Documente Academic
Documente Profesional
Documente Cultură
Administrator Semnătura
RM Semnătura
III. Introducere
Acest manual descrie sistemul de management al organizației şi conformitatea acestuia cu
cerinţele standardului international ISO 27001:2013. Acest manual este destinat:
utilizării interne, pentru comunicarea către toţi angajaţii a politicii sistemului de
management şi a obiectivelor organizației, pentru a-i familiariza cu metodele folosite
pentru atingerea conformităţii cu cerinţele standardului international ISO 27001:2013,
pentru facilitarea implementării, menţinerii sistemului de management şi asigurarea
continuităţii şi actualizării acestuia în condiţiile modificării condiţiilor de lucru, pentru
asigurarea unei comunicări şi a unui control eficient calităţii activităţilor şi documentelor
care constituie baza sistemului de management.
utilizării externe, pentru informarea clienţilor organizației şi a altor părţi interesate în
legătură cu politica, sistemul de management al calităţii implementat şi evaluările privind
conformitatea cu cerinţele standardului international ISO 27001:2013.
Sistemul de management descris în continuare este conform cu cerinţele standardelor
standardului international ISO 27001:2013.
MSM 01 Pagina 4 din 22
1. DOMENIUL DE APLICARE
2. REFERINŢE NORMATIVE
PRESCURTARI
- SMSI -Sistem de Management al Securitatii Informatiei;
- RMSI - Reprezentant management pentru SMSI;
- MSMSI - Manual Sistemului de Managementul Informatiei
- DG - Director General;
- PS - Procedura de sistem;
- PO - Procedura operationala;
5.2. Politică
Politica privind securitatea informatiei a fost definita in raport cu cerintele afacerii
organizatiei si ofera un cadru de lucru pentru stabilirea obiectivelor si a principiilor de
actiune referitor la securitatea informatiei. Principalele obiective generale, care exprima
pozitia managementului de varf al organizatiei in raport cu securitatea informationala,
sunt:
reducerea riscului sistemelor informatice la un nivel acceptabil, in scopul de
a creste performanta angajatilor si satisfacatia clientilor;
protejarea informatiilor in timpul prelucrarii, in tranzit si in timpul stocarii,
pentru asigurarea confidentialitatii, integritatii si disponibilitatii datelor;
instruirea si constientizarea personalului utilizator al sistemului
informational asupra nivelului de risc la care este expusa organizatia si a modalitatilor de
reducere a acestuia;
Administrator de sistem
Asigură coordonarea activităţilor de asigurarea a securităţii informaţiilor în
conformitate cu politica de securitate a informaţiilor şi procedurile implementate;
Identifică modul de tratare a neconformităţilor în funcţionarea SMSI;
Identifică schimbările semnificative ale ameninţărilor şi expunerea la ameninţări a
informaţiilor şi a mijloacelor de procesare a acestora;
Estimeză gradul de adecvare a măsurilor de securitate a informaţiilor şi coordoneză
întreaga activitate de implementare a lor;
Se îngrijeşte de promovarea eficientă a educaţiei, instruirii şi conştientizării,
referitoare la securitatea informaţiilor în cadrul organizaţiei;
Evaluează toate informaţiile primite de la activităţile de monitorizare şi analiză a
incidentelor de securitate şi recomandă acţiuni adecvate ca răspuns la incidentele
evidenţiate de securitate a informaţiilor;
Consiliază conducerea organizaţiei în legătură cu toate aspectele privind securitatea
informatiilor;
Informează conducerea organizaţiei cu privire la vulnerabilităţile şi riscurile existente
în sistemul de management al securităţii informatiilor şi propune măsuri pentru
înlaturarea acestora;
Efectuează, cu aprobarea conducerii organizaţiei, controale privind modul de
aplicare a măsurilor de securitate a informaţiilor în toate compartimentele;
Comunicarea poate avea loc atat pe verticala (informatii transmise de "jos in sus", dinspre
executanti spre manageri si contin date referitoare la modul de realizare a obiectivelor si de
indeplinire a deciziilor, sau informatiile sunt transmise de "sus in jos", dinspre manageri spre
executanti, si sunt sub forma de decizii, indicatii metodologice, dispozitii etc.). Comunicarea
poate avea loc si pe orizontala (informatiile circula intre functii si departamente amplasate
ierarhic pe acelasi nivel si contin date referitoare la asigurarea indeplinirii unor sarcini
derulate in comun) sau oblic (in cazul unor activitati comune intre diferite departamente)
Fiecare responsabil de proces (coordonator de compartiment) este responsabil pentru
respectarea prevederilor SMSI specifice activităţilor din subordine, a căror eficienţă se
măsoară prin: auditurile interne planificate, analizarea incidentelor de securitate, analiza
efectuată de management.
Rezultatele acestor verificări se transmit la toate nivelele implicate ale organizaţiei.
7.2 Competenţă
Organizatia se asigura ca personalul cu responsabilitati definite pentru SMSI este
constient si competent in vederea indeplinirii acestor sarcini. Acest fapt se asigura printr-un
Program de instruire SMSI anual (participanti, tematica, resurse, lectori), care cuprinde
instruirea interna si , daca este cazul, si cea externa, elaborat de RMSI si aprobat de
Director General. Evaluarea instrurii se realizeaza pe baza de teste, rezultatele
centralizandu-se intr-un proces verbal privind instruirea.
Responsabilitatile si competentele privind SMSI sunt prevazute in fisele postului
fiecarui angajat implicat in functionarea SMSI. Managementul de varf a numit prin decizie
reprezentantul pentru gestionarea si raportarea functionarii SMSI .
Inregistrarile cu privire la educatie, instruire, aptitudini , experienta si calificari sunt
gestionate de responsabilul cu resursele umane, in dosarele de personal.
Prin aceste aspecte, organizatia se asigura de faptul ca personalul implicat este
constient de relevanta si importanta activitatilor de securitate a informatiei si de modul in
care el contribuie la obtinerea obiectivelor SMSI.
7.3 Conştientizare
Organizaţia a stabilit şi menţine o procedură documentată referitor la activităţile de
instruire, cerinţele de calificare şi conştientizare - a se vedea procedura internă
[Constientizare,Instruire PO-SMSI-7.2.2 ]. Procedura asigură că persoanele care lucrează
sub controlul organizaţiei sunt conştientizate referitor la:
politica sistemului de management;
obiectivele sistemului de management;
MSM 01 Pagina 15 din 22
contribuţia lor la eficacitatea sistemului de management, inclusiv
beneficiile performanţei îmbunătăţite;
implicaţiile neconformării cu cerinţele sistemului de management.
7.4 Comunicare
Organizaţia a determinat și stabilit prin intermediul procedurilor, regulamentelor și
fișelor de post modalitățile și canalele de comunicare internă şi externă relevante pentru
sistemul de management, inclusiv:
despre ce se comunică;
când se comunică;
cu cine se comunică;
cum se comunică;
cine comunică.
Documentaţia sistemului calităţii este organizată într-un sistem de patru (4) niveluri:
manual, proceduri (de sistem, operaționale), instrucţiuni de lucru, registre, formulare şi
înregistrări: