Ech

Compania Minioni presteaza servicii financiare si are Propriu Departame

Mediul IT este unul complex care consta dintr-un sistem de baza (ERP
CRM, Sistemul
La fel, există un numar de sisteme cum ar fi posta electronica, serviciu
ajutorul bazei de date MS Sql, exista un serviciu w
Compania a adoptat o strategie de standardizare a tehnologiilor la nivel de
8.1 si 10 - SO pentru utilizatori si tehnologii MicroTik pentru asigurar

Departamentul Audit Intern, care include 2 auditori TI este la etapa de p

planificate aproximativ 6 luni pentru planificarea auditelor tematice. In
precum si situatii de de inconsistență a datelor si erori de calcul in sis

Perioada pentru un
Companie
 Echipa nr.2 “Minioni”
Contextul organizaţional:
i are Propriu Departament TI format din 20 persoane si un serviciu de securitate informationala, format din 2 persoane, subor
Sefului Departament TI.
un sistem de baza (ERP) si un numar de 5 alte sisteme de bussiness după cum urmează: 1C contabilitate, 1C Salarizare, siste
CRM, Sistemul de raportare Oracle financials, Sistemul Moldlex.
osta electronica, serviciu DNS si DHCP, firewall, IDS, IPS , Anivirus AVG, datele cu care opereaza compania sunt prelucrate
S Sql, exista un serviciu web pentru clienti si unul intern, avand un web server Ngnix si limbaj site PHP 7.0.
a tehnologiilor la nivel de infrastructura, astfel, implementand in special tehnologii Windows pentru servere si versiuni Windo
MicroTik pentru asigurarea conexiunilor de rețea. Comunicarea intre angajati si clienti este prin serviciile de postă electronica
Skype.

itori TI este la etapa de planificare a activității pentru anul viitor. După integrarea activitatilor cu auditul operational, au rama
rea auditelor tematice. In cadrul auditului operational au fost identificate un numar de abateri de la procesele de afacere stabil
or si erori de calcul in sistemul menționat, fapt ce a dus la pierderi financiare. Acest fapt i-a îngrijorat foarte mult pe proprietar
companiei.
Perioada pentru un audit TI tematic este de aproximativ 4-6 saptamani.
Companie ce lucreaza cu date cu character personal;
mat din 2 persoane, subordonat

tate, 1C Salarizare, sistemul

compania sunt prelucrate cu

HP 7.0.
servere si versiuni Windows 7,
ciile de postă electronica și

itul operational, au ramas ne-

ocesele de afacere stabilite,
foarte mult pe proprietarii
ID Denumirea obiectului Descriere generală
de audit

1 1C: ERP Contabilitate 1C: Contabilitate reprezintă este un produs software ce

este predestinat pentru automatizarea evidenței
contabile și fiscale, incluzând pregătirea obligatorie a
rapoartelor (reglementate) la întreprindere.

2 1C: ERP Salariul și 1C: ERP Salariul și Managementul Personalului

Managementul Personalului reprezintă softul destinat automatizării complexe a
calculării salariului și realizării politicii de personal la
întreprindere.
3 Sistemul CRM Un sistem CRM (Customer Relationship Management)
ajută la gestionarea datelor clienților. Susține
gestionarea vânzărilor, oferă informații utile, se
integrează cu social media și facilitează comunicarea
echipei. Sistemele CRM bazate pe cloud oferă
mobilitate completă și acces la un ecosistem de
aplicații personalizate.

4 Oracle Financials ERP Oracle Financials ERP este o suită de aplicații software
bazată pe cloud introdusă de Oracle Corporation, ce
gestionează funcțiile întreprinderii legate de
managementul întreprinderii.
5 Moldlex Sistem Informatic, include baza de date juridice,
programul de consultare şi programul specializat
pentru actualizarea bazei de date, conţine peste 53
000 acte (denumiri şi texte), inclusiv toate codurile şi
actele internaţionale la care Republica Moldova a
aderat, în limbile română şi rusă.

6 Poşta Electronică Poşta electronică este una dintre cele mai utilizate
caracteristici ale Internetului, alături de web. Permite
trimiterea și primirea mesajelor către și de la oricine
care are o adresă de e-mail, oriunde în lume.

