“Declarație de aplicabilitate – declaraţie care definește politica de securitate a sistemului informatic al entității….”

  În postul precedent făceam vorbire de standarde şi tipuri de rapoarte. Iată acum două definiţii din INSTRUCŢIUNEA Nr.2/2011 privind auditarea sistemelor informatice utilizate de entităţile autorizate, reglementate şi supravegheate de Comisia Naţională a Valorilor Mobiliare “6. date – orice reprezentare a unor fapte, informaţii sau concepte într-o formă care poate fi prelucrată printr-un sistem…

Unde-i lege, nu-i tocmeală? (De ce nu este bine să te joci cu cuvintele sau de ce ignoranţa dăunează practicii…)

“Art. 6. – (1) Entitățile prevăzute la art.3 alin.(1) lit. c) au obligația de a audita sistemul informatic utilizat. Sistemul informatic al entității va fi auditat de un auditor IT. ” ….. “(2) Raportul prevăzut la alin.(1) va fi întocmit în conformitate cu standardele ISACA-S2 şi S7 sau cu standardul ISAE 3000 şi ghidul ISACA-G20 pentru verificări de tip audit.” I N S T R U C Ţ I U N E A Nr.2/2011 privind auditarea sistemelor informatice utilizate de entităţile autorizate, reglementate şi supravegheate de Comisia Naţională a Valorilor Mobiliare Standardul ISACA S2…

CISA Review Manual 2011 – modificări față de 2010

  Versiunea din acest an a manualului CISA vine cu cîteva modificări în ceea ce privește structurarea materiei. La fiecare 5 ani ISACA revizuiește “job practice” pentru a reflecta cît mai bine modificările şi tendiţele domeniului. Chiar dacă este principala sursă bibliografică din care se învață, nu trebuie considerată și singura! Ultimele actualizări se găsesc aici. Întrebările din timpul examenului testează cunoașterea practică a aplicării teroriei din manual! CRM 2010 CRM 2011 1. The IS Audit Process (10%) 1. The Process of Auditing Information Systems (14%)  2. IT Governance (15%) 2. Governance…

Ce clauze ISO 27001 trebuie avute în vedere prin Instrucţiunea 2/2011 CNVM?

  Să luăm articolul 5 din instrucţiune, drept exemplu:   “să asigure integritatea, confidenţialitatea, securitatea, disponibilitatea datelor în orice circumstanțe, precum  şi prelucrarea acestora în conformitate cu reglementările pieţei de capital, luând în considerare posibilitatea actualizării acestora, în funcție  de modificările intervenite în legislația pieței de capital. Sistemele informatice care oferă intermediarilor și clienţilor lor…

Instrucțiunea nr. 2 /2011 CNVM – o interpretare semantică pe o speţă

  După ce am scris la cald despre cîteva din lucrurile bune şi coerenţa din instrucţiunea de mai sus, revin cu un răspuns asupra unor puncte mai puţin clare, ca urmare a frămîntărilor din piaţa legate de asigurarea conformităţii (în cazul auditului nebuloasele sînt mai puţine şi cam aceleaşi care rezultă din alte acte normative). Imboldul l-am primit în urma unei discuţii cu un prieten şi coleg de suferinţă. Spuneam în postul iniţial că în sfîrşit nu mai regăsim sintagma “plan de securitate” ci “politică de securitate”. Diferenţele sînt evidente şi am făcut referire de mai multe ori la subiectul acesta cînd mi-am exprimat opinia în legătură cu OMCSI 389 sau ex OMF1077. Discuţia avută pornea de la cerinţa cu privire la implementarea ISO 27001 prin raportarea la celelalte cerinţe ale Instrucţiunii. În Instrucţiunea CNVM nu este dată o definiţie a “politicii…