Chestionar de Audit : Mediul de Productie IT

Numar
08A

08A01

08A01-01

08A01-02

08A01-03

08A01-04

08A01-05

08A01-06

08A01-07
08A01-08

08A01-09

08A01-10

08A01-11
08A02

08A02-01
08A02-02

08A02-03

08A02-04
08A02-05

08A02-06

08A02-07

08A02-08
08A03

08A03-01

08A03-02

08A03-03

08A03-04

08A03-05

08A03-06
08A03-07
08A03-08

08A03-09

08A03-10

08A03-11

08A03-12

08A03-13

08A03-14

08A03-15
08A03-16
08A04
08A04-01

08A04-02

08A04-03

08A04-04

08A04-05
08A04-06
08A05

08A05-01

08A05-02

08A05-03

08A05-04
08A05-05
08A06

08A06-01
08A06-02

08A06-03

08A06-04

08A06-05
08A06-06

08A06-07

08A06-08

08A06-09
08A06-10

08A07
08A07-01
08A07-02

08A07-03

08A07-04

08A07-05

08A07-06
08A07-07

08A07-08

08A07-09

08A07-10
08A08

08A08-01

08A08-02

08A08-03

08A08-04
08A08-05

08A08-06
08A09

08A09-01

08A09-02

08A09-03

08A09-04
08A09-05

08A09-06
08B
08B01

08B01-01
08B01-02

08B01-03

08B01-04
08B01-05
08B01-06
08B01-07

08B01-08
08B01-09
08B02

08B02-01
08B02-02
08B02-03

08B02-04
08B02-05

08B02-06

08B02-07

08B02-08
08B03

08B03-01

08B03-02

08B03-03
08B03-04

08B03-05
08B03-06
08B03-07
08B03-08
08C
08C01
08C01-01
08C01-02
08C01-03

08C01-04
08C01-05

08C01-06

08C01-07
08C01-08

08C01-09
08C02
08C02-01

08C02-02

08C02-03
08C03
08C03-01

08C03-02

08C03-03

08C03-04

08C03-05

08C03-06
08C03-07
08C03-08

08C03-09

08C03-10

08C03-11

08C03-12

08C03-13
08C04

08C04-01

08C04-02
08C04-03

08C04-04

08C04-05
08C04-06

08C04-07
08C05

08C05-01

08C05-02

08C05-03
08C05-04
08C05-05

08C05-06
08C05-07
08C06
08C06-01

08C06-02

08C06-03
08C06-04
08C06-05

08C06-06
08C06-07

08C06-08
08C06-09
08C06-10
08C07

08C07-01
08C07-02
08C07-03
08C07-04
08C07-05
08D
08D01
08D01-01

08D01-02
08D01-03

08D01-04
08D01-05

08D01-06

08D01-07

08D01-08
08D02

08D02-01

08D02-02

08D02-03

08D02-04
08D02-05

08D02-06
08D02-07

08D02-08

08D02-09
08D03

08D03-01
08D03-02

08D03-03

08D03-04

08D03-05

08D03-06
08D03-07
08D03-08

08D03-09
08D03-10
08D04

08D04-01
08D04-02
08D04-03
08D04-04

08D04-05

08D04-06
08D04-07
08D04-08
08D05

08D05-01

08D05-02

08D05-03

08D05-04

08D05-05
08D05-06

08D05-07
08D05-08

08D05-09

08D05-10

08D05-11
08D05-12
08D05-13
08D05-14
08D06

08D06-01

08D06-02

08D06-03

08D06-04

08D06-05

08D06-06
08D06-07

08D06-08

08D06-09

08D06-10
08D06-11

08D06-12
08D06-13
08D06-14
08D07

08D07-01

08D07-02

08D07-03
08D07-04

08D07-05

08D07-06
08D07-07
08D08

08D08-01

08D08-02

08D08-03
08D08-04
08D08-05
08D09

08D09-01
08D09-02
08D09-03
08D10

08D10-01
08D10-02
08D10-03

08D10-04
08D10-05
08D10-06
08D10-07
08E
08E01

08E01-01

08E01-02

08E01-03

08E01-04

08E01-05

08E01-06
08E01-07

08E01-08
08E01-09
08E02

08E02-01
08E02-02

08E02-03

08E02-04

08E02-05

08E02-06

08E02-07
08E02-08

08E02-09
08E03
08E03-01
08E03-02
08E03-03
08E03-04
08E03-05

08E03-06

08E03-07

08E03-08
08F
08F01

08F01-01
08F01-02

08F01-03
08F01-04

08F01-05

08F01-06
08F01-07
08F02
08F02-01

08F02-02

08F02-03

08F02-04

08F02-05
08F02-06

08F02-07
08F03

08F03-01

08F03-02

08F03-03

08F03-04

08F03-05

08F03-06
08F03-07
08F03-08
08F03-09
08G
08G01
08G01-01

08G01-02
08G01-03
08G01-04
08G02

08G02-01
08G02-02

08G02-03
08H
08H01

08H01-01

08H01-02

08H01-03

08H01-04

08H01-05
08H01-06
08H01-07

08H01-08
08H01-09

08H01-10
08H01-11
08H02
08H02-01
08H02-02
08H02-03
08H02-04
08H02-05

08H02-06
08H02-07
08H02-08
08H02-09
08H02-10
08H03
08H03-01
08H03-02
08H03-03
08H03-04
08H03-05

08H03-06
08H03-07

08H03-08
08H03-09
 Chestionar de Audit : Mediul de Productie IT
Intrebare
Securitatea procedurilor operationale
Luarea in considerare a securitatii in relatia cu personalul operational ( personal permanent si temporar)

Exista o politica de securitate specific destinata personalului operational, in legatura cu sistemele de informatii? Aceasta
politica ar trebui sa acopere cerintele pentru protectia informatiei, bunurilor fizice si a proceselor si sa mentioneze
comportamentele interzise
Este personalul de operare ale sistemelor informatice obligat să semneze clauzele contractuale de aderare la această
politică de securitate (indiferent de statutul lor: personal permanent sau temporar, studenți etc.)?
Fac aceste clauze clar faptul că obligația de a respecta această politică de securitate se aplică informațiilor, in sensul
larg al termenului (în funcție de suport: hârtie, magnetic, optic, etc)?
Fac aceste clauze clar faptul ca, dacă este necesar și posibil din punct de vedere legal, obligația de a respecta politica
de securitate se aplică fără a se limita la un interval de timp?
Acest lucru se aplică, în special, la clauzele referitoare la confidențialitate, pot (și de multe ori trebuie) să continue, după
încheierea legaturii contractuale (directe sau indirecte) dintre angajat si furnizorul de servicii sau partener al companiei

Fac aceste clauze clar faptul că personalul are obligația de a nu tolera nicio acțiune contrară securității din partea altor
persoane?
Reprezintă semnarea acestor clauze un angajament formal?
În scopul de a realiza un angajament oficial, personalul trebuie să menționeze în mod explicit că semnătura presupune
că a înțeles și acceptat politica de securitate
Sunt aceste aceleași clauze obligatorii pentru antreprenorii care lucrează cu sistemele de operatii?
Practic, antreprenorii trebuie să se asigure că personalul lor semneaza în mod individual și explicit, în aceleași condiții
ca personalul intern.
Există un curs obligatoriu și bine adaptat de formare destinat personalului de exploatare a sistemelor?
Sunt acordurile de conformitate cu politica de securitate, semnate de personal, pastrate în siguranță (cel puțin într-un
dulap încuiat)?
Sunt acordurile de conformitate cu politica de securitate, semnate de contractantii externi, pastrate în siguranță (cel
puțin într-un dulap încuiat)?
Există un audit regulat, cel puțin o dată pe an, a aplicării efective a procedurii de semnare de către personalul
operațional (angajat direct de către societate sau indirect, printr-o companie de servicii)?
Controlul instrumentelor operaționale și a utilităților

Au fost definite diferite profiluri pentru sisteme personalului de operare (administrarea și gestionarea configurațiilor,
administrarea echipamentelor de securitate, monitorizare, audit și investigare)?
Are fiecare din membrii personalului de funcționare a sistemelor atribuit unul dintre aceste profiluri?
Au fost verificate exhaustiv si enumerate pentru fiecare profil toate instrumentele de sistem sensibile si utilitatile
(drepturi de administrare, de gestionare a configurației, backup-uri, copii, reporniri la cald, etc.) ?
Este posibil numai pentru titularii unui anumit profil sa utilizeze instrumentele și utilitarele subsecvente pentru o
autentificare puternica, corespunzatoare (smart card sau card token)?
Este interzisa crearea sau adăugarea de instrumente sau utilitare sensibile fără autorizație formală?
Există un control regulat automatizat pentru a pune în aplicare această regulă, care declanșează o alertă catre un
manager adecvat?
Previne separarea drepturilor personalului de operare a sistemelor modificarea exagerata a instrumentelor sau a
utilităților sensibile, sau cel puțin, exista un control de rutina care sa verifice daca nicio modificare nu a fost făcută și
care ar putea declanșa o alerta managerul în cazul în care acest lucru se intampla?

