Societatea: SC AAAA Sistems SRL

Data completarii : 01.11.2009

Chestionar de audit

Y-1
Domeniul: Organizarea N-0
Valoarea lui W se ia din fisierul excel - Mehari Baza
Intrebare Y/N W
Exista un document care descrie politica de securitate in legatura cu sistemul informational, in speta in
legatura cu organizarea, administrarea si dirijarea politicii de securitate (roluri si responsabilitati), dar si 1 2
principiile fundamentale care subliniaza admistrarea securitatii informatiei?

Exista o procedura pentru a actualiza in mod regulat documentele referitoare la securitatea sistemului
informational o data cu schimbarea structuriilor organizationale? 1 2

A fost comunicata functia de securitate auditorilor interni (sau structurii responsabile de auditorii interni) o
referinta ghid legata de o informatie a sistemului de securitate, descriind in particular, obligatiile fiecarei 1 4
categorii de personal,directivele si recomandarile imputernicitului?
Exista o procedura de alerta, distribuita pe intreaga organizatie, care dau posibilitatea direct sau indirect
(supravietuirea personalului)sa contacteze persoane variate initiate intr-un plan de criza? 1 2
Sunt obligatiile si responsabilitatile angajatiilor legate de folosirea si protejarea bunurilor si resurselor care
apartin companiei detaliate intr-un memoriu sau intr-un document disponibil conducerii? 0 4

Exista un document care sa definesca regulile generale aplicate protejarii accesului la resursele computerului
(stocari si elemente ale retelei, sisteme, alicatii, date, media, etc.) si conditiile cerute pentru rezultatul final,
managementul si controlul drepturilor de acces? 1 2

Exista un document care sa stabilesca sarcini, responsabilitatile si procedurile de aplicat pentru a proteja
arhive importante pentru companie? 1 4

Exista ,in contractele de munca sau in regulile interne o clauza clara a conditiilor obligatorii de a adera la
regulile securitatii in forta? 1 4

(c) CLUSIF MEHARI 2007 ! 01Org 1 26 May 2007

Exista un identificator unic (ID) asociat fiecarui user (angajat, exteriorului, etc) care poate avea acces la
informatiile sistemului? 1 4

(c) CLUSIF MEHARI 2007 ! 01Org 1 26 May 2007

Societatea: SC AAAA Sistems SRL
Data completarii : 01.11.2009
Chestionar de audit
Domeniul: Securitatea fizica
Nr. Intrebare
1 Este procedura de acordare (modificare sau retragere) a autorizatiei de acces documentata si sub
un control strict?
2 Sistemul si dotarea fizica sunt securizate impotriva furturilor si contra distrugerilor?
3 Sunt cardurile sau ecusoanele, care reprezinta autorizarile de accea personalizate folosindu-se
numele detinatorului si fotografia?
4 Exista un sistem de operare (automatic sau securizat) pentru controlarea accesului (persoane si
vehicule) in cladire ?
5 Va garanteaza sistemul ca persoanele care intra sunt verificate? Un control eficient presupune o
usa dubla, sau un agent de paza care permite accesul individual in cazul persoanelor si in cazul
vehiculelor permite aceesul tuturor persoanelor aflate in vehicul
6 Daca accesul in acest sistem depinde de folosirea unui ecuson, va garanteaza sistemul ca
acelasi ecuson nu poate fi folosit de o a doua persoana ( spre exemplu: Memoreaza toate intrarile
si nu permite o intrarea viitoare fara existenta unei iesiri?) ?
7 Echipa de securitate are suficiente resurse sa verifice si sa actioneze in eventualitatea declansarii
intentionate a mai multor alarme?
8 Exista un nivel de control mai ridicat dupa terminarea programului?
9 Exista un jurnal pentru identificarea persoanelor care au avut acces la sistemul informatic in afara
orelor de program?
Total
Mw = 4 * Σ Ri * Wi / Σ Wi = 4 * 22/30 = 2,93
In ceea ce priveste securitatea fizica societatea prezinta un nivel de risc de 2,93.
accesului fizic acesta este realizata de catre o echipa formata dintr-un angajat al societatii si un angajat al unei firme de paza care monitorizeaza
toate persoanele care intra si ies din societate intr-un jurnal.Angajatii sunt identificati pe baza ecusoanelor.La intrare este un sistem informatic
pentru pontarea intrarilor si iesirilor dar acesta le memoreaza pe toate.In cladirea exista camere de luat vederi si deasemenea sistemul de protectie
pentru incendii este automat.
No.2
Y/N W Comentarii
1 4 Procedura de acordare, respectiv modificare si stergere a
autorizatiei de acces este realizata de departamentul administrativ
impreuna cu departamentul resurse umane.
1 4 Intregul perimetru al cladirii este supravegheat video si alarma de
incendiu este automata, aspensoarele sunt montate in tavan.
1 2 Ecusoanele de acces sunt personalizate specificandu-se numele
si si functia detinatorului langa fotografia acestuia.
0 2 La intrare este un sistem automat care ponteaza angajatii pe baza
ecusonului dar acest sistem nu opreste persoanele fara ecuson sa
intre.
1 4 La receptie exista permanent un agent de paza care verifica toate
persoanele care intra (inclusiv angajatii care au ecusoane)
0 4 Sistemul informatic memoreaza intrarile si iesirile dar nu
avertizeaza in cazul in care a mai fost in intrare cu acelasi ecuson
fara a fi o iesire, rolul lui este de a realiza pontajul.
1 4 Echipa de securitate este pregatita sa actioneze in eventualitatea
actionarii mai multor alarme.
0 2 Dupa terminarea programului nivelul de control este acelasi ca in
timpul programului.
1 4 Sistemul informatic realizeaza un jurnal automat cu toate
persoanele care l-au folosit indiferent daca este sau nu in timpul
programului.
6 30
Securitatea
Domeniu: Intretinerea generala

