p r o c e d u r i accesul la resusrse
TRANSCRIPT
PROCEDURAccesul la resurse
Cod: Ediia I , , Revizia 0[Ex. nr. 1]
Elemente privind operaiuneaNumele i prenumeleFunciaDataSemntura
12345
1.1. Aprobat
1.2. Avizat
1.3.Verificat
1.4.Elaborat
Cuprins
Formular pagin de gard
Cuprins..........................................................................................................pag. 2Formular eviden modificri.............................................................. .........pag. 3Coninutul propriu-zis al procedurii..............................................................pag. 4
Formular eviden modificri
Nr.crt.Ed.Data ediieiNr./data adresaData revizieiPgDescriere modificareDirecia (general)Semnturaconductor serviciu
Scop
Prezenta procedura se refera la stabilirea reguli de buna practica pentru controlul accesului la resursele institutiei.
2.0. Domeniul de aplicare
Prezenta procedura se aplica tuturor anagajatilor cu drept de acces la o resursa a institutiei si vizitatorilor care au obtinut permisiunea de a accesa o resursa a institutiei.
3.0. Documente de referin
Legea nr. 500/2002 privind finantele publice, cu modificarile ulterioare;
Legea nr. 82/1991 a contabilitatii, republicata;
Ordin nr. 428/2007pentru aprobarea Precizarilor privind inventarierea bunurilor din domeniul public al statul
Ordin nr. 1718/2011 pentru aprobarea Precizarilor privind ntocmirea si actualizarea inventarului centralizat al bunurilor din domeniul public al statului Ordonanta de urgenta a Guvernului nr. 146/2002 privind formarea si utilizarea resurselor derulate prin trezoreria statului, aprobata cu modificari prin Legea nr. 201/2003, cu modificarile ulterioare;
Legea nr. 213/1998 privind proprietatea publica si regimul juridic al acesteia;
Ordonanta de urgenta nr. 117/2006 privind procedurile nationale n domeniul ajutorului de stat
Ordinul ministrului finantelor publice nr. 1.661 bis/2003 pentru aprobarea Normelor metodologice privind modul de ncasare si utilizare a fondurilor banesti primite sub forma donatiilor si sponsorizarilor de catre entitatile publice;
Legile bugetare anuale;
Legea nr. 15/1994 privind amortizarea capitalului imobilizat n active corporale si necorporale, republicata;
Hotarrea Guvernului nr. 841/1995 privind procedurile de transmitere fara plata si de valorificare a bunurilor apartinnd entitatilor publice, cu modificarile si completarile ulterioare;
Legea nr. 22/1969 privind angajarea gestionarilor, constituirea de garantii si raspunderea n legatura cu gestionarea bunurilor, cu modificarile si completarile ulterioare;
Decretul nr. 209/1976 pentru aprobarea Regulamentului operatiilor de casa;
Legea nr. 182/2002 privind protectia informatiilor clasificate; Hotarrea Guvernului nr. 781/2002 privind protectia informatiilor secrete de serviciu;
Ordinul ministrului finantelor publice nr. 1.235/2003 pentru aprobarea Normelor metodologice de aplicare a prevederilor Ordonantei de urgenta a Guvernului nr. 146/2002 privind formarea si utilizarea resurselor derulate prin trezoreria statului, cu modificarile si completarile ulterioare.
