Download - 4. Exemplu Mehari
-
7/22/2019 4. Exemplu Mehari
1/27
MEHARI 2007
Presentation of MEHARI knowledge base
MEHARI is a trademark registered by the CLUSIF
Index Objective
License Reminder of MEHARI license
Base_scen List of MEHARI standard risk situations and references to the security services used for the reduction of the risks
ServicesList of the security services (control objectives), ordered by Domain (01 to 12) and of the risk scenarios which reference
them.
MEHARI security themes Scoring of 16 security indicators, based on the results of the vulnerability audit
Classif & T1 to T3 tables Intrinsic impact chart (Classif) and classification tables used to build the "intrinsic impact" table
Expo Natural exposition chart
Org to Legal (12 indexes) Vulnerability audit questionnaires distributed into 12 "security domains" (01 to 12)
I&P grids Evaluation of status RI (Rduction of Impact) and P (Potentiality) of the risk scnarios
RiskEvaluation of the residual risk seriousness based on the Potentiality and Reduction of Impact, taking into account the
security measures
ISO scoring Conversion table between the clauses of ISO/IEC 17799:2005 and MEHARI 2007 security services
Please send your questions, comments and remarks to: [email protected]
Thank you in advance
Date Revision status and commentsMay 2007
CLUB DE LA SECURITE DE LINFORMATION FRANAIS
30, rue Pierre Semard, 75009 PARIS
Tl.: +33 153 25 08 80 - Fax: +33 1 53 25 08 88
e-mail: [email protected] Web: http://www.clusif.asso.fr
(c) CLUSIF MEHARI 2007 ! Present 1
-
7/22/2019 4. Exemplu Mehari
2/27
ietatea: SC AAAA Sistems SRL
completarii : 01.11.2009
Domeniul: Organizarea
Intrebare Y/N W
Exista un document care descrie politica de securitate in legatura cu sistemul informational, in speta in
legatura cu organizarea, administrarea si dirijarea politicii de securitate (roluri si responsabilitati), dar si
principiile fundamentale care subliniaza admistrarea securitatii informatiei?
1 2
Exista o procedura pentru a actualiza in mod regulat documentele referitoare la securitatea sistemului
informational o data cu schimbarea structuriilor organizationale?
1 2
A fost comunicata functia de securitate auditorilor interni (sau structurii responsabile de auditorii interni) o
referinta ghid legata de o informatie a sistemului de securitate, descriind in particular, obligatiile fiecarei
categorii de personal,directivele si recomandarile imputernicitului?
1 4
Exista o procedura de alerta, distribuita pe intreaga organizatie, care dau posibilitatea direct sau indirect
(supravietuirea personalului)sa contacteze persoane variate initiate intr-un plan de criza?
1 2
Sunt obligatiile si responsabilitatile angajatiilor legate de folosirea si protejarea bunurilor si resurselor careapartin companiei detaliate intr-un memoriu sau intr-un document disponibil conducerii?
0 4
Exista un document care sa definesca regulile generale aplicate protejarii accesului la resursele computerului
(stocari si elemente ale retelei, sisteme, alicatii, date, media, etc.) si conditiile cerute pentru rezultatul final,
managementul si controlul drepturilor de acces?
1 2
Exista un document care sa stabilesca sarcini, responsabilitatile si procedurile de aplicat pentru a proteja
arhive importante pentru companie?
1 4
Exista ,in contractele de munca sau in regulile interne o clauza clara a conditiilor obligatorii de a adera la
regulile securitatii in forta?
1 4
Chestionar de audit
(c) CLUSIF MEHARI 2007 ! 01Org 1
-
7/22/2019 4. Exemplu Mehari
3/27
Exista un identificator unic (ID) asociat fiecarui user (angajat, exteriorului, etc) care poate avea acces la
informatiile sistemului?
