Documente Academic
Documente Profesional
Documente Cultură
Chestionar de audit
Y-1
Domeniul: Organizarea N-0
Valoarea lui W se ia din fisierul excel - Mehari Baza
Intrebare Y/N W
Exista un document care descrie politica de securitate in legatura cu sistemul informational, in speta in
legatura cu organizarea, administrarea si dirijarea politicii de securitate (roluri si responsabilitati), dar si 1 2
principiile fundamentale care subliniaza admistrarea securitatii informatiei?
Exista o procedura pentru a actualiza in mod regulat documentele referitoare la securitatea sistemului
informational o data cu schimbarea structuriilor organizationale? 1 2
A fost comunicata functia de securitate auditorilor interni (sau structurii responsabile de auditorii interni) o
referinta ghid legata de o informatie a sistemului de securitate, descriind in particular, obligatiile fiecarei 1 4
categorii de personal,directivele si recomandarile imputernicitului?
Exista o procedura de alerta, distribuita pe intreaga organizatie, care dau posibilitatea direct sau indirect
(supravietuirea personalului)sa contacteze persoane variate initiate intr-un plan de criza? 1 2
Sunt obligatiile si responsabilitatile angajatiilor legate de folosirea si protejarea bunurilor si resurselor care
apartin companiei detaliate intr-un memoriu sau intr-un document disponibil conducerii? 0 4
Exista un document care sa definesca regulile generale aplicate protejarii accesului la resursele computerului
(stocari si elemente ale retelei, sisteme, alicatii, date, media, etc.) si conditiile cerute pentru rezultatul final,
managementul si controlul drepturilor de acces? 1 2
Exista un document care sa stabilesca sarcini, responsabilitatile si procedurile de aplicat pentru a proteja
arhive importante pentru companie? 1 4
Exista ,in contractele de munca sau in regulile interne o clauza clara a conditiilor obligatorii de a adera la
regulile securitatii in forta? 1 4
Chestionar de audit
No.2
Mw = 4 * Σ Ri * Wi / Σ Wi = 4 * 22/30 = 2,93
In ceea ce priveste securitatea fizica societatea prezinta un nivel de risc de 2,93. Securitatea
accesului fizic acesta este realizata de catre o echipa formata dintr-un angajat al societatii si un angajat al unei firme de paza care monitorizeaza
toate persoanele care intra si ies din societate intr-un jurnal.Angajatii sunt identificati pe baza ecusoanelor.La intrare este un sistem informatic
pentru pontarea intrarilor si iesirilor dar acesta le memoreaza pe toate.In cladirea exista camere de luat vederi si deasemenea sistemul de protectie
pentru incendii este automat.
Domeniu: Intretinerea generala
Intrebare Y/N W
Exista un sistem de reglementare a electricitatii care include cel putin o sursa de energie permanenta
pentru cel mai sensibil echipament?Exista baterii de rezerva (aprovizionand una sau mai multe surse
permanente)garantand suficienta automonie echipamentului sa se opreasca corespunzator si in siguranta? 0 4
Avaria(oprirea) accidentala sau deliberata a sistemului de aer condtionat este detectata si semnalata unei
echipe de interventie capabile sa reactioneze prompt? 1 2
Este controlul asigurat al tuturor punctelor de intrare si iesire incluzand iesirile normale si altele precum
ferestre accesibile din exterior, iesiri de urgenta, acces posibil cu privire la podele care se ridica si tavane 0 4
false?
Intrebare Y/N W
A fost stabilita o lista a incidentelor care pot afecta funtionarea corecta a retelei extinse 1 2
si pt. fiecare din acestea solutiile pentru implementare si actiunile efectuate de
personalul operational?
A fost stabilit un plan de siguranta cuprinzand toate configuratiile retelei, definind toate 1 4
obiectele sa salveze si a fost stabilita frecventa copiilor de siguranta?
Exista un mecanism pentru autentificarea si controlul accesului in reteua interna 1 4
respectiv reteaua extinsa?
Toate copiile de siguranta si fisierele de configuratie care permit redarea mediului de 1 4
productie al retelei extinse sunt de asemenea salvate la o locatie de baza (refugiu de
siguranta)?
Sunt copiile de siguranta stocate intr-o locatie sigura si protejate impotriva riscurilor de 1 4
accident sau furt? O asemenea locatie trebuie protejata printr-un control strict al
accesului precum si protejata impotriva riscurilor de incendiu sau inundatie.
Pentru fiecare incident posibil al retelei extinse a fost determinat un timp previzionat de 0 4
solutionare si o procedura de extindere in cazul esuarii sau intarzierii actiunilor
corective specificate?
