Comunica experienta
MonitorulJuridic.ro
Email RSS Trimite prin Yahoo Messenger pagina:   INSTRUCTIUNI nr. 2 din 3 februarie 2011  privind auditarea sistemelor informatice utilizate de entitatile autorizate, reglementate si supravegheate de Comisia Nationala a Valorilor Mobiliare    Twitter Facebook
Cautare document
Copierea de continut din prezentul site este supusa regulilor precizate in Termeni si conditii! Click aici.
Prin utilizarea siteului sunteti de acord, in mod implicit cu Termenii si conditiile! Orice abatere de la acestea constituie incalcarea dreptului nostru de autor si va angajeaza raspunderea!
X

INSTRUCTIUNI nr. 2 din 3 februarie 2011 privind auditarea sistemelor informatice utilizate de entitatile autorizate, reglementate si supravegheate de Comisia Nationala a Valorilor Mobiliare

EMITENT: COMISIA NATIONALA A VALORILOR MOBILIARE
PUBLICAT: MONITORUL OFICIAL nr. 118 din 16 februarie 2011

    CAP. I
    Dispoziţii generale

    ART. 1
    Prezenta instrucţiune stabileşte cerinţele minime obligatorii de auditare a sistemelor informatice utilizate de entitãţile autorizate, reglementate şi supravegheate de Comisia Naţionalã a Valorilor Mobiliare, denumitã în continuare C.N.V.M.
    ART. 2
    (1) Termenii, abrevierile şi expresiile utilizate în prezenta instrucţiune au semnificaţia prevãzutã în <>Legea nr. 297/2004 privind piaţa de capital, cu modificãrile şi completãrile ulterioare.
    (2) În înţelesul prezentei instrucţiuni, termenii şi expresiile de mai jos au urmãtoarele semnificaţii:
    1. audit al sistemului informatic - activitatea de colectare şi evaluare a unor probe pentru a determina dacã sistemul informatic este securizat, menţine integritatea datelor prelucrate şi stocate, permite atingerea obiectivelor strategice ale entitãţii şi utilizarea eficientã a resurselor informaţionale;
    2. auditor IT - persoana fizicã care deţine un certificat CISA (Certified Information Systems Auditor) eliberat de cãtre ISACA şi care este înscrisã în Registrul public al C.N.V.M.;
    3. angajaţi-cheie - persoane care au autoritatea şi responsabilitatea de a planifica, conduce şi controla activitãţile entitãţii, în mod direct sau indirect, incluzând oricare director (executiv sau altfel) al entitãţii;
    4. atac etic - test al reţelei informatice realizat printr-o simulare a unui atac real asupra reţelelor, sistemelor şi aplicaţiilor informatice utilizate de entitatea auditatã;
    5. certificarea sistemului de management al securitãţii informaţiei - certificarea implementãrii unui sistem de management al securitãţii informaţiei în conformitate cu cerinţele standardului SR EN ISO 27001:2005;
    6. date - orice reprezentare a unor fapte, informaţii sau concepte într-o formã care poate fi prelucratã printr-un sistem informatic, incluzându-se şi orice program informatic care poate determina realizarea unei funcţii similare de cãtre un sistem informatic;
    7. declaraţie de aplicabilitate - declaraţie care defineşte politica de securitate a sistemului informatic al entitãţii şi care va reflecta procesul de evaluare a riscurilor pe care entitatea şi le-a asumat;
    8. EA MLA - acord între membrii EA (Cooperare europeanã pentru acreditare) pentru a recunoaşte echivalenţa şi încrederea acestor certificate de acreditare, inspecţiile, certificatele de calibrare şi rapoartele de testare în cadrul Europei;
    9. hardware - ansamblul elementelor fizice şi tehnice cu ajutorul cãrora datele se pot culege, verifica, prelucra, transmite, afişa şi stoca, inclusiv suporturile de memorare (dispozitivele de stocare) a datelor, precum şi echipamentele de calculator auxiliare;
