SC ELECTRO ALFA INTERNATIONAL SRL Botoşani

PROCEDURA OPERATIONALA
MANAGEMENTUL COMUNICATIILOR SI OPERATIUNILOR

APROBAT
DIRECTOR OPERATIONAL,
ing. Gabriela NECHIFOR

MANAGEMENTUL COMUNICATIILOR SI OPERATIUNILOR

Cod: PO - 05

Documente de referinţă:

SR EN ISO 9001:2008
SR ISO / CEI 27001:2006

Exemplar nr : …... distribuit la : ………………………………………………….

Copie : controlată necontrolată

Verificat, Elaborat,

ing. Ionel FILIP ing. Mircea LUCA

Documentul de fata este proprietatea SC ELECTRO ALFA INTERNATIONAL SRL Botoşani.

Multiplicarea si difuzarea acestui document, fără aprobarea Directorului Operational, este interzisă.

Cod : PO - 05 Ediţia: 1 Revizia: 0 Data : 10.05.2010 Pag. 1 / 9

Acest document printat iese de sub control. Dacă doriţi să-l utilizaţi, verificaţi dacă este în ediţia şi revizia în vigoare
 SC ELECTRO ALFA INTERNATIONAL SRL Botoşani
PROCEDURA OPERATIONALA
MANAGEMENTUL COMUNICATIILOR SI OPERATIUNILOR

LISTA DE CONTROL A REVIZIILOR

Ediţia/
Nr. Continut sumar
Revizia/ Elaborat Aprobat
crt Nr. capitol, punct
data
1 Ed. 1/Rev.0 Redactare iniţială RSI Director Operational
10.05.2010 ing. Mircea LUCA

LISTA DE DIFUZARE –RETRAGERE

Exemplar Suport Data Semnătura

Destinatar
Nr. h/m difuzării primire
original Serv. MCM h/m 15.05.2010
Server domeniu\Docum_sistem m 15.05.2010
1 Serv. IT h/m 15.05.2010
Directia C&D m
Directia Vanzari m
Directia Antrepriza m
Directia Productie m

Departament Mk m
Departament HR m
Punct Lucru Iasi m
Punct LucruBuc. m
Punct Lucru Cluj m
Punct Lucru Brasov m

Cod : PO - 05 Ediţia: 1 Revizia: 0 Data : 10.05.2010 Pag. 2 / 9

Acest document printat iese de sub control. Dacă doriţi să-l utilizaţi, verificaţi dacă este în ediţia şi revizia în vigoare
 SC ELECTRO ALFA INTERNATIONAL SRL Botoşani
PROCEDURA OPERATIONALA
MANAGEMENTUL COMUNICATIILOR SI OPERATIUNILOR

1. SCOP

Procedura documenteaza modul in care SC ELECTRO ALFA INTERNATIONAL SRL asigură:

 Operarea corectă şi în condiţii de securitate a sistemelor de procesare a informaţiei;

 Implementarea şi menţinerea unui nivel corespunzător al securităţii informaţiei şi al livrării serviciilor
în concordanţă cu acordurile de furnizare de către terţi;
 Reducerea riscurilor de disfuncţionalităţi ale sistemelor
 Protejarea integrităţii software-ului şi a informaţiei
 Menţinerea integrităţii şi disponibilităţii informaţiei şi a sistemelor de procesare a informaţiei;
 Protecţia reţelelor de informaţii şi protecţia infrastructurii de suport
 Prevenirea divulgării neautorizate, modificarea, îndepărtarea sau distrugerea resurselor şi
întreruperea activităţilor afacerii;
 Menţinerea securităţii schimbului de informaţii şi software în interiorul organizaţiei sau cu orice
entitate externă;
 Securitatea serviciilor de comerţ electronic şi utilizarea lor în condiţii de siguranţă;
 Identificarea activităţilor neautorizate de procesare a informaţiei;

2. DOMENIU DE APLICARE

Procedura se aplica de catre toate persoanele implicate în procesul de management al comunicaţiilor şi

operaţiilor necesare asigurării securităţii sistemelor de procesare a informaţiei.

