Manualul Sistemului de Management

Titlu: Manualul Sistemului de Management

S.C. SOCIETATE S.R.L.
Codul Documentului: MSM 01
Destinatarul exemplarului:
Nivelul Ediției/Reviziei: I/0 Exemplarul nr:

Manualul Sistemului de Management a fost elaborat în conformitate cu standardul

SR ISO/CEI 27001:2013
DOCUMENT CONTROLAT

Copyright © 2018 S.C. SOCIETATE S.R.L.

MSM 01 Pagina 1 din 22

Toate drepturile asupra acestui manual al sistemului de management aparţin organizației S.C. SOCIETATE S.R.L.. Reproducerea integrală sau parţială a
textului sau ilustraţiilor din acest manual este permisă numai cu acordul prealabil scris al organizației

MSM 01 Pagina 2 din 22

CUPRINS

I Despre Manualul Sistemului de Management 4

II Aprobări 4
III Întroducere 4
1. DOMENIUL DE APLICARE 5
2. REFERINŢE NORMATIVE 6
3. TERMENE ŞI DEFINIŢII 7
4. CONTEXTUL ORGANIZAȚIEI 7
4.1 Înțelegerea organizației și a contextului în care activează 7
4.2 Înțelegerea necesităților și așteptărilor părților interesate 7
4.3 Determinarea domeniului de aplicare al sistemului de management 7
4.4 Sistemul de management al calității și procesele sale 7
5. LEADERSHIP 8
5.1 Leadership și angajament 8
5.2 Politică 8
5.3 Roluri organizaționale, responsabilitatăți și autorități 9
6. PLANIFICARE 12
6.1 Acțiuni de tratare a riscurilor și oportunităților 12
6.2 Obiectivele referitoare la SMSI 12
7. SUPORT 14
7.1 Resurse 14
7.2 Competenţă 14
7.3 Conştientizare 14
7.4 Comunicare 15
7.5 Informaţii documentate 15
8. OPERARE 17
8.1 Planificare şi control operaţional 17
8.2 Evaluarea riscurilor 18
8.3 Tratarea riscurilor 18
9. EVALUAREA PERFORMANTEI 19
9.1 Monitorizare, măsurare, analizare şi evaluare 19
9.2 Audit intern 19
9.3 Analiza efectuată de management 19
10. ÎMBUNĂTĂȚIRE 21
10.1 Neconformitate şi acţiune corectivă 21
10.2 îmbunătăţire continuă 21

MSM 01 Pagina 3 din 22

I. Despre Manualul Sistemului de Management
Manualul Sistemului de Management este elaborat şi menţinut de Reprezentantul
Managementului. Propunerile de modificări privind manualul trebuie prezentate
Reprezentantului Managementului. Actualizarea manualului se face conform cerinţelor
procedurilor interne aplicabile. Reprezentantul managementului va avea o copie a acestui
manual care trebuie să fie disponibilă tuturor angajaţilor.
Este responsabilitatea conducerii de a se asigura că toţi angajaţii cunosc conţinutul
manualului şi sunt informaţi în legătură cu modificările şi actualizările efectuate.
Reprezentantul managementului se asigură că reviziile perimate ale manualului sunt
declarate necorespunzătoare şi dispuse conform proceduriI în vigoare, [Control Informatii
Documentate PS-SMSI-7.5].
Pentru fiecare clauză a standardului de referinţă pe care se bazează sistemul de
management, se va face referire la procedurile sistemului aplicabile, care la rândul lor vor
face referire la alte proceduri sau instrucţiuni aplicabile. Manualul sistemului şi procedurile
se vor folosi ca o bază de raportare pentru analiza documentelor şi audituri interne sau
externe.
II. Aprobări
Această revizie a Manualului Sistemului de Management a intrat în vigoare la data de:
[ data ]

Administrator Semnătura

RM Semnătura

III. Introducere
Acest manual descrie sistemul de management al organizației şi conformitatea acestuia cu
cerinţele standardului international ISO 27001:2013. Acest manual este destinat:
 utilizării interne, pentru comunicarea către toţi angajaţii a politicii sistemului de
management şi a obiectivelor organizației, pentru a-i familiariza cu metodele folosite
pentru atingerea conformităţii cu cerinţele standardului international ISO 27001:2013,
pentru facilitarea implementării, menţinerii sistemului de management şi asigurarea
continuităţii şi actualizării acestuia în condiţiile modificării condiţiilor de lucru, pentru
asigurarea unei comunicări şi a unui control eficient calităţii activităţilor şi documentelor
care constituie baza sistemului de management.
 utilizării externe, pentru informarea clienţilor organizației şi a altor părţi interesate în
legătură cu politica, sistemul de management al calităţii implementat şi evaluările privind
conformitatea cu cerinţele standardului international ISO 27001:2013.
Sistemul de management descris în continuare este conform cu cerinţele standardelor
standardului international ISO 27001:2013.
MSM 01 Pagina 4 din 22
 1. DOMENIUL DE APLICARE

