PROCEDURAccesul la resurse

Cod: Ediia I , , Revizia 0[Ex. nr. 1]

Elemente privind operaiuneaNumele i prenumeleFunciaDataSemntura

12345

1.1. Aprobat

1.2. Avizat

1.3.Verificat

1.4.Elaborat

Cuprins

Formular pagin de gard

Cuprins..........................................................................................................pag. 2Formular eviden modificri.............................................................. .........pag. 3Coninutul propriu-zis al procedurii..............................................................pag. 4

Formular eviden modificri

Nr.crt.Ed.Data ediieiNr./data adresaData revizieiPgDescriere modificareDirecia (general)Semnturaconductor serviciu

Scop

Prezenta procedura se refera la stabilirea reguli de buna practica pentru controlul accesului la resursele institutiei.

2.0. Domeniul de aplicare

Prezenta procedura se aplica tuturor anagajatilor cu drept de acces la o resursa a institutiei si vizitatorilor care au obtinut permisiunea de a accesa o resursa a institutiei.

3.0. Documente de referin

Legea nr. 500/2002 privind finantele publice, cu modificarile ulterioare;

Legea nr. 82/1991 a contabilitatii, republicata;

Ordin nr. 428/2007pentru aprobarea Precizarilor privind inventarierea bunurilor din domeniul public al statul

Ordin nr. 1718/2011 pentru aprobarea Precizarilor privind ntocmirea si actualizarea inventarului centralizat al bunurilor din domeniul public al statului Ordonanta de urgenta a Guvernului nr. 146/2002 privind formarea si utilizarea resurselor derulate prin trezoreria statului, aprobata cu modificari prin Legea nr. 201/2003, cu modificarile ulterioare;

Legea nr. 213/1998 privind proprietatea publica si regimul juridic al acesteia;

Ordonanta de urgenta nr. 117/2006 privind procedurile nationale n domeniul ajutorului de stat

Ordinul ministrului finantelor publice nr. 1.661 bis/2003 pentru aprobarea Normelor metodologice privind modul de ncasare si utilizare a fondurilor banesti primite sub forma donatiilor si sponsorizarilor de catre entitatile publice;

Legile bugetare anuale;

Legea nr. 15/1994 privind amortizarea capitalului imobilizat n active corporale si necorporale, republicata;

Hotarrea Guvernului nr. 841/1995 privind procedurile de transmitere fara plata si de valorificare a bunurilor apartinnd entitatilor publice, cu modificarile si completarile ulterioare;

Legea nr. 22/1969 privind angajarea gestionarilor, constituirea de garantii si raspunderea n legatura cu gestionarea bunurilor, cu modificarile si completarile ulterioare;

Decretul nr. 209/1976 pentru aprobarea Regulamentului operatiilor de casa;

Legea nr. 182/2002 privind protectia informatiilor clasificate; Hotarrea Guvernului nr. 781/2002 privind protectia informatiilor secrete de serviciu;

Ordinul ministrului finantelor publice nr. 1.235/2003 pentru aprobarea Normelor metodologice de aplicare a prevederilor Ordonantei de urgenta a Guvernului nr. 146/2002 privind formarea si utilizarea resurselor derulate prin trezoreria statului, cu modificarile si completarile ulterioare.

Codul Etic

4.0. Definiii i abrevieri

4.1. Definiii

Nr. crt. Termenul Definitia si/sau, daca este cazul, actul care defineste termenul

1 Procedura de sistem

Descrie modul de desfaurare al unui proces din cadrul Sistemului de control managerial, aplicabil mai multor subdiviziuni organizatorice

2 Editie a unei proceduri de sistem Forma initiala sau actualizata, dupa caz, a unei proceduri de sistem, aprobata si difuza

3 Revizia in cadrul unei editii Actiunile de modifcare, adaugare, suprimare sau altele asemenea, dupa caz, a uneia sau a mai multor componente ale unei editii a procedurii, actiuni care au fost aprobate si difuzate

4.2.Abrevieri

PCN = CJG = F= formular.E=ElaborareV= VerificareA= AprobareAp. =AplicareAh. = ArhivareFPS=Formular din Procedura de Sistem

5. ASPECTE PREALABILE. DESCRIEREA FORMULARELOR APLICABILE

5.1 La implementarea cerintelor se va tine seama si de specificatiile cuprinse in urmatoarele acte normative:

Legea nr. 500/2002 privind finantele publice, cu modificarile ulterioare;

