul vacant (inchiderea 0 1 E2 11.3.2
sesiunii, logoff, blocare, etc)?
01B02-09 Exista un document care sa stabilesca sarcini, responsabilitatile si procedurile de aplicat pentru a proteja arhive 1 4 E1 15.1.3 In ceea ce priveste arhivele in societate este
importante pentru companie? desemnata o persoana care se ocupa de
acestea: atat arhivele pe suport de hartie cat
si cele pe suport magnetic,fiind pastrate in
conditiile specifice pastrarii.

01B01-12 Managerii asigura si trebuie sa tina cont, de conformitatea politicilor si standardelor in vigoare? 0 2 3 R1 15.2.1
01B01-13 Exista o revizuire periodica a cartii de obligatii si responsabilitati personalului (sau note corespunzatoare)? 0 2 3 R1
01B02 Directivele generale relative la protejarea informatiei
01B02-01 Exista un document care defineste regulile generale aplicate in ceea ce priveste protejazarea site-urilor vis-a-vis 1 2 E2 11.4.2
de exterior, conditiile cerute pentru a accesa fiecare site din exterior si protejarea domeniilor sensibile?
01B02-03 Exista un document care sa definesca regulile generale aplicate protejarii accesului la resursele computerului 1 2 E2 10.8.1; Managementul drepturilor de acces la sistemul
(stocari si elemente ale retelei, sisteme, alicatii, date, media, etc.) si conditiile cerute pentru rezultatul final, 10.7.3 informatic este sub un control foarte strict
managementul si controlul drepturilor de acces? asigurat de departamentul administrativ si
departamentul resurse umane. Posesorii de
informatii au posibilitatea limitarii accesului la
aceste informatii.

01B02-04 Aceste reguli sunt stabilite in functie de nivelul de clasificare a resurselor private? 1 2 E2 10.7.3;
10.8.1;
01B02-11 Mijloacele si solutiile de securitate puse la dispozitia responsabililor si utilizatorilor sunt coerente cu directivele 0 4 3 E2 7.2.2
precedente?
01B02-12 Regulile care vizeaza protejarea informatiilor si resurselor sunt usor accesate de intregul personal ( intranet, de 0 4 2 E2
exemplu) si regulat actualizate in functia de exigentele business-ului?
01B03 Clasificarea resurselor
01B03-02 Aceasta schema de clasificare defineste marcajul diferitul tipuri de resurse in functie de clasificarea lor? 1 1 E2 7.2.2
01B03-03 A efectuat o clasificare a informatiilor (documente, date, fisiere, baze de date, etc) in functie de impactul ca un 1 4 2 E2 7.2.1
dezastru ar afecta aceste informatii ale intreprinderii?

Mise à jour : janvier 2010 459863081.xlsx ! 01 Org page 3

Chestionar de audit : Organizarea securitatii
Referinta Intrebare R-V1 P Max Min Typ ISO 27002 Comentarii
01B03-04 Aceasta clasificare a fost efectuata pentru fiecare criteriu de Disponibilitate, Integritate si Confidentialitate? 0 2 3 E2

01B04 Gestiunea activelor

01B04-01 Este definit tipul activelor care trebuie idendificate si inventariate?(baze de date, fisiere, calculatoare, climatizare) 1 4 E2 7.1.1 S-a realizat o clasificare a resurselor

01B04-06 Exista reguli la iesirea activelor (autorizatii, persoane autorizate, inregistrarea iesirii si intrarii, etc)? 1 4 E2 9.2.7

01B05 Protejarea activelor cu valoare de proba

01B05-01 A identificat si repartizat activele susceptiblie care urmeaza a fi utilizate precum elemente de proba? 1 2 E2

01B05-04 A luat toate masurile necesare? 1 2 E2

01B05-06 Aceste masuri fac obiectul unui audit periodic? 1 1 C1
01C Gestiunea resurselor umane
01C01 Angajamentul personalului, clauzele contractuale
01C01-02 Exista in contractele de angajare sau in regulamentul interior, o clauza care precizeaza obligatiile de a respecta 1 4 E2 6.1.5; 8.1.3 Pe langa clauzele de confidentialitate din
ansamblul de reguli de securitate in vigoare? contractul de munca, exista manualul
angajatului in care prezinta si principiile de
securitate.