Organizatia a definit domeniul de aplicare si limitele SMSI in raport cu cerintele

afacerii, organizarea firmei, locatia , resursele si tehnologiile puse la dispozitie. Astfel
Sistemul de Management al Securitatii Informatiei se aplica tuturor activităţilor, proceselor,
documentelor şi înregistrărilor din cadrul organizaţiei.
Excluderile se limiteaza doar la obiectivele de control si masurile de securitate din
anexa A a SR ISO/CEI 27001:2013, conform Declaratiei de Aplicabilitate.

2. REFERINŢE NORMATIVE

Sistemul de management implementat în organizație este conform cu următoarele

standarde internaţionale:
 SR ISO/CEI 27001:2013 “Sisteme de management al securitatii informationale”;
 SR EN ISO 19011:2011 “ Ghid pentru auditarea sistemului de management”;

MSM 01 Pagina 5 din 22

 3. TERMENI ȘI DEFINIȚI
Se aplica definitiile din: SR ISO/CEI 27001:2013 Tehnologia informatiei. Tehnici de
securitate. Sisteme de management al securitatii informatiei. Cerinte , si anume:
- Resurse - orice prezinta valoare pentru organizatie;
- Disponibilitate-proprietatea de a fi accesibil si utilizabil la cerere de catre o entitate
autorizata;
- Confidentialitate- proprietatea ca informatia sa nu fie facuta disponibila sau
divulgata persoanelor, entitatilor sau proceselor neautorizate;
- Securitatea informatiei-pastrarea confidentialitatii , integritatii si a disponibilitatii
informatiei; in plus, alte proprietati precum autenticitatea, responsabilitatea, non-
repudierea si fiabilitatea pot fi de asemenea implicate;
- Eveniment de securitate a informatiilor- situatie identificata in legatura cu un
sistem, serviciu sau o retea care indica o posibila incalcare a politicii de securitate
a informatiilor, un esec al masurilor de protectie sau o situatie ignorata anterior,
dar relevanta din punct de vedere al securitatii;
- Incident privind securitatea informatiei- un eveniment sau o serie de evenimente
de securitate a informatiei care au o probabilitate semnificativa de a compromite
activitatile organizatiei si de a aduce amenintari la securitatea informatiei;=
Neconformitate SMSI;
- Sistem de Management al Securitatiii Informatiei- parte din intreg sistemul de
management bazata pe o abordare a riscului afacerii , folosita pentru a stabili,
implementa, functiona, monitoriza, revizui, mentine si imbunatati securitatea
informatiei.
- Integritate- proprietatea de a pastra acuratetea si deplinatatea resurselor;
- Risc rezidual- riscul care ramane dupa tratarea riscului;
- Acceptarea riscului- decizie de acceptare a unui risc;
- Analiza riscului-utilizarea sistematica a informatiei pentru a identifica sursele si
pentru a estima riscul;
- Determinarea riscului- procesul global de analiza si evaluare a riscului;
- Evaluarea riscului- proces de comparare a riscului estimat cu criteriile de risc
agreate invederea stabilirii importantei riscului;
- Managementul riscului- activitati coordonate pentru indrumarea si controlul unei
organizatii luind in considerare riscurile;
- Tratarea riscului-proces de selectie si implementare a unor masuri in vederea
reducerii riscului;
- Declaratie de aplicabilitate- declaratie documentata care descrie obiectivele de
control si masurile de securitate care sunt relevante si aplicabile SMSI al
organizatiei.
- Detinator- individ sau entitate care are responsabilitatea aprobata de management
pentru productia, dezvoltarea, intretinerea , utilizarea si securitatea resurselor.

MSM 01 Pagina 6 din 22

 - Utilizator- orice angajat/colaborator al organizatiei care utilizeaza sistemul
informatic;

PRESCURTARI
- SMSI -Sistem de Management al Securitatii Informatiei;
- RMSI - Reprezentant management pentru SMSI;
- MSMSI - Manual Sistemului de Managementul Informatiei
- DG - Director General;
- PS - Procedura de sistem;
- PO - Procedura operationala;

MSM 01 Pagina 7 din 22

 4. CONTEXTUL ORGANIZAȚIEI
4.1 Înțelegerea organizației și a contextului în care activează
Organizaţia se angajează să determine aspectele externe şi interne relevante pentru
scopul şi direcţia sa strategică şi care influenţează capabilitatea sa de a realiza rezultatele
intenţionate ale sistemului său de management.
Organizaţia monitorizeaze si analizează informaţiile despre aceste aspecte externe şi
interne.