1 4
(c) CLUSIF MEHARI 2007 ! 01Org 1
-
7/22/2019 4. Exemplu Mehari
4/27
Societatea: SC AAAA Sistems SRL
Data completarii : 01.11.2009
Domeniul: Securitatea fizica
Nr. Intrebare Y/N W
1 Este procedura de acordare (modificare sau retragere) a autorizatiei de acces documentata si
sub un control strict?
1 4 Procedura de acordare
autorizatiei de acces
administrativ impreuna c
2 Sistemul si dotarea fizica sunt securizate impotriva furturilor si contra distrugerilor? 1 4 Intregul perimetru al clad
incendiu este automata,
3 Sunt cardurile sau ecusoanele, care reprezinta autorizarile de accea personalizate folosindu-se
numele detinatorului si fotografia?
1 2 Ecusoanele de acces su
si si functia detinatorului
4 Exista un sistem de operare (automatic sau securizat) pentru controlarea accesului (persoane si
vehicule) in cladire ?
0 2 La intrare este un siste
baza ecusonului dar ac
ecuson sa intre.
5 Va garanteaza sistemul ca persoanele care intra sunt verificate? Un control eficient presupune
o usa dubla, sau un agent de paza care permite accesul individual in cazul persoanelor si in
cazul vehiculelor permite aceesul tuturor persoanelor aflate in vehicul
1 4 La recepr\tie exista per
toate persoanele care int
6 Daca accesul in acest sistem depinde de folosirea unui ecuson, va garanteaza sistemul ca
acelasi ecuson nu poate fi folosit de o a doua persoana ( spre exemplu: Memoreaza toate
intrarile si nu permite o intrarea viitoare fara existenta unei iesiri?) ?
0 4 Sistemul informatic m
avertizeaza in cazul in
ecuson fara a fi o iesire,
7 Echipa de securitate are suficiente resurse sa verifice si sa actioneze in eventualitatea
declansarii intentionate a mai multor alarme?
1 4 Echipa de securi tate est
actionarii mai multor alar
8 Exista un nivel de control mai ridicat dupa terminarea programului? 0 2 Dupa terminarea program
timpul programului.
9 Exista un jurnal pentru identificarea persoanelor care au avut acces la sistemul informatic in
afara orelor de program?
1 4 Sistemul informatic re
persoanele care l-au folo
programului.
Total 6 30
Mw = 4 * Ri * Wi / Wi = 4 * 22/30 = 2,93
Chestionar de audit
In ceea ce priveste securitatea fizica societatea prezinta un nivel de risc de 2,93.
accesului fizic acesta este realizata de catre o echipa formata dintr-un angajat al societatii si un angajat al unei fir
toate persoanele care intra si ies din societate intr-un jurnal.Angajatii sunt identificati pe baza ecusoanelor.La intr
pentru pontarea intrarilor si iesirilor dar acesta le memoreaza pe toate.In cladirea exista camere de luat vederi si
protectie pentru incendii este automat.
-
7/22/2019 4. Exemplu Mehari
5/27
-
7/22/2019 4. Exemplu Mehari
6/27
-
7/22/2019 4. Exemplu Mehari
7/27
-
7/22/2019 4. Exemplu Mehari
8/27
-
7/22/2019 4. Exemplu Mehari
9/27
-
7/22/2019 4. Exemplu Mehari
10/27
Domeniu: Intretinerea generala
Intrebare Y/N W
Exista un sistem de reglementare a electricitatii care include cel putin o sursa de energie permanenta
pentru cel mai sensibil echipament?Exista baterii de rezerva (aprovizionand una sau mai multe surse
permanente)garantand suficienta automonie echipamentului sa se opreasca corespunzator si in
siguranta?
0 4
Exista detectori ai umiditatii in preajma echipamentelor sensibile legati la un centru de monitorizare? 0 4
Perimetrul sau imprejurimile locatiilor vulnerabile se afla sub supraveghere completa si coerenta cu
ajutorul unor mijloace video sau direct visuale?