01C01-06 Managementul are responsabilitatea de a asigura ca personalul, personalul subcontractat sau terti respecta 0 1 E2 8.2.1
politicile si procedurile de seccuritate a organizatiei?
01C01-07 Exista o procedura de control al autenticitatii si al pertinentei regulilor de securitate difuzate personalului? 1 4 3 R1
01C05 Gestiunea tertilor (parteneri, furnizori, clienti, public, etc.)
01C05-01 S-au analizat riscurile asociate accesului tertilor (furnizori) in sistemul de informatii sau in locurile care contin 0 4 3 2 E2 6.2.1 Pentru accesul terţilor, o evaluare a riscului ar
informatii si s- au stabilit si masurile de securitate necesare? trebui să fie efectuată pentru a stabili
implicaţiile de securitate şi cerinţele de control.

01C05-02 S-au analizat riscurile asociate accesului clientilor sau al publicului in sistemul de informatii ( sau parte a 1 4 E2 6.2.2
sistemului de informatii ) sau in locurile care contin informatii si s- au stabilit masurile de securitate necesare?
01C05-04 Au fost stabilite toate clauzele de securitate care ar trebui sa includa acordul semnat cu tertii care implica accesul 0 4 3 E2 6.2.3
in sistemul de informatii sau in locuri care contin informatii?
01C06 Inregistrarea persoanelor
Sistemul de informatii include o varietate de informatii sau mijloace de prelucrare , transport si comunicare de
01C06-01 informatii.
Exista proceduri formale de inregistrare si de interzicere a persoanelor? 1 4 3 2 E2 11.2.1
01C06-02 Aceste proceduri implică managementul personalului și ierarhia ? 1 4 2 E2 11.2.1
01C06-03 Exista un identificator unic (ID) asociat fiecarui user (angajat, exteriorului, etc) care poate avea acces la 1 4 E2 11.2.1 Autentificarea se realizeaza pe baza
informatiile sistemului? identificatorului unic si parolei.
01C06-04 Drepturile acordate utilizatorilor la înregistrare ( servicii comune , mesaje , etc. ) au fost aprobate de către 1 4 3 E2 11.2.1
proprietarii resurselor în cauză ?
01C06-05 Toti utilizatorii sunt informati , la înregistrare , despre drepturile dobândite și obligațiile referitoare la orice drepturi 0 4 2 E2 11.2.1
de alocare ( dobândite după înregistrare sau primite mai târziu ) ?
01C06-06 Sunt aceste proceduri verificate si eventualele anomalii studiate si corectate in timp real? 1 4 3 2 R1 11.2.1
01E Continuitatea activitatii
01E01 A tine cont de nevoile de continuitate a activitatii

Mise à jour : janvier 2010 459863081.xlsx ! 01 Org page 4

Chestionar de audit : Organizarea securitatii
Referinta Intrebare R-V1 P Max Min Typ ISO 27002 Comentarii
01E01-02 Acesta analiza permite ca formalizarea performantelor minimale sa asigure un nivel al sistemelor informatiilor si 0 4 2 E1 14.1.2
aceste performante minimale au fost acceptate de catre utilizatori (proprietarii informatiei)?

01E01-03 Exista procese, regulate puse in aplicare, analiza riscurilor , legate la informatiei, pot conduce la o intrerupere a 0 2 E2 14.1.1
activitatilor intreprinderii, ceea ce duce la definirea exigentelor de securitate, responsabilitatile, procedurile sa
aplice si mijloacele de pune in aplicare inainte de permite elaborarea unui plan de continuitate?

01E02 Planul de continuitate a activitatii

01E02-02 Acest plan previne toate actiunile de intreprindere pentru a asigura continuitatea activitatea intre alertele si 1 3 E2 14.1.3
implementarea eventualelor solutii de ramplasare prevazute de planul de salvare tehnic?

01E02-05 Planurile de continuitate a activitatii prevede procedurile de revenire la normal? 1 2 E2 14.1.3

01E02-09 Aceste planuri sunt regulat testate (cel putin o data pe an) ? 0 3 2 C1 14.1.5
01E03 Planurile de redresare a mediului de munca (PRET)
01E03-01 Exsita solutii de salvare pentru palierul de indisponibilitate a mediului de munca? 1 4 E1
01E03-02 Aceste solutii sunt descrise in detaliu in Planurile de redresare a mediului de munca (PRET) incluzand reegulile 1 4 E1
de declansare, actiunile de demarare, prioritatile, actori mobilizatisi coodonatori?