3. TERMENI SI DEFINITII. PRESCURTĂRI

Pentru scopurile acestei proceduri se utilizează termenii şi definiţiile din

SR EN ISO 9000:2006-Sisteme de management al calităţii. Principii fundamentale şi vocabular .
SR ISO/CEI 27001:2006-Tehnologia informaţiei. Tehnici de securitate. Sisteme de management al
securităţii informaţiei. Cerinţe
SR ISO / CEI 27002:2008 - Tehnologia informatiei. Tehnici de securitate. Cod de buna practica pentru
managementul securitatii informatiei.
dintre care enumerăm :

Politica
maniera de a actiona pentru atingerea unui scop
Procedură:
mod specificat de efectuare a unei activităţi sau a unui proces.
Resurse
orice prezinta valoare pentru organizatie (documente, fisiere, baze de date, calculatoare, echipamente
de comunicare, software de baza / de aplicatie, servicii, persoane )
Inregistrare:
document prin care se declară rezultatele obţinute sau furnizează dovezi ale activităţilor realizate.
Document
Informatie impreuna cu mediul sau suport
Documentaţie:
totalitatea informaţiilor, a documentelor referitoare la o anumită problemă sau la un anumit domeniu de
activitate
Informatii
orice documente, date, obiective sau activitati, indiferent de suport, forma, mod de exprimare sau de
punere in circulatie

Cod : PO - 05 Ediţia: 1 Revizia: 0 Data : 10.05.2010 Pag. 3 / 9

Acest document printat iese de sub control. Dacă doriţi să-l utilizaţi, verificaţi dacă este în ediţia şi revizia în vigoare
 SC ELECTRO ALFA INTERNATIONAL SRL Botoşani
PROCEDURA OPERATIONALA
MANAGEMENTUL COMUNICATIILOR SI OPERATIUNILOR
Utilizator
o persoană, o aplicaţie informatică sau un proces utilizator, autorizat de societate, în conformitate cu
procedurile şi regulamentele în vigoare, să folosească resursele informatice.
Declaraţie de aplicabilitate :
declaraţie documentată care descrie obiectivele de control şi măsurile de securitate care sunt relevante
şi aplicabile sistemului de management al securităţii informaţiei al organizaţiei.

SMSI Sistem de Management al Securitatii informatiei

RSI Responsabil cu securitatea informatiei
RGSI Regulament privind securitatea informatiei
PO Procedura operationala
DASI Declaraţie de aplicabilitate
CSI Comitetul de Securitate a Informaţiei

4. DOCUMENTE DE REFERINŢĂ

SR ISO / CEI 27001:2006 - Tehnologia informatiei. Tehnici de securitate. Sisteme de management al

securitatii informatiei. Cerinţe.
SR ISO / CEI 27002:2008 - Tehnologia informatiei. Tehnici de securitate. Cod de buna practica pentru
managementul securitatii informatiei.
MSMI-EAI - Manualul Sistemului de Management Integrat

5. RESPONSABILITĂŢI

5.1. Responsabilul cu securitatea informatiei - RSI

 Raporteaza in cadrul sedintei pentru analiza efectuata de management, rezultatele monitorizarii

respectarii de catre salariati a prevederilor prezentei proceduri

5.2. Sef Serv. MCMSSO

 Evalueaza conformitatea Sistemului de Management al Securitatii Informatiei cu standardele şi

politicile de securitate.

5.3. Utilizatorii

 Au responsabilitatea de a se conforma prevederilor prezentei proceduri şi a Regulamentelor privind

securitatea informaţiei.

Cod : PO - 05 Ediţia: 1 Revizia: 0 Data : 10.05.2010 Pag. 4 / 9

Acest document printat iese de sub control. Dacă doriţi să-l utilizaţi, verificaţi dacă este în ediţia şi revizia în vigoare
 SC ELECTRO ALFA INTERNATIONAL SRL Botoşani
PROCEDURA OPERATIONALA
MANAGEMENTUL COMUNICATIILOR SI OPERATIUNILOR

6. PROCEDURA

6.1. Proceduri operaţionale şi responsabilităţi

6.1.1. Proceduri de operare

Desfăşurarea activităţilor tuturor proceselor din societate se face conform documentelor SMI (proceduri
de sistem, operaţionale, instrucţiuni de lucru, politică şi procedură, regulamente) documentate
disponibile utilizatorilor pentru operarea tuturor sistemelor de procesare a datelor (pornire, oprire, back-
up, întreţinere, manipulare, managementul corespondenţei şi al informaţiilor din sistem , audit, siguranţă,
tratare erori, etc.).