Codul Etic
4.0. Definiii i abrevieri
4.1. Definiii
Nr. crt. Termenul Definitia si/sau, daca este cazul, actul care defineste termenul
1 Procedura de sistem
Descrie modul de desfaurare al unui proces din cadrul Sistemului de control managerial, aplicabil mai multor subdiviziuni organizatorice
2 Editie a unei proceduri de sistem Forma initiala sau actualizata, dupa caz, a unei proceduri de sistem, aprobata si difuza
3 Revizia in cadrul unei editii Actiunile de modifcare, adaugare, suprimare sau altele asemenea, dupa caz, a uneia sau a mai multor componente ale unei editii a procedurii, actiuni care au fost aprobate si difuzate
4.2.Abrevieri
PCN = CJG = F= formular.E=ElaborareV= VerificareA= AprobareAp. =AplicareAh. = ArhivareFPS=Formular din Procedura de Sistem
5. ASPECTE PREALABILE. DESCRIEREA FORMULARELOR APLICABILE
5.1 La implementarea cerintelor se va tine seama si de specificatiile cuprinse in urmatoarele acte normative:
Legea nr. 500/2002 privind finantele publice, cu modificarile ulterioare;
Legea nr. 82/1991 a contabilitatii, republicata;
Ordin nr. 428/2007pentru aprobarea Precizarilor privind inventarierea bunurilor din domeniul public al statul
Ordin nr. 1718/2011 pentru aprobarea Precizarilor privind ntocmirea si actualizarea inventarului centralizat al bunurilor din domeniul public al statului
Ordonanta de urgenta a Guvernului nr. 146/2002 privind formarea si utilizarea resurselor derulate prin trezoreria statului, aprobata cu modificari prin Legea nr. 201/2003, cu modificarile ulterioare;
Legea nr. 213/1998 privind proprietatea publica si regimul juridic al acesteia;
Ordonanta de urgenta nr. 117/2006 privind procedurile nationale n domeniul ajutorului de stat
Ordinul ministrului finantelor publice nr. 1.661 bis/2003 pentru aprobarea Normelor metodologice privind modul de ncasare si utilizare a fondurilor banesti primite sub forma donatiilor si sponsorizarilor de catre entitatile publice;
Legile bugetare anuale;
Legea nr. 15/1994 privind amortizarea capitalului imobilizat n active corporale si necorporale, republicata;
Hotarrea Guvernului nr. 841/1995 privind procedurile de transmitere fara plata si de valorificare a bunurilor apartinnd entitatilor publice, cu modificarile si completarile ulterioare;
Legea nr. 22/1969 privind angajarea gestionarilor, constituirea de garantii si raspunderea n legatura cu gestionarea bunurilor, cu modificarile si completarile ulterioare;
Decretul nr. 209/1976 pentru aprobarea Regulamentului operatiilor de casa;
Legea nr. 182/2002 privind protectia informatiilor clasificate;
Hotarrea Guvernului nr. 781/2002 privind protectia informatiilor secrete de serviciu;
Ordinul ministrului finantelor publice nr. 1.235/2003 pentru aprobarea Normelor metodologice de aplicare a prevederilor Ordonantei de urgenta a Guvernului nr. 146/2002 privind formarea si utilizarea resurselor derulate prin trezoreria statului, cu modificarile si completarile ulterioare.
Codul Etic
5.2. Documentarea procesului se realizeaza prin intermediul urmatoarelor formulare: Matrice de control acces Resurse IT, Cod: FP-023-1A/ Rev. 0.
Matrice control acces in locatiile, Cod: FP-023-1 B/ Rev.0.
Formular control acces angajat, Cod: FP-023-2/ Rev. 0.
Formular acces pentru vizitatori si contractanti, Cod: FP-023-3/ Rev. 0.
Registrul vizitatorilor, Cod: FP-023-4/ Rev. 0.
6. Descrierea procesului
6.1. Stabilirea factorilor responsabili.
Obiectiv: sa asigure accesul autorizat al angajatilor si vizitatorilor in locatiile ............. si sa previna accesul neautorizat in aceste locatii. Locatiile ................ trebuie sa fie dotate cu alarma, acces control si supraveghere video, personal de paza, acolo unde se considera necesar, in stare buna de functionare pentru a preveni si proteja accesul fizic neautorizat la resursele institutiei. De asemeni pentru a proteja locatiile si continutul acestora, locatiile trebuie echipate cu mijloace de detectie si preventie a incendiilor.
6.1.1. Accesul angajatilor in locatiile /...........................
Accesul angajatilor in locatiile .......................este permis numai pe baza legitimatiei de angajat. Angajatii carora nu li s-au acordat acces intr-o zona din locatiile ........................... vor solicita, in interes de serviciu, un insotitor cu acceptul sefului de locatie. Legitimatia de angajat nu trebuie purtate de angajat folosind acceeasi port legitimatie. Personalul trebuie autorizat inainte de a i se acorda accesul la resursele ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,. Autorizarea tine cont de rolul angajatilor in institutie si ar trebui limitata la minim, dar sa nu impiedice desfasurarea normala a activitatii angajatilor. Au fost create si aprobate nivele de acces pentru angajati. Fiecare sef de departament este responsabil cu gestionarea legitimaiilor. Toti angajatii trebuie sa respecte regulile de securitate precum si cele referitoare la protectia muncii si la protectie impotriva incendiilor din locatia respectiva.
