7/25/2019 Criterii de Calificare Pentru Auditori

1/5www.mcsi.ro

CRITERII DE CALIFICARE PENTRU AUDITORIn vederea realizrii auditului necesar acreditrii

furnizorului !C! TRAN PED !R!L!

I! Prea"#ul

Legislaia n vigoare n domeniul semnturii electronice prevede posibilitatea acreditrii

furnizorilor de servicii de certificare. Aceast acreditare se acord de ctre Ministerul Comunicaiilor

si Societaii Informationale la cererea furnizorilor, n temeiulart. alin. !"# pct. $$ si al art % alin.!%#

din &otararea 'uvernului nr "()(**+ privind organizarea si functionarea Ministerul Comunicaiilor

si Societaii Informationale.

entru obinerea sau rennoirea acreditrii furnizorul de servicii de certificare trebuie s

ndeplineasc toate condiiile necesare emiterii de certificate calificate -i s utilizeze dispozitive

securizate de creare a semnturii electronice, omologate de o agenie de omologare agreat

de autoritate. n cadrul procesului premergtor acordrii sau rennoirii calitii de furnizor de

servicii de certificare acreditat se vor face verificri at/t n ceea ce prive-te declaraiile coninute n

documentaia depus la Ministerul Comunicaiilor si Societaii Informationale, c/t -i asupraconcordanei dintre sistemele, procedurile -i practicile afirmate a fi folosite -i cele e0istente n

realitate.

1erificarea ndeplinirii condiiilor de acreditare se face de ctre un auditor desemnat de

ctre MCSI, n urma parcurgerii procesului de calificare a auditorilor prevzut de 2rdinul Ministrului

nr.34)*+.*%.(**+privind procedura de acordare, suspendare si retragere a deciziei de acreditare

a furnizorilor de servicii de certificare, cu modificrile -i completrile ulterioare.

rezentul document cuprinde condiiile minimale care trebuie ndeplinite de ctre auditori

pentru a fi inclu-i pe lista candidailor calificai n vederea realizrii auditului, precum -i coninutul

documentaiei de calificare.

5up primirea documentaiei de calificare din partea candidailor, MCSI va verifica

respectarea criteriilor prezentate, va ntocmi -i va comunica furnizorului care a solicitat acreditarea

lista candidailor calificai. 6urnizorul va selecta, dintre candidaii calificai, auditorul care va fi

desemnat de ctre MCSI pentru efectuarea auditului de acreditare.

7/25/2019 Criterii de Calificare Pentru Auditori

2/5www.mcsi.ro

II! Le$isla%ie a&lica#il 'i standarde relevante din do"eniul securit%ii infor"a%iei 'i furnizriide servicii de certificare calificat &entru se"ntura electronic

- Legea nr.$$)(**" privind semntura electronic7

- &otr/rea de 'uvern nr. "($+)(**" privind aprobarea normelor te8nice -i metodologice

pentru aplicarea Legii nr.$$)(**" privind semntura electronic7

- 2rdinul Ministrului nr.34)*+.*%.(**+ privind procedura de acordare, suspendare si

retragere a deciziei de acreditare a furnizorilor de servicii de certificare7

- 2rdinul nr. "***)(%."*.(*"* pentru modificarea -i completarea 2rdinul ministrului

comunicaiilor -i societii informaionale nr. 34 din (**+ privind procedura de acordare,

suspendare -i retragere a deciziei de acreditare a furnizorilor de servicii de certificare- 5irectiva "+++)+4)9C a arlamentului 9uropean -i a Consiliului privind cadrul comunitar

referitor la semntura electronic7

- 9:SI :S "*" $% 1"..4 !(**3;*$# uirements for certification aut8orities issuing >ualified certificates?7

- 9:SI :@ "*( 43 1"."." !(**%;"*#

7/25/2019 Criterii de Calificare Pentru Auditori

3/5www.mcsi.ro

- IS2)I9C "$*;"D(**$ Securit= tec8ni>ues)9valuation criteria for I: securit=) art "D

Introduction and general model7- IS2)I9C "$*;(D(**$ Securit= tec8ni>ues)9valuation criteria for I: securit=) art (D

Securit= functional re>uirements7

- IS2)I9C "$*;4D(**$ Securit= tec8ni>ues)9valuation criteria for I: securit=) art 4D

Securit= assurance re>uirements.

III! Cerin%e &entru auditori IT

Auditul poate fi realizat at/t de o persoan fizic, care ndepline-te condiiile necesare

realizrii acestei proceduri, c/t -i de o persoan Guridic de drept privat.n vederea realizrii auditului necesar pentru acordarea calitii de furnizor acreditat de

servicii de certificare pentru semntura electronic, selectarea persoanelor fizice) persoanelor

Guridice calificate se va face dup urmtoarele criterii obligatoriiD

a# metodologia de audit utilizat7

b) bonitatea candidatului7

c# e0istena unui sistem de management al calitii implementat7

d# e0periena n domeniul auditului securitii te8nologiei informaiei7

e# ndeplinirea cerinelor pentru personalului implicat n activitatea de audit solicitat !acestecerine sunt prezentate la capitolul I1 al acestui document#7

f# independena auditorului fa de furnizorul de servicii de certificare care solicit acreditarea.