01E03-03 Aceste planuri sunt testate cel putin o data pe an? 0 2 3 R1

01E03-06 Existenta, pertinenta si actualizarea PRET-ului fac obiectul unui audit regulat? 1 3 C1

Mise à jour : janvier 2010 459863081.xlsx ! 01 Org page 5

Mise à jour : janvier 2010 459863081.xlsx ! 01 Org page 6
Mise à jour : janvier 2010 459863081.xlsx ! 01 Org page 7
Mise à jour : janvier 2010 459863081.xlsx ! 01 Org page 8
Mise à jour : janvier 2010 459863081.xlsx ! 01 Org page 9
Mise à jour : janvier 2010 459863081.xlsx ! 01 Org page 10
Chestionar de audit: Securitatea spatiilor
Intrebare R-V1 P Max Min Typ ISO Comentarii
Referinta 27002
03A Întreținere generală
03A01 Calitatea rezervei de energie
03A01-01 Rezerva de energie este în conformitate cu nivelurile maxime de încărcare specificate de furnizorii 1 2 E2 9.2.2
echipamentelor instalate ?
03A01-02 Există un sistem de reglare a energiei electrice, care să includă cel puțin o sursă de alimentare electrica 1 4 E2 9.2.2 Alimentare continuă. Întreruperea
neîntreruptibilă pentru echipamentele cele mai sensibile? alimentării unor anumiţi consumatori nu
este permisă deoarece cladirea este dotata cu
alimentare de rezervă
conectabilă instantaneu,
grup diesel-generator.

03A01-03 Există baterii de rezervă (furnizarea uneia sau mai multor surse de alimentare neîntreruptibile) care să 1 2 E2 9.2.2
garanteze o autonomie suficientă astfel încât echipamentele să fie închise în mod corespunzător și în
condiții de siguranță?
03A01-04 Este prevăzut sistemul de alimentare cu energie cu un sistem de control care să semnaleze echipei de 1 2 3 R1
interventie orice defecțiuni parțiale sau complete ale echipamentelor (deconectarea bateriilor, încărcarea
incompletă, închiderea sistemului cu alimentare neîntreruptibilă etc.)?
03A01-05 Sistemele de reglare a energiei (capacitatea bateriilor în special) sunt verificate frecvent în comparație cu 0 2 3 C2
cerințele sistemului (autonomie necesară pentru o închidere corespunzătoare)?
03A01-06 înlocuirea periodică a bateriilor intermediare este efectuată in concordanta cu "specificațiile producătorului? 1 2 2 E2

03A02 Continuitatea alimentării cu energie

03A02-01 A fost stabilită o politică documentată în raport cu cerințele referitoare la continuitatea alimentării cu energie 0 1 2 E1 9.2.2
(și toate fluidele, în general)?
03A02-02 Există o rezervă de energie care poate garanta continuitatea echipamentelor critice (utilizarea unui 1 4 2 E1 9.2.2
generator și aprovizionare independentă de combustibil suficientă )?
03A02-03 Sistemul de backup este testat cu regularitate, pentru de a defini sarcina corespunzătoare 1 4 C1
necesar[ (păstrând doar nivelurile de încărcare ale echipamente critice)?
03A02-04 Procedura de pornire a sistemului de backup este testată cu regularitate și este compatibilă cu cerințele de 1 4 2 E2
continuitate a serviciului (teste includ analiza detaliată a sistemului și o eventuală nevoie de reconfigurare )?

03A02-05 Este prevăzut sistemul de backup al alimentării de energie cu o alarmă care să anunțe echipa de intervenție 1 2 3 R1
de orice defecțiuni ale echipamentelor ?(defecțiuni ale sistemului de backup,combustibil redus etc)

03A03 Siguranța aerului condiționat

03A03-01 Există un sistem de aer condiționat, care reglementează calitatea aerului (temperatura, presiunea, conținut 1 4 E2 9.2.2 Da, societatea beneficiaza de un astfel de sistem de
de apă, praf) în conformitate cu specificațiile constructorilor echipamentelor instalate aer conditionat ce asigura caldura pe timpul ierii , iar
vara mentine temeperatura la un nivel confortabil.

03A03-02 Sistemul de aer conditionat este verificat cu frecvență pentru asigurarea functionării acestuia chiar și in cele 1 4 C1
mai rele condiții climaterice ?
03A03-03 Va continua să funcționeze sistemul de aer condiționat în ciuda unei simple defecțiuni a componentelor ? 1 2 E3 9.2.2