Acordarea de profiluri administrative și punerea în aplicare a măsurilor de securitate menționate mai sus fac obiectul
auditului periodic?
Controlul de acceptare a introducerii sistemelor sau de modificare a sistemelor.
Sunt incluse aici sisteme de operare, aplicații și middleware asociate

Sunt deciziile de a schimba sau a actualiza echipamentele și sistemele supuse semnificativ unei proceduri de control
(de înregistrare, planificare, aprobare formală, comunicare tuturor persoanelor implicate etc.)?
Sunt deciziile de schimbare, bazate pe o analiza a capacității noilor echipamente și sisteme de a asigura sarcina
necesară și luarea considerare a evoluției cererilor previzibile?

Iau in considerare instalarile o protecție fizică (acces protejat, nicio vedere directa din exterior asupra echipamentelor,
fără amenințări fizice multiple, condițiile meteorologice, de protecție împotriva trăsnete, protecție împotriva prafului
etc.)?

Exista vreo funcționalitate nouă sau modificată legată de un sistem nou sau de o versiune nouă a unui sistem,
documentata în mod sistematic înainte de a trece în producție?
Este o astfel de funcționalitate nouă (sau o modificare în funcționalitate) legată de un nou sistem sau o nouă versiune a
unui sistem, revizuita în mod oficial și sistematic în legătură cu funcția de securitate IT?
Include această reexaminare o analiză a riscurilor care pot rezulta din modificări?

A primit personalul operațiunilor de sistem instruire formală corespunzătoare în analiza de risc?

Poate personalul de exploatare să obțină un sprijin adecvat special competent privind analiza de risc?
Sunt măsurile de securitate, concentrate sa contracareze noile riscuri identificate, revizuite în mod oficial înainte de
punerea în aplicare?
Sunt enumerati în detaliu și actualizati regulat parametrii de securitate și regulile de configurare (ștergerea conturilor
generice, schimbarea de parole implicite, blocarea porturilor de comunicații neautorizate, stabilirea drepturilor de acces
și a parametrilor de autentificare, etc) ?
Sunt parametrii de securitate și a regulile de configurare controlate înainte de orice început al producției unei noi
versiuni?

A fost luat în considerare eventualul impact al modificărilor sistemelor în ceea ce privește planurile de continuitate?

Exista derogări de la analiza și controlul preliminar al parametrilor de securitate a riscurilor, supuse unor proceduri
stricte, inclusiv o semnătură din partea conducerii superioare?
Poate începerea producției de noi sisteme și aplicații să fie efectuata numai de către personalul implicat în operațiuni?

Este începutul producției de noi versiuni ale sistemelor sau aplicații posibil prin utilizarea unui proces de validare și
autorizare definite?

Este auditata în mod regulat începerea procedurilor de control al producției ?

Controlul operațiunilor de întreținere
Este păstrata o urmă a tuturor operațiunilor de întreținere?
Sunt toate operațiunile de întreținere necesare pentru a pune capăt unui control sistematic al parametrilor de securitate
(astfel cum este definit la ora de începere a producției)?
Sunt toate operațiunile de întreținere necesare pentru a termina cu un control sistematic al parametrilor de înregistrare
pentru evenimente de securitate și durata de viață a înregistrărilor?
Sunt toate operațiunile de întreținere necesare pentru a termina cu un control sistematic al parametrilor de administrare
a sistemului (profilul necesar, tipul de autentificare, îndepărtarea conectării standard, etc)?

Este nevoie de o autorizatie formală, semnată de un manager responsabil, necesară în cazul în care nu sunt respectate
procedurile menționate mai sus?
Există o clauză cu caracter obligatoriu în contractele de personal de întreținere care prevăd că orice mediu de stocare
care conțineau date sensibile să fie distruse înainte de eliminare?
Considerații privind confidențialitatea în timpul întreținerii sistemelor de producție

Există o procedură care descrie, în detaliu, toate operațiunile necesare a fi executate înainte de a contacta responsabilii
de întreținere, în scopul de a preveni ca personalul de întreținere sa aiba acces la datele operaționale de producție
(deconectarea matricei de discuri și cartușe, ștergerea datelor operaționale, etc.)?

Există o clauză cu caracter obligatoriu în contractele cu personalul de întreținere care prevăd că orice mediu de stocare
care conține date sensibile să fie distruse înainte de eliminare?
Există o procedură de verificare a integrității sistemului după intervenția de întreținere (absența spyware sau troieni
etc)?
Este o autorizatie formală, semnată de un manager responsabil, necesară în cazul în care nu sunt respectate
procedurile menționate mai sus?
Sunt procedurile de mai sus supuse unui audit periodic?
Controlul de întreținere de la distanță

În cazul întreținerii de la distanță, este accesul biroului de întreținere la distanță supus unei proceduri de autentificare
securizată?
În cazul întreținerii de la distanță, este personalul de întreținere supus unei proceduri de autentificare securizată?
Există un set de proceduri referitoare la acordarea și revocarea drepturilor de acces pentru agenții de întreținere la
distanță și acordarea drepturilor în situații de urgență?
Au fost aprobate procedurile și protocoalele de transmitere și de păstrare a convențiilor secrete (în cazul întreținerii de
la distanță) de către ofițerul de securitate de informații sau de un specialist calificat?
Necesita utilizarea liniei de întreținere de la distanță acordul prealabil (pentru fiecare utilizare) a personalului de operare
ale sistemului (la cerere de către producător sau de editor, specificând natura, data și ora intervenției)?
Sunt protejate prin criptare datele sau schimburile de comenzi în timpul întreținerii de la distanță ?
Sunt protejate pentru control al integrității (etanșare) datele sau schimburile de comenzi în timpul întreținerii de la
distanță ?
Este utilizarea liniei de întreținere de la distanță sub control strict?
Un control strict presupune că fiecare utilizare a liniei, numele operatoruli de întreținere și acțiunile desfășurate sa fie
înregistrate și să existe un audit ulterior al caracterului adecvat al acțiunilor și conformitatea acestora cu normele
stabilite de către managerii de întreținere.
Sunt echipamentele accesibile pentru întreținere de la distanță protejate împotriva inhibării sau modificarea condițiilor
de acces pentru întreținere la distanță (de exemplu, prin declanșarea unei alarme)?
Sunt procedurile de control pentru întreținere de la distanță auditate în mod regulat?

Protecția documentelor și a rapoartelor tipărite sensibile

Sunt toate documentele sensibile și rapoartele tipărite în locații sigure?
Sunt toate documentele și rapoartele sensibile protejate împotriva deturnării în timpul crearii?
Sunt toate documentele sensibile și rapoartele protejate împotriva deturnării în timp ce așteaptă sa fie distribuite?

Asigură sistemul de distribuție pentru documente imprimate și rapoarte o protecție împotriva furtului (blocat dulapuri și
cutii care transportă în timpul transportului)?
Asigură sistemul de distribuție pentru documente imprimate și rapoarte o protecție împotriva consultarii indiscrete ?

Solicită sistemul de distribuție pentru documente imprimate și rapoarte ca destinatarul să fie autentificat înainte de
livrarea lor?
Sunt documentele și rapoartele tipărite etichetate în mod anonim, fără să arate nici o clasificare specială?
Sunt aceste măsuri adaptate la nivelul maxim de securitate a informațiilor continute (depozitare temporară în cutii
puternice blocate și livrare personala pentru informații foarte sensibile)?
Sunt documentele și rapoartele imprimate sensibile vechi distruse într-un mod sigur, astfel încât să nu poată fi
exploatate?

