SC ELECTRO ALFA INTERNATIONAL SRL Botoşani

PROCEDURA OPERATIONALA
SECURITATEA FIZICA SI A MEDIULUI DE LUCRU

APROBAT
DIRECTOR OPERATIONAL,
ing. Gabriela NECHIFOR

SECURITATEA FIZICA SI A MEDIULUI DE LUCRU

Cod: PO - 04

Documente de referinţă:

SR EN ISO 9001:2008
SR ISO / CEI 27001:2006

Exemplar nr : …... distribuit la : ………………………………………………….

Copie : controlată necontrolată

Verificat, Elaborat,

ing. Ionel FILIP ing. Mircea LUCA

Documentul de fata este proprietatea SC ELECTRO ALFA INTERNATIONAL SRL Botoşani.

Multiplicarea si difuzarea acestui document, fără aprobarea Directorului Operational, este interzisă.

Cod : PO - 04 Ediţia: 1 Revizia: 0 Data : 10.05.2010 Pag. 1 / 6

Acest document printat iese de sub control. Dacă doriţi să-l utilizaţi, verificaţi dacă este în ediţia şi revizia în vigoare
 SC ELECTRO ALFA INTERNATIONAL SRL Botoşani
PROCEDURA OPERATIONALA
SECURITATEA FIZICA SI A MEDIULUI DE LUCRU

LISTA DE CONTROL A REVIZIILOR

Ediţia/
Nr. Continut sumar
Revizia/ Elaborat Aprobat
crt Nr. capitol, punct
data
1 Ed. 1/Rev.0 Redactare iniţială RSI Director Operational
10.05.2010 ing. Mircea LUCA

LISTA DE DIFUZARE –RETRAGERE

Exemplar Suport Data Semnătura

Destinatar
Nr. h/m difuzării primire
original Serv. MCM h/m 15.05.2010
Server domeniu\Docum_sistem m 15.05.2010
1 Serv. IT h/m 15.05.2010
Directia C&D m
Directia Vanzari m
Directia Antrepriza m
Directia Productie m

Departament Mk m
Departament HR m
Punct Lucru Iasi m
Punct LucruBuc. m
Punct Lucru Cluj m
Punct Lucru Brasov m

Cod : PO - 04 Ediţia: 1 Revizia: 0 Data : 10.05.2010 Pag. 2 / 6

Acest document printat iese de sub control. Dacă doriţi să-l utilizaţi, verificaţi dacă este în ediţia şi revizia în vigoare
 SC ELECTRO ALFA INTERNATIONAL SRL Botoşani
PROCEDURA OPERATIONALA
SECURITATEA FIZICA SI A MEDIULUI DE LUCRU

1. SCOP

Procedura documenteaza modalitatile prin care SC ELECTRO ALFA INTERNATIONAL SRL, prin
măsurile de securitate adoptate previne :
 accesul fizic neautorizat, distrugerile şi pătrunderea în interiorul organizaţiei precum şi accesul la
informaţii
 pierderea, avarierea, furtul sau compromiterea resurselor şi întreruperea activităţilor din cadrul
organizaţiei

2. DOMENIU DE APLICARE

Procedura se aplica de catre toate persoanele care răspund de buna funcţionare a infrastructurii,
instalarea şi întreţinerea unor componente funcţionale, personalul responsabil cu securitatea resurselor
informatice şi utilizatori.

3. TERMENI SI DEFINITII. PRESCURTĂRI

Pentru scopurile acestei proceduri se utilizează termenii şi definiţiile din

SR EN ISO 9000:2006-Sisteme de management al calităţii. Principii fundamentale şi vocabular .
SR ISO/CEI 27001:2006-Tehnologia informaţiei. Tehnici de securitate. Sisteme de management al
securităţii informaţiei. Cerinţe
SR ISO / CEI 27002:2008 - Tehnologia informatiei. Tehnici de securitate. Cod de buna practica pentru
managementul securitatii informatiei.
dintre care enumerăm :