Legea nr. 82/1991 a contabilitatii, republicata;

Ordin nr. 428/2007pentru aprobarea Precizarilor privind inventarierea bunurilor din domeniul public al statul

Ordin nr. 1718/2011 pentru aprobarea Precizarilor privind ntocmirea si actualizarea inventarului centralizat al bunurilor din domeniul public al statului

Ordonanta de urgenta a Guvernului nr. 146/2002 privind formarea si utilizarea resurselor derulate prin trezoreria statului, aprobata cu modificari prin Legea nr. 201/2003, cu modificarile ulterioare;

Legea nr. 213/1998 privind proprietatea publica si regimul juridic al acesteia;

Ordonanta de urgenta nr. 117/2006 privind procedurile nationale n domeniul ajutorului de stat

Ordinul ministrului finantelor publice nr. 1.661 bis/2003 pentru aprobarea Normelor metodologice privind modul de ncasare si utilizare a fondurilor banesti primite sub forma donatiilor si sponsorizarilor de catre entitatile publice;

Legile bugetare anuale;

Legea nr. 15/1994 privind amortizarea capitalului imobilizat n active corporale si necorporale, republicata;

Hotarrea Guvernului nr. 841/1995 privind procedurile de transmitere fara plata si de valorificare a bunurilor apartinnd entitatilor publice, cu modificarile si completarile ulterioare;

Legea nr. 22/1969 privind angajarea gestionarilor, constituirea de garantii si raspunderea n legatura cu gestionarea bunurilor, cu modificarile si completarile ulterioare;

Decretul nr. 209/1976 pentru aprobarea Regulamentului operatiilor de casa;

Legea nr. 182/2002 privind protectia informatiilor clasificate;

Hotarrea Guvernului nr. 781/2002 privind protectia informatiilor secrete de serviciu;

Ordinul ministrului finantelor publice nr. 1.235/2003 pentru aprobarea Normelor metodologice de aplicare a prevederilor Ordonantei de urgenta a Guvernului nr. 146/2002 privind formarea si utilizarea resurselor derulate prin trezoreria statului, cu modificarile si completarile ulterioare.

Codul Etic

5.2. Documentarea procesului se realizeaza prin intermediul urmatoarelor formulare: Matrice de control acces Resurse IT, Cod: FP-023-1A/ Rev. 0.

Matrice control acces in locatiile, Cod: FP-023-1 B/ Rev.0.

Formular control acces angajat, Cod: FP-023-2/ Rev. 0.

Formular acces pentru vizitatori si contractanti, Cod: FP-023-3/ Rev. 0.

Registrul vizitatorilor, Cod: FP-023-4/ Rev. 0.

6. Descrierea procesului

6.1. Stabilirea factorilor responsabili.

Obiectiv: sa asigure accesul autorizat al angajatilor si vizitatorilor in locatiile ............. si sa previna accesul neautorizat in aceste locatii. Locatiile ................ trebuie sa fie dotate cu alarma, acces control si supraveghere video, personal de paza, acolo unde se considera necesar, in stare buna de functionare pentru a preveni si proteja accesul fizic neautorizat la resursele institutiei. De asemeni pentru a proteja locatiile si continutul acestora, locatiile trebuie echipate cu mijloace de detectie si preventie a incendiilor.

6.1.1. Accesul angajatilor in locatiile /...........................

Accesul angajatilor in locatiile .......................este permis numai pe baza legitimatiei de angajat. Angajatii carora nu li s-au acordat acces intr-o zona din locatiile ........................... vor solicita, in interes de serviciu, un insotitor cu acceptul sefului de locatie. Legitimatia de angajat nu trebuie purtate de angajat folosind acceeasi port legitimatie. Personalul trebuie autorizat inainte de a i se acorda accesul la resursele ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,. Autorizarea tine cont de rolul angajatilor in institutie si ar trebui limitata la minim, dar sa nu impiedice desfasurarea normala a activitatii angajatilor. Au fost create si aprobate nivele de acces pentru angajati. Fiecare sef de departament este responsabil cu gestionarea legitimaiilor. Toti angajatii trebuie sa respecte regulile de securitate precum si cele referitoare la protectia muncii si la protectie impotriva incendiilor din locatia respectiva.