Sunt procedurile de securitate pentru distribuirea de materiale tipărite auditate în mod regulat?
Gestionarea procedurilor de operare pentru producția IT
Procedurile de operare rezultă din studiul cazurilor generale care urmează să fie acoperite prin procedura menționată
(cazuri de funcționare normale și incidente)?

Sunt procedurile de operare documentate și actualizate?

Sunt procedurile de operare disponibile imediat, la cerere, de către orice persoană acreditată?

Este operațiunea de gestionare IT necesară pentru a aproba modificările aduse procedurilor?

Sunt aceste proceduri protejate de modificări neautorizate?

Sunt procedurile de operare auditate cu regularitate pentru autenticitate și relevanță?

Managementul furnizorilor de servicii și furnizorii cu privire la operațiunile IT

Se asigura în mod regulat ca serviciile de securitate alocate furnizorilor de bunuri si servicii sunt implementate și
menținute de către acestia în mod eficient?
Se asigură faptul că furnizorii sau prestatorii de servicii au pregătit în mod eficient dispozițiile adecvate pentru a se
asigura că serviciile sunt furnizate conform celor convenite?
Este revizuita în mod regulat respectarea dispozițiilor de securitate de către furnizorii sau prestatorii de serivicii ?

Este garantat faptul că furnizorii raporteaza și documenteaza orice incident de securitate cu privire la informații sau
sisteme?
Există o revizuire periodică a acestor incidente sau defecțiuni cu furnizorii de bunuri si servicii în cauză?
Exista modificări ale relațiilor contractuale (obligații, nivelele de servicii, etc.), analizate pentru riscuri potențiale
rezultate?
Controlul de configurații hardware și software
Controlul conformității parametrilor și configurațiilor sistemelor

Există un document (sau un set de documente) sau o procedura operaționala care descrie toți parametrii de securitate
pentru sisteme?
Un astfel de document ar trebui să fie derivat din politica de securitate și să descrie toate regulile de filtrare stabilite.
Acesta ar trebui să menționeze, de asemenea, trimiterea la versiunile în sistem, astfel încât să se verifice starea
actualizărilor.

Acest document presupune ca toate conturile generice sau implicite sa fie șterse și lista lor să fie stabilită?
Versiunile sistemului, stabile și parametrizate se actualizeză regulat în linie cu ultimele informații? Aceasta trebuie facut
în cooperare cu autoritățile certificate.(auditori specializați, înscrierea la un centru de service, consultații regulate cu
CERT, etc.)
Documentul sau procedura rezultată impune o caracteristică de sincronizare, bazată pe o referință fiabilă de timp?

Ducumentele de referință sunt protejate, prin metode sigure, împotriva modificării premature sau ilicite (sigilare)?
Este verificată integritatea configurațiilor sistemului, regulat (măcar săptămânal) dacă nu la fiecare pornire a sistemului,
împotriva configurațiilor teoretic așteptate?
Sunt audituri periodice efectuate pentru respectarea specificațiilor pentru parametrii de securitate?
Sunt audituri regulate efectuate ca urmare a procedurilor de exceptare și escaladare în cazul dificultăților și
a problemelor de instalare?
Mediul de testare și dezvoltare este separat de mediul operațional?
Controlul de confomitate al configurațiilor software operaționale (inclusiv pachetele)
Există un document (sau un set de documente) sau o procedură operațională care să descrie parametrii de securitate
pentru toate aplicațiile? Acești parametrii trebuie să rezulte din securitatea arhitecturală reținută pentru aplicații

Este acest document actualizat la fiecare schimbare de versiune?

Acest document presupune ca toate conturile generice sau implicite sa fie șterse și lista lor să fie stabilită?
Versiunile sistemului, stabile și parametrizate se actualizeză regulat în linie cu ultimele informații? Aceasta trebuie facut
în cooperare cu autoritățile certificate.(auditori specializați, înscrierea la un centru de service, consultații regulate cu
CERT, etc.)
Ducumentele de referință sunt protejate, prin metode sigure, împotriva modificării premature sau ilicite (sigilare)?
Este verificată regulat integritatea configurațiilor aplicației față de configurațiile teoretice așteptate (săptămânal)?

Sunt audituri periodice efectuate datorită posibilelor diferențe între parametrii de securitate așteptați și cei efectiv
implementați?
Sunt audituri regulate efectuate ca urmare a procedurilor de exceptare și escaladare în cazul dificultăților și
a problemelor de instalare?
Controlul de conformitate al referinței programului (codul sursă și executabilii)
Operațiile IT de gestionare realizează o versiune de referință pentru fiecare produs instalat în producție (cod sursă și
executabile)?
Este versiunea de referință protejată de toate posibilile modificări ilicite sau premature? (semnătura electronică păstrată
de un manager senior, sigiliu electronic, etc.)?
Este considerată această protecție ca fiind de ne atins (sigilată printr-un algoritm criptografic aprobat de Directorul de
Securitate al Informației)?
Este controlat automat sigiliul (în caz contrar poate exista o semnătură autorizată) la fiecare nouă instalare?
Este o verificare făcută pentru dovada originii și integrității pentru modulul de întreținere primit sau o versiune nouă, de
la editor sau producător (pentru sistemele de operare)?
Sigiliul sau instrumentele de control al sigiliului sunt protejate de orice utilizare neautorizată?
Inhibarea controlului automat al sigiliului generează o atenționare unui manager?
Există control regulat al protecției procedurilor de refecrințe ale programelor?
Managementului depozitelor media de date și programe
Managementul depozitelor media
Sunt controlate toate mutările dintr-o colecție de către o persoană sau de către un departament responsabil?
Toate elementele media folosite în operații sunt controlate de către aceași persoană sau departament?
Mutarile depozitelor media sunt înregistrate sistematic (data și ora, responsabilul, etc)?
Cedarea depozitelor media sunt înregistrate sistematic (data și ora, responsabilul, etc)?

Există o procedură de ștergere a datelor înainte de a ieși sau de a ceda?

Sunt toate elementele care lipsesc în mod sistematic obiectul unei proceduri de căutare și a unui formular de urmărire
inclus în ecranul operațional general?
Toate mișcările din depozitul media, intrări și ieșiri din colecție, sunt strict controlate respectând planul de producție al
sistemului?
Sunt câmpurile depozitului media supuse unui control strict? Un control strict presupune ca persoanele autorizate să
acceseze fișierele să fie înregistrate și limitate ca număr, așa ar fi un accs contolat al modificării fișierelor și fiecare
modificare este înregistrata și auditată.
Procesele ce asigură managementul depozitelor de date media sunt supuse unui control strict? Un control strict
presupune un control ce a fost întocmit în mod eficient, presupune efectuarea unui test de integritate a datelor (sigiliu)
șo presupune existența unui audit, cel puțin o dată pe an, al procedurilor și proceselor de management (incluzând 
manipularea anomaliilor detectate în cursul depozitării datelor).
Etichetarea depozitelor media(live, backup și arhivare)
Sunt dispozitive media marcate neutru fără a fi menționat nivelul de clasificare?
Fișierele care însoșesc sistemul de marcare (fișiere ce fac legătura dintre eticheta dispozitivului media și conținutul său)
sunt sub un control strict? Un control strict presupune ca persoanele autorizate să aibă acces la fișiere să fie
înregistrate și limitate ca număr, ar trebui să fie consolidat controlul accesului pentru a fi capabili să fie modificați, și
orice modificare să file înregistrată și auditată.
Procesele ce asigură managementul depozitelor de date media sunt supuse unui control strict? Un control strict
presupune un control ce a fost întocmit în mod eficient, presupune efectuarea unui test de integritate a datelor (sigiliu)
șo presupune existența unui audit, cel puțin o dată pe an, al procedurilor și proceselor de management (incluzând 
manipularea anomaliilor detectate în cursul depozitării datelor). Aceasta presupune să existe un document care
detaliază cerințele marcării suportului media.
Securitatea fizică a elementelor media păstrate pe loc.
Există un control automat și sistematic al accesului în spațiul folosit pentru depozitul operațiilor media?
Autentificarea pentru accesul la camera de depozitare a produselor media utilizează date ce nu pot fi falsificate (de
exemplu carduri inteligente sau date biometrice)?
Sistemul de control al accesului garantează verificarea tuturor persoanelor care intră într-o locație (uși duble ce
limitează accesul simultan a mai multor persoane, proces care interzice utilizarea insignei de către mai multe persoane
etc.)?
Pe lângă accesul controlat al ieșirilor normale, există un control specific pentruu ieșirile neautorizate (ferestre accesibile
din exterior, ieșiri de urgență, acces posibil prin panourile false, podea sau plafon, etc)?
Sunt capabilie sistemele de control al accesului dupa o supraveghere de 24 ore să detecteze în timp real erorile sau
dezactivările sistemului sau folosirea ieșirilor de urgență?
Există o procedură de audit care să permită identificarea mai târziu a iregularităților nedescoperite în timpul procedurii
de control al accesului ( controlul procedurilor și a parametrilor din sistemul de control al accesului, controlul excepțiilor
și al intervențiilor etc)? 
Există un sistem de detectare a intrușilor în locul depozitării, conectat 24 de ore la un centru de monitorizare?
Locul în care se află depozitul media este supravegheat 24 de ore (supravegherea video a locației)?
Transferul de produse media, dintre producție și locul de depozitare este sunb control strict (proceduri specifice de
transfer, containere securizate etc)?
Este protejată locația de depozitare a producției media împotriva riscului de accidente (detecție de foc și extinctoare,
protectție împotriva inundațiilor, etc)?
Există regulamente și supraveghere privind temperatura și umiditatea din locul de depozitare al producție media?

