Analiza riscurilor

Compartimentul Audit

ANALIZA RISCURILOR

Nr. Obiective Obiective/activități Activități/Acțiuni auditabile Riscuri identificate Criterii de Ierarhizare

Crt. Analiza
riscurilor
1. Organizarea si Obiectivele IT Strategia IT este in concordanta Strategia IT este in concordanta cu obiectivele 1 1 2 mic
funcționarea cu scopurile instituției instituției;
compartimentului IT Obiectivele IT nu respecta Obiectivele nu se pot realiza într-un timp rezonabil 1 1 2 mic
SMART
Obiectivele IT deriva din Obiectivele in domeniul IT deriva si contribuie la 2 2 4 mediu
obiectivele organizației realizarea obiectivelor entității
Organizarea Compartimentul este organizat Insuficiența personalului este suplinita prin contracte 1 2 2 mic
compartimentului adecvat de mentenanța cu firme externe
IT

Organizarea Personalul IT are calificarea si Personalul este calificat ,dar nu exista un plan de 2 1 2 mic
compartimentului competentele necesare pregătire profesionala
IT Adecvarea practicilor si Procedurile nu sunt adecvate la procesele adecvate; 2 2 4 mediu
procedurilor IT la procesele
curente
Definirea Definirea acțiunilor si Fisele de post nu au fost actualizate – atribuții care 2 2 4 mediu
atribuțiilor si responsabilităților in nu mai sunt actualizate
activităților compartimentului IT
Atribuțiile specifice Atribuțiile specifice deriva din atribuțiile generale 1 3 3 mediu
compartimentului sunt derivate ale instituției conform ROF, dar ROF-ul nu este
din atribuțiile generale ale actualizat
instituției
Atribuțiile stabilite asigura Atribuțiile sunt definite sub forma de sarcini 1 2 2 mic
realizarea activităților
necesarei
Identificarea tuturor Activitățile au fost stabilite corect pentru realizarea 2 2 4 mediu
 activităților care participa la obiectivelor
realizarea obiectivelor
Corelația intre atribuțiile Sunt stabilite sarcini identice pentru funcții diferite 2 2 4 mediu
postului si competentele
ocupantului postului
Definirea activităților in cadrul Activitățile realizate la nivelul compartimentului se 1 3 3 mediu
structurii organizatorice regăsesc in totalitate in cadrul sarcinilor stabilite
posturilor
Stabilirea structurii Organizarea funcționala a Structura funcționala este adaptata activităților 1 2 2 mic
organizatorice departamentului IT derulate
Definirea relațiilor In repartizarea activităților si relațiilor 1 1 1 mic
organizatorice intre organizatorice se tine cont de natura activităților
compartimentului
Examinarea sistemului de Nu au fost identificate toate riscurile la nivelul 2 3 6 mare
gestionare a riscurilor generale instituției
la nivelul compartimentului IT
Riscurile legate de securitatea Gestionare slaba a riscurilor privind securitatea 2 3 6 mare
datelor, programelor si informațiilor
echipamentelor sunt
identificate si evaluate cat mai
corect si mai complet
Stabilirea Definirea limitelor de Nu sunt definite limitele pana unde răspunde 2 2 4 mediu
responsabilităților competenta ocupantul postului
Definirea responsabilităților in Sarcinile stabilite potrivit fisei postului nu corespund 1 2 2 mic
realizarea activităților cu acțiunile efectiv realizate de ocupantul postului
Definirea prin fisa postului Fisele postului nu sunt reînnoite 2 2 4 mediu
2. Activitățile Funcționalitatea Activitățile sunt bine Contractele de service sunt revizuite in mod 1 2 2 mic
sistemului activităților in organizate pentru asigurarea permanent si urmărite
informatic cadrul bunei funcționarii a
compartimentului compartimentului
IT Organizarea activităților in Nu sunt repartizate omogen si eficient in cadrul 1 2 2 mic
cadrul compartimentului compartimentului
Activitățile in cadrul Activitățile sunt bine definite 1 2 2 mic
compartimentului sunt definite
respectând necesitățile evidente
Evidenta datelor aflate pe Nu exista o evidenta a datelor utilizate in cadrul 1 3 3 mediu