6.1.2. Accesul vizitatorilor in locatiile ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,

Persoanele care nu sunt angajatii institutiei nu au acces la reteaua organizatiei si nici acces fizic in spatiile institutiei cu exceptia zonelor considerate publice sau insotiti de reprezentantul institutiei. Persoanele care pot vizita locatiile ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, sunt reprezentantii institutiilor statului, furnizorii si potentiali furnizori de servicii si produse, alte parti interesate. Toti vizitatorii trebuie sa prezinte la intrarea in locatiile ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, un act de identitate valabil. Datele de identificare ale vizitatorilor precum si ora de intrare si iesire din locatie vor fi trecute in Registrul Vizitatori de personalul firmei de paza. Legitimatii vizitatori: Toti vizitatorii trebuie sa poarte la loc vizibil legitimatia de vizitator pe care o primesc dupa ce sunt inregistrati in Registrul Vizitatori. Legitimatiile trebuie inapoiate dupa finalizarea vizitei. Acces Control: Vizitatorii trebuie sa foloseasca intotdeauna numai intrarile si iesirele autorizate. Accesarea informatiilor: Vizitatorii nu au dreptul sa acceseze (incluzand : citire, copiere, inlocuire, sau alt proces ) informatiile ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, considerate Private si/sau Proprietate. Fotografierea / inregistrarea video: este interzis fotografiatul, inregistrarea video si audio in locatiile ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, fara acordul primarului. In situatii exceptionale primarul poate acorda dreptul de a fotografia sau inregistra video, de accesa informatii confidentiale pe baza formularului Acces Vizitatori .

6.2 Managementul accesului utilizatorului la sistemele de informatii Obiectiv: sa asigure accesul autorizat al utilizatorului si sa previna accesul neautorizat la sistemele de informatii

Utilizatori domeniu Accesul angajatilor la sistemele informatice ale ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, este permis numai pe baza contului de utilizator ( user name si parola).

Pentru crearea unui cont de utilizator pentru un angajat, seful de departament al angajatului completeaza o cerere si o trimite Administratorului de retea. Fiecare utilizator dispune pe serverul institutiei de un director la care are acces doar el si un alt director in care poate salva informatii ce pot fi accesate de ceilalti utilizatori. Bazele de date cu documentele financiare, documentele de personal, documentele specifice ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, sunt restrictionate doar la utilizatori autorizati. Aprobarea accesului la documentele sensibile ale institutiei ( resurse umane, documente financiare.................) se face de catre primar. Aprobarea accesului la celelalte informatii ale institutiei se face de catre sefii de departamente.

6.3 Revizuirea drepturilor de acces ale utilizatorilor

Managementul revizuieste drepturile de acces ale utilizatorilor la intervale regulate, utiliznd pentru aceasta un proces formal.

6.4 Responsabilitatile utilizatorului sistemelor de procesare informatiilor

Obiectiv: sa previna accesul neautorizat al utilizatorului, precum si compromiterea sau furtul de informatii si sisteme de procesare a informatiilor.

Utilizarea parolei utilizatorilor li se cere sa urmeze bunele practici de securitate, in ceea ce priveste selectia si utilizarea parolelor. Echipament nesupravegheat de catre utilizatori. Utilizatorii sunt obligati sa se asigure ca echipamentul lasat nesupravegheat este protejat in mod adecvat. Politica biroului curat si ecranului protejat. Este adoptata o politica clara de folosire a cat mai putine documente si medii de stocare si o politica de pastrare a ecranului protejat pentru sistemele de procesare a informatiilor.

Controlul de acces la retea

Obiectiv: sa previna accesul neautorizat la serviciile de retea. Politica de utilizare a serviciilor de retea Utilizatorilor li se furnizeaza accesul doar pentru serviciile pentru care au fost autorizati in mod specific sa le utilizeze Autentificarea utilizatorilor pentru conectarea din exterior. Organizatia a stabilit metodele de autentificare care sunt folosite pentru a controla accesul utilizatorilor de la distanta.

Identificarea echipamentelor din retea

Identificarea echipamentelor din locatii este automatizata.

Separarea in interiorul retelelor

Grupurile de servicii de informatii, utilizatori si sisteme de informatii sunt separate in interiorul retelei.

Controlul conectarii la retea

Capacitatea utilizatorilor de a se conecta la retea este restrictionata in conformitate cu politica de control al accesului.

6.6 Controlul accesului la sistemul de operare

Obiective de control: sa previna accesul neautorizat la sistemele de operare

Proceduri de autentificare sigura

Accesul la sistemele de operare se face in mod controlat printr-o procedura sigura de conectare.

Sistemul de management al parolelor

Sistemul de management al parolelor este stabilit si asigura calitatea acestora.