Intrebare Y/N W
Exista un sistem de reglementare a electricitatii care include cel putin o sursa de energie permanenta
pentru cel mai sensibil echipament?Exista baterii de rezerva (aprovizionand una sau mai multe surse
permanente)garantand suficienta automonie echipamentului sa se opreasca corespunzator si in siguranta? 0 4

Exista detectori ai umiditatii in preajma echipamentelor sensibile legati la un centru de monitorizare?

0 4
Perimetrul sau imprejurimile locatiilor vulnerabile se afla sub supraveghere completa si coerenta cu ajutorul
unor mijloace video sau direct visuale? 1 4

Exista un sistem de aer conditionat care regleaza calitatea aerului (temperatura,presiune,continut de

apa,praf) corespunzand specificatiilor producatorilor echipamentelor instalate? 1 4

Exista un sistem de protectie impotriva incendiilor?

1 4

Avaria(oprirea) accidentala sau deliberata a sistemului de aer condtionat este detectata si semnalata unei
echipe de interventie capabile sa reactioneze prompt? 1 2

Este sistemul de cabluri protejat corespunzator si verificat regulat? 1 4

Se foloseste un sistem automat de control al accesului in locatii sensibile?
1 4

Este controlul asigurat al tuturor punctelor de intrare si iesire incluzand iesirile normale si altele precum
ferestre accesibile din exterior, iesiri de urgenta, acces posibil cu privire la podele care se ridica si tavane 0 4
false?

(c) CLUSIF MEHARI 2007 ! 03Prem 1 26 May 2007

Domeniu: Reteaua extinsa

Intrebare Y/N W
A fost stabilita o lista a incidentelor care pot afecta funtionarea corecta a retelei extinse 1 2
si pt. fiecare din acestea solutiile pentru implementare si actiunile efectuate de
personalul operational?
A fost stabilit un plan de siguranta cuprinzand toate configuratiile retelei, definind toate 1 4
obiectele sa salveze si a fost stabilita frecventa copiilor de siguranta?
Exista un mecanism pentru autentificarea si controlul accesului in reteua interna 1 4
respectiv reteaua extinsa?
Toate copiile de siguranta si fisierele de configuratie care permit redarea mediului de 1 4
productie al retelei extinse sunt de asemenea salvate la o locatie de baza (refugiu de
siguranta)?
Sunt copiile de siguranta stocate intr-o locatie sigura si protejate impotriva riscurilor de 1 4
accident sau furt? O asemenea locatie trebuie protejata printr-un control strict al
accesului precum si protejata impotriva riscurilor de incendiu sau inundatie.