1 4
Exista un sistem de aer conditionat care regleaza calitatea aerului (temperatura,presiune,continut de
apa,praf) corespunzand specificatiilor producatorilor echipamentelor instalate?
1 4
Exista un sistem de protectie impotriva incendiilor? 1 4
Avaria(oprirea) accidentala sau deliberata a sistemului de aer condtionat este detectata si semnalata unei
echipe de interventie capabile sa reactioneze prompt?
1 2
Este sistemul de cabluri protejat corespunzator si verificat regulat? 1 4
Se foloseste un sistem automat de control al accesului in locatii sensibile? 1 4
Este controlul asigurat al tuturor punctelor de intrare si iesire incluzand iesirile normale si altele precum
ferestre accesibile din exterior, iesiri de urgenta, acces posibil cu privire la podele care se ridica si tavane
false?
0 4
(c) CLUSIF MEHARI 2007 ! 03Prem 1
-
7/22/2019 4. Exemplu Mehari
11/27
niu: Reteaua extinsa
Intrebare Y/N W
A fost stabilita o lista a incidentelor care pot afecta funtionarea corecta a retelei
extinse si pt. fiecare din acestea solutiile pentru implementare si actiunile efectuate de
personalul operational?
1 2
A fost stabilit un plan de siguranta cuprinzand toate configuratiile retelei, definind toate
obiectele sa salveze si a fost stabilita frecventa copiilor de siguranta?
1 4
Exista un mecanism pentru autentificarea si controlul accesului in reteua interna
respectiv reteaua extinsa?
1 4
Toate copiile de siguranta si fisierele de configuratie care permit redarea mediului de
productie al retelei extinse sunt de asemenea salvate la o locatie de baza (refugiu de
siguranta)?
1 4
Sunt copiile de siguranta stocate intr-o locatie sigura si protejate impotriva riscurilor de
accident sau furt? O asemenea locatie trebuie protejata printr-un control strict al
accesului precum si protejata impotriva riscurilor de incendiu sau inundatie.
1 4
Pentru fiecare incident posibil al retelei extinse a fost determinat un timp previzionat
de solutionare si o procedura de extindere in cazul esuarii sau intarzierii actiunilor
corective specificate?
0 4
S-a stabilit solutia ce ar trebui propusa de echipa de supraveghere pentru fiecare risc
intalnit ,si s-a luat in calcul pregatirea si disponibilitatea fiecaruia dintre membri pentru
aceste cerinte?
1 4
Exista o linie telefonica disponibila 24 ore ,care sa se ocupe preluarea si inregistrarea
apelurilor referitoare la reteaua de internet extinsa si care sa raporteze toateincidentele?Exista o aplicatie care sa se ocupe de administrarea acestor
incidente(riscuri)?
0 2
A fost planul de rezerva transpus in proceduri operationale automate? 0 2
(c) CLUSIF MEHARI 2007 ! 04WANArc 1
-
7/22/2019 4. Exemplu Mehari
12/27
Domeniu : Local Area Network (LAN)
Intrebare Y/N WReteaua locala a fost impartita in domenii de securitate, fiecare avand regulile specifice cu privire la
securitate?
1 4
Arhitectura echipamentului din retea se adapteaza modificarilor la toate nivelurile? 1 2
Instrumentele de reconfigurare si monitorizare ale retelei permit actiuni corectoare compatibile cu
echipamentele utilizatorilor?
0 4
A fost stabilita o politica de management a drepturilor de acces la aria locala de retea? 1 2
Au fost introdusi diferiti parametrii variabili in definirea regulilor drepturilor de acces (care determina
drepturile ce sunt atribuite profilelor) ca functie de context, in particular, locatia statiei solicitante (accest
direct LAN, linie inchiriata, internet, tipuri de protocol etc ) sau clasificarea sub-retelei cerute.
1 2
Exista vreo metoda de autentificare sau de control al accesului tuturor utilizatorilor care se conecteaza la
reteaua locala din afara?
1 4
Exista o persoana sau un grup de persoane disponibile 24h/24h sa reactioneze in cazul unui incident la
retea?