După 24 ore de control, sistemle automate de detectare a focului, inundației și a umidității sunt în măsură să detecteze
în timp real o greșeală, o dezactivare sau o alarmă?
Exită o procedură sau o rutină automată care să genereze o intervenție imediată a personalului specializat în cazul unei
alarme (a sistemului de control al accesului sau a sistemului de detectare a incidentelor)?
Securitatea fizică a depozitelor de media (păstrat într-un loc extern)
Securitatea depozitelor arhivate este făcută de o companie specializată, care oferă o garanție contractuală a securității?

Contractul semnat cu o companie asigură un nivel înalt al securității depozitelor media (autentificare complexa, control
al punctelor de acces și a ieșirilor de urgență, detectarea intrușilor, supraveghere video, protecție împotriva riscurilor
naturale, echipă de intervenție, etc)? 
Procedura folosită de transfer către depozitulș extern presupune un nivel ridicat de securitate (cum ar fi containere
securizate și transportatori acreditați de companie)?
Există clauze contractuale sau acte adiționale prin care se stipulează condițiile de restituire a depozitelor media,
garantând că persoana căreia i se returneză să fie autorizată chiar și în cazul unei proceduri de urgență?
Există un control regulat al măsurilor de securitate asigurate de compania externa care se ocupă de depozitarea
arhivelor și a backup-urilor?
Există un control regulat al procedurilor referitor la depozitul media (transport și întoarcere)?
Există un control regulat al clauzelor contractuale care specifică relațiile cu companiile ce asigură depozitarea externă a
arhivelor și a backup-urilor?
Verificarea și circuitul unui depozit arhivat
Sunt verificate regulat depozitele media ce conțin date pe termen lung (arhive) (fregvența update-urilor și clasificarea
informațiilor)?
Depozitele de date păstrate pentru mult timp (arhivele) sunt copiate periodic în noi depozite de date cu afectuarea
mentenanței?
Există o verificare periodică a compatibilității tehnice dintre depozitul de date și soluțiile operaționale folosite pentru
restaurarea datelor?
Sunt realizate teste periodice privind reabilitarea arhivelor media?
Testele de recitire conțin controale de autenticitate ale informațiilor stocate?
Fișierele folosite pentru gestionarea depozitului de date sunt eșantionate și folosite sub un control strict? Un control
strict presupune ca persoanele autorizate ce au acces la fișiere să fie înregistrate și în număr limitat, ar trebui să fie
consolidat controlul accesului pentru a fi capabili să fie modificați, și orice modificare să file înregistrată și auditată.

Procedurile de verificare a arhivelor depozite sunt controlate regulat?

Securitatea rețelelor stocate (SAN: Zona de stocare a rețelei și NAS)
Rețelele de stocare sunt izolate fizic și logic față de alte rețele?
Sunt rețelele de stocare protejate de un firewall care permite doar fluxurile de date și administrative legate de
depozitare?
Este accesul la spațiile de stocare care fac obiectul unor autentificări solide pentru elementele autorizate (servere și
stații de administrare)?
Protocoalele privind stocarea de date conțin protecții împotriva reluării?
Sunt stocate datele utilizând o rețea de stocare criptată înainte de transmiterea la rețea?
Dă soluțiile, protejând accesul la datele stocate în rețeaua de stocare, oferă garanții valabile și solide?
O soluție criptografică cu chei de lungime suficientă este unul dintre mai mulți parametri pentru a lua în considerare (ca
o funcție a algoritmului). Recomandarea unei organizații oficiale poate fi un factor de încredere. Cel puțin soluția ar fi
fost aprobată de către CISO.
Mecanismele de securitate protejează împotriva infracțiunilor sau a alterării datelor?
Deconectarea sau bypass-ul mecanismelor de securitate sunt detectate imediat și a semnalate unei echipe
responsabile ?
Echipa este disponibilă 24 de ore pe zi și capabilă să intervină imediat?
Există o procedură care detaliază acțiunile ce trebuie efectuate în caz de eroare sau de alertă?
Securitatea fizică a mediilor de tranziție
Este transferul mediilor între site-uri (intern sau extern) strict controlat (proceduri specifice, urmărire sau containere
securizate etc.)?
Există dispozitive media marcate ca anonime, fără referință la o clasificare, în timp c sunt în tranzit?
Orice anormalitate sau pierdere de date este raportată imediat?
Orice anormalitate sau pierdere de date est investigată?
Sunt controlate regulat transferurile de date media?
Continuitatea service-ului
Organizarea mentenanței hardware (pentru echipamentele operaționale)
Există pentru toate echipamentele un contract de mentenanță?
Există contracte specifice de mentenanță pentru toate componentele hardware care prevăd o disponibilitate ridicată și
pentru care înlocuirea se face fără întârzieri? 
Contractele specifică întârzieri maxime înainte de intervenție ți compatibilitate cu cerințele de disponibilitate?
Detaliile din contracte prezintă timpul și zilele de intervenții (de exemplu 24 ore/ 7 zile) compatibil cu cerințele de
disponibilitate?
Contractele stipulează condițiile de escalare în funcție de dificultate?
Contractele au clauze pentru cazurile în care este depăși timpul stipulat (penalități, înlocuirea componentelor hardware,
etc)? Este de dorit ca aceste clauze să fie generale și aplicabile tuturor cazurilor indiferent de motiv (dificultăți tehnice,
greve ale angajaților, etc.)?
Contractele de intretinere anticipeaza inlocuirea completa a echipamentului in cazul in care o paguba importanta nu ar fi
luata in considerare in restaurare?
Contractele de intretinere sunt alegerea subcontractantilor si a procedurilor asociate intretinerii in reglementarile de
audit?
Organizarea softurilor de intretinere ( sisteme, aplicatii )
Sunt contracte de intretinere pentru toate produsele software dobandite( sisteme software, middleware si aplicatii)?

Furnizorii ofera un centru de suport tehnic software care garanteaza o asistenta telefonica rapida si competenta?

Contractele de intretinere software anticipeaza lansarea periodica de versiuni nou luand in considerare toate corectiile
aplicabile produsului?
Exista contracte specifice de întreținere pentru produse software (sisteme, middleware și aplicații), care necesită
întârzieri corective pe care intretinerea standard nu o poate acoperi?