4.2 Înțelegerea necesităților și așteptărilor părților interesate

Datorită efectului lor, sau efectului lor potenţial, asupra capabilităţii organizaţiei de a
furniza consecvent produse şi servicii care satisfac cerinţele clientului şi pe cele legale şi
reglementate aplicabile, organizaţia a determinat:
a) părţile interesate relevante pentru sistemul de management;
b) cerinţele acestor părţi interesate care sunt relevante pentru sistemul de
management.
Organizaţia monitorizeză şi analizeză informaţiile despre aceste părţi interesate şi
cerinţele lor relevante – a se vedea procedura internă [ Analiza efectuată de management
PS-SMSI-9.3].

4.3 Determinarea domeniului de aplicare al sistemului de management

Manualul sistemului de management, conţine prevederi referitoare la funcţiile
sistemului de management, rezultate din aplicarea selectivă şi adoptarea Standardelor
Internaţionale ISO 27001:2013, la specificul şi domeniul de aplicare al sistemului de
management al, şi anume:
Activități de realizare a soft-ului la comandă (software orientat client)

4.4 Sistemul de management și procesele sale

Managementul organizației se angajează să stabilească, documenteze,
implementeze, menţină şi îmbunătăţească continuu sistemul de management pentru a se
asigura că produsele şi serviciile întrunesc cerinţele specificate. Sistemul de management
respectă cerinţele SR ISO/CEI 27001:2013.
Pentru a stabili modul în care cerinţele, aplicabile şi specificate, ale sistemului de
management vor fi îndeplinite, organizația stabileşte şi utilizează proceduri documentate ale
sistemului de management, instrucţiuni de lucru, în scopul asigurării identificării, definirii,
controlului, verificării, măsurării, monitorizării şi analizării diferitelor procese ale sistemului
de management, privind eficacitatea implementării, punerii în aplicare şi a conformităţii cu
SR EN ISO/IEC 27001:2013, a rezultatelor sistemului de management în raport cu cerinţele şi
îmbunătăţirea continuă.

MSM 01 Pagina 8 din 22

Procesele SMSI respecta modelul PDCA al ciclului lui Deming: PLAN, DO, CHECK , ACT:
PLAN ( stabilirea SMSI ) Stabilirea politicii SMSI, a obiectivelor, proceselor si
procedurilor relevante pentru managementul riscului si
imbunatatirea securitatii informatiei pentru a furniza
rezultate in conformitate cu politicile si obiectivele de
ansamblu ale organizatiei.
DO (implementarea si Implementarea si functionarea politicilor SMSI, masurilor de
functionarea SMSI ) securitate, a proceselor si procedurilor.
CHECK(monitorizarea si Evaluarea si, acolo unde este aplicabil. Masurarea
revizuirea SMSI ) performantei procesului in raport cu politica SMSI,
obiectivele si experienta practica si raportarea rezultatelor
catre echipa manageriala pentru revizuire.
ACT( mentinerea si Deciderea de actiuni corective si preventive, bazate pe
imbunatatirea SMSI ) rezultatele auditului intern SMSI si revizuirile
managementului sau alte informatii relevante pentru a
obtine o imbunatatire continua a SMSI.

MSM 01 Pagina 9 din 22

 5. LEADERSHIP
5.1 Leadership și angajament
Managementul de varf al organizatiei furnizeaza dovezi ale angajamentului privind
implementarea, functionarea, monitorizarea, revizuirea, mentinerea si imbunatatirea SMSI
prin:
 stabilirea politicii SMSI (Declaratia de politica privind SMSI) si a
Planului anual de obiective SMSI ;
 asigurarea resurselor pentru functionarea SMI
 stabilirea rolurilor si a responsabilitatilor privind securitatea
informatiei: numirea prin decizie a Reprezentantului managementului pentru
gestionarea functionarii SMSI;
 comunicarea catre organizatie a importantei indeplinirii obiectivelor
de securitate a informatiei: stabilirea, difuzarea catre angajati si monitorizarea
realizarii obiectivelor generale si specifice privind responsabilitatile legale si nevoia
continua de imbunatatire a SMSI;
 stabilirea criteriilor de acceptare a riscurilor si a nivelurilor acceptabile
de risc: prin procesul de identificare , evaluare si control a riscului informatic;
 asigurarea ca auditurile interne ale SMSI se desfasoara: prin
aprobarea Programului de Audituri SMSI si monitorizarea acestuia prin rapoartele de
audit rezultate;
 realizarea analizelor de management ale SMSI: conform planificarii si
ordinii de zi stabilite, avand in vedere imbunatatirea functionarii SMSI;
 Conştientizarea fiecărui angajat asupra importanţei satisfacerii
prevederilor legale şi reglementărilor aplicabile SMSI implementat