S-a stabilit solutia ce ar trebui propusa de echipa de supraveghere pentru fiecare risc 1 4
intalnit ,si s-a luat in calcul pregatirea si disponibilitatea fiecaruia dintre membri pentru
aceste cerinte?
Exista o linie telefonica disponibila 24 ore ,care sa se ocupe preluarea si inregistrarea 0 2
apelurilor referitoare la reteaua de internet extinsa si care sa raporteze toate
incidentele?Exista o aplicatie care sa se ocupe de administrarea acestor
incidente(riscuri)?
A fost planul de rezerva transpus in proceduri operationale automate? 0 2
Intrebare Y/N W
Reteaua locala a fost impartita in domenii de securitate, fiecare avand regulile specifice cu privire la 1 4
securitate?
Arhitectura echipamentului din retea se adapteaza modificarilor la toate nivelurile? 1 2
Instrumentele de reconfigurare si monitorizare ale retelei permit actiuni corectoare compatibile cu 0 4
echipamentele utilizatorilor?
A fost stabilita o politica de management a drepturilor de acces la aria locala de retea? 1 2
Au fost introdusi diferiti parametrii variabili in definirea regulilor drepturilor de acces (care determina 1 2
drepturile ce sunt atribuite profilelor) ca functie de context, in particular, locatia statiei solicitante (accest
direct LAN, linie inchiriata, internet, tipuri de protocol etc ) sau clasificarea sub-retelei cerute.
Exista vreo metoda de autentificare sau de control al accesului tuturor utilizatorilor care se conecteaza la 1 4
reteaua locala din afara?
Exista o persoana sau un grup de persoane disponibile 24h/24h sa reactioneze in cazul unui incident la 0 4
retea?
Pentru un posibil incident in retea sunt stabilite actiuni corective? 1 4
A fost stabilit un plan de back-up care acopera toate configurarile retelei, defineste toate obiectele ce 1 4
trebuie salvate si frecventa salvarilor?
Deciziile de schimbare a echipamentelor sunt bazate pe analiza capacitatii noului echipament si sistem de 1 2
a asigura volumul necesar tinand cont de evolutia prevazuta a cererii?
Personalul operational a primit instruire in analiza riscului si obtine sfaturi adecvate atunci cand are 1 4
nevoie?
Sunt echipamentele de retea si configuratiile statiilor de lucru verificate periodic in conformitate cu acest 1 2
document de referinta la fiecare conectare?
Sunt sistemele protejate impotriva posibilitatii de instalare de software si modificari ale configuratiilor? 1 4
Este interzis sa adaugi sau sa creezi intrumente sau componete fara o autorizatie legala si este aceasta 1 2
lege folosita de catre o procedura automata care declansaza o alarma catre manager?
Drepturile atribuite echipelor operationale interzic orice modificare ale instrumentelor operationale sau 1 4
componente sau exista totusi o alarma la aceste modificari care se sanctioneaza la manager ?
Intrebare Y/N W
Este procesul de definire si managementul drepturilor atribuite profilelor sub un control strict? Un control 1 4
strict cere ca lista persoanelor care pot schimba drepturile atribuite profilelor sa fie limitata si
implementarea acestor drepturi sa fie sigura si deasemenea sa existe un control capabil sa modifice
aceste drepturi si orice modificare sa poata fi auditata?
Este posibil sa se revada oricand, lista completa a profilurilor si drepturilor atribuite fiecarui profil? 1 2
Exista un proces strict controlat(ca cel de mai inainte) care permite delegarea propriilor autorizari, partial 1 4
sau total,unei persoane la alegere pe o perioada determinata(in caz de absenta)? In acest caz drepturile
delegate nu mai trebuie sa fie autorizate persoanei care le-a delegat in acest timp. Detinatorul, oricum
trebuie sa aiba posibilitatea sa le primeasca inapoi printr-un proces prin care el sau ea pun capat efectiv
delegarii.
Procesul de atribuire sau modificare a legitimatiilor utilizatorilor respecta o serie de reguli care asigura 1 4
validitatea intrinseca a acestora?In cazul parolelor: lungime adecvata(8 caractere sau mai mult), obligatoriu
mixaj de tipuri diferite de caractere, schimbarea frecventa(cel putin o data pe luna), imposibilitatea
reutilizarii unei parole vechi, cuvintelor banale, poreclelor, numelor, anagrame, date etc. In cazul
certificatelor si autentificarilor bazate pe un mecanism criptografic: procesul de evaluare a persoanelor sau
recunoastere publica, parole de lungime suficienta etc.
Procesul de logare este securizat(sigur)?O logare sigura nu ar trebui sa dea nici o informatie inainte ca 1 2
procesul sa fie executat cu succes, sa nu afiseze parolele de autentificare, data sau ora ultimei conectari,
eventualele conectari limitate care au esuat, etc.