6.1.2. Accesul vizitatorilor in locatiile ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,
Persoanele care nu sunt angajatii institutiei nu au acces la reteaua organizatiei si nici acces fizic in spatiile institutiei cu exceptia zonelor considerate publice sau insotiti de reprezentantul institutiei. Persoanele care pot vizita locatiile ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, sunt reprezentantii institutiilor statului, furnizorii si potentiali furnizori de servicii si produse, alte parti interesate. Toti vizitatorii trebuie sa prezinte la intrarea in locatiile ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, un act de identitate valabil. Datele de identificare ale vizitatorilor precum si ora de intrare si iesire din locatie vor fi trecute in Registrul Vizitatori de personalul firmei de paza. Legitimatii vizitatori: Toti vizitatorii trebuie sa poarte la loc vizibil legitimatia de vizitator pe care o primesc dupa ce sunt inregistrati in Registrul Vizitatori. Legitimatiile trebuie inapoiate dupa finalizarea vizitei. Acces Control: Vizitatorii trebuie sa foloseasca intotdeauna numai intrarile si iesirele autorizate. Accesarea informatiilor: Vizitatorii nu au dreptul sa acceseze (incluzand : citire, copiere, inlocuire, sau alt proces ) informatiile ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, considerate Private si/sau Proprietate. Fotografierea / inregistrarea video: este interzis fotografiatul, inregistrarea video si audio in locatiile ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, fara acordul primarului. In situatii exceptionale primarul poate acorda dreptul de a fotografia sau inregistra video, de accesa informatii confidentiale pe baza formularului Acces Vizitatori .
6.2 Managementul accesului utilizatorului la sistemele de informatii Obiectiv: sa asigure accesul autorizat al utilizatorului si sa previna accesul neautorizat la sistemele de informatii
Utilizatori domeniu Accesul angajatilor la sistemele informatice ale ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, este permis numai pe baza contului de utilizator ( user name si parola).
Pentru crearea unui cont de utilizator pentru un angajat, seful de departament al angajatului completeaza o cerere si o trimite Administratorului de retea. Fiecare utilizator dispune pe serverul institutiei de un director la care are acces doar el si un alt director in care poate salva informatii ce pot fi accesate de ceilalti utilizatori. Bazele de date cu documentele financiare, documentele de personal, documentele specifice ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, sunt restrictionate doar la utilizatori autorizati. Aprobarea accesului la documentele sensibile ale institutiei ( resurse umane, documente financiare.................) se face de catre primar. Aprobarea accesului la celelalte informatii ale institutiei se face de catre sefii de departamente.
6.3 Revizuirea drepturilor de acces ale utilizatorilor
Managementul revizuieste drepturile de acces ale utilizatorilor la intervale regulate, utiliznd pentru aceasta un proces formal.
6.4 Responsabilitatile utilizatorului sistemelor de procesare informatiilor
Obiectiv: sa previna accesul neautorizat al utilizatorului, precum si compromiterea sau furtul de informatii si sisteme de procesare a informatiilor.
Utilizarea parolei utilizatorilor li se cere sa urmeze bunele practici de securitate, in ceea ce priveste selectia si utilizarea parolelor. Echipament nesupravegheat de catre utilizatori. Utilizatorii sunt obligati sa se asigure ca echipamentul lasat nesupravegheat este protejat in mod adecvat. Politica biroului curat si ecranului protejat. Este adoptata o politica clara de folosire a cat mai putine documente si medii de stocare si o politica de pastrare a ecranului protejat pentru sistemele de procesare a informatiilor.
Controlul de acces la retea
Obiectiv: sa previna accesul neautorizat la serviciile de retea. Politica de utilizare a serviciilor de retea Utilizatorilor li se furnizeaza accesul doar pentru serviciile pentru care au fost autorizati in mod specific sa le utilizeze Autentificarea utilizatorilor pentru conectarea din exterior. Organizatia a stabilit metodele de autentificare care sunt folosite pentru a controla accesul utilizatorilor de la distanta.
Identificarea echipamentelor din retea
Identificarea echipamentelor din locatii este automatizata.
Separarea in interiorul retelelor
Grupurile de servicii de informatii, utilizatori si sisteme de informatii sunt separate in interiorul retelei.
Controlul conectarii la retea
Capacitatea utilizatorilor de a se conecta la retea este restrictionata in conformitate cu politica de control al accesului.
6.6 Controlul accesului la sistemul de operare
Obiective de control: sa previna accesul neautorizat la sistemele de operare
Proceduri de autentificare sigura
Accesul la sistemele de operare se face in mod controlat printr-o procedura sigura de conectare.
Sistemul de management al parolelor
Sistemul de management al parolelor este stabilit si asigura calitatea acestora.