Aceste contracte detaliaza intervențiile intarziate maxime specifice, compatibile cu cerințele de disponibilitate?
Contractele detaliaza intervalul de timp necesar si zilele de interventie ( 24h /7 zile ) compatibile cu cerințele de
disponibilitate?
Contractele stipuleaza conditiile de crestere in caz de dificultate?
Aceste contracte specifica clauze specifice atunci cand un sistem depaseste duratele specifice stabilite ( penalitati,
inlocuirea hardware, etc)?
Este de dorit ca aceste clauze sa fie generale si sa se aplice in toate cazurile indiferent de motive ( dificultati tehnice,
greva personalului, etc)

Sunt contractele de întreținere, alegerea subcontractanților și a procedurilor de întreținere asociate supuse auditului
periodic?
Procedurile de recuperare și de aplicare a planurilor în urma incidentelor în timpul funcționării
A fost stabilită o listă, pentru toate aplicațiile, a incidentelor care ar putea apărea în timpul producției și, pentru fiecare
dintre acestea, gravitatea consecințelor posibile?
Consecințe critice se pot referi la coerența datelor și continuitatea serviciului.
Pentru fiecare incident în timpul funcționării au fost identificate mijloacele corespunzătoare de diagnosticare?
Pentru fiecare incident în timpul funcționării, are o soluție a fost stabilită, precum și operațiunile de a efectua de către
personalul de operare de sistem?
Pentru fiecare incident posibil  în timpul funcționării, au o întârziere de rezoluție acceptabilă și o procedură de cresterea
care fost determinată în cazul defectării sau intarzierii acțiunilor corective anticipate?
Sunt mijloacele de diagnostic, necesare personalului de funcționare a sistemului, protejat împotriva oricărei posibile
inhibare sau modificării neautorizate?
Sunt mijloacele de corecție, necesare personalul de operare a sistemului, pentru a rezolva un incident de funcționare
critic protejat împotriva oricărei posibile inhibare sau modificării neautorizate?
Există teste regulate în ceea ce privește eficiența procedurilor și facilitatile care ancheteaza și diagnosticheaza
operarea aplicațiilor?
Exita o verificarea periodica in ceea ce priveste actualizarea documentatiei corespunzatoare?
Exista teste periodice facute cu privire la capacitatea efectiva de a restaura date si de a reporni aplicatia dupa un
incident desfasurat in timpul operatiuni?
Pentru recuperarea datelor criptate, gestionarea cheilor prevede recuperarea cheilor pierdute sau alterate?
Backup de configurații software (sistem, aplicații și parametrii de configurare)
A fost stabilit un plan de rezervă, care sa acopere toate programele și sa defineasca toate obiectele pentru a salva și
frecventa backup -urile?
Planul acoperă, de asemenea, parametrii de configurare middleware si sistemul  pentru a salva ?
Planul acopera, de asemenea, parametrii aplicatiei pentru a salva?
Exista un plan pus în aplicare prin rutine automate de producție?
Există teste regulate pentru copiile de rezervă ale programelor (cod sursă și / sau executabilele) să permită restabilirea
efectivă a mediului de producție în orice moment?
 Aceste teste ar trebui să ia în considerare toate copiile de rezervă (inclusiv documentația și fișierele parametri) ale
elementelor legitime.
Sunt rutine de producție care asigură backup-uri protejate împotriva modificărilor ilicite sau nejustificate, prin
mecanisme sigure?
 Astfel de mecanisme ar putea fi sigiliu electronic sau orice alt sistem de detectare a modificarilor echivalente.
Exista teste facute pentru readaptabilitatea backup-urilor?
Sunt toate planurile și procedurile software de backup supuse unui audit regulat?
Copie de siguranta a datelor aplicatiei
A fost efectuat un studiu preliminar, coroborat cu utilizatorii, pentru a identifica scenariile in  care copiile de rezervă
trebuie să fie capabil să acopere?
A fost o analiză efectuată cu utilizatorii, în scopul de a defini pentru fiecare fișier timpul maxim acceptabil între două
backup-uri?
Aceste studii trebuie să se bazeze pe capacitatea de a reconstrui pierderea informațiilor și permit să se definească
ciclul necesar de rezervă.
Au fost realizate studii de sincronizare necesare între backup-uri legate pentru toate platformele, în scopul de a asigura
buna funcționare a cererilor și coerența reluate a datelor necesare pentru această reluare?
Din studiile de mai sus, s-a facut un backup pentru proceduri care sa cuprinda, pentru fiecare clasă de fisiere,
frecventa, detaliile de constituire si sincronizarile necesare?
Backup-ul integreaza un plan de control, subliniind diferitele puncte de control (dimensiunea fisierelor, durata etc) si
frecventa acestora?
Planul de control mentioneaza actiunile ce trebuie realizate in cazul unui incident sau a unei anomalii?
Este planul de backup actualizat de fiecare data cand mediul operatiunii se schimba?
 Actualizari ar trebui sa apara, in special, la momentul adaugarii sau modificarii cererilor
Planul de rezerva a fost tradus in rutine operationale automate?
Sunt efectuate controale regulate pentru a se asigura ca o pornirea/repornirea este posibila din backup-urile facute
(adica un test complet care verifica functionalitatea si absenta sincronizarii sau a probleme de coerenta)?
Sunt rutine de producție pe care copii de rezervă efect sub control strict în ceea ce privește modificarea ilicită sau
nejustificată?
  Un control strict necesită un control al accesului consolidat pentru a modifica aceste rutine, o exploatare forestieră și
un audit al tuturor modificărilor și / sau un control al integrității prin sigilare electronică a rutine operaționale automate.

Face salvarea datelor și procedurile de reținere oferă garanții de respectare a reglementărilor și a angajamentelor din
partea organizației în ceea ce privește confidențialitatea și integritatea?
Mai sunt teste regulate pentru a reciti copii de siguranță ale datelor aplicației?
Sunt mai multe generații de fișiere păstrate în mod sistematic, în scopul de a proteja împotriva oricăror pierderi sau
indescifrabil prin organizarea, de exemplu, rotația mediilor de stocare de rezervă?
Sunt toate planurile și procedurile de backup de date auditate în mod regulat?
Planificarea de recuperare în caz de dezastru pentru operațiunile IT
Au toate scenariile care ar putea avea un impact asupra infrastructurii și serviciilor IT a fost luate în considerare și,
pentru fiecare scenariu, consecințele în ceea ce privește indisponibilitate pentru utilizatorii serviciului?
Pentru fiecare scenariu, și în acord cu utilizatorii, au o listă și programul de reluare a serviciului a fost definit?
  Pierderea de informații, mijloace pentru a le reconstrui și trebuie să fie luate în considerare proceduri operaționale
temporare. "
o soluție de recuperare de activitate a fost definită și pusă în aplicare pentru a rezolva fiecare scenariu identificat mai
sus, în conformitate cu cerințele utilizatorului?
Sunt resursele tehnice, organizatorice și umane suficiente pentru a răspunde cerințelor organizației pentru continuitatea
IT?
  Acest lucru înseamnă a fi capabil de a corecta deficiențele de personal "
Sunt resursele tehnice, organizatorice și umane educate pentru a răspunde cerințelor organizației pentru continuitatea
IT?
  Acest lucru implică faptul de a instrui în mod adecvat tot personalul în cauză.
Sunt toate aceste soluții descrise în detaliu în planurile de recuperare în cazul dezastrelor, inclusiv condițiile de
declanșare a planului, acțiunile de a executa, prioritățile, actorii să mobilizeze și să datele de contact ale acestora?

Sunt aceste planuri testate cel puțin o dată pe an?

Sunt teste de mai sus în măsură să garanteze că capacitatea personalului și sistemele de recuperare pot face față, sub
sarcină operațională deplină, serviciile minime IT cerute de utilizatori?
  Încercările necesare pentru a obține această garanție sunt, de preferință, teste complete de scală ale fiecărei variante
de scenariu, care implică toți utilizatorii. Rezultatele testelor trebuie să fie înregistrate și analizate, în scopul de a
îmbunătăți capacitatea organizației de a răspunde la situațiile avute în vedere.
În cazul în care soluțiile de recuperare includ livrarea de componente hardware (care nu poate fi declanșat în timpul
încercărilor), există un angajament contractual de către producător sau oricărei părți terțe relevante (Locatorului, broker,
distribuitor) pentru a livra hardware-ul de înlocuire în termene fixe și anticipate ca a declarat în planul de redresare?

Are indisponibilitatea sau defectarea instalației de recuperare a fost luată în considerare și are o soluție de înlocuire a
fost definit și validat (al doilea nivel de recuperare)?
A fost validat această soluție (a doua recuperare nivel)?
Este soluția de recuperare utilizabilă pentru o durată nelimitată și, în cazul în care nu, a fost stabilită o urmărire pe
soluția de înlocuire?
Sunt existența, pertinența și actualizarea planurilor de servicii IT de recuperare controlate în mod regulat?
Este actualizarea procedurilor de mai sus în cadrul planului de redresare care face obiectul auditului periodic?
protecție anti-virus pentru servere de producție
Au măsurile care trebuie luate de către personalul IT a fost definit astfel încât să prevină, să detecteze și să corecteze
eventualele atacuri ale codului răuvoitor (virus, spyware, altele)?
Serverele de producție (inclusiv servere office și e-mail), protejate de anti-virus sau software-ul de cod rauvoitoare?