5.2. Politică
Politica privind securitatea informatiei a fost definita in raport cu cerintele afacerii
organizatiei si ofera un cadru de lucru pentru stabilirea obiectivelor si a principiilor de
actiune referitor la securitatea informatiei. Principalele obiective generale, care exprima
pozitia managementului de varf al organizatiei in raport cu securitatea informationala,
sunt:
 reducerea riscului sistemelor informatice la un nivel acceptabil, in scopul de
a creste performanta angajatilor si satisfacatia clientilor;
 protejarea informatiilor in timpul prelucrarii, in tranzit si in timpul stocarii,
pentru asigurarea confidentialitatii, integritatii si disponibilitatii datelor;
 instruirea si constientizarea personalului utilizator al sistemului
informational asupra nivelului de risc la care este expusa organizatia si a modalitatilor de
reducere a acestuia;

MSM 01 Pagina 10 din 22

  identificarea inter-dependentei intre reducerea potentialului de risc,
cresterea costurilor si scaderea eficientei operationale;
 protejarea resurselor impotriva tuturor claselor “de atacuri” posibile, prin
utilizarea tehnicilor si tehnologiilor adecvate;
 dezvoltarea si imbunatatirea functionarii sistemului de administrare al
informatiei implementat;
 respectarea cerintelor legale si de reglementare in domeniul securitatii
informatiei, precum si a obligatiilor contractuale referitoare la securitate.
5.3. Roluri organizaționale, responsabilități și autorități
Managementul de la cel mai înalt nivel a stabilit sarcinile personalului, responsabilităţile,
autorităţile şi a relaţiilor reciproce în: procedurile SMSI şi în fişele posturilor. Principalele
responsabilităţi în domeniul SMSI sunt:
Director General
 aprobă Politica de Securitate a Informaţiilor
 conduce Analizele efectuate de management
 numeşte Reprezentantul Managementului pentru Securitatea Informaţiilor ( RMSI)
 comunică importanţa îndeplinirii obiectivelor de securitate a informaţiei şi
conformării cu politica de securitate a informaţiei, responsabilităţile legale şi nevoia
continuă de îmbunătăţire.

Administrator de sistem
 Asigură coordonarea activităţilor de asigurarea a securităţii informaţiilor în
conformitate cu politica de securitate a informaţiilor şi procedurile implementate;
 Identifică modul de tratare a neconformităţilor în funcţionarea SMSI;
 Identifică schimbările semnificative ale ameninţărilor şi expunerea la ameninţări a
informaţiilor şi a mijloacelor de procesare a acestora;
 Estimeză gradul de adecvare a măsurilor de securitate a informaţiilor şi coordoneză
întreaga activitate de implementare a lor;
 Se îngrijeşte de promovarea eficientă a educaţiei, instruirii şi conştientizării,
referitoare la securitatea informaţiilor în cadrul organizaţiei;
 Evaluează toate informaţiile primite de la activităţile de monitorizare şi analiză a
incidentelor de securitate şi recomandă acţiuni adecvate ca răspuns la incidentele
evidenţiate de securitate a informaţiilor;
 Consiliază conducerea organizaţiei în legătură cu toate aspectele privind securitatea
informatiilor;
 Informează conducerea organizaţiei cu privire la vulnerabilităţile şi riscurile existente
în sistemul de management al securităţii informatiilor şi propune măsuri pentru
înlaturarea acestora;
 Efectuează, cu aprobarea conducerii organizaţiei, controale privind modul de
aplicare a măsurilor de securitate a informaţiilor în toate compartimentele;

MSM 01 Pagina 11 din 22

Şefi de compartimente (responsabil de proces)
 sprijină identificarea, documentarea, ţinerea sub control şi îmbunătăţirea continuă a
proceselor necesare SMSI
 asigură disponibilitatea şi cunoaşterea documentelor SMSI de către personalul din
subordine.
 Sprijină difuzarea politicii şi obiectivelor SMSI prin mijloacele de comunicare ale
organizaţiei
 Asigură corelarea activităţilor şi ţinerea sub control ale interfeţelor în cadrul
proceselor intercompartimentale
 Asigură atingerea şi monitorizarea obiectivelor şi controalelor de securitate a
informaţiilor
 Asigură raportarea către RMSI
Fiecare angajat
 răspunde de respectarea documentelor SMSI aplicabile postului

Reprezentantul managementului pentru securitatea informaţiilor (RMSI)

Director General numeşte reprezentantul său pentru sistemul de management al securităţii
informaţiei, numit în continuare RMSI conferindu-i totodată autoritatea necesară pentru:
 Implementarea şi monitorizarea securităţii informaţiei şi a măsurilor de protecţie a
datelor
 Participarea la definirea şi stabilirea obiectivelor de securitate precum şi la
monitorizarea respectării acestora
 Achiziţia de informaţii în vederea descoperirii posibilelor puncte slabe din interiorul
organizaţiei
 Monitorizarea administrării sistemului într-un mod adecvat
 Auditarea şi revizuirea periodică a SMSI implementat în organizaţie.
 Participarea la întocmirea contractelor cu furnizorii de servicii (stabilirea cerinţelor
contractuale legate de securitatea informaţiilor)
 Participarea la întocmirea planurilor de investiţii ce vizează direct sau contribuie la
buna funcţionare a SMSI
 Monitorizarea instalării produselor software şi hardware în special cele legate de
securitatea informaţiilor
 Instruirea şi conştientizarea personalului cu privire la reglementările SMSI;
 Avizarea rapoartelor pe care organizaţia le înaintează organelor abilitate, potrivit
legii, în situaţia producerii unor incidente de securitate a informaţiilor, când există
suspiciunea că a fost încălcată legea;
 Avizarea acordurilor de schimb de informaţii cu alte organizaţii, pentru
îmbunătăţirea cooperării şi a coordonării problemelor de securitate.

MSM 01 Pagina 12 din 22

Managementul de la cel mai înalt nivel stabileşte şi asigură desfăşurarea proceselor de
comunicare internă /externă referitoare la eficacitatea SMSI.
Principalele cai de comunicare (orale sau scrise) cuprind, dar nu se limiteaza la:
 comunicarea directă
 nota interna
 şedinţe
 telefon / fax
 intranet / internet
 poşta

Comunicarea poate avea loc atat pe verticala (informatii transmise de "jos in sus", dinspre
executanti spre manageri si contin date referitoare la modul de realizare a obiectivelor si de
indeplinire a deciziilor, sau informatiile sunt transmise de "sus in jos", dinspre manageri spre
executanti, si sunt sub forma de decizii, indicatii metodologice, dispozitii etc.). Comunicarea
poate avea loc si pe orizontala (informatiile circula intre functii si departamente amplasate
ierarhic pe acelasi nivel si contin date referitoare la asigurarea indeplinirii unor sarcini
derulate in comun) sau oblic (in cazul unor activitati comune intre diferite departamente)
Fiecare responsabil de proces (coordonator de compartiment) este responsabil pentru
respectarea prevederilor SMSI specifice activităţilor din subordine, a căror eficienţă se
măsoară prin: auditurile interne planificate, analizarea incidentelor de securitate, analiza
efectuată de management.
Rezultatele acestor verificări se transmit la toate nivelele implicate ale organizaţiei.

MSM 01 Pagina 13 din 22

 6. PLANIFICARE
6.1 Acțiuni de tratare a riscurilor și oportunităților

Managementul organizatiei este implicat in identificarea amenintarilor si

vulnerabilitatilor astfel incat prin folosirea solutiilor adecvate sa aiba loc reducerea a
riscurilor la care este supusa organizatoa.

Analiza si evaluarea riscului au imbinat evaluarea impactului asupra afacerii

organizatiei cu probabilitatea reala de aparitie a problemelor de securitate, cu estimarea
nivelurilor de risc si cu criteriile de acceptare a riscului stabilite. De asemenea au fost
identificate si evaluate optiuni pentru tratarea riscului. Intreaga metodologie de
identificare, evaluare si tratare a riscurilor pentru sistemul informatic este descrisa in
procedura de sistem [Identificarea,Evaluarea si Controlul Riscului SMSI PS-SMSI- 6] si este
implementata de o echipa constituita intern din administratorul de sistem si consultant.
Tratarea riscurilor este facuta prin masurile din „Planul de prevenire si tratare a riscului
informatic”, aprobat si monitorizat de managementul organizatiei.

6.2 Obiectivele referitoare la SMSI

Obiectivele generale sunt cunoscute de catre personalul organizatiei, fiind prelucrate
prin instruirea anuala si prin afisarea la locurile de munca a Declaratiei de Politica privind
Securitatea Informatiei.

MSM 01 Pagina 14 din 22

 7. SUPORT
7.1 Resurse

Organizatia a stabilit şi asigură resursele necesare pentru:

 proiectarea, implementarea, menţinerea şi îmbunătăţirea continuă a
SMSI şi a eficacităţii acesteia în vederea îndeplinirii cerinţelor organizatiei.
 menţinerea unui nivel adecvat al securităţii prin implementarea
adecvată a tuturor controalelor aplicabile
 creşterea încrederii clientilor şi altor părţi interesate prin
implementarea SMSI şi respectarea cerinţelor contractuale, legale şi de
reglementare aplicabile
 analizarea SMSI ori de câte ori este necesar şi implementarea
corecţiilor şi acţiunilor corective rezultate în urma acestor analize.

7.2 Competenţă
Organizatia se asigura ca personalul cu responsabilitati definite pentru SMSI este
constient si competent in vederea indeplinirii acestor sarcini. Acest fapt se asigura printr-un
Program de instruire SMSI anual (participanti, tematica, resurse, lectori), care cuprinde
instruirea interna si , daca este cazul, si cea externa, elaborat de RMSI si aprobat de
Director General. Evaluarea instrurii se realizeaza pe baza de teste, rezultatele
centralizandu-se intr-un proces verbal privind instruirea.
Responsabilitatile si competentele privind SMSI sunt prevazute in fisele postului
fiecarui angajat implicat in functionarea SMSI. Managementul de varf a numit prin decizie
reprezentantul pentru gestionarea si raportarea functionarii SMSI .
Inregistrarile cu privire la educatie, instruire, aptitudini , experienta si calificari sunt
gestionate de responsabilul cu resursele umane, in dosarele de personal.
Prin aceste aspecte, organizatia se asigura de faptul ca personalul implicat este
constient de relevanta si importanta activitatilor de securitate a informatiei si de modul in
care el contribuie la obtinerea obiectivelor SMSI.
7.3 Conştientizare
Organizaţia a stabilit şi menţine o procedură documentată referitor la activităţile de
instruire, cerinţele de calificare şi conştientizare - a se vedea procedura internă
[Constientizare,Instruire PO-SMSI-7.2.2 ]. Procedura asigură că persoanele care lucrează
sub controlul organizaţiei sunt conştientizate referitor la:
 politica sistemului de management;
 obiectivele sistemului de management;
MSM 01 Pagina 15 din 22
  contribuţia lor la eficacitatea sistemului de management, inclusiv
beneficiile performanţei îmbunătăţite;
 implicaţiile neconformării cu cerinţele sistemului de management.
7.4 Comunicare
Organizaţia a determinat și stabilit prin intermediul procedurilor, regulamentelor și
fișelor de post modalitățile și canalele de comunicare internă şi externă relevante pentru
sistemul de management, inclusiv:
 despre ce se comunică;
 când se comunică;
 cu cine se comunică;
 cum se comunică;
 cine comunică.

7.5 Informaţii documentate

Prin procedura [Control Informatii Documentate PS-SMSI-7.5] Reprezentantul
Managementului, se asigură că procedurile de pe fiecare nivel al sistemului de management
asigură controlul eficace al documentelor şi consistenţa operaţiilor sistemului de
management. Documentele controlate sunt identificate prin indicarea stadiului ediției și
reviziei curente. Alături de alte cerinţe, această procedură defineşte:
 aprobările necesare pentru documente şi date, analize, actualizări şi
reaprobări ale documentelor;
 disponibilitatea identificării reviziei curente;
 retrageri şi/sau anulări;
 identificarea adecvată a documentelor şi datelor perimate, care au
fost reţinute din motive legale sau în urma unor recomandări.

Documentaţia sistemului calităţii este organizată într-un sistem de patru (4) niveluri:
manual, proceduri (de sistem, operaționale), instrucţiuni de lucru, registre, formulare şi
înregistrări:

MSM 01 Pagina 16 din 22

 Vederea ISO a firmei Manualul
Text
SMSI
Primul
nivel
Flowcharts
Ce trebuie facut Proceduri Interne
Al doilea
nivel

Cum trebuie Formulare

Instrucţiuni de Lucru
Al treilea
nivel

Dovada Înregistrări care demonstrează Conformitatea Fisiere

Al patrulea
nivel

Reprezentantul Managementului a stabilit, documentat şi implementat o procedură

de control a înregistrărilor sistemului de management [Control Informatii Documentate PS-
SMSI-7.5], pentru a demonstra conformitatea cu cerinţele specificate şi eficienţa sistemului
de management, precum şi conformitatea cu cerinţele reglementare şi legale. Această
procedură specifică precizează cum vor fi identificate şi păstrate aceste înregistrări în locuri
corespunzătoare, pentru a se asigura disponibilitatea şi protecţia lor împotiva deteriorărilor.
S-a stabilit perioada de păstrare a înregistrărilor, iar modul de eliminare a lor este de
asemenea definit şi documentat.
Documentele şi datele trebuie să fie lizibile, identificabile cu uşurinţă şi uşor de retras.
Conform cerinţelor, documentele şi datele de provenienţă externă sunt identificate şi
controlate. Înregistrările sunt de asemenea controlate.