0 4
Pentru un posibil incident in retea sunt stabilite actiuni corective? 1 4
A fost stabilit un plan de back-up care acopera toate configurarile retelei, defineste toate obiectele ce
trebuie salvate si frecventa salvarilor?
1 4
(c) CLUSIF MEHARI 2007 ! 05LANArc 1
-
7/22/2019 4. Exemplu Mehari
13/27
Exista o politica de securitate ce vizeaza personalul ce realizeaza operatiuni in retea care sa acopere
toate aspectele privind securitatea informatiei (confidentialitatea informatiei, disponibilitatea serviciului si a
informatiei, integritatea informatiei si a configuratiilor, etc)?
1 4
Personalul trebuie sa semneze clauze contractuale de aderare la aceasta politica de securitate (indiferent
de statut: personal temporar sau permanent, studenti, etc)?
0 4
Exista un curs de instruire special pentru personalul operational? Este cursul obligatoriu? 0 2
Deciziile de schimbare a echipamentelor sunt bazate pe analiza capacitatii noului echipament si sistemde a asigura volumul necesar tinand cont de evolutia prevazuta a cererii?
1 2
Personalul operational a primit instruire in analiza riscului si obtine sfaturi adecvate atunci cand are
nevoie?
1 4
Sunt echipamentele de retea si configuratiile statiilor de lucru verificate periodic in conformitate cu acest
document de referinta la fiecare conectare?
1 2
Sunt sistemele protejate impotriva posibilitatii de instalare de software si modificari ale configuratiilor? 1 4
Este interzis sa adaugi sau sa creezi intrumente sau componete fara o autorizatie legala si este aceasta
lege folosita de catre o procedura automata care declansaza o alarma catre manager?
1 2
Drepturile atribuite echipelor operationale interzic orice modificare ale instrumentelor operationale sau
componente sau exista totusi o alarma la aceste modificari care se sanctioneaza la manager ?
1 4
(c) CLUSIF MEHARI 2007 ! 06NetOp 1
-
7/22/2019 4. Exemplu Mehari
14/27
Domeniul: Securitatea arhitecturii sistemului
Intrebare Y/N W
Este procesul de definire si managementul drepturilor atribuite profilelor sub un control strict? Un control
strict cere ca lista persoanelor care pot schimba drepturile atribuite profilelor sa fie limitata si
implementarea acestor drepturi sa fie sigura si deasemenea sa existe un control capabil sa modifice
aceste drepturi si orice modificare sa poata fi auditata?
1 4
Este posibil sa se revada oricand, lista completa a profilurilor si drepturilor atribuite fiecarui profil? 1 2
Exista un proces strict controlat(ca cel de mai inainte) care permite delegarea propriilor autorizari, partial
sau total,unei persoane la alegere pe o perioada determinata(in caz de absenta)? In acest caz drepturile
delegate nu mai trebuie sa fie autorizate persoanei care le-a delegat in acest timp. Detinatorul, oricum
trebuie sa aiba posibilitatea sa le primeasca inapoi printr-un proces prin care el sau ea pun capat efectiv
delegarii.
1 4
Procesul de atribuire sau modificare a legitimatiilor utilizatorilor respecta o serie de reguli care asigura
validitatea intrinseca a acestora?In cazul parolelor: lungime adecvata(8 caractere sau mai mult),
obligatoriu mixaj de tipuri diferi te de caractere, schimbarea frecventa(cel putin o data pe luna),
imposibilitatea reutilizarii unei parole vechi, cuvintelor banale, poreclelor, numelor, anagrame, date etc. In
cazul certificatelor si autentificarilor bazate pe un mecanism criptografic: procesul de evaluare a
persoanelor sau recunoastere publica, parole de lungime suficienta etc.
1 4
Procesul de logare este securizat(sigur)?O logare sigura nu ar trebui sa dea nici o informatie inainte ca
procesul sa fie executat cu succes, sa nu afiseze parolele de autentificare, data sau ora ultimei conectari,
eventualele conectari limitate care au esuat, etc.