6.1.2. Managementul schimbărilor

Pentru managementul tuturor schimbărilor aduse echipamentelor, software-ului şi procedurilor sunt
stabilite proceduri şi responsabilităţi formale.
Acestea includ:
 identificarea şi înregistrarea schimbărilor semnificative;
 planificarea şi testarea schimbărilor;
 evaluarea impactului;
 aprobarea oficială a schimbărilor;
 comunicarea schimbărilor către părţile relevante;
 proceduri de rezervă, inclusiv pentru insucces;
 păstrare audit log.

6.1.3. Separarea atribuţiilor

Atribuţile şi domeniile de responsabilitate sunt separate pentru a reduce posibilităţile de modificare
neautorizată sau utilizare abuzivă a datelor si informatiilor sau serviciilor. Initierea unui eveniment este
separata de procesul de autorizare a acestuia.

6.1.4. Separarea sistemelor de dezvoltare, testare şi a sistemelor operaţionale

Structura organizatorică a societăţii permite separarea sarcinilor pentru a reduce posibilităţile de
modificare neautorizată sau utilizarea abuzivă a datelor şi informaţiilor sau serviciilor. Iniţierea unui
eveniment este separată de autorizarea lui iar mijloacele de testare şi dezvoltare sunt separate de
sistemele operaţionale.

6.2. Managementul serviciilor furnizate de terţi

6.2.1. Furnizarea serviciilor

In cazul utilizării serviciilor unor terţe părţi, se stabilesc împreună cu contractorul metodele de securitate
corespunzătoare şi se includ în contract, luând în considerare următoarele aspecte, după caz :

• stabilirea responsabilităţilor pentru relaţia cu contractorul terţă parte;

• necesitatea de a asigura securitatea transferului de informaţii şi mijloace de procesare între părţi;
• cerinţa precum contractorul trebuie să implementeze un proces de continuitate în cazul unor
incidente dramatice;
• cerinţa precum contractorul va fi monitorizat si auditat periodic;
• cerinţa precum evenimentele şi incidentele trebuiesc raportate de terţa parte şi analizate.

6.2.2. Monitorizarea şi evaluarea serviciilor terţilor

Serviciile furnizate de terţi vor fi evaluate inclusiv prin prisma cerinţelor legate de asigurarea securităţii
informaţiei, conform procedurii de lucru „Aprovizionare”, cod PL-7.4-01
Pentru aplicaţiile/operaţiunile critice se va face evaluarea riscului înainte ca acestea să fie externalizate.

Cod : PO - 05 Ediţia: 1 Revizia: 0 Data : 10.05.2010 Pag. 5 / 9

Acest document printat iese de sub control. Dacă doriţi să-l utilizaţi, verificaţi dacă este în ediţia şi revizia în vigoare
 SC ELECTRO ALFA INTERNATIONAL SRL Botoşani
PROCEDURA OPERATIONALA
MANAGEMENTUL COMUNICATIILOR SI OPERATIUNILOR
6.2.3. Managementul modificărilor în cazul serviciilor terţilor
Managementul şi controlul schimbărilor serviciilor unei terţe părţi va ţine cont de criticitatea sistemelor şi
se va proceda la re-evaluarea riscurilor.
In managementul serviciilor furnizate de terţi se vor respecta inclusiv prevederile Regulamentului privind
Relaţia cu terţii, cod RGSI-03.

6.3. Planificarea şi acceptanţa sistemelor

6.3.1. Managementul capacităţii

Utilizarea resurselor este monitorizată, ajustată atunci când este cazul şi sunt estimate cerinţele viitoare
legate de capacitatea tehnică pentru a asigura că puterea de procesare şi stocare este corespunzătoare
şi suficientă.
Utilizarea resurselor este monitorizată de RSI, conform prevederilor procedurii „Monitorizarea sistemului
informatic”, cod PO-09.
CSI estimează cerinţele viitoare legate de capacitatea tehnică pentru a asigura puterea de procesare şi
stocare corespunzătoare şi suficientă, conform necesităţilor firmei.
CSI identifică necesităţile pentru resursele critice pentru care este nevoie de timp lung de aprovizionare
şi va dispune măsuri pentru a evita blocajele şi dependenţa de anumite persoane cheie.