Pentru fiecare incident posibil al retelei extinse a fost determinat un timp previzionat de 0 4
solutionare si o procedura de extindere in cazul esuarii sau intarzierii actiunilor
corective specificate?
S-a stabilit solutia ce ar trebui propusa de echipa de supraveghere pentru fiecare risc 1 4
intalnit ,si s-a luat in calcul pregatirea si disponibilitatea fiecaruia dintre membri pentru
aceste cerinte?
Exista o linie telefonica disponibila 24 ore ,care sa se ocupe preluarea si inregistrarea 0 2
apelurilor referitoare la reteaua de internet extinsa si care sa raporteze toate
incidentele?Exista o aplicatie care sa se ocupe de administrarea acestor
incidente(riscuri)?
A fost planul de rezerva transpus in proceduri operationale automate? 0 2

(c) CLUSIF MEHARI 2007 ! 04WANArc 1 26 May 2007

Domeniu : Local Area Network (LAN)

Intrebare Y/N W
Reteaua locala a fost impartita in domenii de securitate, fiecare avand regulile specifice cu privire la 1 4
securitate?
Arhitectura echipamentului din retea se adapteaza modificarilor la toate nivelurile? 1 2
Instrumentele de reconfigurare si monitorizare ale retelei permit actiuni corectoare compatibile cu 0 4
echipamentele utilizatorilor?
A fost stabilita o politica de management a drepturilor de acces la aria locala de retea? 1 2

Au fost introdusi diferiti parametrii variabili in definirea regulilor drepturilor de acces (care determina 1 2
drepturile ce sunt atribuite profilelor) ca functie de context, in particular, locatia statiei solicitante (accest
direct LAN, linie inchiriata, internet, tipuri de protocol etc ) sau clasificarea sub-retelei cerute.
Exista vreo metoda de autentificare sau de control al accesului tuturor utilizatorilor care se conecteaza la 1 4
reteaua locala din afara?
Exista o persoana sau un grup de persoane disponibile 24h/24h sa reactioneze in cazul unui incident la 0 4
retea?
Pentru un posibil incident in retea sunt stabilite actiuni corective? 1 4

A fost stabilit un plan de back-up care acopera toate configurarile retelei, defineste toate obiectele ce 1 4
trebuie salvate si frecventa salvarilor?

(c) CLUSIF MEHARI 2007 ! 05LANArc 1 26 May 2007

Exista o politica de securitate ce vizeaza personalul ce realizeaza operatiuni in retea care sa acopere toate 1 4
aspectele privind securitatea informatiei (confidentialitatea informatiei, disponibilitatea serviciului si a
informatiei, integritatea informatiei si a configuratiilor, etc)?
Personalul trebuie sa semneze clauze contractuale de aderare la aceasta politica de securitate (indiferent 0 4
de statut: personal temporar sau permanent, studenti, etc)?
Exista un curs de instruire special pentru personalul operational? Este cursul obligatoriu? 0 2

Deciziile de schimbare a echipamentelor sunt bazate pe analiza capacitatii noului echipament si sistem de 1 2
a asigura volumul necesar tinand cont de evolutia prevazuta a cererii?
Personalul operational a primit instruire in analiza riscului si obtine sfaturi adecvate atunci cand are 1 4
nevoie?

Sunt echipamentele de retea si configuratiile statiilor de lucru verificate periodic in conformitate cu acest 1 2
document de referinta la fiecare conectare?
Sunt sistemele protejate impotriva posibilitatii de instalare de software si modificari ale configuratiilor? 1 4

Este interzis sa adaugi sau sa creezi intrumente sau componete fara o autorizatie legala si este aceasta 1 2
lege folosita de catre o procedura automata care declansaza o alarma catre manager?

Drepturile atribuite echipelor operationale interzic orice modificare ale instrumentelor operationale sau 1 4
componente sau exista totusi o alarma la aceste modificari care se sanctioneaza la manager ?