7 DNS Domain Name System este un sistem distribuit de

păstrare și interogare a unor date arbitrare într-o
structură ierarhică. Cea mai cunoscută aplicație a DNS
este gestionarea domeniilor în Internet.

8 DHCP Dynamic Host Configuration Protocol este un protocol

de rețea de calculatoare folosite de gazde (clienți
DHCP) care atribuie adrese IP și alte informații de
configurare de rețea importante în mod dinamic.

9 Windows Firewall Windows Firewall este o aplicație de securitate creată

de Microsoft și integrată în Windows, concepută
pentru a filtra transmisiile de date de rețea către și din
sistemul dvs. Windows și pentru a bloca comunicațiile
dăunătoare și / sau programele care le inițiază

10 IDS Intrusion Detection System monitorizează traficul de

rețea pentru activități suspecte.
11 IPS Intrusion Prevention System controlează accesul la o
rețea IT și o protejează de abuz și atac.

12 Antivirus AVG Antivirusul AVG este folosit în general pentru

prevenirea și eliminarea virușilor de computer,
viermilor și cailor troieni. De asemenea, poate detecta
și elimina adware, spyware și malware.

13 MS SQL Microsoft SQL Server este un sistem de gestionare a

bazelor de date relaționale dezvoltat de Microsoft.

14 Serviciu WEB Un serviciu web este un serviciu pus la dispoziție

utilizatorilor pe Internet.
15 Serviciu WEB Un serviciu web este un serviciu pus la dispoziție
utilizatorilor pe Internet.

16 WEB Server Ngnix Ngnix este un WEB server, unde funcţia de bază este
de a stoca, procesa și livra pagini web către clienți.
Comunicarea dintre client și server are loc utilizând
Protocolul de transfer hipertext (HTTP).

17 SO (Sisteme de Operare) Sistemul de Operare este un ansamblu de programe

care are rolul de a gestiona și de a facilita utilizatorului
accesul la resursele sistemului de calcul.

18 Skype Skype este un software gratuit, ce permite utilizatorilor

să efectueze convorbiri telefonice cu video prin
Internet, utilizând tehnici din familia Voice over IP
(VoIP).

19 VPN VPN sau o rețea virtuală privată este o conexiune

securizată criptată la o altă rețea decât cea în care te
afli, de obicei, prin intermediul internetului.

20 Tehnologii de reţea Mikrotik Ţine de totalitatea de dispozitive (router, switch,

cabluri), configurări ce permit accesul la internet.
 Universul de Audit
Descrierea funcţională Categorie Obiective de Audit

1C: Contabilitate este utilizat pentru contabilitatea bunurilor, SIN (Sistem A

materialelor, serviciilor, mijloacelor fixe şi imobilizărilor Informatic) determina dacă
necorporale. Oferă contabilitatea tranzacțiilor comerciale în riscurile de securitate
unități de producție, crearea de specificații, standarde de aferente sistemului sunt
cost, raportarea cu privire la lipsa materialelor în conştientizate şi
departamentele de producție. Pe lângă aceasta aplicaţia gestionate adecvat,
permite stocare de fișiere și documente, calendar, planificări, conform cerinţelor
sarcini, proiecte; actelor normative şi
legale în vigoare

1C:Enterprise 8. Salariul și Managementul Personalului este SIN (Sistem A

utilizat pentru calcularea salariului; gestionarea motivării Informatic) determina dacă
financiare a personalului; reținerea impozitelor și riscurile de securitate
contribuțiilor reglementate de legislație din fondul de aferente sistemului sunt
retribuire a muncii; reflectarea salariului calculat și a conştientizate şi
impozitelor în cheltuielile întreprinderii; gestiunea gestionate adecvat,
decontărilor cu personalul, inclusiv cu deponenții; evidența conform cerinţelor
personalului și analiza componenței cadrelor; automatizarea actelor normative şi
activității secției resurse umane; planificarea necesităților de legale în vigoare
personal; gestiunea competențelor, instruirii, atestării
salariaților; planificarea eficientă a gradului de ocupare al
personalului.
 Sistemul CRM este utilizat pentru a ţine evidenţa tuturor SIN (Sistem A
contractelor cu clienţii companiei, platforma de gestionare a Informatic) determina dacă
contractelor ajută la descoperirea noilor conexiuni, riscurile de securitate
recomnadări, reţele industriale de interes comun. aferente sistemului sunt
conştientizate şi
gestionate adecvat,
conform cerinţelor
actelor normative şi
legale în vigoare