A fost dusa la indeplinire o analiza specifica a apelurilor confidentiale inregistrate si a parametrilor acestor 0 4
apeluri care ar trebui inregistrate?
In cazul unor multiple greseli de autentificare, exista un proces automat care nevalideaza temporar 0 4
utilizatorul folosit, sau da posibilitatea insasi a validarii de a incetinii autentificarea astfel incat sa inhibe
orice alta conectare uzuala?
A fost dusa la indeplinire o analiza a echipamentelor si sistemelor puse la dispozitie (exceptand 0 4
arhitectura aplicatiilor , dar incluzand sistemele periferice generale, ca de exemplu sistemele de rezerva si
roboti , servere de printare si echipament centralizat pentru printare) cu scopul de a scoate in evidenta
nevoia de continuitate a serviciilor? In urma unei analize profunde, s-a stabilit o lista de posibile erori si , de
asemeni, corespondenta acestora.
Sunt realizate teste regulate pentru a demonstra ca securitatea echipamentului poate garanta nivelul 1 2
minim de performanta solicitat in cazul unei erori?
Intrebare Y/N W
Exista o politica de securitate, special directionat spre personalul utilizator, raportat la sistemul 1 4
informational?
Este interzis a se crea sau a se adauga unelte sau utilitati fara autorizatie oficiala si exista o verificare 1 2
automata regulata pentru a intari aceasta regula prin alertarea unui manager apropiat?
Decizia schimbarii si a evolutiei echipamentelor si sitemelor fac ele obiectul unei proceduri de 1 4
control(inregistrare,planing,aprobare formala,comunicare in ansamblul persoanelor referinta,etc.)?
Masurile de securitate decid remedierea noilor riscuri puse in evidenta ,fac ele obiectul controalelor formale 1 4
inainte de a fi puse spre productie?
Toate documentele importante sunt imprimate in locuri protejate impotriva patrunderiilor abuzive si contra 0 4
riscurilor de deturnare in cursul elaborarii sau in asteptarea distributiei?
Respectarea prevederilor de securitate ale furnizorilor este tinuta sub control si revazuta regulat? 1 4
Este integritatea configurarilor sistemului verificata,la fiecare pornire a sistemului si/sau regulat 0 4
(saptamanal)conform configurarii teoretice asteptate?
Exista un document(sau un set de doc)si o procedura operationala care descrie(toate aplicatiile 1 4
software,pachetele si versiunile lor)parametrii de securitate si securitatea arhitecturii software?
Intrebare Y/N W
1 2
A fost stabilita o politica de management pentru drepturile de acces al datelor, construita pe o analiza a
cerintelor de securitate bazata pe riscurile afacerii?
E posibil fie ajustate drepturile de acces atribuite unui profil dat, potrivit contextului legaturii (originea 1 4
legaturii, calea retelei, protocol, codificare, etc.) si clasificarii resurselor accesate?
1 4
Sunt procesele de definire si management al drepturilor atribuite profilurilor sub control strict? Controlul
strict necesita ca listele de persoane ce pot sa schimbe drepturile atribuite profilurilor sa fie strict limitate si
ca implementarea acestor drepturi (e.g. in tabele) sa fie securizata si sa existe un control al accesului
eficient pentru orice modificare a acestor drepturi si fiecare modificare a lor sa fie inregistrata si verificata.
Prezentarea acestor drepturi de catre utilizator garanteaza inviolabiltatea lor? Scriind o parola va fii 0 4
intotdeauna un punct slab. Singurele procese care sunt observabile fara a divulga informatii consta fie in a
introduce un obiect continand un secret , fie utilizand un cod care sa se schimbe la oricare monent (fisa,
card instrument), fie utilizand un mijloc care sa contina caractere biometrice.
Inchiderea sau scurtcircuitarea solutiei de criptare este detectata imediat, semnalata catre o echipa 0 4
disponibila 24 de ore din 24 si capabila de a genera o reactie imediata?
Ofera solutia de criptare garantii valide si solide, este ea aprobata de ofiterul Securitatii Informatiei? 1 4
[Lungimea suficienta a cheiei este una dintre mai multi parametri de luat in considerare(ca o functie al unui
algoritm)]. Recomandarea unei organizatii oficiale, ca DCSSI in Franta poate fi un factor convingator.]
Au fost identificate tranzactiile speciale care trebuie protejate prin semnatura electonica la nivelul 1 4
aplicatiilor?
S-a luat in considerare posibilitatea distrugerii informatiei stocate in sistemul IT si au fost stabilite care 1 4
dintre aceste proceduri va da posibilitatea reconstituirii datelor dupa cele originale?