(c) CLUSIF MEHARI 2007 ! 06NetOp 1 26 May 2007

Domeniul: Securitatea arhitecturii sistemului

Intrebare Y/N W
Este procesul de definire si managementul drepturilor atribuite profilelor sub un control strict? Un control 1 4
strict cere ca lista persoanelor care pot schimba drepturile atribuite profilelor sa fie limitata si
implementarea acestor drepturi sa fie sigura si deasemenea sa existe un control capabil sa modifice
aceste drepturi si orice modificare sa poata fi auditata?
Este posibil sa se revada oricand, lista completa a profilurilor si drepturilor atribuite fiecarui profil? 1 2

Exista un proces strict controlat(ca cel de mai inainte) care permite delegarea propriilor autorizari, partial 1 4
sau total,unei persoane la alegere pe o perioada determinata(in caz de absenta)? In acest caz drepturile
delegate nu mai trebuie sa fie autorizate persoanei care le-a delegat in acest timp. Detinatorul, oricum
trebuie sa aiba posibilitatea sa le primeasca inapoi printr-un proces prin care el sau ea pun capat efectiv
delegarii.
Procesul de atribuire sau modificare a legitimatiilor utilizatorilor respecta o serie de reguli care asigura 1 4
validitatea intrinseca a acestora?In cazul parolelor: lungime adecvata(8 caractere sau mai mult), obligatoriu
mixaj de tipuri diferite de caractere, schimbarea frecventa(cel putin o data pe luna), imposibilitatea
reutilizarii unei parole vechi, cuvintelor banale, poreclelor, numelor, anagrame, date etc. In cazul
certificatelor si autentificarilor bazate pe un mecanism criptografic: procesul de evaluare a persoanelor sau
recunoastere publica, parole de lungime suficienta etc.

Procesul de logare este securizat(sigur)?O logare sigura nu ar trebui sa dea nici o informatie inainte ca 1 2
procesul sa fie executat cu succes, sa nu afiseze parolele de autentificare, data sau ora ultimei conectari,
eventualele conectari limitate care au esuat, etc.

A fost dusa la indeplinire o analiza specifica a apelurilor confidentiale inregistrate si a parametrilor acestor 0 4
apeluri care ar trebui inregistrate?
In cazul unor multiple greseli de autentificare, exista un proces automat care nevalideaza temporar 0 4
utilizatorul folosit, sau da posibilitatea insasi a validarii de a incetinii autentificarea astfel incat sa inhibe
orice alta conectare uzuala?
A fost dusa la indeplinire o analiza a echipamentelor si sistemelor puse la dispozitie (exceptand 0 4
arhitectura aplicatiilor , dar incluzand sistemele periferice generale, ca de exemplu sistemele de rezerva si
roboti , servere de printare si echipament centralizat pentru printare) cu scopul de a scoate in evidenta
nevoia de continuitate a serviciilor? In urma unei analize profunde, s-a stabilit o lista de posibile erori si , de
asemeni, corespondenta acestora.

Sunt realizate teste regulate pentru a demonstra ca securitatea echipamentului poate garanta nivelul 1 2
minim de performanta solicitat in cazul unei erori?

(c) CLUSIF MEHARI 2007 ! 07Syst 1 26 May 2007

Domeniu : Mediul de productie IT

Intrebare Y/N W
Exista o politica de securitate, special directionat spre personalul utilizator, raportat la sistemul 1 4
informational?
Este interzis a se crea sau a se adauga unelte sau utilitati fara autorizatie oficiala si exista o verificare 1 2
automata regulata pentru a intari aceasta regula prin alertarea unui manager apropiat?

Productia informatica poate fi coordonata de la distanta? 0 2

Decizia schimbarii si a evolutiei echipamentelor si sitemelor fac ele obiectul unei proceduri de 1 4
control(inregistrare,planing,aprobare formala,comunicare in ansamblul persoanelor referinta,etc.)?

Masurile de securitate decid remedierea noilor riscuri puse in evidenta ,fac ele obiectul controalelor formale 1 4
inainte de a fi puse spre productie?

Toate documentele importante sunt imprimate in locuri protejate impotriva patrunderiilor abuzive si contra 0 4
riscurilor de deturnare in cursul elaborarii sau in asteptarea distributiei?
Respectarea prevederilor de securitate ale furnizorilor este tinuta sub control si revazuta regulat? 1 4

Este integritatea configurarilor sistemului verificata,la fiecare pornire a sistemului si/sau regulat 0 4
(saptamanal)conform configurarii teoretice asteptate?
Exista un document(sau un set de doc)si o procedura operationala care descrie(toate aplicatiile 1 4
software,pachetele si versiunile lor)parametrii de securitate si securitatea arhitecturii software?