Utilizarea programelor utilitare de sistem
Utilizarea programelor utilitare care pot fi capabile sa depaseasca masurile de securitate de sistem si de aplicatii este restrictionata si ferm controlata.
Pauza de sesiune
Sesiunile inactive sunt inchise dupa o perioada definita de activitate.
Limitarea timpului de conectare
Pentru a furniza o securitate sporita a aplicatiilor cu nivel ridicat de risc sunt utilizate restrictii cu privire la timpul de conectare.
6.7. Abordarea ca proces a activitatii de monitorizare a acesului la resurse:
Elemente ale abordarii Definire elemente
Denumire proces Monitorizarea accesului la resurse
Indicatori de performanta Zero pierderi datorate accesul neautorizat la sistemele de operare Zero pierderi datorate accesul neautorizat la serviciile de retea Zero pierderi datorate actiunilor compromiterea sau furtul de informatii si sisteme de procesare a informatiilor.
Proprietar de proces Sefii de subdiviziuni organizatorice
Intrari Cereri de acces la resurse Reglementari legale Reglementari specifice AR
Iesiri Programe de instruire Programe de imbunatatire a activitatii Rapoarte Matrice acces la resurse
Proces din amonte Toate procesele desfasurate in AR
Furnizor de proces Managementul institutiei Utilizatorii resusrelor
Proces din aval Programe de imbunatatire a activitatilor care vizeaza monitorizarea accesului la resurse
Client intern Personalul institutiei
Client extern Partenerii institutiei / partile interesate
7. Responsabilitati si raspunderi in derularea procesului
7.1.Primarul
Aproba procedura de monitorizare a accesului la resurse .
Autorizeaza nivelul de acces al angajatilor la resurse conform prezentei proceduri.
7.2. Responsabilul SCM
Elaboreaza, actualizeaza, gestioneaza si arhiveaza prezenta procedura.
Actualizeaza sectiunile de evidenta (istorie) a modificarilor documentelor.
Analizeaza cererile de autorizare acces primite de la sefii de departamente
Autorizeaza nivelul de acces al angajatilor la resurse conform prezentei proceduri.
Verifica acordarea drepturilor de acces angajatilor.
Revizuieste periodic impreuna cu Sefii de departamente drepturile de acces.
Integreaza si aplica regulile referitoare la control acces impuse de Managementul superior pentru toate locatiile.
7.3 Sefii de subdiviziuni organizatorice
Propune nivelul de acces la resursele institutiei pentru angajatii pe care ii coordoneaza.
Supravegheza si verifica modul de implementare si de respectare a politicii la nivelul subdiviziunii organizatorice.
7.4. Personalul institutiei
Isi insuseste prevederile procedura de control acces si le aplica in activitatea proprie.
Raporteaza sefului direct orice incalcare a acestei politici
8. Lista formularelor aplicabile:
Nr. crt. Denumirea inregistrare Codificare Arhivare Comentarii
LocatiaPerioada de pastrare
1
2
3
4
9. Anexe:
Matrice de control acces Resurse IT, Cod: FP-023-1A/ Rev. 0.
Matrice control acces in locatiile Academie Romane, Cod: FP-023-1 B/ Rev. 0.
Formular control acces angajat, Cod: FP-023-2/ Rev. 0.
Formular acces pentru vizitatori si contractanti, Cod: FP-023-3/ Rev. 0.
Registrul vizitatorilor, Cod: FP-023-4/ Rev. 0.
10. Aplicabilitatea procedurii
Nr. crt. Explicatie Subdiviziune organizatorica aplicabila
1. Aplicare Toate subdiviziunile organizatorice
11. Lista de difuzare a procedurii
Nr. crt. Compartiment Nume si prenume Data primirii Data intrarii in vigoare Semnatura Data retragerii Semnatura
PROCEDURA Cod:
PROCEDUR ACCESUL LA RESURSE Ed. IRev. 0
Pagina
F-PO 42-30.80.01 Ed I, pg
PROCEDURA Cod:
PROCEDUR ACCESUL LA RESURSE Ed. IRev. 0
Pagina
F-PO 42-30.80.02 Ed I, pg
PROCEDURA Cod:
PROCEDUR ACCESUL LA RESURSE Ed. IRev. 0
Pagina
F-P......................... Ed I, pg
PROCEDURACod: PROCEDURACCESUL LA RESURSE
Ed. IRev 0
Pagina din
F-P......................... Ed I, pg