Intrebare Y/N W
Exista un grup de suport, specializat in analizarea riscurilor proiectului, asistand conducerea proiectului cu 1 4
analizele proceselor de risc si care are suficienta disponibilitate pentru a raspunde la cerintele utilizatorilor?
Au aplicatiile de intretinere la dispozitie un centru de suport tehnica care sa asigure o asistenta telefonica 1 2
rapida si competenta?
Intrebare Y/N W
Este impartirea fizica separata in zona interna protejata si zona receptie, externa zonei protejate, folosita 0 4
pentru intalniri?
Exista un sistem de supraveghere video capabil sa detecteze miscarile si comportamentul anormal?Is 1 4
video surveillance material recorded and kept for a long period?
Vizitatorii si serviciile ocazionale sunt acompaniati in cladire? 0 2
Accesul la echipamente este protejat ( chiar si pentru utilizare locala ) de o parola sau un sistem de 1 2
autentificare?
Toate elementele folosite in procesul de encriptare sunt protejate impotriva alterarilor si modificarilor? 1 4
Exista un centru de suport disponibil pentru software care garanteaza un suport rapid si eficient? 1 2
Exista cateva generatii de fisiere salvate pentru a putea reface oricand informatiile pierdute? 1 4
Chestionar de audit
Domeniul : Legalitatea
2 Exista un ansamblu de reguli si masuri legale normative asociate sistemului informational privind protectia 1 4
drepturilor de proprietate intelectuala?
4 Managerii societatii au facut o evaluare a eficientei controlului intern privind procedurile si controalele ce 1 4
asigura ca situatiile financiare sunt emise in acord cu reglementarile externe?
6 Sunt total independenti membrii comisiei de audit(de exemplu: nu detin autoritate operationala in cadrul 1 2
companiei, nu sunt afiliati niciunei persoane care isi exercita autoritatea in companie si nu primesc nicio
remuneratie in afara celei relationate cu functia lor in comisia de audit)?
7 Este acolo o colectie a tuturor regulilor si masurilor aplicabile legal si compensator, asociate sistemului de 1 4
informatii, privind folosirea criptarii?
8 Sunt sistemele operationale care au o legatura directa sau indirecta cu sistemul de gestiune tinute in conformitate cu 1 4
prevederile VCA? Sunt toate aplicatiile contabile si aplicatiile care alimenteaza sistemul de gestiune, prin intermediere
sau fise de decont, tinute?
Total 9 30
Mw = 4 * Σ Ri * Wi / Σ Wi = 4 * 30/30 = 4
Comentarii
In ceea ce priveste datele prosonale exista o procedura stricta privind
confidentialitatea atat pentru angajati dar mai ales pentr datele furnizate
pe site.
In cadrul departamentului It exista o sectiune destinata producerii si
implementarii de noi module si programe. In acest sens exista o procedura
speciala privind drepturile de proprietate intelectuala.
Toate programele instalate sunt licentiate. Obiectul de activitate fiind
distributia echipamentelor IT societatea beneficiaza de gratuitati din partea
producatorilor de programe.
Organizarea si implicatiile acesteia asupra securitatii este realizata de catre departamentul administrativ si departamentul r
Acestea elaboreaza Manualul angajatului:un ghid complet pentru angajati ce cuprinde un set de principii,norme si procedu
Securitatea accesului fizic acesta este realizata de catre o echipa formata dintr-un angajat al societatii si un angajat al une
persoanele care intra si ies din societate intr-un jurnal.Angajatii sunt identificati pe baza ecusoanelor.La intrare este un sist
dar acesta le memoreaza pe toate.In cladirea exista camere de luat vederi si deasemenea sistemul de protectie pentru inc
de vedere fizic, o reprezinta aprovizionarea cu elergie electrica care se realizeaza din reteaua orasului societatea nedispun
permanenta pentru echipamentele sensibile ci doar un set de baterii care nu asigura autonomia sistemului. Intretinerea ge
contra incendiilor automat, sistemul de aer conditionat asigura intreg perimetrul, cablurile sunt montate si protejate corespu
centru de monitorizare 24h/24h.
Societatea are o retea locala la care au acces angajati, atat prin intermediul echipamentelor societatii cat si din afara. Rete
fiecare departament in care exista sectiunile public(la care au acces toti angajatii) si privat (cuprinde mediul de lucru propri
este restrictionat.
In ceea ce priveste legalitatea societatea isi desfasoare activitatea in conformitate cu legislatia in vigoare. Este certificata I
asigurata o garantie a controlului documentelor, tranzactiilor, produselor,sistemelor etc. Evidentele contabile sunt tinute res
informatice se afla sub licenta producatorului.
Mehari
ocietatii cat si din afara. Reteaua locala este partitionata in domenii pentru
prinde mediul de lucru propriu fiecarui departament).Accesul la mediul privat