I(! Cerin%e &entru &ersonalul care va realiza auditul

- s fie absolveni de studii superioare n domeniul te8nologiei informaiei !e0periena vast -i

studiile de specialitate suplimentare pot fi ec8ivalente unui astfel de nivel de studii# -i s aib

cuno-tine -i abiliti n domeniul managementului securitii informaiei -i a infrastructurii HI

!public e= infrastructure#7

- s aib cel puin patru ani de e0perien practic n domeniul te8nologiei informaiei, din

care cel puin doi ani ntr;o funcie din cadrul departamentului de management al securitii

informaiei7

- s fi urmat un curs de instruire de cel puin $ zile av/nd ca subiect auditul sistemelor

informatice, auditul sistemelor de management -i managementul proceselor de audit7

7/25/2019 Criterii de Calificare Pentru Auditori

4/5www.mcsi.ro

- s aib calificri)atestri pe standardele menionate la Capitolul II sau pe standarde

ec8ivalente7- s aib e0perien n domeniul auditului sistemelor informatice.

Auditorul desemnat s conduc ec8ipa de audit !auditorul -ef# trebuie s ndeplineasc n

plus urmtoarele condiiiD

- s fi efectuat cel puin trei audituri complete n domeniul te8nologiei informaiei, ca auditor

calificat7

- s aib cuno-tine -i caliti de conducere a procesului de audit7

- caliti personaleD capacitatea de a conduce un audit n concordan cu procedura de audit,

capacitate organizatoric.entru realizarea auditului, ec8ipa de audit poate fi asistat de e0peri, care s aib -i s

demonstreze cuno-tine specifice n domeniul de auditD cerine -i reglementri legale referitoare la

furnizorii de servicii de certificare, cuno-tine te8nice privind infrastructura de c8ei publice,

evaluarea ameninrilor, vulnerabilitilor -i riscurilor din punct de vedere al securitii informaiei

pentru furnizorii de servicii de certificare.

(! Con%inutul docu"enta%iei de calificare

5ocumentaia de calificare trebuie s asigure o descriere corect -i concis a ndeplinirii dectre persoana fizic) persoana Guridic a condiiilor de calificare. entru o abordare uniform a

documentaiei de calificare -i obinere a unui grad ma0im de comparabilitate, documentaia de

calificare va fi organizat astfelD

". agina de titluD numele persoanei fizice) persoanei Guridice, adresa, numr telefon, fa0.

(. 5ata depunerii documentaiei de calificare, numele persoanei de contact.

4. CuprinsD identificarea clar a te0tului prin numr de seciune sau pagin.

. Considerente operaionaleD se va oferi o descriere a companiei, subliniind metodele de

operare, structura operaional, serviciile oferite. Aceast descriere trebuie s demonstrezecapacitatea candidatului de a ndeplini cerinele de calificare n scopul seleciei pentru

realizarea auditului n vederea acreditrii furnizorului de servicii de certificare.

5. Metodologia de lucru !Cap. III lit. a#D se va descrie modalitatea de abordare a procesului de

audit n cazul auditului realizat n scopul verificrii condiiilor de acreditare a furnizorului,

conform legii nr.$$)(**" privind semntura electronic.

7/25/2019 Criterii de Calificare Pentru Auditori

5/5www.mcsi.ro

6. rezentarea e0perienei n domeniu !Cap. III lit. d#D se va prezenta un document n care se

va descrie e0periena n efectuarea auditului sistemelor informatice7 se va prezenta o list dereferine de la cel puin trei clieni ctre care s;au oferit servicii de audit al sistemelor

informatice, audit al sistemelor de management al securitii informaiei. Lista va conineD

a. Jumele clientului.

b. 5ata la care s;a efectuat auditul

c. Adresa clientului

d. ersoana de contact

e. Jumrul de telefon)fa0.

3. rezentarea C1;urilor personalului care va realiza auditul !Cap. III lit. e#D se va face oprezentare complet din punct de vedere a personalului !e0perien, instruire# care va fi

angrenat n activitatea de audit pentru care se face calificarea.

8. 5escrierea sistemului de management al calitii !Cap. III lit. c#.

+. lanificarea activitii de audit solicitate.

"*. 5eclaraia candidatului !Cap. III lit. f#D declaraia de independen a auditorului fa de

compania -i sistemul care vor fi auditate.

"". 5ocumente financiare !Cap. III lit. b#D se vor prezenta documente oficiale din care s rezulte

cifra de afaceri realizat n ultimii trei ani, cu specificarea sumelor provenite din activitisimilare celei supuse ateniei n cerinele de calificare, acolo unde este cazul.

"(. Semntura candidatuluiD n cazul unei persoane Guridice, documentaia de calificare trebuie

semnat de ctre persoana cu drept de semntur, cu precizarea n clar a numelui -i funciei

deinute.

13. 5ocumentaia de calificareD fiecare pagin a va fi numerotat, semnat -i -tampilat, iar

copiile 0ero0 vor avea meniunea