Utilizarea programelor utilitare de sistem

Utilizarea programelor utilitare care pot fi capabile sa depaseasca masurile de securitate de sistem si de aplicatii este restrictionata si ferm controlata.

Pauza de sesiune

Sesiunile inactive sunt inchise dupa o perioada definita de activitate.

Limitarea timpului de conectare

Pentru a furniza o securitate sporita a aplicatiilor cu nivel ridicat de risc sunt utilizate restrictii cu privire la timpul de conectare.

6.7. Abordarea ca proces a activitatii de monitorizare a acesului la resurse:

Elemente ale abordarii Definire elemente

Denumire proces Monitorizarea accesului la resurse

Indicatori de performanta Zero pierderi datorate accesul neautorizat la sistemele de operare Zero pierderi datorate accesul neautorizat la serviciile de retea Zero pierderi datorate actiunilor compromiterea sau furtul de informatii si sisteme de procesare a informatiilor.

Proprietar de proces Sefii de subdiviziuni organizatorice

Intrari Cereri de acces la resurse Reglementari legale Reglementari specifice AR

Iesiri Programe de instruire Programe de imbunatatire a activitatii Rapoarte Matrice acces la resurse

Proces din amonte Toate procesele desfasurate in AR

Furnizor de proces Managementul institutiei Utilizatorii resusrelor

Proces din aval Programe de imbunatatire a activitatilor care vizeaza monitorizarea accesului la resurse

Client intern Personalul institutiei

Client extern Partenerii institutiei / partile interesate

7. Responsabilitati si raspunderi in derularea procesului

7.1.Primarul

Aproba procedura de monitorizare a accesului la resurse .

Autorizeaza nivelul de acces al angajatilor la resurse conform prezentei proceduri.

7.2. Responsabilul SCM

Elaboreaza, actualizeaza, gestioneaza si arhiveaza prezenta procedura.

Actualizeaza sectiunile de evidenta (istorie) a modificarilor documentelor.

Analizeaza cererile de autorizare acces primite de la sefii de departamente

Autorizeaza nivelul de acces al angajatilor la resurse conform prezentei proceduri.

Verifica acordarea drepturilor de acces angajatilor.

Revizuieste periodic impreuna cu Sefii de departamente drepturile de acces.

Integreaza si aplica regulile referitoare la control acces impuse de Managementul superior pentru toate locatiile.

7.3 Sefii de subdiviziuni organizatorice

Propune nivelul de acces la resursele institutiei pentru angajatii pe care ii coordoneaza.

Supravegheza si verifica modul de implementare si de respectare a politicii la nivelul subdiviziunii organizatorice.

7.4. Personalul institutiei

Isi insuseste prevederile procedura de control acces si le aplica in activitatea proprie.

Raporteaza sefului direct orice incalcare a acestei politici

8. Lista formularelor aplicabile:

Nr. crt. Denumirea inregistrare Codificare Arhivare Comentarii

LocatiaPerioada de pastrare

1

2

3

4

9. Anexe:

Matrice de control acces Resurse IT, Cod: FP-023-1A/ Rev. 0.

Matrice control acces in locatiile Academie Romane, Cod: FP-023-1 B/ Rev. 0.

Formular control acces angajat, Cod: FP-023-2/ Rev. 0.

Formular acces pentru vizitatori si contractanti, Cod: FP-023-3/ Rev. 0.

Registrul vizitatorilor, Cod: FP-023-4/ Rev. 0.

10. Aplicabilitatea procedurii

Nr. crt. Explicatie Subdiviziune organizatorica aplicabila

1. Aplicare Toate subdiviziunile organizatorice

11. Lista de difuzare a procedurii

Nr. crt. Compartiment Nume si prenume Data primirii Data intrarii in vigoare Semnatura Data retragerii Semnatura

PROCEDURA Cod:

PROCEDUR ACCESUL LA RESURSE Ed. IRev. 0

Pagina

F-PO 42-30.80.01 Ed I, pg

PROCEDURA Cod:

PROCEDUR ACCESUL LA RESURSE Ed. IRev. 0

Pagina

F-PO 42-30.80.02 Ed I, pg

PROCEDURA Cod:

PROCEDUR ACCESUL LA RESURSE Ed. IRev. 0

Pagina

F-P......................... Ed I, pg

PROCEDURACod: PROCEDURACCESUL LA RESURSE

Ed. IRev 0

Pagina din

F-P......................... Ed I, pg