(c) CLUSIF MEHARI 2007 ! 08ITOper 1 26 May 2007

Domeniul : Securitatea aplicatiilor

Intrebare Y/N W
1 2
A fost stabilita o politica de management pentru drepturile de acces al datelor, construita pe o analiza a
cerintelor de securitate bazata pe riscurile afacerii?

E posibil fie ajustate drepturile de acces atribuite unui profil dat, potrivit contextului legaturii (originea 1 4
legaturii, calea retelei, protocol, codificare, etc.) si clasificarii resurselor accesate?
1 4
Sunt procesele de definire si management al drepturilor atribuite profilurilor sub control strict? Controlul
strict necesita ca listele de persoane ce pot sa schimbe drepturile atribuite profilurilor sa fie strict limitate si
ca implementarea acestor drepturi (e.g. in tabele) sa fie securizata si sa existe un control al accesului
eficient pentru orice modificare a acestor drepturi si fiecare modificare a lor sa fie inregistrata si verificata.

Prezentarea acestor drepturi de catre utilizator garanteaza inviolabiltatea lor? Scriind o parola va fii 0 4
intotdeauna un punct slab. Singurele procese care sunt observabile fara a divulga informatii consta fie in a
introduce un obiect continand un secret , fie utilizand un cod care sa se schimbe la oricare monent (fisa,
card instrument), fie utilizand un mijloc care sa contina caractere biometrice.
Inchiderea sau scurtcircuitarea solutiei de criptare este detectata imediat, semnalata catre o echipa 0 4
disponibila 24 de ore din 24 si capabila de a genera o reactie imediata?
Ofera solutia de criptare garantii valide si solide, este ea aprobata de ofiterul Securitatii Informatiei? 1 4
[Lungimea suficienta a cheiei este una dintre mai multi parametri de luat in considerare(ca o functie al unui
algoritm)]. Recomandarea unei organizatii oficiale, ca DCSSI in Franta poate fi un factor convingator.]

Au fost identificate tranzactiile speciale care trebuie protejate prin semnatura electonica la nivelul 1 4
aplicatiilor?
S-a luat in considerare posibilitatea distrugerii informatiei stocate in sistemul IT si au fost stabilite care 1 4
dintre aceste proceduri va da posibilitatea reconstituirii datelor dupa cele originale?

Au fost inventariate,documentate si testate procedurile si mijloacele de calcul ce permit crearea de logs si 0 4

reconstituirea de informatii?

(c) CLUSIF MEHARI 2007 ! 09Appli 1 26 May 2007

Domeniu : Securitatea aplicatiilor proiectate si dezvoltate

Intrebare Y/N W
Exista un grup de suport, specializat in analizarea riscurilor proiectului, asistand conducerea proiectului cu 1 4
analizele proceselor de risc si care are suficienta disponibilitate pentru a raspunde la cerintele utilizatorilor?

Au aplicatiile de intretinere la dispozitie un centru de suport tehnica care sa asigure o asistenta telefonica 1 2
rapida si competenta?

Exista o persoana desemnata pentru a se ocupa de rezolvarea problemelor utilizatorilor pe parcursul 0 4

week-endurilor si in timpul vacantelor?
Procedurile de dezvoltare impun o analiza a confidentialitatii aplicatiilor dezvoltate si o clasificare a 1 4
obiectelor scoase in evidenta in timpul dezvoltarilor ( documentatie , codul sursa , codul obiectului , studiile
noastre etc ) ?
In cazul dezvoltarilor asupra unei aplicatii confidentiale , exista proceduri particulare de gestiune a 1 4
documentatiei?
In cazul dezvoltarilor asupra unei aplicatii confidentiale , am realizat profiluri care permit limitarea difuzarii 1 4
informatiilor confidentiale , numai persoanelor care au intradevar nevoie?
Codurile sursa , obiectele si documentatia fac obiectul unei proceduri de gestiune a accesului , stricta , 1 4
precizand , in functie de frazele de dezvoltare , profilurile care au acces la aceste elemente ca si conditiile
de stocare si de control al accesului corespunzator? O procedura si conditiile de gestiune stricte ale
accesului trebuie sa permita garantarea ca orice acces la cod sau la documentatie , este facut de catre o
persoana autorizata in conditii autorizate.
De la conceptie sau de la punerea in practica a aplicatiilor recurgem la un studiu detaliat al slabiciunilor 1 4
tratamentului putand face loc pierderilor de integritate?

