Dileme shakespeariene (Tot despre INSTRUCŢIUNEA de modificare și completare a Instrucţiunii nr.2/2011…)

 

Versiunea ne-revizuită a Instrucţiunii 2/2011 preciza la art. 6:

 

 

 

(1) Entitatile prevazute la art. 3 alin. (1) lit. c) au obligatia de a audita sistemul informatic utilizat. Sistemul informatic al entitatii va fi auditat de un auditor IT.
(2) Auditarea se efectueaza in baza unui contract incheiat intre auditorul IT si entitatea care a solicitat auditarea.
(3) In situatia in care auditul sistemului informatic este efectuat de o echipa formata din mai multi auditori, acestia raspund solidar pentru asigurarea derularii procesului de audit in conformitate cu legislatia in domeniu.
(4) Auditorii IT sunt raspunzatori pentru conformarea cu cerintele necesare efectuarii auditului sistemului informatic.

“Modificarea” vine cu următoarele noutăţi:

6. La articolul 6 alineatul (1) se modifică şi va avea următorul cuprins:
” (1) Entitățile au obligația de a asigura auditarea sistemului informatic utilizat. Sistemul informatic al entității va fi auditat de un auditor IT.”
7.După articolul 6 se introduce un nou articol, art. 6^1,  cu următorul cuprins:  

”Art. 6^1

(1) Fac excepție de la prevederile art.6 entitățile care optează pentru certificarea SMSI.
(2) Fac excepție de la prevederile art.6 entitățile care dovedesc că utilizează un software auditat de un auditor IT înregistrat în Registrul public al C.N.V.M.
(3) Prevederile art.11 sunt aplicabile şi entităţilor prevăzute la alin.(2).”
8.După articolul 6^1 se introduce un nou articol, art. 6^2,  cu următorul cuprins:  
”Art. 6^2 Aplicaţiile electronice/sistemele informatice dezvoltate de entităţi în cadrul departamentelor/direcţiilor proprii (in house) trebuie să fie auditate/certificate de un ISMS Lead
Auditor/auditor IT.

Din enunţul alineatului (1) înţelegem că “toate” au obligaţia! Amintesc că definiţia auditorului IT este aceeaşi ca în instrucţiunea 2/2011, varianta iniţială:

auditor IT – persoana fizica care detine un certificat CISA (Certified Information Systems Auditor) eliberat de catre ISACA si care este inscrisa in Registrul public al C.N.V.M.

Conform 6^1 (1), dacă optează pentru certificarea SMSI nu mai au “obligaţia de a asigura auditarea” (SIC!). Coroborat cu 6^1 (2) trebuie să “dovedească că utilizează un software auditat”

Să trecem la Art. 6^2.

Auditate/certificate înseamnă “sau”. ISMS Lead Auditor/auditor IT înseamnă tot “sau”.

Prima întrebare: poate certifica un ISMS Lead Auditor o aplicaţie? Este abilitat ISO 27001 LA să emită “certificate”? Ce va certifica? Care este/sunt standardele/standardul în baza căruia se “certifică aplicaţia”? De exemplu, se poate folosi ISO 9001, ISO 15504 sau TickIT?

A doua întrebare: poate “audita” un ISMS Lead Auditor o aplicaţie? Nu am în vedere deţinerea cunoştinţelor necesare ci dacă este “abilitat” să presteze astfel de audituri.

A treia întrebare: ce ar putea implica auditul unei aplicaţii? Din punctul meu de vedere, există mai multe tipuri:

  • licenţierea (nu este cazul deoarece prevederea se referă la cele dezvoltate intern)
  • asigurarea calităţii – vizează întregul proces de dezvoltare a unei aplicaţii: analiza şi definirea cerinţelor; codificarea; controlul codului; revizia codului; managementul modificărilor; managementul configuraţiei; testare; integrarea în producţie….
  • auditul configuraţiei aplicaţiei
  • auditul funcţionalităţii aplicaţiei
  • auditul aplicaţiei conform IEEE Standard for Software Reviews

Ca auditor ştii că ai în faţă un subiect supus auditării (aplicaţiile electronice/sistemele informatice) şi emiţi o opinie asupra acestui subiect raportându-te la anumite standarde, criterii şi/sau reglementări. Criteriile la care te raportezi trebuie să fie: obiective; cuantificarea subiectului auditat; inteligibile; complete; relevante. Exact ca cerinţele de mai sus……

Mulţumesc.

Completează mai jos detaliile despre tine sau dă clic pe un icon pentru autentificare:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s