 mediile de stocare instituției
Distribuirea cu precizie a Informația este distribuita exact către utilizatorii si 2 2 4 mediu
informațiilor către utilizatori si mediile de stocare necesare
mediile de stocare
Asigurarea caracterului secret Accesul este restricționat la date si informații 2 2 4 mediu
al datelor
Mentenanța Întreținerea calculatoarelor si Întreținerea defectuoasa 1 3 3 mediu
echipamentelor echipamentelor
Instalarea si configurarea Configurare incorecta 1 3 3 mediu
calculatorului
Sistemul este întreținut pentru Întreținerea sistemului este conform clauzelor 1 3 3 mediu
a se asigura continuitatea contractuale
acestuia
Utilizarea Realizarea eficienta a Suportul tehnic este furnizat in mod corespunzător 1 2 2 mic
echipamentelor operațiilor in cadrul instituției
Identificarea si raportarea Costuri ridicate cu remedierea defecțiunilor, 2 2 4 mediu
problemelor frecventa medie a acestora
Administrarea eficienta a Controlul intern asupra datelor de intrare nu este 2 2 4 mediu
aplicațiilor si programelor asigurat
Evaluarea problemelor si Corectarea erorilor se face de către furnizorul de 2 2 4 mediu
soluționarea acestora aplicații
Programele corespund Aplicațiile utilizate corespund cerințelor de lucru 2 2 4 mediu
cerințelor stabilite
Echipamentele sunt utilizate Exploatarea echipamentelor nu se face in mod 1 3 3 mediu
adecvat corespunzător datorita lipsei de pregătire a
personalului
3. Securitatea Organizarea Politica de securitate a Politica de securitate a informației aplicata parțial 2 2 4 mediu
sistemului securității informației
informatic informațiilor Stabilirea responsabilităților Responsabilitatea nu este stabilita cu claritate sau 2 2 4 mediu
privind implementarea politicii este stabilita parțial;
de securitate a informației
Stabilirea responsabilităților Responsabilitățile nu sunt stabilite cu claritate 1 2 2 mic
privind politica de securitate a
informației
Securitatea datelor asigura Datele generate de instituție sunt disponibile doar 1 2 2 mic
disponibilitatea acestora doar pentru utilizatorii autorizați
 pentru anumiți utilizatori
Disponibilitatea Protejarea împotriva atacurilor Protejarea împotriva atacurilor informatice se face 1 3 3 mediu
datelor informatice cu ajutorul patch-lor descărcate pentru sistemul de
operare si programele antivirus
Protejarea datelor împotriva Utilizarea programelor antivirus pe stațiile de lucru, 1 3 3 mediu
virușilor dar nu si pe servere;
Recuperarea datelor in caz de Se realizează back-up in mod curent pentru datele 2 3 6 mare
dezastru financiar -contabile, medicale, dar fără existenta
unui un plan de back-up
Asigurarea continuității Sunt utilizate UPS pentru a se asigura continuitatea, 1 3 3 mediu
activităților si protejarea dar nu sunt in număr suficient. Exista alocate conturi
împotriva utilizării identităților si parole individuale pentru fiecare angajat ce
false operează pe calculator
Funcționarea Asigurarea introducerii corecte Aplicațiile sunt utilizate in conformitate cu 1 2 2 mic
programelor si a datelor si informațiilor pentru instrucțiunile de utilizare
aplicațiilor prelucrare
Existenta licențelor pentru Expirarea licențelor pentru programele utilizate 1 3 3 mediu
programele utilizate
Prelucrarea datelor Introducerea incorecta a datelor si informațiilor 1 3 3 mediu
Asigurarea securității datelor si Stabilirea greșita a nivelelor de acces la datele si 2 3 6 mare
informațiilor informațiile instituției
Implementarea Accesul la aplicații este pe Pierderea parolelor pentru accesul la programe sau 1 2 2 mic
instrumentelor de baza necesitaților utilizatorului aplicații
control Mecanismele de securitate Mecanismele de securitate nu sunt configurate 2 3 6 mare
configurate si implementate corect pentru a asigura integritatea si