Sunt mai multe programe antivirus (de la diferiți editori) simultan de operare pentru protecția serverelor de operare?

Sunt produse software antivirus actualizat în mod regulat și în mod automat (zilnic)?
Este un abonament organizat cu un centru de raspuns de urgenta capabil sa avertizeze si sa anticipeze atacurile mari
de virus la scara pentru care software-ul antivirus instalat nu este inca pana în prezent?
Exista o comisie de urgenta care poate sa fie implementata rapid, in caz de alerta sau de detectare a infectiei virale?

Activarea si actualizarea software-ului antivirus pe serverele fac obiectul unui audit regulat?
Managementul sistemelor critice (in ceea ce priveste continuitatea intretinerii)
Au fost analizate consecintele disparitiei unui furnizor (in caz de esec, o eroare sau cerinta schimbarii) si a fost stabilita
o lista de sisteme critice?
 Acest lucru este valabil pentru furnizorii de hardware, software sau de servicii.
Pentru toate sistemele critice, a fost analizata o solutie de corectie pentru a face fata esecului sau disparitiei unui
furnizor (lot de documentatie de intretinere sau codul sursa cu o terta parte de incredere, de inlocuire a hardware prin
solutii standard de pe piata etc.)?
Exista o garantie ca solutiile corective ar putea fi rezolvate in termen de intarzieri compatibile cu continuitatea activitatii
si acceptata de catre utilizatori?
Au fost luate in considerare si alte variante in cazul in care s-ar putea intampina dificultati neprevazute?
Exista o revizuire periodica a sistemelor critice precum si solutii corective?
Planuri de urgenta pentru backup-uri (regres)
Backup-urile software si fisierele de configurare care permit restaurarea mediului de productie sunt salvate intr-o locatie
in afara spatiilor (backup de recurs)?
Toate datele pentru backup sunt salvate in afara spatiilor (backup de recurs)?
Se efectueaza teste regulate pentru a verifica ca pot fi citite copiile de rezerva?
Mentinerea conturilor de utilizator
A fost definita intarzierea maxima acceptabila in cazul restituirii drepturilor pentru utilizatori ca urmare a blocarii in mod
accidental sau intentionat a conturilor (aplicatie, sistem, retea)?
Procedura care trebuie urmata in cazul in care un cont este blocat este definita?
Procedura este cunoscuta utilizatorilor?
Procedura respecta intarzierea maxima acceptabila in cazul blocarii mai multor conturi? (refuzul de prestare a
serviciului)
Exista permisa posibilitatea blocarii simultane a multor conturi?
Exista o procedura care trebuie urmata in cazul in care mai multe conturi au fost blocate simultan?
Procedurile de conservare ale conturilor de utilizatori sunt auditate in mod regulat?
Gestionarea si tratarea incidentelor
Detectare online si rezolvarea evenimentelor anormale legate de IT si a incidentelor
A fost facuta o analiza detaliata pe evenimentele sau succesiunea de evenimente care pot dezvalui comportamente
anormale sau actiuni ilicite, deci, in consecinta, exista indicatori de monitorizare specifici sau au fost identificate
punctele de control?
Este sistemul echipat cu un sistem automat de monitorizare in timp real, in cazul unei acumulari de evenimente
anormale (de exemplu, incercari nereusite de conectare de pe porturi nedeschise)?
Exista o aplicatie capabila sa analizeze individual anomaliile date in urma diagnosticarii si sa declanaeze o alerta
personalului operational?
Exista, in cadrul personalului operational, o echipa sau anumite persoane disponibile 24 de ore pe zi, capabili sa
rezolve situatiile in cazul unei alerte dupa ce aplicatia a detectat o anomalie?
A fost definit, dupa fiecare caz de alerta, timpul de raspuns asteptat de la echipa de supraveghere și nivelul
corespunzator al personalului pentru a satisface aceste asteptari?
Parametri definiti pentru alarma sunt protejati in mod corespunzator (drepturi de acces restrictionat si autentificare)
impotriva modificarilor ilicite?
Inchiderea sistemului de alarma declanseaza o alerta catre echipa de supraveghere?
Elementele care au permis detectarea unei anomalii sau a unui incident sunt arhivate (de pe disc, caseta, DON etc)?

Procedurile de detectare a anomaliilor si disponibilitatea supravegherii echipei fac obiectul auditului periodic?
Gestionarea offline a inregistrarilor si a jurnalelor
A fost efectuata o analiza detaliata a evenimentelor sau succesiunea evenimentelor care pot avea impact asupra
securitatii (refuzarea conexiunii, reconfigurari, modificari de performanta, accesul la date sau unelte etc)?
Sunt inregistrate aceste evenimente, precum si parametri utili pentru analizarea ulterioara a acestora?
Exista o aplicatie capabila sa analizeze aceste inregistrari, precum si sa masoare performanta si sa deduca statistici,
tablou de bord, diagnosticare anomalie etc., in vederea examinarii de catre o echipa competenta?
Structura responsabila de analiza acestor rezumate (sau jurnale de incidente si evenimente legate de securitate) este
obligata sa faca acest lucru la intervale regulate de timp si are suficienta disponibilitate?
Raspunsul asteptat de la echipa de supraveghere a fost definit pentru fiecare caz de alerta? Nivelul de disponibilitate
este suficient pentru a indeplini aceste asteptari?
Parametri care definesc elementele pentru inregistrare precum si rezumatele sunt afectate de aceste elemente
protejate strict impotriva schimbarii neautorizate (drepturi limitate si autentificare puternica)?
Este vreo inhibitie a sistemului de inregistrare si de prelucrare semnalata imediat de catre echipa de supraveghere?

Inregistrarile si rezumatul analizelor sunt pastrate pentru o perioada lunga de timp?

Procedurile de inregistrare, prelucrarea si analiza inregistrarilor, rezumatele, precum și disponibilitatea analizei corective
reprezinta obiectul echipei auditului periodic?
Managementul de sistem si de aplicare a incidentelor
Exista un call center care sa inregistreze toate incidentele?
Exista un call center 24 ore care sa acorde asistenta telefonica?
Exista un sistem care sa gestioneze incidentele?
Sistemul centralizeaza incidentele detectate atat de personalul operational cat si de catre utilizatori?
Sistemul furnizeaza o urmarire sistematica pentru actiunile necesare?
Acest sistem include o clasificare a incidentelor prin generarea de statistici si tablouri de bord destinate utilizarii de catre
Ofiterul de securitate al informatiei?
Este sistemul de gestionare a incidentelor controlat strict in ceea ce priveste modificarea neautorizata sau accidentala?
  Controlul strict necesita o protectie consolidata pentru a modifica inregistrarile si reprezinta o pista de audit pentru
toate modificarile realizate sau chiar o protectie prin sigiliu electronic, pentru toate modificarile inregistrate.

Este fiecare incident major asupra sistemelor sau a aplicațiilor obiectul unei monitorizări specifice (natura si descriere,
prioritate, solutie tehnica, analiza progresului, de asteptat rezolutie de plumb timp etc)?
Controlul drepturilor administrative
Controlul drepturilor de acces administrativ acordate de sisteme
Au fost definite, in cadrul personalului operatiunilor de IT, profilurile corespunzatoare fiecarui tip de activitate
(administrare de sistem, administrare de echipamente de securitate, monitorizare sistem, gestionare de stocare a
datelor si functii de backup etc)?
Au fost definite drepturile si privilegiile necesare pentru fiecare profil?
Procesul de atriburie a drepturilor speciale necesita autorizare formala de gestionare (sau managerul responsabil
pentru furnizorii externi de servicii) la un nivel suficient de ridicat?
Este procesul de atribuire a drepturilor speciale alocat numai in raport cu profilul titularului?
Procesul de garantare (modificare sau revocare) a drepturilor speciale sunt controlate individual?
Un control strict necesita o recunoastere formala a semnaturii (electronica sau nu) ale solicitantului, existenta unui
control strict al accesului, in scopul atribuirii sau modificarii drepturilor si care sa fie conectat la orice modificare a
drepturilor speciale si auditate
Exista un proces sistematic de eliminare ale drepturilor speciale la momentul plecarii sau schimbarea rolului
personalului operatiunilor de IT?
Exista un audit regulat, cel putin o data pe an, al tuturor drepturilor speciale atribuite?
Autentificarea administratorilor si a personalului operational
Este protocolul de autentificare utilizat pentru administratorii sau detinatorii de drepturi speciale considerate a fi sigure?
  Un protocol de autentificare este considerat sigur in cazul in care nu este susceptibil de a fi intrerupt de un dispozitiv
de ascultare in retea sau inoperabil de specialisti (in special prin parola de crack). O astfel de securitate utilizeaza de
obicei metode criptografice.