Oferă o suită de aplicații, inclusiv planificarea materialelor, SIN (Sistem A

contabilitatea financiară, analitica și raportarea self-service. Informatic) determina dacă
riscurile de securitate
aferente sistemului sunt
conştientizate şi
gestionate adecvat,
conform cerinţelor
actelor normative şi
legale în vigoare
 Este folosit pentru a fi la curent cu toate actele normative, SIN (Sistem A
legislative din Repulica Moldova. Informatic) determina dacă
riscurile de securitate
aferente sistemului sunt
conştientizate şi
gestionate adecvat,
conform cerinţelor
actelor normative şi
legale în vigoare

Poşta electronică permite trimiterea şi recepţionarea

mesajelor atât între angajaţii companiei, adică la nivel intern,
la fel este folosit şi la nivel extern cu clienţii companiei.

DNS este folosit atat in Internet, astfel incat oricine sa poate

accesa o resursa (ex: site web), cat si din reteaua locala
pentru gestionarea resurselor interne. La aceste resurse
interne (server de mail, server de baza de date, web etc.),
doar accesul autorizat va fi permis al persoanelor din
companie.

Protocolul de reţea DHCP este utilizat pentru configurarea

dispozitivelor noi pentru a puitea accesa reţeaua şi
internetul.

Windows Firewall este folosit pentru a filtra transmisiunile

de date prin rețea cât şi prin internet. Aplicația blochează
comunicații periculoase și/sau programele periculoase care
le inițiază.

IDS-ul monitorizează reţeaua şi trimite alerte

administratorilor de sistem în cazul în care este detectat o
ameninţare potenţială.
 IPS-ul este folosit pentru monitorizarea datelor de
intruziune, unde mai apoi se iau măsurile necesare de a
preveni dezvolatarea unui atac.

Antivirusul AVG este utilizat pentru prevenirea, detectarea,

eliminarea viruşilor, atacurilor maliţioase.

MS SQL este folosit pentru stocarea și recuperarea datelor cu

privire la tranzacţii şi alte operaţiuni financiare. La fel
stochează datele cu privire la serviciile web folosite la nivel
intern şi extern.

Serviciul WEB intern este predestinat angajaţilor companiei, SIN (Sistem A

cu ajutorul acestui serviciu angajaţii pot vizualiza o statistică Informatic) determina dacă
ce ţine de cele mai folosite produse, servicii oferite de către riscurile de securitate
companie, la fel acest serviciu monitorizează problemele pe aferente sistemului sunt
care clienţii le întâlnesc, acestea ulterior fiind înregistrate, conştientizate şi
analizate iar mai apoi fixate. gestionate adecvat,
conform cerinţelor
actelor normative şi
legale în vigoare
Serviciul WEB extern este predestinat clienţilor sau viitorilor SIN (Sistem A
clienţi ai companiei, cu ajutorul acestui serviciu clienţii pot Informatic) determina dacă
vizualiza toate produsele, serviciile oferite de către riscurile de securitate
companie, la fel acest serviciu permite înregistrarea unor aferente sistemului sunt
probleme cu referire la unele tranzacţii, ca mai apoi acestea conştientizate şi
fiind soluţionate de către angajaţii companiei. gestionate adecvat,
conform cerinţelor
actelor normative şi
legale în vigoare

Ngnix este utilizat pentru a stoca, procesa, livra pagini web,

unde solicitanţii pot accesa cu ajutorul protocolului HTTP.

Este utilizat pentru a asigura o bună comunicare între om -

maşină.

Skype-ul este utilizat pentru a comunica cu clienţii fie

efectându-se convorbiri telefonice sau cu Video prin
Internet.