verifica si limitează accesul la confidențialitatea datelor
aplicații
Introducerea instrumentelor de Accesul fizic la echipamente si aplicații nu oferă 1 3 3 mediu
control fizic securitatea fizica necesara
Stabilirea de chei de control Nu exista o procedura care sa stabilească chei de 1 3 3 mediu
pentru fiecare program si control pentru programe si aplicații
aplicații
4. Administrarea si Securitatea rețelelor Mecanismele de securitate Nu sunt stabilite instrumente de control pentru a 2 3 6 mare
mentenanța rețelelor de calculatoare configurate si implementate verifica vulnerabilitățile rețelei
de calculator asigura securitatea informației
Monitorizarea securității rețelei Nu exista o monitorizare completa a rețelei 2 3 6 mare
Gestionarea Utilizatori au parole de acces Pierderea parolelor, nu exista o procedura pentru 1 2 2 mic
parolelor individuale recuperarea si realizarea parolelor
Schimbarea periodica a Nu exista o politica de schimbare periodica a 2 3 6 mare
parolelor parolelor
Conturile si parolele generice Conturi si parole cu presetările neschimbate 1 3 3 mediu
sunt folosite pentru accesul la
sisteme sau la aplicații
Securitatea logica Securitatea funcționarii Lipsa controalelor de acces sau controale incomplete 1 3 3 mediu
programelor si aplicațiilor
Protejarea informației in rețea Nu exista instrumente si procese pentru protejarea 1 3 3 mediu
informației in rețea
Protejarea rețelei împotriva Lipsa controalelor de mediu, respectiv detectoare de 1 2 2 mic
factorilor de mediu incendiu, senzori de umiditate si temperatura
Administrarea Asigurarea bunei funcționari a Subsistemele existente nu sunt configurate si 2 2 4 mediu
rețelei de rețelei supravegheate adecvat.
calculatoare Administrarea performantelor Scăderea performantelor rețelei 2 2 4 mediu
rețelei
Asigura confidențialitatea Datele personale nu sunt anonimizate complet. 1 3 3 mediu
datelor personale
Accesul la informație folosind Utilizarea poștei electronice personale in 1 3 3 mediu
posta electronica sau alte corespondenta oficiala
instrumente de comunicare
electronica in limitele
competentelor, a posibilităților
tehnice si a legislației existente
Administrarea serverelor Accesul si utilizarea datelor si informațiilor stocate 2 2 4 mediu
pe servere nu respecta strategia de securitate a rețelei
Rețeaua corespunde cerințelor Nu exista un plan de dezvoltare a rețelei informatice 2 2 4 mediu
funcționale
Mentenanța Verificarea si schimbarea Cabluri neverificate sau schimbate necorespunzător 1 2 2 mic
rețelelor de cablurilor
calculatoare Verificarea si schimbarea Mufe montate necorespunzător 1 2 2 mic
mufelor de conectare
Verificare echipamente de Echipamente de interconectare montate sau depanate 1 3 3 mediu
interconectare, instalare si necorespunzător
depanare switch-uri si routere
 Crearea si utilizarea copiilor de Nu exista un plan de backup 2 3 6 mare
siguranța
Verificarea si configurarea Placi de rețea configurate incorect sau depășite din 1 2 2 mic
plăcilor de rețea punct de vedere tehnic
5 Sistemul informatic Fiabilitatea Manualul de utilizare a Nu exista un manual fizic de utilizare 1 2 2 mic
contabil sistemului sistemului financiar-contabil
informatic-contabil Atribuirea de responsabilități Firma furnizoare creează conturile si modifica 1 3 3 mediu
persoanelor care au acces la drepturile de acces in sistem pe baza cererii de
sistemul informatic contabil acces, semnata de managerul instituției
Pregătirea personalului Nu exista un plan de pregătire a personalului 1 3 3 mediu
implicat in utilizarea
sistemului informatic contabil
Sistemul de prevenire, Nu exista o lista a adreselor MAC ce au drept de 2 3 6 mare
detectare a accesărilor si acces la distanta
modificărilor neautorizate ale
bazelor de date: parole,
programe antivirus

Întocmit: Isleam Timur

Avizat: Vasile Luminița
Data: 08.09.2020