Sunt regulile, de exemplu, în cazul parolelor, considerate a fi foarte stricte?

  Regulile stricte impun utilizarea unor parole netriviale testate, folosind un amestec de diferite tipuri de caractere care
sa aiba o lungime rezonabila (zece caractere). Este de dorit ca aceste norme sa fi fost aprobate de catre ofiterul de
securitate al informatiilor
Exista un control consecvent al drepturilor administratorului, al contextului sau, precum si al caracterului adecvat al
acestui context, cu accesul solicitat, conform regulilor formale de control ale accesului?
Sunt parametri de autentificare sub un control strict?
  Un control strict impune ca lista de oameni capabili sa schimbe regulile de autentificare, acreditarile in sine, precum si
normele de supraveghere ale tentativelor de conectare sa fie limitata, existand un control al accesului consolidat pentru
a putea modifica aceste drepturi si ca orice modificare sa fie inregistrata si auditata si sa existe un audit general al
tuturor parametrilor de autentificare cel putin o data pe an.
Sunt procese care sa garanteze autentificarea sub un control strict?
Un control strict impune ca software-ul utilizat sa fi fost validat si sa fi fost supus unui test regulat pentru integritate
(sigiliu), precum si faptul ca se efectueaza un audit al procedurilor si al proceselor de autentificare cel putin o data pe
an.
Exista un audit periodic al profilurilor privilegiate acordate efectiv?
Exista un audit periodic al procedurilor de acordare a drepturilor privilegiate, precum și al parametrilor de securitate
alocati pentru protejarea profilurilor si a drepturilor?
Supravegherea acțiunilor administratorilor sistemului
A fost efectuata o analiza detaliata a evenimentelor si a operatiunilor efectuate cu drepturi administrative care pot avea
un impact potential asupra securitatii sistemului (configurarea sistemelor de securitate, acces la informatii sensibile,
utilizarea de instrumente sensibile, descarcarea sau modificarea instrumentelor administrative etc?)

Aceste evenimente si parametri sunt inregistrati pentru analiza ulterioară a acestora?

Există un sistem capabil sa detecteze orice modificare sau stergere a unei inregistrari anterioare si sa declanseze
imediat o alarma unui manager?
Exista un rezumat al acestor evidențe care sa permita conducerii sa detecteze un comportament necorespunzator?

Exista un sistem care sa permita detectarea oricarei modificari a parametrilor de inregistrare pentru a declansa imediat
o alarma unui manager?
Se declanseaza o alarma la un manager in momentul inregistrarii si prelucrarii evenimentelor inregistrate in sistem?

Toate inregistrarile sau sinteza analizelor sunt protejate impotriva fasificarii sau distrugerii?
Toate inregistrarile sau rezumatul analizelor sunt pastrate pentru o perioada lunga de timp?
Procedurile care inregistreaza si proceseaza operatiuni privilegiate sunt auditate in mod regulat?
Procedurile de audit si de control in raport cu sistemele de informatii
Functionarea sistemelor de control de audit
Managementul a adoptat cerintele si procedurile impuse pentru auditarea sistemelor informatice?
Regulile legate de audit al sistemului de informatii, procedurile relevante si responsabilitatile asociate sunt definite si
documentate?
  Restrictiile se refera la tipul de acces la date si aplicatii, controalele autorizate si procesarea, stergerea datelor
sensibile obtinute, anumite operatiuni de pavilion, ... si responsabilizarea persoanelor care efectueaza auditul.
Auditorii sunt independenti de activitatile in cauza?
Operatiunile de audit sunt efectuate pentru datele critice inregistrate?
Protecția uneltelor și a rezultatelor auditului
Sunt instrumentele de audit protejate pentru a evita orice utilizare neautorizata sau rauvoitoare?
  Acest lucru este valabil in special pentru testarea accesului neautorizat si evaluarile vulnerabilitatii.
Rezultatele auditului sunt protejate impotriva modificarilor sau divulgarilor?
Sunt delimitate activitatile auditorilor?
O astfel de delimitare este recomandata in special in cazuș auditorii externi
Gestionarea arhivelor legate de IT
Organizarea managementului pentru arhivarea IT
Exista o organizatie care se ocupa de arhivarea fisierelor informatice care necesita sa fie pastrate pe o perioada lunga
de timp?
Exista o procedura care sa ii oblige pe utilizatori sa foloseasca serviciul de arhivare pentru toate fisierele care necesita
pastrarea pentru o perioada lunga de timp?
O lista de conditii a fost stabilita si aprobata de catre fiecare proprietar de date, fiind necesara in ceea ce priveste
normele de arhivare?
Cerințele pentru arhivare externă (legala și reglementata) si interna sunt definite și abordate de către entitatea care
detine datele si acceptate de managementul de top la cel mai înalt nivel?
  Consecintele (juridice, financiare, imagine) de neconformitate (partiala sau totala) a cerintelor de arhivare trebuie sa fie
aprobate de catre consiliul de manageri.
Contractele de servicii sunt negociate cu departamentul IT, considerat ca fiind agent doar pentru date?
In fiecare acord trebuie să se menționeze cerințele: conținutul arhivei, durata de retenție, durabilitate, capacitatea de a
urmari, imputabilitatea, nepublicarea, procedurile și întârzierea de eliminare, constrangeri administrative etc. O separare
clara trebuie sa fie stabilita intre continutul arhivelor, sub responsabilitatea proprietarului de date, si recipientul (media,
discuri, casete, cartușe) sub responsabilitatea departamentului IT.
Resursele necesare pentru arhivarea datelor sunt cunoscute si finantate pe termen mai lung?
Exista teste de lizibilitate periodice ale arhivelor?
Managementul documenteaza si accepta posibilele modificari care rezulta in urma evolutiei tehnologice sau de
reglementare, care ar putea modifica continutul sau recipientele din arhive?
  Aceste evolutii nu pot fi evitate pe termen lung și toate reglementarile externe trebuie sa fie respectate pentru a
garanta conformitatea datelor cu cele originale.
Sistemele hardware si software pentru prelucrarea arhivelor sunt controlate periodic?
Exista un control regulat al procedurilor stabilitate pentru arhivarea, precum si pentru orice abatere legata de proprietarii
de date? Controlele trebuie facute, de asemenea, si pentru eliminarea posibilitatilor de frauda care implica persoanele
responsabile cu operatiunile, precum si a celor care ar putea avea acces la continut sau la recipient.

Procedurile referitoare la politica de arhivare sunt auditate in mod regulat?