6.3.2. Acceptanţa sistemului

Sunt stabilite criterii de acceptare şi sunt efectuate teste corespunzătoare înainte de acceptarea oficială
a unor noi sisteme de informaţii, up-grade sau instalarea de versiuni noi.
Următoarele aspecte sunt luate în considerare înainte de aprobarea oficială:
• Cerinţe de performanţă şi capacitate
• Repararea erorilor, repornirea sistemelor şi planuri alternative
• Stabilirea măsurilor de securitate şi de continuitate în caz de insucces
• Analiza implicaţiilor activităţilor de instalare asupra sistemelor în perioadele de vârf ale
organizaţiei
• şi asupra securităţii în general;
• Instruire în operarea şi utilizarea sistemelor noi înainte de instalare
• Execuţia de teste şi consultarea utilizatorilor în fazele de dezvoltare a proiectelor majore ;
• Acceptarea sistemelor prin procese de certificare şi validare

6.4. Protecţia împotriva codurilor mobile şi dăunătoare

6.4.1. Măsuri de securitate împotriva codului mobil şi a codurilor cu potenţial dăunător

Organizatia dispune de metode de detectare, prevenire şi restabilire pentru protecţia împotriva software-
lui potenţial dăunător.
Prin instruirele periodice efectuate utilizatorii sunt conştientizaţi privind responsabilităţile ce le revin în
conformarea privind utilizarea licenţelor software şi interzicerea utilizării software-ului neautorizat.
Politica organizaţiei este de a nu permite utilizarea fişierelor şi software-ului obţinute din şi prin
intermediul reţelelor externe sau de pe orice alte medii. Totuşi, în cazuri justificate, acestea se vor folosi
numai numai cu aplicarea măsurilor de protecţie.
Documentele SMI referitoare la securitatea informaţiei (proceduri, regulamente) prevăd responsabilităţi
ale managementului pentru tratarea codului potenţial dăunator, protecţia sistemelor, instruire în utilizarea
sistemelor, raportarea şi recuperarea în urma atacurilor cu viruşi.
Există planuri adecvate de continuitate a activitatilor pentru recuperare în urma atacului cu viruşi.
Sunt implementate proceduri pentru colectarea regulata de informatii dar si verificarea acestora din
surse reputabile privind codul delictual.
Modul de lucru este descris în Regulamentul privind Detectarea viruşilor.

Cod : PO - 05 Ediţia: 1 Revizia: 0 Data : 10.05.2010 Pag. 6 / 9

Acest document printat iese de sub control. Dacă doriţi să-l utilizaţi, verificaţi dacă este în ediţia şi revizia în vigoare
 SC ELECTRO ALFA INTERNATIONAL SRL Botoşani
PROCEDURA OPERATIONALA
MANAGEMENTUL COMUNICATIILOR SI OPERATIUNILOR
6.4.2. Măsuri de securitate
Utilizarea codului mobil se va face numai cu autorizarea dată de conducerea societăţii iar operarea
acestui cod corespunde se va face în conformitate cu politica de securitate a informaţiei.
Executia codului neautorizat este blocată.

6.5. Copia de siguranţă

Copiile de siguranţă ( back-upuri) pentru date şi software iau în considerare dezastrele sau defectarea
sistemelor media.
Sunt stabilite următoarele elemente:
• nivelul de back-up al informaţiei;
• înregistrarea copiilor de siguranţă (back-up) şi definirea unei proceduri de restaurare;
• volumul şi frecvenţa;
• depozitarea într-un loc aflat la distanţă;
• protecţia copiilor de siguranţă şi a locaţiei;
• testarea;
• criptarea informatiilor din back-up, după caz.
• indeplinirea cerintelor de continuitate a activitatilor;
• perioada de păstrare si arhivare

Modul de lucru concret este descris în Regulamentul privind Copia de siguranta ( Backup).