(c) CLUSIF MEHARI 2007 ! 10Dev 1 26 May 2007

Domeniu : Mediul de lucru

Intrebare Y/N W
Este impartirea fizica separata in zona interna protejata si zona receptie, externa zonei protejate, folosita 0 4
pentru intalniri?
Exista un sistem de supraveghere video capabil sa detecteze miscarile si comportamentul anormal?Is 1 4
video surveillance material recorded and kept for a long period?
Vizitatorii si serviciile ocazionale sunt acompaniati in cladire? 0 2

Accesul la echipamente este protejat ( chiar si pentru utilizare locala ) de o parola sau un sistem de 1 2
autentificare?
Toate elementele folosite in procesul de encriptare sunt protejate impotriva alterarilor si modificarilor? 1 4

Exista un centru de suport disponibil pentru software care garanteaza un suport rapid si eficient? 1 2

Sunt statiile de lucru protejate impotriva virusilor? 1 4

Sunt produsele antivirus actualizate regulat? 1 4

Exista cateva generatii de fisiere salvate pentru a putea reface oricand informatiile pierdute? 1 4

(c) CLUSIF MEHARI 2007 ! 11Work 1 26 May 2007

Societatea: SC AAAA Sistems SRL
Data completarii : 01.11.2009

Chestionar de audit

Domeniul : Legalitatea

Nr. Intrebare Y/N W

1 Exista un ansamblu de reguli si masuri legale normative asociate sistemului informational privind protectia 1 4
datelor personale?

2 Exista un ansamblu de reguli si masuri legale normative asociate sistemului informational privind protectia 1 4
drepturilor de proprietate intelectuala?

3 Exista controale regulate privind licenta programelor instalate? 1 2

4 Managerii societatii au facut o evaluare a eficientei controlului intern privind procedurile si controalele ce 1 4
asigura ca situatiile financiare sunt emise in acord cu reglementarile externe?

5 Documentul de evaluare a calitatii a fost evaluat de catre auditorii financiari? 1 2

6 Sunt total independenti membrii comisiei de audit(de exemplu: nu detin autoritate operationala in cadrul 1 2
companiei, nu sunt afiliati niciunei persoane care isi exercita autoritatea in companie si nu primesc nicio
remuneratie in afara celei relationate cu functia lor in comisia de audit)?

7 Este acolo o colectie a tuturor regulilor si masurilor aplicabile legal si compensator, asociate sistemului de 1 4
informatii, privind folosirea criptarii?
8 Sunt sistemele operationale care au o legatura directa sau indirecta cu sistemul de gestiune tinute in conformitate cu 1 4
prevederile VCA? Sunt toate aplicatiile contabile si aplicatiile care alimenteaza sistemul de gestiune, prin intermediere
sau fise de decont, tinute?

(c) CLUSIF MEHARI 2007 ! 12Legal 1 26 May 2007

9 Sunt evidentele contabile de baza pastrate in conformitate cu legile referitoare la verificarile evidentelor 1 4
contabile computerizate(VCA)? Datele de baza sunt acele date care nu sunt inscrise dar sunt inregistrate
dupa origini. De exemplu documente de miscare (ordine, facturi, registre...), documente originale,
documente de intrare, date permanente, inregistrari de fise curente...

Total 9 30

Mw = 4 * Σ Ri * Wi / Σ Wi = 4 * 30/30 = 4

In ceea ce priveste legalitatea societatea prezinta un nivel de risc de 4,

In ceea ce priveste legalitatea societatea isi desfasoare activitatea in conformitate cu legislatia in vigoare. Este certificata ISO: Sistemul de manage
calitatii astfel este asigurata o garantie a controlului documentelor, tranzactiilor, produselor,sistemelor etc. Evidentele contabile sunt tinute respectan
standardele.Toate programele informatice se afla sub licenta producatorului.