1 2
A fost dusa la indeplinire o analiza specifica a apelurilor confidentiale inregistrate si a parametrilor acestor
apeluri care ar trebui inregistrate?
0 4
In cazul unor multiple greseli de autentificare, exista un proces automat care nevalideaza temporar
utilizatorul folosit, sau da posibilitatea insasi a validarii de a incetinii autentificarea astfel incat sa inhibe
orice alta conectare uzuala?
0 4
A fost dusa la indeplinire o analiza a echipamentelor si sistemelor puse la dispozitie (exceptand
arhitectura aplicatiilor , dar incluzand sistemele periferice generale, ca de exemplu sistemele de rezerva
si roboti , servere de printare si echipament centralizat pentru printare) cu scopul de a scoate in evidenta
nevoia de continuitate a serviciilor? In urma unei analize profunde, s-a stabilit o lista de posibile erori si ,
de asemeni, corespondenta acestora.
0 4
Sunt realizate teste regulate pentru a demonstra ca securitatea echipamentului poate garanta nivelul
minim de performanta solicitat in cazul unei erori?
1 2
(c) CLUSIF MEHARI 2007 ! 07Syst 1
-
7/22/2019 4. Exemplu Mehari
15/27
Domeniu : Mediul de productie IT
Intrebare Y/N W
Exista o politica de securitate, special directionat spre personalul utilizator, raportat la sistemul
informational?
1 4
Este interzis a se crea sau a se adauga unelte sau utilitati fara autorizatie oficiala si exista o verificare
automata regulata pentru a intari aceasta regula prin alertarea unui manager apropiat?
1 2
Productia informatica poate fi coordonata de la distanta? 0 2
Decizia schimbarii si a evolutiei echipamentelor si sitemelor fac ele obiectul unei proceduri de
control(inregistrare,planing,aprobare formala,comunicare in ansamblul persoanelor referinta,etc.)?
1 4
Masurile de securitate decid remedierea noilor riscuri puse in evidenta ,fac ele obiectul controalelor
formale inainte de a fi puse spre productie?
1 4
Toate documentele importante sunt imprimate in locuri protejate impotriva patrunderiilor abuzive si contra
riscurilor de deturnare in cursul elaborarii sau in asteptarea distributiei?
0 4
Respectarea prevederilor de securitate ale furnizorilor este tinuta sub control si revazuta regulat? 1 4
Este integritatea configurarilor sistemului verificata,la fiecare pornire a sistemului si/sau regulat
(saptamanal)conform configurarii teoretice asteptate?
0 4
Exista un document(sau un set de doc)si o procedura operationala care descrie(toate aplicatiile
software,pachetele si versiunile lor)parametrii de securitate si securitatea arhitecturii software?
1 4
(c) CLUSIF MEHARI 2007 ! 08ITOper 1
-
7/22/2019 4. Exemplu Mehari
16/27
Domeniul : Securitatea aplicatiilor
Intrebare Y/N W
A fost stabilita o politica de management pentru drepturile de acces al datelor, construita pe o analiza a
cerintelor de securitate bazata pe riscurile afacerii?
1 2
E posibil fie ajustate drepturile de acces atribuite unui profil dat, potrivit contextului legaturii (originea
legaturii, calea retelei, protocol, codificare, etc.) si clasificarii resurselor accesate?
1 4
Sunt procesele de definire si management al drepturilor atribuite profilurilor sub control strict? Controlulstrict necesita ca listele de persoane ce pot sa schimbe drepturile atribuite profilurilor sa fie strict limitate
si ca implementarea acestor drepturi (e.g. in tabele) sa fie securizata si sa existe un control al accesului
eficient pentru orice modificare a acestor drepturi si fiecare modificare a lor sa fie inregistrata si verificata.