6.6. Managementul securităţii reţelei

6.6.1. Măsuri de securitate a reţelelor

Configurarea reţelei informatice permite implementarea unor metode de securitate pentru asigurarea
protecţiei datelor şi protecţiei serviciilor aferente împotriva accesului neautorizat.
Sunt definite clar caracteristicile, nivelul si cerintele serviciilor de retea iar acestea sunt incluse in
acorduri sau specificatii chiar daca serviciile sunt furnizate intern sau extern.
Este evaluata capabilitatea furnizorului de servicii de retea in privinta securitatii, monitorizata si auditata
activitatea acestuia.
Caracteristicile serviciilor de retea avute in vedere: tehnologia in domeniul securitatii accesului;
parametrii tehnici; procedurile de utilizare si restrictionare a serviciilor.

6.6.2. Securitatea serviciilor de reţea

Este evaluată capabilitatea furnizorului de servicii de retea in privinta securitatii, se monitorizează si se
auditează activitatea acestuia.
Caracteristicile serviciilor de retea avute in vedere:
• tehnologia in domeniul securitatii accesului;
• parametrii tehnici;
• procedurile de utilizare si restrictionare a serviciilor.

6.7. Manipularea mediilor de stocare

6.7.1. Managementul mediilor de stocare amovibile

Organizaţia are stabilite metode de securitate corespunzătoare pentru managementul elementelor
media amovibile, urmărind ca linii directoare următoarele aspecte:
• Elementele media care nu mai sunt necesare organizatiei sunt tratate pana devin nerecuperabile
• Este autorizata si inregistrata eliminarea elementelor media, dupa caz;
• Elementele media sunt pastrate in conditii de de siguranta si securitate conform specificatiilor
fabricantului
• Informatiile stocate pe elemente media pentru o perioada foarte lunga beneficiează de conditii
speciale de pastrare;
• Inregistrarea elementelor media se face in scopul prevenirii pierderii;
Cod : PO - 05 Ediţia: 1 Revizia: 0 Data : 10.05.2010 Pag. 7 / 9
Acest document printat iese de sub control. Dacă doriţi să-l utilizaţi, verificaţi dacă este în ediţia şi revizia în vigoare
 SC ELECTRO ALFA INTERNATIONAL SRL Botoşani
PROCEDURA OPERATIONALA
MANAGEMENTUL COMUNICATIILOR SI OPERATIUNILOR
• Driverele elementelor media sunt active numai daca este necesar;

Modul de lucru concret este descris în Regulamentul privind Managementul mediilor amovibile.

6.7.2. Distrugerea mediilor de stocare

Toate elementele media (nu numai cele amovibile) sunt eliminate in conditii de securitate utilizand
diverse metode si tinand cont de sensibilitatea informatiilor prin :incinerare, tocare, stergere definitiva a
datelor.

6.7.3. Proceduri de manipulare a informaţiei

Manipularea si pastrarea informatiilor pentru a evita divulgarea neautorizata sau utilizarea neconforma,
se va face tinand cont de modul de clasificare a informaţiilor, conform prevederilor procedurii
operationale „Managementul resurselor informationale”.

6.7.4. Securitatea documentaţiei de sistem

Documentatia sistemelor este protejata impotriva accesului neautorizat prin:
• păstrarea în condiţii de securitate
• acces autorizat redus la minimul necesar, conform Lista de acces autorizat, cod L-PO05-01;

Documentatia disponibilă public sau furnizată prin reţele publice este protejată corespunzator.

6.8. Schimbul de informaţii

6.8.1. Proceduri şi politici pentru schimbul de informaţii

Prin politicile si procedurile specifice securitatii informaţiei sunt tinute sub control schimburile de date şi
software cu alte organizaţii, realizate prin orice mijloace de comunicare.
Pentru securitatea informatiilor asociate sistemelor de birou electronice sunt aplicate măsuri de
securitate pentru interconectarea acestor mijloace.

6.8.2. Acorduri de schimb

Acordurile pentru schimbul de informatii si software cu partile externe includ şi condiţii de securitate
proprii, impuse de organizaţie.

6.8.3. Mediile fizice de stocare în tranzit

Atunci cand sunt transportate in afara perimetrului organizatiei elementele media care contin informatii
sunt protejate impotriva accesului neautorizat, utilizarii necorespunzatoare, deteriorarii.