Sistem informational
Un ansamblu de oameni, echipamente, software, procese si date destinate sa furnizeze informatii active
sistemului decizional, informatii necesare in elaborarea de solutii pentru problemele cu care se confrunta
managerii organizatiei.
Sistem informatic
O parte a Sistemlui informational, adica acea parte care cuprinde culegerea, procesarea si transmiterea
automata a datelor si informatiilor din cadrul Sistemului informational.
Informatii
orice documente, date, obiective sau activitati, indiferent de suport, forma, mod de exprimare sau de
punere in circulatie
Politica
maniera de a actiona pentru atingerea unui scop
Procedură:
mod specificat de efectuare a unei activităţi sau a unui proces.
Resurse
orice prezinta valoare pentru organizatie (documente, fisiere, baze de date, calculatoare, echipamente
de comunicare, software de baza / de aplicatie, servicii, persoane )
Utilizator
o persoană, o aplicaţie informatică sau un proces utilizator, autorizat de societate, în conformitate cu
procedurile şi regulamentele în vigoare, să folosească RIC.

SMSI Sistem de Management al Securitatii informatiei

RSI Responsabil cu securitatea informatiei
RGSI Regulament privind securitatea informatiei
PO Procedura operationala
DASI Declaraţie de aplicabilitate

Cod : PO - 04 Ediţia: 1 Revizia: 0 Data : 10.05.2010 Pag. 3 / 6

Acest document printat iese de sub control. Dacă doriţi să-l utilizaţi, verificaţi dacă este în ediţia şi revizia în vigoare
 SC ELECTRO ALFA INTERNATIONAL SRL Botoşani
PROCEDURA OPERATIONALA
SECURITATEA FIZICA SI A MEDIULUI DE LUCRU

4. DOCUMENTE DE REFERINŢĂ

SR ISO / CEI 27001:2006 - Tehnologia informatiei. Tehnici de securitate. Sisteme de management al

securitatii informatiei. Cerinţe.
SR ISO / CEI 27002:2008 - Tehnologia informatiei. Tehnici de securitate. Cod de buna practica pentru
managementul securitatii informatiei.
MSMI-EAI - Manualul Sistemului de Management Integrat

5. RESPONSABILITĂŢI

5.1. Responsabilul cu securitatea informatiei - RSI

 Raporteaza in cadrul sedintei pentru analiza efectuata de management, rezultatele monitorizarii
respectarii de catre salariati a prevederilor prezentei proceduri
 Stabileste zonele de securitate, funcţie de importanţa acestora şi tipul datelor vehiculate sau stocate

5.2. Sef Serv. MCMSSO

 Evalueaza conformitatea Sistemului de Management al Securitatii Informatiei cu standardele şi
politicile de securitate.

5.3. Utilizatorii
 Au responsabilitatea de a se conforma prevederilor prezentei proceduri şi a Regulamentelor privind
securitatea informaţiei.

6. PROCEDURA

6.1. Generalităţi

Mijloacele de procesare a informatiilor si informatiile sunt protejate împotriva accesului neautorizat,

compromiterii sau distrugerii şi interferenţei cu alte medii sau persoane prin plasarea acestora în
perimetre de securitate fizică, în funcţie de importanţa acestora şi tipul datelor vehiculate sau stocate.
Toate sistemele de securitate fizică (de exemplu coduri de acces în clădire, coduri de acces pentru
prevenirea incendiilor etc.) vor fi instalate în conformitate cu Regulamentele privind securitatea
informaţiei .
Pentru fiecare încăpere în care sunt instalate echipamente ale sistemului informatic se aprobă accesul
doar pentru personalul care răspunde de buna funcţionare a echipamentelor din încăperea respectivă şi,
dacă este cazul, părţilor contractante, ale căror obligaţii contractuale implică acces fizic.
Acordarea drepturilor de acces (folosind card-uri, chei, parole etc.) se face cu permisiunea RSI. Nu este
permis transferul dreptului de acces indiferent de motiv.
Cardurile şi/sau cheile de acces care nu mai sunt folosite trebuie predate serviciului administrativ sau
RSI, după caz.
Pierderea sau furtul cardurilor şi/sau cheilor de acces trebuie raportate imediat Serviciului administrativ.
Cardurile şi/sau cheile nu trebuie să aibă informaţii de identificare, altele decât informaţia de contact
necesară pentru returnare.
Accesul vizitatorilor în spaţiile protejate trebuie documentat pentru fiecare încăpere şi, în cazul în care
este permis, se va delega un însoţitor. Vizitatorii trebuie să fie însoţiţi în zonele cu acces restricţionat.
Pentru fiecare spaţiu în care sunt instalate resurse informatice se va păstra o evidenţă a accesului
pentru verificări de rutină sau în situaţii critice.
Pentru fiecare spaţiu cu acces restricţionat trebuie desemnată o persoană care să verifice periodic
înregistrările de acces şi să cerceteze orice acces suspect.
Accesul restricţionat va fi marcat corespunzător.

