1. Avei implementat un plan de tratament al riscului i care sunt aciunile ntreprinse i resursele folosite pentru acesta?Evaluarea riscului la securitatea fizica constituie fundamentul adoptarii masurilor de securitate a obiectivelor, bunurilor si valorilor, transpuse n planul de paza si proiectul sistemului de alarmare.Managementul riscurilor creeaza valoare . Managementul riscurilor contribuie la realizarea durabila a obiectivelor organizatiei si la mbunatatirea a securitatii si sanatatii n munca, a conformarii cu cerintele legislative.Managementul riscurilor este parte integranta a proceselor organizationale. Managementul riscurilor este parte a responsabilitatilor managementului si parte integranta a proceselor organizationale normale, precum si a proceselor de management al schimbarii.Managementul riscurilor este parte integranta a procesului de adoptare a deciziilor. Managementul riscurilor sprijina decidentii n adoptarea unor decizii n cunostinta de cauza, facilitnd ierarhizarea prioritara a actiunilor ntreprinse, a masurilor adoptate si a alternativelor disponibile.Managementul riscurilor abordeaza n mod explicit incertitudinea. Managementul riscurilor ia n considerare acele aspecte ale procesului decizional care sunt incerte si, n functie de natura incertitudinii, modalitatile de abordare ale acesteia.Managementul riscurilor este sistematic, structurat si actualizat. O abordare sistematica, structurata si actualizata a managementului riscurilor contribuie la eficientizarea demersului, furniznd rezultate consistente, comparabile si fiabile.Managementul riscurilor se bazeaza pe cele mai bune infomatii disponibile. Datele de intrare n procesul de management al riscurilor se bazeaza pe surse de informatii cum sunt experienta, feed-back-ul, observarea, prognozele si rationamentele expertilor.Managementul riscurilor este adaptat. Procesul trebuie aliniat la contextul si profilul extern si intern al organizatiei.Managementul riscurilor ia n considerare factorii umani si culturali. Managementul riscurilor n organizatie recunoaste capacitatile, perceptiile si intentiile persoanelor, din interior si exterior, care pot facilita sau ngreuna realizarea obiectivelor organizatiei.Managementul riscurilor este dinamic, iterativ si raspunde la schimbari. Pe masura producerii de evenimente interne si externe, se schimba contextul initial si nivelul cunostintelor, se desfasoara monitorizarea si revizuirea, apar riscuri noi, altele si modifica magnitudinea sau dispar.Managementul riscurilor este transparent si inclusiv. Implicarea adecvata si din stadiu incipient a factorilor afectati/interesati si, ndeosebi, a decidentilor la toate nivelurile organizatiei, asigura relevanta si gradul corespunzator de actualizare al procesului.Managementul riscurilor faciliteaza mbunatatirea continua si dezvoltarea performantelor organizatiei. Organizatiile ar trebui sa si dezvolte si sa implementeze strategii destinate mbunatatirii gradului de maturitate al managementului riscurilor n toate aspectele activitatii lor.COMUNICAREA SI CONSULTAREAActivitatea de comunicare si consultare dintre toate persoanele implicate in operatiunile de management al riscurilor face posibile:- dezvoltarea unui plan de comunicare;- definirea aproximativa a contextului;- asigurarea ca au fost intelese si luate in considerare interesele tuturor persoanelor implicate;- utilizarea de nivele de expertiza diferite in analizarea si identificarea riscului;- certitudinea ca riscul a fost identificat in mod adecvat;- obtinerea aprobarilor si sprijinului pentru planul de tratare a riscului.Stabilirea contextului externPresupune familiarizarea cu mediul in care opereaza organizatia si sistemul:- cultural, politic, legal, reglementari, financiar, economic si competitiv (la nivel international, national, local si/sau regional);- elemente directoare si tendinte care influenteaza obiectivele organizatiei;- perceptiile si valorile partilor implicate din exteriorul organizatiei.Stabilirea contextului internIntelegerea de catre evaluator a:- posibilitatilor organizatiei in termeni de resurse si cunostinte;- fluiditatii informatiei si procesele decizionale;- partilor interesate din interiorul organizatiei;- obiectivelor si strategiilor stabilite;- perceptiilor, valorilor si diferentelor culturale;- politicilor si proceselor;- standardelor si modelelor de referinta adoptate de organizatie;- structurii organizatiei (conducere, functii si responsabilitati).Identificarea riscului. Organizatia identifica sursele de risc, domeniile de impact, evenimentele, cauzele si consecintele potentiale ale acestora. Scopul acestei etape este de a genera o lista cuprinzatoare a acelor evenimente care ar putea facilita, preveni, degrada sau ntrzia realizarea obiectivelor, importanta fiind si identificarea riscurilor asociate nevalorificarii unei oportunitati.Analiza riscului. Analiza riscului vizeaza dezvoltarea unei ntelegeri a riscului, furniznd datele de intrare pentru etapa de evaluare. Analiza implica luarea n considerare a cauzelor si surselor de risc, a consecintelor pozitive sau negative, a probabilitatii de materializare a respectivelor consecinte. Riscul este analizat prin componentele sale de probabilitate si gravitate, dar si a oricaror alte atribute relevante. Modul de exprimare al consecintelor si probabilitatii si modul de agregare al acestora pentru a exprima un nivel de risc va fi diferit, n functie de natura riscului, de informatiile disponibile si de finalitatea rezultatelor aprecierii riscurilor. Analiza riscului poate fi realizata la diferite niveluri de detaliere n functie de risc, de scopul analizei, de informatiile, datele si resursele