1 4
Prezentarea acestor drepturi de catre utilizator garanteaza inviolabiltatea lor? Scriind o parola va fii
intotdeauna un punct slab. Singurele procese care sunt observabile fara a divulga informatii consta fie in
a introduce un obiect continand un secret , fie utilizand un cod care sa se schimbe la oricare monent (fisa,
card instrument), fie utilizand un mijloc care sa contina caractere biometrice.
0 4
Inchiderea sau scurtcircuitarea solutiei de cr iptare este detectata imediat, semnalata catre o echipa
disponibila 24 de ore din 24 si capabila de a genera o reactie imediata?
0 4
Ofera solutia de criptare garantii valide si solide, este ea aprobata de ofiterul Securitatii
Informatiei?[Lungimea suficienta a cheiei este una dintre mai multi parametri de luat in considerare(ca o
functie al unui algoritm)]. Recomandarea unei organizatii oficiale, ca DCSSI in Franta poate fi un factor
convingator.]
1 4
Au fost identificate tranzactiile speciale care trebuie protejate prin semnatura electonica la nivelul
aplicatiilor?
1 4
S-a luat in considerare posibilitatea distrugerii informatiei stocate in sistemul IT si au fost stabilite care
dintre aceste proceduri va da posibilitatea reconstituirii datelor dupa cele originale?
1 4
Au fost inventariate,documentate si testate procedurile si mijloacele de calcul ce permit crearea de logs si
reconstituirea de informatii?0 4
(c) CLUSIF MEHARI 2007 ! 09Appli 1
-
7/22/2019 4. Exemplu Mehari
17/27
Domeniu : Securitatea aplicatiilor proiectate si dezvoltate
Intrebare Y/N W
Exista un grup de suport, specializat in analizarea riscurilor proiectului, asistand conducerea proiectului
cu analizele proceselor de risc si care are suficienta disponibilitate pentru a raspunde la cerintele
utilizatorilor?
1 4
Au aplicatiile de intretinere la dispozitie un centru de suport tehnica care sa asigure o asistenta telefonica
rapida si competenta?
1 2
Exista o persoana desemnata pentru a se ocupa de rezolvarea problemelor utilizatorilor pe parcursul
week-endurilor si in timpul vacantelor?
0 4
Procedurile de dezvoltare impun o analiza a confidentialitatii aplicatiilor dezvoltate si o clasificare a
obiectelor scoase in evidenta in timpul dezvoltarilor ( documentatie , codul sursa , codul obiectului ,
studiile noastre etc ) ?
1 4
In cazul dezvoltarilor asupra unei aplicatii confidentiale , exista proceduri particulare de gestiune a
documentatiei?
1 4
In cazul dezvoltarilor asupra unei aplicatii confidentiale , am realizat profiluri care permit limitarea difuzarii
informatiilor confidentiale , numai persoanelor care au intradevar nevoie?
1 4
Codurile sursa , obiectele si documentatia fac obiectul unei proceduri de gestiune a accesului , stricta ,
precizand , in functie de frazele de dezvoltare , profilurile care au acces la aceste elemente ca si conditiile
de stocare si de control al accesului corespunzator? O procedura si conditiile de gestiune stricte ale
accesului trebuie sa permita garantarea ca orice acces la cod sau la documentatie , este facut de catre o
persoana autorizata in conditii autorizate.
1 4
De la conceptie sau de la punerea in practica a aplicatiilor recurgem la un studiu detaliat al slabiciunilortratamentului putand face loc pierderilor de integritate?
1 4
(c) CLUSIF MEHARI 2007 ! 10Dev 1
-
7/22/2019 4. Exemplu Mehari
18/27
niu : Mediul de lucru
Intrebare Y/N WEste impartirea fizica separata in zona interna protejata si zona receptie, externa zonei protejate, folosita
pentru intalniri?
0 4
Exista un sistem de supraveghere video capabil sa detecteze miscarile si comportamentul anormal?Is
video surveillance material recorded and kept for a long period?
