UATC .......................................

Obiectivul specific al acțiunii de audit: Evaluarea securității sistemului sistemului/aplicațiilor informatice

CHESTIONAR

Detaliere + identificare
Nr
Întrebarea Răspuns documente suport (denumire,
crt
nr+data, etc)
1. Există o strategie privind asigurarea securității sistemelor ?
2. Există o procedură privind securitatea accesului, a operării și
utilizării aplicațiilor informatice și a bazelor de date?
3. Există desemnată o persoană/ mai multe persoane, responsabilă (-
e) cu securitatea sistemelor de calcul și a aplicațiilor informatice ?
Dacă da, precizați cine este și care îi sunt atribuțiile pe această
linie
4. Persoana responsabilă cu securitatea sistemelor de calcul și a
aplicațiilor informatice a efectuat verificări în acest sens? În ce s-
au concretizat acestea?
Au fost identificate deficiențe? Cum au fost remediate?
5. Fiecare salariat1 are propriul sistem de calcul sau există situații în
care mai mulți operatori utilizează același echipament IT?
6. Dacă mai mulți operatori utilizează același echipament de calcul,
există deschise conturi de utilizator pentru fiecare?
Fiecare își poate vizualiza doar propriile informații salvate pe
hard (prin ”my documents”/ partiții ale discului) sau are acces și
la informațiile celuilalt utilizator?
7. Există o evidență a utilizatorilor pe fiecare echipament de calcul?
Dacă da, în ce formă este disponibilă, cine o ține?
8. Există reglementată o procedură/ regulă pentru situația în care o
persoană este înlocuită de către o altă persoană o anumită
perioadă de timp (concediu de odihnă, concediu medical, încetare
1
Salariat- se referă la acea persoană care utilizează aplicațiile informatice utilizate la nivelul unității
 raporturi de muncă etc) ? Cum se realizează protecția datelor și
accesul la programe în această situație?
9. Accesul la calculator se realizează în baza unei parole?
10. Există o regulă privind schimbarea parolei la un anumit interval
de timp?
Dacă da, prezentați sub ce formă se regăsește aceasta?
11. Operatorii (utilizatorii) au și drept de administrator asupra
sistemului informatic pe care sunt instalate programele ?
12. Există o regulă generală de setare a ”screen serverului” pentru
situațiile în care stațiile de lucru nu sunt utilizate – de exemplu-
un număr de 10-15 etc minute?
13. Accesul la programul informatic de procesare a informațiilor
privind taxele și impozitele/ programul de evidență financiar –
contabilă/ alte programe se realizează prin introducerea unei
parole?
14. În situația în care parola nu este schimbată la intervalul de timp
prevăzut, sistemul avertizează printr-un mesaj text asupra
necesității schimbării, eventual și prin refuzarea accesului la
aplicație?
15. Este stabilit pentru fiecare operator, funcție de atribuțiile funcției
și ale fișei postului, nivelul de acces la informații?
Dacă da, rugăm furnizați lista utilizatorilor și a modulelor din
cadrul programelor informatice la care au acces, cu precizarea
dreptului de operare și/ sau modificare, ori numai de vizualizare
etc
16. Există o listă cu nivelul de acces al utilizatorilor la bazele de date
conținând datele persoanelor fizice/ juridice ce sunt prelucrate
prin programele informatice, funcție de atribuțiile postului și fișei
postului? Rugăm prezentați
17. Au fost și solicitări/ accesări ale bazelor de date de către alte
persoane decât cele desemnate? Dacă da, rugăm precizați în ce
scop și cine a autorizat accesul
Există o evidență a solicitanților acestor tipuri de fișiere?
Există o evidență a acestor exporturi de fișiere ?
Predarea s-a realizat electronic ori pe baza unei condici de
predare- primire?
18. Programele informatice permit exportul fișierelor ce conțin date
 ale persoanelor fizice ori juridice (pdf, docx, xlsx sau similar etc)
de către fiecare operator al programului?
19. Sistemele de calcul pe care sunt instalate programele informatice
ce prelucrează date cu caracter personal au acces la internet sau la
alte dispozitive de comunicare și stocare (cablu, wi-fi, bluetooth)?
20. Există instituit un tip de dispozitiv (stick) cu date de identificare,
care să fie folosit pentru stocarea, transportul între operatori și
utilizarea în interes de serviciu a datelor?
Dacă nu, precizați cum se realizează copierea și transmiterea unor
date necesare în exercitarea atribuțiilor de serviciu?
21. Fiecare stație de lucru (calculator) are instalat un program
antivirus? Ce program antivirus?
22. Programul antivirus este achiziționat în baza unui contract sau
este versiunea trial ori o versiune free descărcată de pe internet?
(exemplificați cu nr/ dată contract/ factură+OP, perioada
valabilitate, nr licențe, dacă e instalat pe toate stațiile de lucru
care utilizează programele informatice)
23. Au fost semnalate incidente privind existența unor viruși,
infectari troian, programe tip phishing ? Care au fost cauzele ?
Cum au fost remediate aceste incidente?
24. Datele rezultate din utilizarea programelor informatice sunt
salvate și stocate periodic?
Daca da, rugăm precizați care este regula privind intervalul de
timp pentru salvare, suportul utilizat, modul de etichetare,
sistemul de evidență al acestor copii de siguranță, locul de
depozitare al acestora, persoanele care au dreptul de a le
vizualiza/ utiliza și modalitatea de evidență a accesului.
Au fost situații de solicitare ale acestor back-upuri? Dacă da, de
către cine și în ce scop?
25. Au fost raportate situații de acces neautorizat la bazele de date?
Rugăm detaliați și precizați modalitatea de remediere
26. Există servere? Dacă da, precizați încăperea în care se regăsesc
acestea, asigurarea condițiilor de răcire, modul de acces și de
către cine, metoda de monitorizare a accesului.

PRIMAR, Intocmit,