Cod : PO - 04 Ediţia: 1 Revizia: 0 Data : 10.05.2010 Pag. 4 / 6

Acest document printat iese de sub control. Dacă doriţi să-l utilizaţi, verificaţi dacă este în ediţia şi revizia în vigoare
 SC ELECTRO ALFA INTERNATIONAL SRL Botoşani
PROCEDURA OPERATIONALA
SECURITATEA FIZICA SI A MEDIULUI DE LUCRU
6.2. Zone de securitate
6.2.1. Perimetrul fizic de securitate
Pentru a proteja zonele care conţin informaţii şi sisteme de procesare a informaţiei, se vor stabili
perimetre de securitate fizică cărora li se vor aplica următoarele cerinţe, funcţie de gradul de criticalite a
acestora:
 Perimetru semnalat/protejat sonor
 Acces blocat prin diverse dispozitive, încuietori sau bariere, uşi , ferestre încuiate
 Intrare păzită de personal de pază, birou de recepţie
 Perimetru cu uşi antifoc şi sistem de alarmare, testate conform cu reglementările PSI
 Detectoare de mişcare, sistem de detectare a intruşilor (IDS)
 Separarea fizică a mijloacelor de procesare proprii faţă de cele ale terţelor părţi
 Mijloace de securitate fizică speciale, atunci când în clădire sunt mai multe organizaţii

6.2.2. Controlul accesului fizic

Următoarele metode de control fizic se vor aplica la intrări :
 Înregistrarea intrării-ieşirii şi supravegherea vizitatorilor
 Acordarea accesului vizitatorilor numai pentru scopul autorizat
 Acces limitat, restricţionat în zonele sensibile, autentificare (ex. card plus PIN), păstrarea
înregistrării accesului
 Ecusoane de identificare , escortarea vizitatorilor
 Serviciile suport de terţă parte primesc acces restricţionat numai când este nevoie, urmat de
monitorizare.
 Drepturile de acces sunt analizate, actualizate şi după caz, revocate, la plecarea din organizaţie

Modul de lucru este descris în Regulamentul privind Accesul fizic , cod RGSI-05.

6.2.3. Securizarea birourilor, încăperilor şi a sistemelor informaţionale

Pentru securizarea birourilor, încăperilor şi facilităţilor se vor aplica următoarele măsuri:
 Încuierea încăperilor;
 Respectarea reglementărilor de sănătate şi securitatea muncii
 Încăperile sensibile se vor situa departe de accesul public
 Locaţii discrete, foarte puţin cunoscute, acolo unde se procesează informaţii critice
 Camere nespecificate în listele, ghidurile de informaţii de uz general (carte de telefon, hartă
de acces, etc.)

6.2.4. Protejarea împotriva ameninţărilor externe şi de mediu

Se vor lua în considerare următoarele măsuri pentru protecţia faţă de ameninţările externe şi mediu
înconjurător:
 Identificarea ameninţărilor locaţiilor şi clădirilor din vecinătate
 Materialele periculoase şi combustibile se vor depozita departe de zonele securizate
 Echipamentele de rezervă şi back-up –urile se păstrează departe de locaţia principală
 Disponibilitatea echipamentelor de stingere a incendiilor

6.2.5. Desfăşurarea activităţilor în zonele de securitate

Se vor stabili măsuri pentru lucrul în zona securizată:
 Informaţiile despre aceste zone vor fi bazate pe principiul „necesar a cunoaşte”
 Toate activităţile din zonele securizate sunt supravegheate
 Încuierea zonelor securizate neocupate şi verificarea lor periodică
 Nu se permite nici un echipament de înregistrare(audio, video,foto, telefoane cu cameră foto)