1 4
Vizitatorii si serviciile ocazionale sunt acompaniati in cladire? 0 2
Accesul la echipamente este protejat ( chiar si pentru utilizare locala ) de o parola sau un sistem deautentificare?
1 2
Toate elementele folosite in procesul de encriptare sunt protejate impotriva alterarilor si modificarilor? 1 4
Exista un centru de suport disponibil pentru software care garanteaza un suport rapid si eficient? 1 2
Sunt statiile de lucru protejate impotriva virusilor? 1 4
Sunt produsele antivirus actualizate regulat? 1 4
Exista cateva generati i de fis iere salvate pentru a putea reface oricand informatiile pierdute? 1 4
(c) CLUSIF MEHARI 2007 ! 11Work 1
-
7/22/2019 4. Exemplu Mehari
19/27
Societatea: SC AAAA Sistems SRL
Data completarii : 01.11.2009
Domeniul : Legalitatea
Nr. Intrebare Y/N W
1 Exista un ansamblu de reguli si masuri legale normative asociate sistemului informational privind protectiadatelor personale?
1 4
2 Exista un ansamblu de reguli si masuri legale normative asociate sistemului informational privind protectiadrepturilor de proprietate intelectuala?
1 4
3 Exista controale regulate privind licenta programelor instalate? 1 2
4 Managerii societatii au facut o evaluare a eficientei controlului intern privind procedurile si controalele ceasigura ca situatiile financiare sunt emise in acord cu reglementarile externe?
1 4
5 Documentul de evaluare a calitatii a fost evaluat de catre auditorii financiari? 1 2
6 Sunt total independenti membrii comisiei de audit(de exemplu: nu detin autoritate operationala in cadrulcompaniei, nu sunt afiliati niciunei persoane care isi exercita autoritatea in companie si nu primesc nicio
remuneratie in afara celei relationate cu functia lor in comisia de audit)?
1 2
7 Este acolo o colectie a tuturor regulilor si masurilor aplicabile legal si compensator, asociate sistemului deinformatii, privind folosirea criptarii?
1 4
8 Sunt sistemele operationale care au o legatura directa sau indirecta cu sistemul de gestiune tinute inconformitate cu prevederile VCA? Sunt toate aplicatiile contabile si aplicatiile care alimenteaza sistemul
de gestiune, prin intermediere sau fise de decont, tinute?
1 4
Chestionar de audit
(c) CLUSIF MEHARI 2007 ! 12Legal 1
-
7/22/2019 4. Exemplu Mehari
20/27
9 Sunt evidentele contabile de baza pastrate in conformitate cu legile referitoare la verificarile evidentelorcontabile computerizate(VCA)? Datele de baza sunt acele date care nu sunt inscrise dar sunt inregistrate
dupa origini. De exemplu documente de miscare (ordine, facturi, registre...), documente originale,
documente de intrare, date permanente, inregistrari de fise curente...
1 4
Total 9 30
Mw = 4 * Ri * Wi / Wi = 4 * 30/30 = 4
In ceea ce priveste legalitatea societatea prezinta un nivel de risc de 4,
In ceea ce priveste legalitatea societatea isi desfasoare activitatea in conformitate cu legislatia in v
calitatii astfel este asigurata o garantie a controlului documentelor, tranzactiilor, produselor,sistem
standardele.Toate programele informatice se afla sub licenta producatorului.
(c) CLUSIF MEHARI 2007 ! 12Legal 1 26 Ma
-
7/22/2019 4. Exemplu Mehari
21/27
ComentariiIn ceea ce priveste datele prosonale exista o procedura stricta privind
confidentialitatea atat pentru angajati dar mai ales pentr datele furnizate
pe site.
In cadrul departamentului It exista o sectiune destinata producerii si
implementarii de noi module si programe. In acest sens exista o
procedura speciala privind drepturile de proprietate intelectuala.
Toate programele instalate sunt licentiate. Obiectul de activitate fiind
distributia echipamentelor IT societatea beneficiaza de gratuitati din
partea producatorilor de programe.
