Englezescul to audit, cunoscut astăzi ca “a examina, a verifica, a revizui conturi şi înregistrări contabile”, îşi are rădăcinile în latinescul auditus care înseamnă a asculta, a audia. Când vorbim de contabilitatea modernă, trebuie să ne întoarcem privirea asupra Scoţiei, pentru că aici îşi au originea contabilii autorizaţi. În timpul revoluţiei industriale, în Marea Britanie, funcţia de verificare s-a generalizat şi a devenit…
Art. 29 (4) din REGULAMENTUL din 22 martie 2021 pentru atestarea și verificarea auditorilor de securitate cibernetică impune auditorului să verifice dacă operatorul economic a identificat corect rețelele și sistemele informatice de auditat, precum și interdependențele externe ale rețelelor și sistemelor informatice. Această cerință ridică o întrebare: ce criterii/referințe va folosi auditorul pentru a realiza…
Sînt sigur, în proporție de 95 %, că în cazul ”auditului IT” foarte puțin profesioniști au folosit eșantionarea atunci cînd au testat conformitatea controalelor. Există suficiente explicații pentru a descrie ”drumul” pe care s-a ajuns aici, dar deși nu este rolul meu să scriu despre asta, voi menționa ”root cause”: nu se învață așa ceva…
Structurile de guvernare (sau cele care răspund de asigurarea conformității) din cadrul organizațiilor ar trebui să aibă cunoștință despre proiectele legislative și să inițieze demersurile necesare din timp. Digital Operational Resilience Act este propunerea de regulament care stabilește ”cerințe uniforme privind securitatea rețelelor și a sistemelor informatice care susțin procesele operaționale ale entităților financiare, necesare…
Retrospectiv privind lucrurile și cu detașarea vîrstei, spun că tot ce am făcut și încă fac se hrănește cu pasiune și responsabilitate. În octombrie 1996 începeam studiile doctorale fără să am nici cea mai mică idee despre ce presupunea acest drum și nici că nu voi mai părăsi amfiteatrele facultății. Abia terminasem facultate și apăruseră…
REGULAMENTUL din 22 martie 2021 pentru atestarea și verificarea auditorilor de securitate cibernetică stipulează ca în contractul de audit să fie definită și perioada de păstrare a informațiilor legate de audit și, în special, a evenimentelor colectate șia incidentelor de securitate detectate. Dacă este necesar, se poate face o distincție privind perioada de păstrare în funcție de tipurile de…
Statistici oficiale despre stadiul implementării măsurilor tehnice în organizațiile sancționate de ANSPDCP nu sînt. Știm doar că au fost sancționate, în cele mai multe cazuri, pe motiv de prelucrare incorectă sau lipsa măsurilor tehnice și organizatorice. ”Legea NIS” și ”GDPR” reglementează subiecte diferite. NIS se referă la securitatea rețelelor și a sistemelor informatice care prelucrează…
Deși legislația poate duce la o astfel de concluzie, abordarea auditorului în misiunile de verificare a conformității pe legea NIS nu va fi una de tip top/down (cascadă) ci mai degrabă ”agilă”: există un punct de început, dar de acolo revizia nu mai ”curge” liniar. Anexa nr. 9 La Regulamentul pentru atestarea și verificarea auditorilor…
Pe lîngă Raportul de audit pe care îl furnizează OSE (și la cerere DNSC), auditorii de securitate cibernetică (ASC) trebuie să raporteze anual către DNSC și: numărul de zile ale misiunii neregulile grave vulnerabilitățile constatate în cazul fiecărui tip de audit. Auditul de securitate se realizează la fiecare doi ani (în cazul OSE înregistrate în…
Cerințele minime de asigurare a securității OSE publicate în ordinul 1323/2020 sînt ”controale”. Auditorul de securitate cibernetică (sau auditorul intern) trebuie să testeze aceste controale: testarea proiectării (TOD- test of design) – validează că un control care este declarat a fi pus în aplicare de către OSE a fost într-adevăr stabilit și pus în aplicare.…
ADRIAN B. MUNTEANU 