Mise à jour : janvier 2010 459863081.xlsx ! 03 Pre page 11

Chestionar de audit: Securitatea spatiilor
Intrebare R-V1 P Max Min Typ ISO Comentarii
Referinta 27002
03A03-04 capacitatea sistemului de aer condiționat este testată cu regularitate, chiar și în ciuda unei simple defecțiuni 1 1 3 C2
a echipamentelor și în cele mai rele condiții climaterice posibile?
03A03-05 Există un sistem de redundanță pentru cele mai critice echipamente de aer condiționat ? 1 4 E2
03A03-06 Defecțiunea accidentală sau cauzată în mod deliberat a sistemului de aer condiționat este detectată și 1 2 2 R1
semnalată unei echipe de intervenție capabile să acționeze rapid ?
03A03-07 Securitatea aparatului de aer condiționat face obiectul unui audit reglemetar? 0 2 3 C1
03A04 Calitatea cablării
03A04-01 Un document este păstrat prin decrierea amănunțită a traseului cablurilor, a dulapurilor de cablare asociate 1 4 E1 9.2.3
și a caracteristicilor acestora?
03A04-02 Sunt cablurile etichetate individual la fiecare capăt? 0 2 E2 9.2.3
03A04-03 Cablarea este protejată împotriva riscurilor de accidente? 1 4 E2 9.2.3 Sistemul de cablare utilizat este gândit pentru a
asigura interconectarea şi transferul masiv de date
pe mai multe tipuri de medii de transfer între
echipamente de calcul.

03A04-04 Circuitele de înaltă și joasă tensiune sunt separate în mod corespunzător? 1 2 E1 9.2.3
03A04-05 Calitatea și siguranța cablării sunt verificate în mod regulat? 1 2 3 C1
03A04-06 Actualizarea planului de cablare este controlată periodic? 0 2 2 C1
03A05 Paratrăsnet
03A05-01 Este clădirea protejată de un paratrăsnet? 1 4 E1
03A05-02 Circuitele electrice si cablurile sunt protejate de echipamente specializate împotriva supratensiunii și 1 4 E1
împotriva fulgerelor ?
03A05-03 Echipament de protecție a circuitului este verificat în mod regulat? 1 2 3 C1
03A06 Fiabilitatea echipamentelor de serviciu
03A06-01 Există o listă completă și exactă a tuturor echipamentelor de serviciu cerute de sistemele IT și de către cele 1 4 E2 9.2.2
de comunicații (apă rece, aerul, consumabile specifice, etc.)?
03A06-02 1 4 C1
Fiecare echipament este acoperit de un contract de întreținere adaptat la cerințele de serviciu așteptate?

03A06-03 Pentru serviciile cele mai critice, există o redundanță a sistemului sau o capacitate de înlocuire rapidă? 1 4 E2

03A06-04 Toate întreruperile neplanificate (avarie) sau planificate (oprirea) ale echipamentelorsunt detectate și 1 2 2 R1
semnalizate către o echipă de intervenție pentru o reacție rapidă?
03A06-05 Este fiabilitatea echipamentelor de serviciu (detectarea unor defecțiuni , proceduri de intervenție, etc.) 1 2 3 C1 Sunt realizate lunar controale in ceea ce priveste
controlată periodic? fiabilitatea echipamentelor.
03B
Controlul accesului la locațiile sensibile (altele decât zonele de birouri)
03B01 Managementul drepturilor de acces la locațiile sensibile

Mise à jour : janvier 2010 459863081.xlsx ! 03 Pre page 12

Chestionar de audit: Securitatea spatiilor
Intrebare R-V1 P Max Min Typ ISO Comentarii
Referinta 27002
03B01-01 Sunt drepturile de acces permanente sau semipermanente la locațiile sensibile definite in raport cu profile 1 4 2 2 E1 9.1.2 Drepturile de acces la locatiile sensibile sunt
standard de contabilitate pentru funcția și statutul personalului? Aceste profiluri ar trebui sa ia in considerare acordate personalului in raport cu functia pe care
întreținerea generală sau siguranța personalului,detașamentul de pompieri,furnizorii de servicii, studenți sau acestia o detin in cadrul organizatiei.Ex: doar
vizitatori anumite persoane din cadrul departamentul de
contabilitate au acces la documentele arhivate ale
clientilor.

03B01-02 A fost realizat un inventar sau o clasificare a tuturor tipurile de locații sensibile? 0 4 E2
03B01-03 Pentru fiecare locație sensibilă sau tip de locatie, a fost numit un manager pentru a actualiza drepturile de 0 4 E1
acces la securitate atribuite fiecărei categorii de personal și au fost preluate posturile de către acești
manageri?

03B01-04 Îsi asumă de fapt aceste persoane responsabile această funcție și oferă rapoarte lui CISO despre asta? 4 2 E2
0
03B01-05 Aceste profiluri permit de asemenea si definirea limitelor timpului de lucru (ore pe zi și perioadele în 0 4 E2
calendarul de lucru,weekenduri, vacanțe)?
03B01-06 Sunt aceste drepturi protejate împotriva modificării sau falsificării în timpul depozitării sau în timpul 1 1 3 R1
transferului de la factorii de decizie la personalul care se ocupă de punerea în aplicare a acestora?