6.8.4. Mesageria electronica

Protectia informatiilor implicate in mesajele electronice se face prin:
• securitatea accesului, modificarii si a executiei serviciului;
• transportarea mesajului la adresa corecta;
• asigurarea disponibilitatii si fiabilitatii serviciului;
• indeplinirea cerintelor legale (ex. semnatura electronica);
• obtinerea aprobarii inainte de a utiliza servicii publice externe (ex. mesagerie instant, partajarea
fisierelor)
• asigurarea unui nivel puternic al autentificarii accesului din retelele accesibile public
Modul de lucru este descris în Regulamentul privind Mesageria electronică .

6.8.5. Sistemele de informaţii ale afacerii

Pentru securitatea informatiilor asociate sistemelor de birou electronice sunt aplicate măsuri de
securitate pentru interconectarea acestor mijloace

Cod : PO - 05 Ediţia: 1 Revizia: 0 Data : 10.05.2010 Pag. 8 / 9

Acest document printat iese de sub control. Dacă doriţi să-l utilizaţi, verificaţi dacă este în ediţia şi revizia în vigoare
 SC ELECTRO ALFA INTERNATIONAL SRL Botoşani
PROCEDURA OPERATIONALA
MANAGEMENTUL COMUNICATIILOR SI OPERATIUNILOR
6.9. Servicii de comerţ electronic
In desfăşurarea activităţilor sale, ELECTRO ALFA INTERNATIONAL SRL utilizează comerţul electronic
ca mijloc de promovare a afaceriilor şi de asigurare a relaţiilor cu clienţii şi terţi utilizatori .
Integritatea informaţiilor care sunt vizibile pe un sistem public sunt protejate pentru a preveni modificarea
neautorizata (ex.semnatura digitala). Sistemele accesibile public sunt testate inainte de a fi utilizate.
Informatiile sunt facute publice dupa verificare si aprobare

6.10. Monitorizarea
Sistemele sunt monitorizate si evenimentele de securitate sunt inregistrate, conform prevederilor
Regulamentului privind Monitorizarea resurselor informatice, cu respectarea cerinţelor legale în privinţa
monitorizării.

6.10.1. Jurnalul de audit

RSI va ţine la zi un Jurnalul de audit în care va înregistra activităţile utilizatorului, excepţiile şi
evenimentele de securitatea informaţiei, cu scopul de a facilita eventualele investigaţii şi pentru
monitorizarea de control a accesului.

6.10.2. Monitorizarea utilizării sistemului

Monitorizarea utilizării sistemelor de procesare a informaţiilor va viza în mod deosebit următoarele
aspecte:
• accesul autorizat;
• operatiile privilegiate;
• încercările de acces neautorizat;
• violarea politicilor de acces;
• alerte sau caderi ale sistemelor;
• încercări de modificare sau modificarea configurarilor de securitate.

6.10.3. Protecţia informaţiilor din jurnale

RSI va stabili mijloacele de înregistrare a log-urilor şi informaţiile din log şi va lua măsuri de protejare
împotriva falsificarii şi accesului neautorizat.

6.10.4. Jurnalul activităţilor administratorului şi operatorului

Activitatile operatorilor şi administratorului de sistem sunt înregistrate în log-uri care cuprind momentul
executiei, descrierea actiunii, identificarea operatorului, procesul implicat. Aceste log-uri sunt analizate
periodic.

6.10.5. Înregistrarea erorilor şi deficienţelor în funcţionare

Logurile de defecte sunt păstrate, analizate şi sunt urmate de acţiuni corespunzatoare. Defectele sunt
rezolvate corespunzător prin măsuri corective si reverificate.
Modul de lucru este descris în Regulamentele privind Monitorizarea resurselor informatice, Detectarea
accesului neautorizat si Deranjamente în sistemul resurselor informatice.

7. ÎNREGISTRĂRI

Locul de
Înregistrarea Cod, suport Aprobă Durata
păstrare
Lista de acces autorizat L-PO05-01 (h /m) Director Operational RSI 3 ani
Jurnal de audit Director Operational RSI 3 ani

8. ANEXE
Fara anexe

…………………. // ……………………

Cod : PO - 05 Ediţia: 1 Revizia: 0 Data : 10.05.2010 Pag. 9 / 9

Acest document printat iese de sub control. Dacă doriţi să-l utilizaţi, verificaţi dacă este în ediţia şi revizia în vigoare