După ce am scris la cald despre cîteva din lucrurile bune şi coerenţa din instrucţiunea de mai sus, revin cu un răspuns asupra unor puncte mai puţin clare, ca urmare a frămîntărilor din piaţa legate de asigurarea conformităţii (în cazul auditului nebuloasele sînt mai puţine şi cam aceleaşi care rezultă din alte acte normative). Imboldul l-am primit în urma unei discuţii cu un prieten şi coleg de suferinţă. Spuneam în postul iniţial că în sfîrşit nu mai regăsim sintagma “plan de securitate” ci “politică de securitate”. Diferenţele sînt evidente şi am făcut referire de mai multe ori la subiectul acesta cînd mi-am exprimat opinia în legătură cu OMCSI 389 sau ex OMF1077. Discuţia avută pornea de la cerinţa cu privire la implementarea ISO 27001 prin raportarea la celelalte cerinţe ale Instrucţiunii. În Instrucţiunea CNVM nu este dată o definiţie a “politicii…