03B01-07 Există control, de cel puțin o dată pe an, a tuturor drepturilor acordate diferitelor categorii de personal 1 1 3 C1 9.1.2
precum și a proceselor de gestionare a acestor drepturi?
03B02 Managementul autorizațiilor de acces acordate locațiilor sensibile
03B02-01 Procedura de acordare a autorizațiilor permanente sau temporare de acces necesită autorizarea oficială a 1 4 2 E1
managementului de linie sau a unității care gestionează contractanții externi (la un nivel suficient de înalt)?

03B02-02 Este procedura de acordare a autorizațiilor de acces, pentru fiecare tip de locație sensibilă, documentată și 1 4 2 E2
strict controlată? Un control strict necesită o recunoaștere formală a semnăturii solicitantului, ca punerea în
aplicare a profilului atribuit utilizatorilor să fie foarte sigură și ca fiecare operațiune să fie înregistrată astfel
încât să existe control al accesului consolidat asupra modificării unor astfel de înregistrări și ca toate
modificările de înregistrare să fie și auditate.

03B02-03 Sunt autorizațiile de acces acordate persoanelor fizice numite în funcție de profil și materializate printr-o 1 4 E2
insignă sau o carte sau o cheie?
03B02-04 Iinsignele sau cardurile care reprezintă autorizații de acces sunt personalizate folosind numele titularului 4 E2
și/sau fotografia ? 1
03B02-05 lista autorizațiilor de acces și a profilului corespunzător poate fi revizuită în orice moment? 0 4 2 E3
03B02-06 Există un proces rapid și sistematic de atribuire și revocarea a autorizațiilor de acces (cu invalidarea insignei 0 2 2 E2
în sistemele de control automat) și înapoierea insignei sau cardului corespunzător în momentul schimbării
locației (în cazul în care drepturile de acces depind de locație), a plecării de la la companie sau la sfârșitul
unui contract aplicat atât pentru personalul intern și extern?

03B02-07 Sunt cheile sau insignele păstrate într-o cutie sau dulap sigure impotriva spargerilor? De exemplu seifuri 0 4 2 E2
certificate
03B02-08 Este interzisă intrarea în cladire cu mijloace video, adudio, foto ? 1 1 E3 9.1.5

Mise à jour : janvier 2010 459863081.xlsx ! 03 Pre page 13

Chestionar de audit: Securitatea spatiilor
Intrebare R-V1 P Max Min Typ ISO Comentarii
Referinta 27002
03B02-09 Există un control regulat, de cel puțin o dată pe an, a tuturor insignelor atribuite tuturor categoriilor de 0 1 2 C1
personal și a pertinenței autorizațiilor corespunzătoare?
03B02-10 Există o procedură care să permită detectarea ulterioară a unornereguli în gestionarea autorizațiilor de 1 4 C2
acces (ecuson sau insignă care să nu fie returnată, utilizarea unei insigne pierdute, insignă falsă etc.)?

03B03 Controlul accesului la locații

03B03-01 Este utilizat un sistem automat pentru controlul accesului la locații? 1 4 E1 9.1.2; Accesul in orice spatiu al cladirii se face numai prin
9.1.5 intermediul cardului de acces personalizat.
03B03-02 Folosește autentificare date referitoare la utilizator angaja care nu pot fi falsificate (carduri inteligente sau 1 4 3 E3
date biometrice, de exemplu)?
De exemplu: (carduri inteligente, date biometrice, chei digitale, ...

03B03-03 Garantează sistemul de control al accesului că tot personalul care intră în cladire este verificat? 1 4 3 E2
De exemplu: ușă dublă pentru limitarea numărului de persoane care intră sau un proces care interzice
utilizarea unui ecuson de mai multe persoane, etc.
03B03-04 Este asigurat controlul tuturor punctelor de intrare și de ieșire, inclusiv al ieșirilor normale si altele, cum ar fi 4 3 E2
ferestrele accesibile din exterior, ieșirile de urgență, potențialul acces prin podele ridicate și tavane false?
1
03B03-05 Sunt sistemele automate de control sub supraveghere permanentă care să permită detectarea unei 1 2 2 R1 Sunt folosite camere de supraveghere permanenta
defecțiuni, dezactivarea sistem sau utilizarea ieșirilor de urgență în timp real? in toate punctele cheie ale cladirii.
03B03-06 Există o procedură sau alertă automată care să permită intervenția imediată a personalului de securitate în 1 2 2 R2
cazul unei alarme de oprire a sistemului de control (sau utilizarea ieșirii de urgență)?
03B03-07 Există o procedură de audit care să permită detectarea neregulilor în procedurile de control (auditarea 1 2 3 C1
procedurilor și a parametrilor sistemelor de control , auditul excepțiilor și intervențiilor etc.)?