Situatiile financiare sunt intocmite si prezentate in conformitate cu
legislatia in vigoare.
Societatea este cerificata privind asigurarea calitatii si astfel periodic sunt
controale in acest sens.
Auditul este asigurat se o Ernest&Young, o societate cu renume in
domeniul auditului.
Sistemul privind criptarea este sub un control strict si in conformitate cu
legislatia din Romania.
Intregul proces contabil este tinut in conformitate cu legislatia in vigoare.
No.12
(c) CLUSIF MEHARI 2007 ! 12Legal 1
-
7/22/2019 4. Exemplu Mehari
22/27
Documentele contabile sunt intocmite si pastrate in conformitate cu legile
caracteristice.
igoare. Este certificata ISO: Sistemul de management al
elor etc. Evidentele contabile sunt tinute respectand
(c) CLUSIF MEHARI 2007 ! 12Legal 1 26 May 200
-
7/22/2019 4. Exemplu Mehari
23/27
(c) CLUSIF MEHARI 2007 ! 12Legal 1
-
7/22/2019 4. Exemplu Mehari
24/27
(c) CLUSIF MEHARI 2007 ! 12Legal 1
-
7/22/2019 4. Exemplu Mehari
25/27
(c) CLUSIF MEHARI 2007 ! 12Legal 1
-
7/22/2019 4. Exemplu Mehari
26/27
Mw = 4 * Ri * Wi / Wi = Mi / 12 = 3.43 + 2.93 + 2.59 + 2.93 + 2.93 + 2.75 + 2.4 +
Analiza riscului prin metoda Mehari
Organizarea si implicatiile acesteia asupra securitatii este realizata de catre departamentul administrativ si
Acestea elaboreaza Manualul angajatului:un ghid complet pentru angajati ce cuprinde un set de principii,n
Securitatea accesului fizic acesta este realizata de catre o echipa formata dintr-un angajat al societatii si u
persoanele care intra si ies din societate intr-un jurnal.Angajatii sunt identificati pe baza ecusoanelor.La int
dar acesta le memoreaza pe toate.In cladirea exista camere de luat vederi si deasemenea sistemul de pro
de vedere fizic, o reprezinta aprovizionarea cu elergie electrica care se realizeaza din reteaua orasului soc
permanenta pentru echipamentele sensibile ci doar un set de baterii care nu asigura autonomia sistemului.
contra incendiilor automat, sistemul de aer conditionat asigura intreg perimetrul, cablurile sunt montate si p
centru de monitorizare 24h/24h.
In ceea ce priveste legalitatea societatea isi desfasoare activitatea in conformitate cu legislatia in vigoare.este asigurata o garantie a controlului documentelor, tranzactiilor, produselor,sistemelor etc. Evidentele co
informatice se afla sub licenta producatorului.
Societatea are o retea locala la care au acces angajati, atat prin intermediul echipamentelor societatii cat s
fiecare departament in care exista sectiunile public(la care au acces toti angajatii) si privat (cuprinde medi
este restrictionat.
-
7/22/2019 4. Exemplu Mehari
27/27
2.75 + 2.59 + 3.5 + 3.2 + 4 / 12 = 3
departamentul resurse umane sub indrumarea managementului.
orme si proceduri de securitate obligatorii.
n angajat al unei firme de paza care monitorizeaza toate
rare este un sistem informatic pentru pontarea intrarilor si iesirilor
tectie pentru incendii este automat.Principala problema, din punct
ietatea nedispunand de un sistem care sa includa o sursa
. Intretinerea generala este asigurata de un sistem de protectie
rotejate corespunzator. Exista o supraveghere video legata la un
Este certificata ISO: Sistemul de management al calitatii astfelntabile sunt tinute respectand standardele.Toate programele
i din afara. Reteaua locala este partitionata in domenii pentru
l de lucru propriu fiecarui departament).Accesul la mediul privat