MSM 01 Pagina 17 din 22

 8. OPERARE
8.1 Planificare și control operațional
Pentru a asigura o functionare adecvata a SMSI, organizatoa desfasoara activitati de
monitorizare si revizuire astfel:
 detectarea prompta a erorilor din rezultatele procesarii;
 identificarea prompta a tentativelor si incercarilor reusite de penetrare a sistemului
de securitate;
 determinarea de catre conducere daca activitatile de securitate delegate
personalului sau implementate prin tehnologia informatiilor se desfasoara conform
asteptarilor ;
 detectarea evenimentelor de securitate ;
 determinarea daca actiunile luate pentru izolarea unei brese de securitate au fost
eficiente;
 analizeaza periodic eficacitatea SMSI
 actualizeaza periodic procedura de evaluare a riscului, analizeaza nivelul de risc
rezidual si identifica riscul acceptabil, luand in considerare:
- dinamica organizatiei, tehnologiei, a obiectivelor la nivel de proces cat si la
nivelul organizatiei;
- amenintarile identificate,
- eficacitatea controalelor implementate
- evenimente externe organizatiei
 realizeaza audituri periodice a sistemului de management al securitatii informatiilor
implementat in organizatie
 managementul realizeaza periodic analize ale SMSI, pentru a asigura adecvanta
domeniului de aplicare si pentru a identifica modalitati de imbunatatire a proceselor
SMSI
 mentine inregistrari ale actiunilor si evenimentelor care ar putea avea un impact
asupra eficacitatii SMSI

MSM 01 Pagina 18 din 22

8.2 Evaluarea riscurilor
Managementul organizatiei este implicat in identificarea amenintarilor si
vulnerabilitatilor astfel incat prin folosirea solutiilor adecvate sa aiba loc reducerea a
riscurilor la care este supusa organizatoa.

Analiza si evaluarea riscului au imbinat evaluarea impactului asupra afacerii

organizatiei cu probabilitatea reala de aparitie a problemelor de securitate, cu estimarea
nivelurilor de risc si cu criteriile de acceptare a riscului stabilite. De asemenea au fost
identificate si evaluate optiuni pentru tratarea riscului. Intreaga metodologie de
identificare, evaluare si tratare a riscurilor pentru sistemul informatic este descrisa in
procedura de sistem [Identificarea,Evaluarea si Controlul Riscului SMSI PS-SMSI- 6] si este
implementata de o echipa constituita intern din administratorul de sistem si consultant.
Tratarea riscurilor este facuta prin masurile din „Planul de prevenire si tratare a riscului
informatic”, aprobat si monitorizat de managementul organizatiei.

8.3 Tratarea riscurilor

Obiectivele generale sunt cunoscute de catre personalul organizatiei fiind prelucrate
prin instruirea anuala si prin afisarea la locurile de munca a Declaratiei de Politica privind
Securitatea Informatiei.

MSM 01 Pagina 19 din 22

 9. EVALUAREA PERFORMANȚEI
9.1 Monitorizare, măsurare, analizare şi evaluare
Managementul organizatiei revizuieste SMSI al organizatiei anual, sau ori de cate
ori apar schimbari ale acestuia, pentru a se asigura de continua adecvare , conformitate si
eficienta. Revizuirea include evaluarea oportunitatilor pentru imbunatatire si nevoia de
schimbari in SMSI , incluzand politica de securitate a informatiei si obiectivele de securitate
a informatiei. Sunt pastrate inregistrari ale analizei de management.

9.2 Audit intern

Organizația a stabilit, implementat şi menţine o procedură documentată, [Audit
intern SMSI PS-SMSI-9.2], pentru conducerea de audituri interne ale sistemului de
management la intervale planificate pentru a furniza informaţii referitoare la faptul că
sistemul de management este conform cu cerinţele proprii organizaţiei pentru sistemul său
de management, cerinţele acestui standard internaţional și este implementat şi menţinut în
mod eficace.