03B04 Detectarea intrușilor

03B04-01 Există un sistem operațional de detectare a intruziunilor legat de un centru care monitorizează 24 din 24 de 1 4 2 E1 Prezenta camerelor de supraveghere ce
ore? functioneaza 24 din 24 de ore.
03B04-02 Detectează acest sistem toate încercările de a deschide forțat ieșirile (uși sau ferestre) ,ieșirile de urgență și 1 4 2 E2
toate ieșirile normale ținute în mod greșit deschise?
03B04-03 Deecteaza acest sistem prezenta personalului in afara programului normal de lucru? 1 4 2 E2
03B04-04 Este acest sistem susținut de un sistem video și audio care să permită echipei de securitate să realizeze o 1 4 3 E3
primă analiză sau să respingă incertitudinea de la distanță?
03B04-05 4 3 E3
Este echipa de supraveghere dedicată misiunii sale, având doar atribuții de securitate și sunt toate alarmele
detectate tratate ca cea mai mare prioritate?
1
03B04-06 În cazul unei alarme echipa de supraveghere are posibilitatea de a trimite o echipă de intervenție, fără 1 4 2 E2
întârziere, pentru a verifica cauza și să ia măsurile corespunzătoare?
03B04-07 Are echipa de securitate resurse suficiente pentru a acoperi eventualitatea unor multiple alarme pornite în 0 4 3 E3
mod intenționat?
03B04-08 Există un document care să ateste în mod clar ce măsuri să iau în cazul alarmelor? 1 2 E2
03B04-09 Se află sistemul de detectare a intruziunilor sub supraveghere (alarmă în caz de închidere, supraveghere 1 2 3 R1
video etc.)?

Mise à jour : janvier 2010 459863081.xlsx ! 03 Pre page 14

Chestionar de audit: Securitatea spatiilor
Intrebare R-V1 P Max Min Typ ISO Comentarii
Referinta 27002
03B04-10 Sunt punctele și procedurile de control utilizate ca reacții la intruziune verificate periodic? 1 2 3 C1
03B05 Monitorizarea perimetrului
03B05-01 Perimetrul sau împrejurimile locațiilor se află sub supraveghere video completă și coerentă sau mijloace 1 4 E2
vizuale directe?
03B05-02 Este echipa de supraveghere dedicată misiunii sale, având doar atribuții de securitate și sunt toate alarmele 1 4 3 E3
detectate tratate ca cea mai mare prioritate?
03B05-03 În cazul unei alarme echipa de supraveghere are posibilitatea de a trimite o echipă de intervenție, fără 1 4 E2
întârziere, pentru a verifica cauza și să ia măsurile corespunzătoare?
03B05-04 Are echipa de securitate resurse suficiente pentru a acoperi eventualitatea unor multiple alarme pornite în 1 4 3 E3
mod intenționat?
03B05-05 Există un document care să ateste în mod clar ce măsuri să iau în cazul alarmelor? 1 2 E2
03B05-06 Supravegherea video este înregistrată și pastrată pentru o perioadă mare de timp? 1 1 E3
03B05-07 Se află sistemul de detectare a intruziunilor sub supraveghere (alarmă în caz de închidere, supraveghere 1 2 3 R1
video etc.)?
03B05-08 Procedurile de intervenție și supraveghere sunt verificate regulat? 1 2 3 C1

Mise à jour : janvier 2010 459863081.xlsx ! 03 Pre page 15

Chestionar de audit : Sisteme de arhitectura si securitatea logica
Referinta Intrebare R-V1 P Max Min Typ ISO Comentarii
27002
07A Controlul accesului la sisteme şi aplicaţii
07A01 Gestiunea profilului de acces (drepturi si privilegii accordate in functie de profilul functiilor)
07A01-01 Are stabilit o politica de management a drepturilor de acces asupra sistemelor sprijinind o analiza prealabila a 1 2 3 E1 11.1.1 Exista o politica de management a
exigentelor de securitate, bazate pe aspectele activitatii?
drepturilor de acces asupra sistemelor
07A01-04 Profilele permit sa defineasca orarele si calendarele de munca (ora de incepere si sfarsitul zielei, week-end, 1 2 3 E3 11.5.6
vancanta, etc)?
07A01-05 Aceste profile si atributiile drepturilor ale diferitelor profiluri au primit aprobarea proprietarilor informatiilor si/sau 1 4 2 E2 11.5.6
de la RSSI?
07A01-06 Este procesul de definire si managementul drepturilor atribuite profilelor sub un control strict? Un control strict 1 4 3 Drepturile de atribuire a profilelor este
cere ca lista persoanelor care pot schimba drepturile atribuite profilelor sa fie limitata si implementarea acestor realizat de departamentele resurse umane si
drepturi sa fie sigura si deasemenea sa existe un control capabil sa modifice aceste drepturi si orice administrativ si exista un numar limitat de
modificare sa poata fi auditata? persoane care pot opera astfel de modificari
dupa o procedura stricta.
07A01-07 Putem controla tot timpul lista de profiluri de drepturi si toate drepturile atribuite la fiecare profil? 1 2 2 C1 Departamentul Administrativ detine o lista
completa a drepturilor atribuite fiecarui
utilizator, lista care este confidentiala.