6.2.6. Zone de acces public, punctele de livrare şi încărcare

Pentru accesul public şi pentru zonele de livrare şi descărcare se iau următoarele măsuri:
 Separarea de zonele de procesare a informaţiilor
 Accesul din exterior la aceste zone este restrictionat, intră numai personal identificat
Cod : PO - 04 Ediţia: 1 Revizia: 0 Data : 10.05.2010 Pag. 5 / 6
Acest document printat iese de sub control. Dacă doriţi să-l utilizaţi, verificaţi dacă este în ediţia şi revizia în vigoare
 SC ELECTRO ALFA INTERNATIONAL SRL Botoşani
PROCEDURA OPERATIONALA
SECURITATEA FIZICA SI A MEDIULUI DE LUCRU
 Personalul care descarcă marfa nu are acces în alte părţi ale clădirii
 Uşile externe zonei de livrare sunt securizate atunci când uşile interne sunt deschise
 Marfa este inspectată înainte de transportul la punctele de utilizare
 Înregistrarea bunurilor intrate
 Sunt separate fizic mărfurile care ies de cele care intră în firmă

6.3. Securitatea echipamentelor

6.3.1. Amplasarea şi protejarea echipamentelor
 Echipamentele vor fi astfel amplasate şi protejate pentru a reduce riscurile cauzate de
ameninţările şi pericolele mediului înconjurător şi pentru a limita accesul neautorizat.

O atenţie deosebită se va acorda la amplasarea şi protejarea serverelor.

Modul de lucru este descris în Regulamentul privind Securitatea serverelor, cod RGSI-06 .

6.3.2. Utilităţile suport pentru afacere

 Echipamentele vor fi protejate împotriva căderilor de curent sau altor defecţiuni ale utilităţilor
suport.
 Toate utilitţile (electrice, apă, scurgeri, HVA/C, abur, aer sub presiune) sunt dimensionate
corespunzător sistemelor deservite, sunt inspectate periodic şi sunt conforme documentelor de
referinţă.

5.3.3. Securitatea reţelelor de cablu

 Pentru protejarea cablurilor electrice şi de telecomunicaţii împotriva interferenţelor şi deteriorărilor
se vor lua măsuri corespunzatoare.

5.3.4. Întreţinerea echipamentelor

 Echipamentele şi sistemele informatice sunt întreţinute adecvat, de personalul serviciului IT, in
scopul menţinerii integritatii si disponibilitatii acestora.

6.3.5. Securitatea echipamentelor în afara locaţiei

Pentru echipamentele utilizate în afara sediului organizatiei se aplică următoarele măsuri:
 Autorizare acordata de management
 Masuri de securitate rezultate din evaluarea riscului
 Nu vor fi lasate nesupravegheate
 Vor fi întotdeauna transportate ca bagaje de mana
 Respectarea instrucţiunilor furnizorului (ex. protectia electromagnetica)

6.3.6. Scoaterea din uz sau reutilizarea în condiţii de siguranţă

 Inainte de a elimina (arunca) sau reutiliza echipamentele, se vor recupera toate informatiile si
datele de pe echipament dupa care acestea se vor sterge definitiv, inclusiv software-ul cu licenţă.

6.3.7. Scoaterea activelor

 Bunurile care apartin organizaţiei nu pot fi mutate, indepartate sau scoase din locatia initiala fără
autorizare.
 Nivelurile de autorizare sunt definite.
 Termenele de mutare a bunurilor sunt limitate si controlate.
 Se inregistreaza expedierea/iesirea temporara si returnarea bunurilor.

7. ÎNREGISTRĂRI
Nu sunt inregistrari

…………………. // ……………………

Cod : PO - 04 Ediţia: 1 Revizia: 0 Data : 10.05.2010 Pag. 6 / 6

Acest document printat iese de sub control. Dacă doriţi să-l utilizaţi, verificaţi dacă este în ediţia şi revizia în vigoare