VPN-ul este utilizat pentru a facilita lucrul de la distanţă, fie A

de acasă sau oricare altă regiune. determina dacă
riscurile de securitate
în urma utilizării VPN-ului
sunt
conştientizate şi
gestionate adecvat.

Sunt folosite pentru a asigura o conexiune securizată în

reţea, inspectându-se pachetele primite/transmise.
 Sfera de Audit Versiune Aplicare
(internă/externă)

Gestiunea 1C: Сontabilizare 4.0 Intern

accesului la sistem (sistem - Sistem ERP bazat
control acces, pe 1C: Enterprise 8
acces utilizatori, acces la nivel
de aplicaţie, mediu
de operare, date) Menţinere,
dezvoltare şi suport
(managementul schimbărilor,
managementul
incidentelor, managementul
operaţiunilor, help
desk) Interacţiunea cu alte
sisteme Planificarea
continuităţii şi restabilirii
Conformarea cerinţelor
legale în vigoare

Gestiunea 1C:Enterprise 8. Intern

accesului la sistem (sistem Salariul și
control acces, Managementul
acces utilizatori, acces la nivel Personalului pentru
de aplicaţie, mediu Moldova
de operare, date) Menţinere,
dezvoltare şi suport
(managementul schimbărilor,
managementul
incidentelor, managementul
operaţiunilor, help
desk) Interacţiunea cu alte
sisteme Planificarea
continuităţii şi restabilirii
Conformarea cerinţelor
legale în vigoare
 Gestiunea Intern
accesului la sistem (sistem
control acces,
acces utilizatori, acces la nivel
de aplicaţie, mediu
de operare, date) Menţinere,
dezvoltare şi suport
(managementul schimbărilor,
managementul
incidentelor, managementul
operaţiunilor, help
desk) Interacţiunea cu alte
sisteme Planificarea
continuităţii şi restabilirii
Conformarea cerinţelor
legale în vigoare

Gestiunea Intern
accesului la sistem (sistem
control acces,
acces utilizatori, acces la nivel
de aplicaţie, mediu
de operare, date) Menţinere,
dezvoltare şi suport
(managementul schimbărilor,
managementul
incidentelor, managementul
operaţiunilor, help
desk) Interacţiunea cu alte
sisteme Planificarea
continuităţii şi restabilirii
Conformarea cerinţelor
legale în vigoare
 Gestiunea Intern
accesului la sistem (sistem
control acces,
acces utilizatori, acces la nivel
de aplicaţie, mediu
de operare, date) Menţinere,
dezvoltare şi suport
(managementul schimbărilor,
managementul
incidentelor, managementul
operaţiunilor, help
desk) Interacţiunea cu alte
sisteme Planificarea
continuităţii şi restabilirii
Conformarea cerinţelor
legale în vigoare

Intern/Extern

Intern

Intern

Intern

Intern
 Intern

Antivirus AVG 20.7 Intern

SQL Server 2019 Intern

Gestiunea Intern
accesului la sistem (sistem
control acces,
acces utilizatori, acces la nivel
de aplicaţie, mediu
de operare, date) Menţinere,
dezvoltare şi suport
(managementul schimbărilor,
managementul
incidentelor, managementul
operaţiunilor, help
desk) Interacţiunea cu alte
sisteme Planificarea
continuităţii şi restabilirii
Conformarea cerinţelor
legale în vigoare
 Gestiunea Extern
accesului la sistem (sistem
control acces,
acces utilizatori, acces la nivel
de aplicaţie, mediu
de operare, date) Menţinere,
dezvoltare şi suport
(managementul schimbărilor,
managementul
incidentelor, managementul
operaţiunilor, help
desk) Interacţiunea cu alte
sisteme Planificarea
continuităţii şi restabilirii
Conformarea cerinţelor
legale în vigoare

Nginx 1.19 Intern/Extern

Windows 7, Intern
Windows 8.1,
Windows 10

Extern

Gestiunea Extern
accesului la sisteme
(sistemele de control, acces,
acces utilizatori, acces la nivel
de aplicaţie, mediu).

Intern