    10. SR EN ISO/IEC 27001:2005 - standard care stabileşte cerinţele pentru un sistem de management al securitãţii informaţiei. Ajutã la identificarea, managementul şi minimizarea ameninţãrilor care afecteazã de obicei informaţia;
    11. ISACA (Asociaţia de Audit şi Control al Sistemelor Informatice/Information Systems Audit and Control Association) - organizaţie profesionalã internaţionalã care grupeazã şi certificã specialişti în domeniul auditului sistemelor informaţionale şi care are ca scop asigurarea guvernanţei, controlului, securitãţii sistemului informatic, precum şi a auditului profesional;
    12. prelucrare automatã a datelor - proces prin care datele dintr-un sistem informatic sunt prelucrate prin intermediul unui program informatic;
    13. program informatic - ansamblu de instrucţiuni care poate fi executat de un sistem informatic în vederea obţinerii unui rezultat determinat;
    14. raport de audit - instrumentul prin care se comunicã scopul auditãrii, obiectivele urmãrite, normele/standardele aplicate, perioada acoperitã, natura, întinderea, procedurile, constatãrile şi concluziile auditului, precum şi orice rezervã pe care auditorul IT o are asupra sistemului informatic auditat;
    15. resurse informaţionale - totalitatea informaţiilor şi a documentelor, conform cerinţelor stabilite de legislaţia în domeniu;
    16. sistem informatic - orice dispozitiv sau ansamblu de dispozitive interconectate sau aflate în relaţie funcţionalã, dintre care unul sau mai multe asigurã prelucrarea automatã a datelor, cu ajutorul unui program informatic;
    17. standard de audit ISACA - cerinţã ISACA pentru organizarea, desfãşurarea şi raportarea auditului sistemului informatic;
    18. software - toatã gama de produse program, care cuprinde cel puţin urmãtoarele elemente: sisteme de operare, drivere şi programe;
    19. set de mãsuri de siguranţã - totalitatea mãsurilor tehnice şi operaţionale care sunt luate de cãtre o entitate pentru utilizarea în condiţii de siguranţã a sistemului informatic;
    20. SMSI (sistem de management al securitãţii informaţiei)sistem de management bazat pe o abordare a riscurilor la care organizaţia este expusã, care are scopul de a stabili, implementa, opera, monitoriza, revizui, menţine şi îmbunãtãţi securitatea informaţiei.
    ART. 3
    (1) Prezenta instrucţiune se aplicã urmãtoarelor categorii de entitãţi autorizate, reglementate şi supravegheate de C.N.V.M., denumite în continuare entitãţi:
    a) organisme de plasament colectiv care se autoadministreazã;
    b) depozitari centrali, case de compensare/contrapãrţi centrale;
    c) societãţi de servicii de investiţii financiare (S.S.I.F.) încadrate la <>art. 7 alin. (1) lit. a) şi b) din Legea nr. 297/2004, cu modificãrile şi completãrile ulterioare, inclusiv sucursale ale firmelor de investiţii din alte state membre;
    d) S.S.I.F. încadrate la <>art. 7 alin. (1) lit. c) din Legea nr. 297/2004, cu modificãrile şi completãrile ulterioare, inclusiv sucursale ale firmelor de investiţii din alte state membre;
    e) traderi;
    f) societãţi de administrare a investiţiilor, inclusiv sucursale ale societãţilor de administrare a investiţiilor din alte state membre;
    g) fondul de compensare a investitorilor;
    h) operatori de piaţã/operatori de sistem;
    i) alte entitãţi nominalizate de C.N.V.M. prin acte normative.
    (2) În cazul instituţiilor de credit autorizate de Banca Naţionalã a României care presteazã servicii de investiţii financiare pe piaţa de capital sunt aplicabile atât reglementãrile emise de aceasta în domeniul auditãrii sistemelor informatice, cât şi prevederile cap. VI din prezenta instrucţiune.