Accesul managementului la arhivele IT
Conducerea a specificat conditiile si procedurile care trebuie urmate pentru a avea acces la arhive?
Fiecare arhiva sau set de arhive are un proprietar desemnat?
Cererile pentru extrasele din arhive sunt acceptate doar de proprietarul desemnat?
Autentificarea este o conditie de la proprietar?
Verificarea autentificarii este considerata a fi sigura?
Avand in vedere faptul ca utilizatorii nu au acces la arhive, departamentul de arhiva pastreaza intotdeauna versiunea
originala?
Accesul personalului la arhive se face printr-o autentificare sigura?
Fiecare accesare este inregistrata intr-un mod singur?
Transferul unei arhive sau a unei copii a solicitantului este efectuat ntr-un mod sigur?
Conditiile de acces la arhivele si sistemele de securitate asociate sunt supuse controlului periodic?
Managementul IT de siguranta a arhivelor
Locatiile de depozitare ale arhivelor sunt echipate cu detectoare adecvate pentru incendii, precum si sisteme de
stingere sau de detectare a scurgerilor de apa si de evacuare?
Locatiile de depozitare ale arhivelor sunt echipate cu sisteme de control al accesului si cu alarme?
Locatile sunt sunt depozitate arhivele media sunt sub supraveghere video atunci cand nu sunt ocupate?
Locatile sunt sunt depozitate arhivele media sunt sub supraveghere video permanenta?
Arhivele media sunt marcate fara a face referire la continut?
Tabelele sunt utilizate pentru a asocia continutul unei arhive media inaccesibile personalului care gestioneaza arhivele
media?
Exista o copie de siguranta pentru aceste tabele?
Oprirea sau intreruperea sistemelor de siguranta (foc, apa, punctul de control, ssteme de detectare a intruziunilor)
provoaca declansarea alarmei de la un centru de monitorizare pentru interventie rapida?
Conditiile de depozitare pentru arhivele si sistemele de siguranta asociate sunt auditate in mod regulat?
 1 variant
R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002 Comentarii

4 E1 2/9/2001

4 E2

2 2 E2

4 2 E3

4 3 E3

4 3 E2

4 2 E2
2 E2

2 3 R1

2 3 R1

2 3 C1

4 E1
4 E2

4 E2 5/11/2004

2 2 E3 5/11/2004
2 2 E2 5/11/2004

2 2 E3 5/11/2004

4 2 E3 5/11/2004

2 2 C1
4 E1 1/10/2002

2 E2 3/10/2001

2 E2 9.2.1; 12.5.1

4 2 E2 12.4.1; 12.5.1

2 E2 12.4.1; 10.3.2

2 2 E2 12.4.1; 10.3.2
1 E3
4 E3

4 2 E3 3/10/2002

4 E3 11.4.4; 10.3.2

4 E3 11.4.4; 10.3.2

2 E2 3/10/2002

4 R1 4/12/2001

2 2 E3 12.4.1; 6.1.4

2 2 E3 12.4.1; 6.1.4
2 3 C1

1 E2 2/9/2004

4 2 E2

4 3 E3

4 3 E3

4 E3
2 3 C1

4 E1 9.2.4; 9.2.6

4 E2 9.2.4; 9.2.6

2 E2

2 3 E3
2 3 C1

2 2 E2 4/11/2004
4 2 E2 4/11/2004

2 E3 4/11/2004

4 E3

4 3 E3 4/11/2004
4 2 E3

4 2 E3

4 3 E2

2 2 R1
2 3 C1

4 E1
4 3 E1

4 3 E1

4 3 E2

4 3 E2

4 3 E3
4 E2

4 E2

4 3 E2

2 3 C1

4 E2 1/10/2001

4 E2 1/10/2001

4 E2 1/10/2001

4 E2 1/10/2001
2 R1

2 C1

4 E1 2/10/2001

2 E2 2/10/2001

4 C1 2/10/2002

4 E2 2/10/2002
2 E2 2/10/2002

2 E3 2/10/2003

4 2 E1
4 2 E2 4/11/2004

2 3 E2 10.7.4; 12.6.1

4 E3 10/10/2006
2 3 R1 7/10/2004
4 2 E3 2/15/2002
2 R1 2/15/2002

2 R1 2/15/2002
1 C1

4 2 E1
2 2 E2
4 2 E2

2 3 E2 10.7.4; 12.6.1
4 2 R1 7/10/2004

4 2 E3 10.7.4; 15.2.2

2 R1 2/15/2002

2 R1 2/15/2002

4 2 E1 4/12/2001

2 R1

4 R2
4 R2

4 E2
4 R2
4 E3
4 C1

4 E1 7/10/2001
4 E2 7/10/2001
4 E2 7/10/2001

4 E2 10.7.1; 10.7.2
1 E3 10.7.1; 9.2.6

4 E2

4 E3
4 2 R1

4 3 C1

4 E1

4 2 E2

4 3 C1

4 E1

4 3 E2

4 3 E2

4 3 E3

2 2 R1

2 3 C1
4 2 R2
4 3 R2

2 E2

4 E2

4 E2 7/10/2001

2 2 R1

2 2 C1

4 E1

4 3 E2
4 E2 8/10/2003

4 E3

2 3 C2
2 3 C1

2 3 C1

4 E2

4 E2

2 E3
4 E2
4 E3

4 3 R2
2 3

4 E1

4 2 E1

4 3 E2
2 E3
4 3 E3 3/12/2001

2 2 E2
4 3 R1

4 2 R1
4 2 R1
3 C1

2 E1 8/10/2003
4 E2
2 E2
2 E2
2 3 C1
2 E1 2/9/2004

4 E2
4 2 E2

4 2 E3
4 3 R1

4 3 E3

4 E3

2 3 C1

4 E1

2 E2

4 E2

4 E2
4 2 E2

4 2 E3
4 3 R1

4 3 E3

2 3 C1

4 E1
4 E2

4 E2

2 E3

2 3 R1

2 3 R2
2 C1
2 C2

2 3 C1
2 E3 3/12/2002

4 E1 5/10/2001
4 3 E2 5/10/2001
4 3 E2 5/10/2001
2 3 E2 5/10/2001

4 2 E2 10.5.1; 14.1.5

4 3 R1 5/10/2001
2 3 R2 5/10/2001
2 3 C1

1 E1 5/10/2001

2 E1 5/10/2001

2 E1 5/10/2001

4 2 E2 5/10/2001

2 E3 5/10/2001
2 E3 5/10/2001

2 E2 5/10/2001
2 E2 5/10/2001

4 2 E2 10.5.1; 14.1.5

4 3 R1 5/10/2001

1 E3 5/10/2001
2 3 E2 5/10/2001
4 E3 5/10/2001
2 3 C1

4 E1 1/14/2003

4 2 E2 1/14/2003

4 2 E1 1/14/2003

4 E2 1/14/2003

4 E2 1/14/2003

4 E1 1/14/2003
4 2 E2 1/14/2005

4 3 E2 1/14/2005

4 2 E2

2 3 E2
2 3 E3

2 3 E3
2 3 C1
2 3 C1

2 3 E2 4/10/2001

4 E1 4/10/2001

4 E2
4 2 E2

4 3 E3

4 3 E2
2 3 C1
2 E2

2 E2

2 2 E2
2 3 E3
2 3 C1

4 3 E1
4 2 E1
2 3 E2

4 E1
4 E2
2 E2

2 2 E2
4 3 E3
4 3 E3
2 2 C1

4 E2

4 E3

4 E3

4 2 E3

4 E3

4 3 R1
4 3 R1

2 E2
2 3 C1

2 E1
4 E1

4 2 3 E2

4 E2

4 E3

4 R1

4 R1
2 E2

2 C1

2 E1
2 E2
1 E2
4 2 E2
4 E3

4 E3

4 3 R1

4 E2

1 E1 10.1.3; 11.2.2
4 2 E1 1/10/2003

4 2 E2 1/10/2003
4 2 E2 1/10/2003

4 2 3 R1 2/11/2002

2 E2 2/11/2004
1 2 C1 2/11/2004
4 4 E2

2 E2

4 E2

4 2 R1

4 3 R1
4 3 C1 2/11/2004

4 3 C1

10.10.4;
2 E2 10.6.1
10.10.4;
4 E2 10.6.1

4 2 E3 10/10/2004

4 3 E3 10/10/2004

4 2 E3 10/10/2004

4 E3 10/10/2004
2 E2 10/10/2004
2 E2 10/10/2004
2 C1 10/10/2004

4 E2 3/15/2001

3 E2 3/15/2001
2 E2 3/15/2001
2 E3 3/15/2001
3 E2 3/15/2002
3 E2 3/15/2002

2 E2 3/15/2002

4 E2

4 E2

4 1 E1

4 E1 13.2.3; 15.1.3

4 1 E2 1/15/2003
2 1 E2 1/15/2003
4 C1

4 2 E2
2 C1

4 2 C1
4 3

2 E2 3/15/2001
4 E2
4 2 E2
4 2 E2
4 3 E3

4 3 E3
4 3 E3
4 3 E3
4 3 E3
3 2 C1
3 2 E2
3 E2
2 3 E2
2 3 E2
3 E2

3 3 E2
3 3 E2

3 3 R1
3 2 C1