07A01-08 Exista un audit regulat, cel putin o data pe an, al ansamblulului de drepturi atribuite la fiecare profil si proceduri 1 4 2 C1 11.2.4
de management al profilurilor?
07A02 Managementul autorizarii de acces si privilegiile ( atributiile, delegarile, pensionarea)
07A02-01 Necesita procedura de acordare a autorizarii accesului accesului aprobarea oficiala a managementului de linie 0 4 2 E1
( la un nivel suficient de inalt) ?
07A02-02 Autorizatiile sunt acordate catre indivizii numiti doar ca o functie a profilului lor ? 1 2 E1
07A02-03 Este procedura de acordare (sau schimbare sau revocare) a autorizaţiei către o persoană (fie direct sau prin 1 4 2 E2 11.2.2
profilul său) strict controlată?
07A02-04 Exista un proces sistematic de actualizare a tabelului de autorizatii la momentul plecarii personalului ( intern 1 4 3 E2 11.2.4
sau extern organizatiei) ?
07A02-05 Exista un proces sistematic de actualizare a tabelului de autorizatii la schimbarea functiei? 1 4 3 E3 11.2.4
07A02-06 Exista un proces strict controlat ( precum cel de sus) care permite delegarea autorizatiei proprie, in parte sau 1 4 2 E3
in intregime , unei persoane la alegere pentru o perioada de timp determinata (in cazul absentei )?In acest Se poate realiza delegarea drepturilor unui
caz drepturile delegate nu mai trebuie sa fie autorizate persoanei care le-a delegat in acest timp. Detinatorul, utilizator catre alt utilizator, realizarea
oricum trebuie sa aiba posibilitatea sa le primeasca inapoi printr-un proces prin care el sau ea pun capat acestor drepturi putandu-se exercita pentru
efectiv delegarii. fiecare user in parte.

07A02-07 Este posibil sa se controleze in orice moment , pentru toti utilizatorii, drepturile, autorizatiile si privilegiile in 0 2 2 C1
07A02-08 vigoare ? audit regulat, cel putin o data pe an, al profilurilor si autorizatiilor acordate tuturor utilizatorilor si al
Exista un 1 1 2 C1 11.2.4
prcedurilor pentru managementul profilurilor atribuite
07A03 Autenficarea utilizatorilor sau entitatea cerand acces
07A03-01 Procesul de distribuire sau de schimbare a autenficarii garanteaza ca singurul titular poate sa aiba acces 1 2 1 E1 11.5.3
( difuzarea confidentiala, schimbarea parolei de catre utilizator, etc)?
07A03-02 Procesul de atribuire sau modificare a legitimatiilor utilizatorilor respecta o serie de reguli care asigura 4 2 E2 11.2.3; Pentru setarea parolei exista un set de reguli
validitatea intrinseca a acestora?In cazul parolelor: lungime adecvata(8 caractere sau mai mult), obligatoriu 11.5.3 stricte pentru a duce la bun sfarsit acest
mixaj de tipuri diferite de caractere, schimbarea frecventa(cel putin o data pe luna), imposibilitatea reutilizarii proces.
unei parole vechi, cuvintelor banale, poreclelor, numelor, anagrame, date etc. In cazul certificatelor si
autentificarilor bazate pe un mecanism criptografic: procesul de evaluare a persoanelor sau recunoastere
publica, parole de lungime suficienta etc.

Mise à jour : janvier 2010 459863081.xlsx ! 07 Sys page 16

Chestionar de audit : Sisteme de arhitectura si securitatea logica
Referinta Intrebare R-V1 P Max Min Typ ISO Comentarii
27002
07A03-04 Procesul de conectare (login) este securizat?O logare sigura nu ar trebui sa dea nici o informatie inainte ca 1 1 2 E3 11.5.1; Procesul de logare este securizat in sensul
procesul sa fie executat cu succes, sa nu afiseze parolele de autentificare, data sau ora ultimei conectari, 11.5.3 ca nu furnizeaza nici o informatie pana cand
eventualele conectari limitate care au esuat, etc. logarea nu s-a realizat.