Prin intermediul procedurii [Audit intern SMSI PS-SMSI-9.2] organizaţia se asigură

că:
 planifică, stabilește, implementează şi menţine un program (programe) de audit care
să includă frecvenţa, metodele, responsabilităţile, cerinţele de planificare şi
raportare, şi care trebuie să ia în considerare importanţa proceselor implicate,
modificările care influenţează organizaţia şi rezultatele auditurilor precedente;
 definește criteriile de audit şi domeniul pentru fiecare audit;
 selectează auditorii şi efectuează audituri astfel încât să se asigure obiectivitatea şi
imparţialitatea procesului de audit;
 se asigură că rezultatele auditurilor sunt raportate managementului relevant;
 întreprinde corecţii şi acţiuni corective adecvate fără întârziere nejustificată;
 păstrează informaţii documentate ca dovadă a implementării programului de audit şi
a rezultatelor auditului.
Rezultatele auditurilor interne sunt raportate managementului de vârf şi analizate în
cadrul şedinţelor de analiză.

9.3 Analiza efectuată de management

Managementul de la cel mai înalt nivel analizează la intervale planificate
sistemul de management din organizaţie, pentru a se asigura că este în continuare
corespunzător, adecvat, eficace şi aliniat cu direcţia strategică a organizaţiei.
Elementele de intrare ale analizei sunt stabilite prin convocatorul pentru analiza de
MSM 01 Pagina 20 din 22
management si prezentate prin Raportul de evaluare a functionarii SMSI , elaborat de RMSI:
 rezultatele auditurilor si evaluarilor SMSI;
 feed-back din parte apartilor interesate;
 tehnici, produse sau proceduri care pot fi utilizate in cadrul organizatiei pentru a
imbunatati performanta si eficienta SMSI;
 starea actiunilor preventive si corective;
 vulnerabilitatile si amenintarile care nu au fost tratate in analiza de risc anterioara;
 rezultatele care tin de eficienta masurarilor;
 actiunile de urmarit de la analizele de managment anterioare;
 orice schimbari care pot afecta SMSI;
 recomandari pentru imbunatatire.
Sedinta de analiza de management este condusa de Director General. La sedinta de
analiza participa toate persoanele din echipa manageriala cu responsabilitati in cadrul SMSI.
Elementele de iesire ale analizei de management se regasesc in Procesul Verbal al
AEM, elaborat de RM. Elementele de iesire ale analizei de managment includ decizii si
actiuni legate de :
 imbunatatirile eficientei SMSI;
 actualizarea analizei de risc si a planului de tratare a riscului;
 modificarea procedurilor si masurilor care afecteaza securitatea informatiei,
incluzand schimbari in ceea ce priveste cerintele afacerii, cerintele de securitate,
procesele afacerii care afecteaza cerintele existente ale afacerii, cerintele legale sau
de reglementare, obligatii contractuale, niveluri de risc si/ sau criteriile pentru
acceptarea riscului;
 nevoile de resurse;
 imbunatatirea modului in care se masoara eficienta masurilor de securitate.

MSM 01 Pagina 21 din 22

 10. ÎMBUNĂTĂȚIRE
10.1 Neconformitate şi acţiune corectivă
Prin intermediul procedurii, [PS-SMSI - 10.1 Actiuni corective], orzanizația se asigură
că atunci când apare o neconformitate, inclusiv dacă aceasta rezultă din reclamaţii:
 reacţionează la neconformitate şi, după cum este cazul întreprinde acţiuni pentru
controlul şi corectarea acesteia și se ocupă de consecinţe;
 evaluează necesitatea de acţiuni pentru eliminarea cauzei (cauzelor) neconformităţii,
cu scopul ca aceasta să nu reapară sau să nu apară în altă parte, prin:
- examinarea şi analizarea neconformităţii;
- determinarea cauzelor neconformităţii;
- determinarea unor neconformităţi similare existente sau care ar putea
eventual să apară;
 implementează orice acţiune necesară;
 analizează eficacitatea oricărei acţiuni corective întreprinse;
 actualizează riscurile şi oportunităţile determinate în timpul planificării, dacă este
necesar;
 efectuează modificări ale sistemului de management, dacă este necesar.
Organizația se asigură acţiunile corective sunt adecvate efectelor neconformităţilor
survenite și păstrează informaţii documentate ca dovadă pentru:
 natura neconformităților și orice acțiuni întreprinse ulterior;
 rezultatele oricărei acțiuni corective.
10.2 Îmbunătățire continuă
Organizaţia îmbunătăţește continuu pertinenţa, adecvarea şi eficacitatea sistemului
de management și ia în considerare rezultatele analizei şi evaluării, precum şi elementele de
ieşire din analiza efectuată d management, pentru a determina dacă există necesități sau
oportunități care trebuie tratate ca parte a îmbunătățirii continue.

MSM 01 Pagina 22 din 22