disponibile. Analiza poate fi calitativa, semi-cantitativa, cantitativa sau o combinatie a acestora, n functie de circumstante.Evaluarea riscului. Scopul evaluarii consta n sprijinirea procesului de adoptare a deciziilor privind tratarea riscurilor, n baza rezultatelor analizei si a ierarhizarii riscurilor. Evaluarea implica compararea nivelului de risc determinat prin analiza cu criteriile de risc elaborate n faza de stabilire a contextului. Daca nivelul de risc nu ndeplineste criteriile de acceptabilitate, riscul ar trebui tratat. Deciziile vor lua n considerare un context mai larg al riscurilor si toleranta la risc a partilor interesate. n anumite circumstante, evaluarea riscului poate conduce la decizia de a efectua noi analize, mai aprofundate sau de a nu trata riscurile dect prin mentinerea sistemelor de control existente. Astfel de decizii vor fi influentate de apetitul la risc al organizatiei, de atitudinea fata de risc sau de criteriile prestabilite privind riscul.Tratarea riscului. Daca abordarile traditionale ale managementului riscului au fost centrate, preponderent, pe actiuni de contracarare a acestuia, metodele moderne promoveaza actiuni de anticipare, simulare, previziune a riscului, diminund functia reactiva si amplificnd functia preventiva. Tratarea riscurilor implica selectarea uneia sau mai multor optiuni de modificare a riscurilor si implementarea acestor optiuni, prin intermediul unui proces iterativ de stabilire a modalitatilor de tratare, de decizie privind tolerabilitatea riscului rezidual si de estimare a efectului tratarii riscurilor pna la ncadrarea riscului rezidual n limitele criteriilor de risc ale organizatiei.Selectia celei mai adecvate optiuni de tratare a riscurilor implica echilibrarea costurilor si a eforturilor necesare implementarii, cu avantajele obtinute n ceea ce priveste cerintele legale, reglementare sau de alta natura, responsabilitatea sociala si protectia mediului natural.Monitorizare si revizuire. Monitorizarea este procesul prin care datele despre evolutia unui risc sunt centralizate, interpretate si raportate. Scopul monitorizarii este de a colecta informatii ct mai exacte, actuale si oportune si de a le prezenta celor implicati ntr-o maniera ct mai clara si mai usor de nteles. Revizuirea riscului este etapa n care se verifica rezultatele obtinute n urma masurilor implementate.2. Care sunt responsabilitile i prioritile dumneavoastr atunci cnd apar riscuri n gestionarea securitii informaiilor?Managerii unei organizaii nu trebuie s se limiteze la a trata, de fiecare dat, consecinele unor evenimente care s-au produs. Tratarea consecinelor nu amelioreaz cauzele i, prin urmare, riscurile materializate deja se vor produce i n viitor, de regul, cu o frecven mai mare i cu un impact crescut asupra obiectivelor. Managerii trebuie s adopte un stil de management reactiv, ceea ce nseamn c este necesar s conceapa i s implementeze msuri susceptibile de a atenua manifestarea riscurilor. Reacia orientat spre viitor permite organizaiei s stpneasc, n limite acceptabile, riscurile trecute, ceea ce este acelai lucru cu creterea anselor de a-i atinge obiectivele.Limitarea la managementul reactiv este, totui, insuficient pentru un management performant. Nicio organizaie nu poate fi condus numai dup principiul vznd i fcnd. La fel de important este i identificarea posibilelor ameninri, nainte ca ele s-i materializeze i s produc consecine nefavorabile asupra obiectivelor stabilite. Aceasta nseamn a adopta un stil de management proactiv. Managementul proactiv are la baz principiul este mai bine s previi, dect s constai un fapt mplinit.n organizaiile care beneficiaz de un management performant, scrutarea orizontului nu se limiteaz la viitorul imediat, ci ia n considerare i perspective mai ndeprtate. n aceste situaii, managementul proactiv devine un management prospectiv, n care managementul ncearc s identifice acele riscuri care pot aprea ca urmare a modificrilor de strategie sau de mediu. Organizaia trebuie pregtit pentru a accepta schimbarea.n mod evident cunoaterea ameninrilor permite o ierarhizare a acestora n funcie de eventualitatea materializrii lor, de amploarea impactului asupra obiectivelor i de costurile pe care le presupun msurile menite de a reduce sansele de apariie sau de a limita efectele nedorite. Stabilirea unor ierarhii constituie suportul introducerii unei ordini de prioriti n alocarea resurselor, n majoritatea cazurilor limitate, n urma unei analize cost-beneficiu sau, mai general, efort-efect. Este esenial ca organizaia s-i concentreze eforturile spre ceea ce este cu adevarat important, i nu s-i disperseze resursele n zone nerelevante pentru scopurile sale. Totodat, revizuirea periodic a riscurilor, aa cum este prevzut n standarde, conduce la realocri ale resurselor, n concordan cu modificarea ierarhiilor i, implicit, a prioritilor. Cu alte cuvinte, managementul riscurilor presupune concentrarea resurselor n zonele de interes actuale.Dac controlul intern este ansamblul masurilor stabilite de conducere pentru a se obine asigurri rezonabile c obiectivele vor fi atinse, rezult ca managementul riscurilor este unul din mijloacele importante prin care se realizeaz acest lucru, deoarece managementul riscurilor urmrete tocmai gestiunea ameninrilor ce ar putea avea impact negativ asupra obiectivelor. Cu alte cuvinte, dac se urmarete consolidarea controlului intern, este indispensabil implementarea managementului riscurilor.Planul de aciune (activitile ce trebuie desfurate pentru realizarea obiectivelor) trebuie secondat de planul ce cuprinde msurile ce atenueaz manifestarea riscurilor i de planul de tratare a situaiilor dificile (riscuri materializate).