07A03-10 Parametrii de autenficare sunt sub un control strict? 1 4 2 R1

07A03-11 Procesul care asigura autenficarea este sub un control strict? 1 4 3 C1
07A04 Filtrarea accesului si gestionarea asociatilor
07A04-01 Tot accesul la un sistem cere prezentarea identificatorului recunoscut de catre sistem? 1 1 2 E1 11.5.2 Accesul se realizeaza pe baza
identificatorului recunoscut de sistem.
07A04-02 Identificatorul recunoscut de catre sistem corespunde unei persone fizice unice si identificabilla, direct sau 1 4 2 E1 11.5.2
indirect?
07A04-03 Toate conturile generice sau prin absenta sunt suprimate? 0 4 3 2 E2 11.5.2
07A04-10 Efectueaza teste priodice de penetrare a sistemului informatic si de audit tehnic special aprofundat? 1 2 3 R2
07B Izolarea mediilor
07B01 Controlul de acces la reziduali
07B01-01 A procedat la o analiza impunsa, pentru fiecare tip de sistem, de fisiere si zone temporale afectate stocajului 1 4 3 2 E2
temporar de informatii si mijloacelor de acces la aceste fisiere si zone temporele?
07B01-02 Are identifcat suportul de stocaj reafectat de celelalte utilizaril dupa ce au continut informatiile sensibile? 1 4 E1
07B01-05 Exista proceduri de stergere fizica a rezidurilor sensibile (o memorie centrala sau asupra unui suport)? 1 4 E3
07B01-09 Toate procedurile si parametri de securitate a protejarii accesului rezidualilor fac obiectul unui audit regulat? 1 4 3 C1
07C Gestiunea si inregistrarea urmelor
07C01 Inreistrarea accesului la resursele sensibile
07C01-01 A procedat la o analiza specifica de acces la conectare si parametrii privind acest acces la conservare? 1 4 3 E2 10.10.2
07C01-03 Regulile specifice accesului la conectare si inregistrarea, sunt descrise si validate? 1 2 3 E2
07C01-06 Aceste reguli au fost validate de catre Directoratul Juridic (in special pentru inregistrarile care contin date cu 1 2 2 E3 10.10.1
caracter personal)?

07C01-09 Procesul care asigura inregistrarea conexiunilor si aplicatiile sunt sub un control strict? 1 4 3 C1
07D Securitatea arhitecturii
07D01 Siguranta functionarii a elementelor arhitecturii
07D01-01 A analizat criticitatea sistemelor generale ( de la arhitectura aplicativa, dar si inclusiv, sistemele generale 1 4 2 E2 S-a realizat o analiza a echipamentelor si
perifice atat si sistemele sau roboti de backup, servere de imprimare sau echipamente centrale de imrpimare, comportamentul acestora in cazul unor erori.
etc) pentru a pune in evidenta nevoile de continuitate a serviciului?

07D01-02 Aceasta analiza a permis de a formaliza perfomantele minimale sa asigure la nivelul fiecarui sistem si aceste 1 4 2 E2
performante minimale au fost acceptate de catre utilizatori?
07D01-07 Procedeaza regulat la teste care vizeaza sa demonstreze capacitatea elementelor de securitate sa asigure 1 2 3 2 C1
performantele minimale in cazul unui incident sau de pana de curent?
07D02 Izolarea sistemelor sensibile
07D02-01 A analizat sensibilitatea sistemelor generale (in functie de aplicatii si datele tratate, inclusiv sistemele generale 1 3 2 E2 11.6.2
periferice atat si sistemele sau roboti de backup, servere de imprimare sau echpamente centrale de
imprimare, etc) pentru a pune in evidenta exigenta securitatii?

Mise à jour : janvier 2010 459863081.xlsx ! 07 Sys page 17

Chestionar de audit : Sisteme de arhitectura si securitatea logica
Referinta Intrebare R-V1 P Max Min Typ ISO Comentarii
27002
07D02-02 Aceasta analiza a permis de a formaliza perfomantele minimale sa asigure la nivelul fiecarui sistem si aceste 1 3 1 E2 11.6.2
performante minimale au fost acceptate de catre utilizatori?
07D02-03 S-a dedus masuri de izolare ( fizice si logice) apropiate pentru servere sau echipamentele vizate? 0 3 2 E2 11.6.2 Nu sunt definite masurile de izolare a
sistemelor sensibile.

Mise à jour : janvier 2010 459863081.xlsx ! 07 Sys page 18

Mise à jour : janvier 2010 459863081.xlsx ! 07 Sys page 19
Mise à jour : janvier 2010 459863081.xlsx ! 07 Sys page 20
Mise à jour : janvier 2010 459863081.xlsx ! 07 Sys page 21