(c) CLUSIF MEHARI 2007 ! 12Legal 1 26 May 2007

it
No.12

Comentarii
In ceea ce priveste datele prosonale exista o procedura stricta privind
confidentialitatea atat pentru angajati dar mai ales pentr datele furnizate
pe site.
In cadrul departamentului It exista o sectiune destinata producerii si
implementarii de noi module si programe. In acest sens exista o procedura
speciala privind drepturile de proprietate intelectuala.
Toate programele instalate sunt licentiate. Obiectul de activitate fiind
distributia echipamentelor IT societatea beneficiaza de gratuitati din partea
producatorilor de programe.

Situatiile financiare sunt intocmite si prezentate in conformitate cu

legislatia in vigoare.

Societatea este cerificata privind asigurarea calitatii si astfel periodic sunt

controale in acest sens.
Auditul este asigurat se o Ernest&Young, o societate cu renume in
domeniul auditului.

Sistemul privind criptarea este sub un control strict si in conformitate cu

legislatia din Romania.
Intregul proces contabil este tinut in conformitate cu legislatia in vigoare.

(c) CLUSIF MEHARI 2007 ! 12Legal 1 26 May 2007

 Documentele contabile sunt intocmite si pastrate in conformitate cu legile
caracteristice.

a in vigoare. Este certificata ISO: Sistemul de management al

stemelor etc. Evidentele contabile sunt tinute respectand

(c) CLUSIF MEHARI 2007 ! 12Legal 1 26 May 2007

 Analiza riscului prin metoda Mehari

Mw = 4 * Σ Ri * Wi / Σ Wi = Σ Mi / 12 = (3.43 + 2.93 + 2.59 + 2.93 + 2.93 + 2.75 + 2.4 + 2.75 + 2.59 + 3

Organizarea si implicatiile acesteia asupra securitatii este realizata de catre departamentul administrativ si departamentul r
Acestea elaboreaza Manualul angajatului:un ghid complet pentru angajati ce cuprinde un set de principii,norme si procedu
Securitatea accesului fizic acesta este realizata de catre o echipa formata dintr-un angajat al societatii si un angajat al une
persoanele care intra si ies din societate intr-un jurnal.Angajatii sunt identificati pe baza ecusoanelor.La intrare este un sist
dar acesta le memoreaza pe toate.In cladirea exista camere de luat vederi si deasemenea sistemul de protectie pentru inc
de vedere fizic, o reprezinta aprovizionarea cu elergie electrica care se realizeaza din reteaua orasului societatea nedispun
permanenta pentru echipamentele sensibile ci doar un set de baterii care nu asigura autonomia sistemului. Intretinerea ge
contra incendiilor automat, sistemul de aer conditionat asigura intreg perimetrul, cablurile sunt montate si protejate corespu
centru de monitorizare 24h/24h.

Societatea are o retea locala la care au acces angajati, atat prin intermediul echipamentelor societatii cat si din afara. Rete
fiecare departament in care exista sectiunile public(la care au acces toti angajatii) si privat (cuprinde mediul de lucru propri
este restrictionat.
In ceea ce priveste legalitatea societatea isi desfasoare activitatea in conformitate cu legislatia in vigoare. Este certificata I
asigurata o garantie a controlului documentelor, tranzactiilor, produselor,sistemelor etc. Evidentele contabile sunt tinute res
informatice se afla sub licenta producatorului.
Mehari

5 + 2.4 + 2.75 + 2.59 + 3.5 + 3.2 + 4) / 12 = 3

ministrativ si departamentul resurse umane sub indrumarea managementului.

de principii,norme si proceduri de securitate obligatorii.
societatii si un angajat al unei firme de paza care monitorizeaza toate
anelor.La intrare este un sistem informatic pentru pontarea intrarilor si iesirilor
temul de protectie pentru incendii este automat.Principala problema, din punct
orasului societatea nedispunand de un sistem care sa includa o sursa
ia sistemului. Intretinerea generala este asigurata de un sistem de protectie
montate si protejate corespunzator. Exista o supraveghere video legata la un

ocietatii cat si din afara. Reteaua locala este partitionata in domenii pentru
prinde mediul de lucru propriu fiecarui departament).Accesul la mediul privat

a in vigoare. Este certificata ISO: Sistemul de management al calitatii astfel este

ntele contabile sunt tinute respectand standardele.Toate programele