A fost publicată Instrucțiunea nr. 2 /2011 privind auditarea sistemelor informatice utilizate de entităţile autorizate, reglementate şi supravegheate de CNVM.

Mi se pare a fi printre puţinele acte normative din domeniu ce dovedeşte coerenţă.

De exemplu “Raport de audit – instrumentul prin care se comunică scopul auditării, obiectivele urmărite, normele/standardele aplicate, perioada acoperită, natura, întinderea, procedurile, constatările şi concluziile auditului, precum şi orice rezervă pe care auditorul IT o are asupra sistemului informatic auditat. “

Este primul act normativ de care am cunoştinţă că nu mai foloseşte sintagma “plan de securitate” ci “politică de securitate” şi “manual de securitate“.

Societăţile de servicii de investiţii financiare “au obligația de a audita sistemul informatic utilizat. Sistemul informatic al entității va fi auditat de un auditor IT.”

Pentru prima dată se impune responsabilitatea profesională a auditorului care este de minim 100.000 euro.

Mai mult, entităţile au obligaţia să obţină certificarea SMSI (în baza implementării standardelor SR EN ISO/IEC 27001:2005) emisă de o organizație națională sau internațională acreditată de un semnatar al acordului EA MLA.

Sînt tare curios dacă îşi vor mai permite mulţi să facă în acest caz implementări de ISO 27001 “pe genunchi ”, livrînd hîrtii pentru cîteva sute de euro. Auditul SMSI trebuie realizat de un Lead Auditor (de aici eu înţeleg că nu trebuie să aibă certificat de absolvire a cursului de Lead ci să fie astfel înregistrat!)