3. Avei implementate msuri care s permit detectarea promt a unor evenimente neplcute dac acestea ar avea loc?

4. Facei reviziuri periodice ale eficienei politicii de securitate, pe baza rezultatelor auditorilor, incidentelor care s-au ivit n sistem, i a feedback-ului de la prile interesate? controale periodice; urmrirea progreselor tehnologice; adaptarea la noile tehnologii.

5. Ai analizat i evaluat potenialele eecuri de securitate lund n considerare controalele de securitate puse n aplicare n prezent?

6. Avei puse n aplicare controale pentru a proteja comerul electronic, online, tranzaciile i informaiile puse la dispoziia publicului?Amploarea pe care a luat-o in ultima vreme comertul online, cat si faptul ca nerespectarea drepturilor conferite prin lege consumatorilor, la acest tip de comert, poate afecta grav interesele economice ale acestora, au impus desfasurarea unei actiuni tematice de verificare a respectarii drepturilor consumatorilor la comercializarea online a produselor si serviciilor destinate consumatorilor.7. Care sunt aciunile ntreprinse privind disciplina angajailor n cazul n care acetia nclc una dintre msurile securitii?

8. Avei implementate orientri i proceduri privind clasificarea nformaiilor? (informaii publice, informaii secrete, informaii confideniale)

9. Cum etichetai i pstrai asemenea informaii? (dosare speciale, ncuiate, etc.)10. Exist o procedur formal de nregistrare a utilizatorilor i o revizuire periodic a drepturilor de acces i a parolelor?Exista o procedura de inregistrare a utilizatorilor iar revizuirea parolelor se face la 60 zile.11. Ce sistem de operare folosii i care sunt pericolele cu care v-ai ntlnit?(defectarea sistemului de operare n timpul sesiunii de lucru, virui, etc.)Sistemul de operare este windows 98,