    CAP. II
    Obligaţiile entitãţilor

    ART. 4
    (1) Entitãţile prevãzute la art. 3 alin. (1) lit. c) care utilizeazã sisteme informatice de prelucrare automatã a datelor au obligaţia sã elaboreze un set de mãsuri de siguranţã, în concordanţã cu legislaţia în domeniu, ce va include cel puţin urmãtoarele elemente:
    A. mãsuri organizatorice:
    1. definirea politicii de securitate;
    2. definirea obiectivelor de securitate;
    3. desemnarea responsabilului cu securitatea informaţiei;
    4. desemnarea în cadrul entitãţii a personalului responsabil cu:
    a) intervenţia în caz de incidente;
    b) mentenanţa aplicaţiilor informatice şi a echipamentelor;
    c) recuperarea datelor în caz de dezastre;
    d) formularea propunerilor privind modificarea regulamentelor interioare şi a procedurilor de lucru astfel încât sã se asigure îndeplinirea obiectivelor de securitate;
    B. politica de securitate:
    1. sistemele informatice care oferã intermediarilor şi clienţilor lor accesul la pieţe trebuie sã fie amplasate în spaţii special amenajate, care sã asigure integritatea, securitatea şi disponibilitatea lor în orice moment;
    2. operatorii sistemelor informatice trebuie sã aibã disponibil personal tehnic calificat care sã opereze şi sã supravegheze aceste sisteme;
    3. locaţia acestor sisteme informatice trebuie sã asigure redundanţa:
    a) circuitelor de alimentare cu curent electric;
    b) reţelelor de conectare la pieţe;
    c) hardware-ului suport pe care aplicaţiile ruleazã;
    d) bazelor de date aferente folosite pentru stocarea datelor;
    C. manual de securitate:
    1. în structura sa, manualul de securitate va cuprinde cel puţin capitolele:
    a) prezentarea entitãţii;
    b) prezentarea infrastructurii hardware şi software;
    c) politica de securitate;
    d) obiectivele de securitate;
    e) managementul infrastructurilor hardware şi software;
    f) managementul resurselor umane alocate;
    g) comunicarea şi controlul accesului în sistemul informatic;
    h) managementul incidentelor;
    i) managementul riscului şi recuperarea datelor în caz de dezastru;
    j) continuitatea afacerii;
    k) înregistrãri şi controlul înregistrãrilor;
    2. toate documentele referitoare la procedurile de sistem vor face parte integrantã din manualul de securitate;
    D. proceduri generale de sistem;
    E. plan de combatere a riscurilor. Riscurile care se vor lua în considerare în elaborarea planului sunt din urmãtoarele categorii:
    1. încãlcarea legilor, reglementãrilor şi contractelor;
    2. daune fizice;
    3. împiedicarea realizãrii sarcinilor la parametrii de performanţã;
    4. efect negativ asupra relaţiilor cu terţii, indiferent dacã aceştia sunt clienţi sau alte persoane cu care entitatea interacţioneazã;
    5. consecinţe financiare;
    F. declaraţie de aplicabilitate.
    (2) Entitãţile prevãzute la alin. (1) au obligaţia de a asigura permanent instruirea personalului angajat, inclusiv a angajaţilorcheie, în vederea cunoaşterii obligaţiilor ce decurg din setul de mãsuri prevãzut la alin. (1).
    ART. 5
    (1) Sistemele informatice utilizate de entitãţile prevãzute la art. 3 alin. (1) lit. c) trebuie sã îndeplineascã cel puţin urmãtoarele cerinţe:
    1. cerinţe referitoare la respectarea reglementãrilor pieţei de capital:
    a) sã asigure integritatea, confidenţialitatea, securitatea, disponibilitatea datelor în orice circumstanţe, precum şi prelucrarea acestora în conformitate cu reglementãrile pieţei de capital, luând în considerare posibilitatea actualizãrii acestora, în funcţie de modificãrile intervenite în legislaţia pieţei de capital. Sistemele informatice care oferã intermediarilor şi clienţilor lor accesul la pieţe trebuie sã asigure cel puţin:
    1. integritatea şi securitatea datelor trimise la şi recepţionate de la piaţã în sisteme de baze de date care funcţioneazã în regim de redundanţã şi care sã poatã fi certificate în orice moment;
    2. securitatea şi integritatea datelor procesate prin folosirea unei scheme de encriptare, atât asupra datelor trimise cãtre pieţe, cât şi asupra datelor recepţionate de la pieţe;
    3. jurnalizarea în timp real a informaţiei despre ordinele plasate pe piaţã, a stãrii acestor ordine, respectiv a modificãrilor care se aduc acestor ordine în decursul existenţei lor de cãtre clienţii ce utilizeazã aceste sisteme informatice;
    b) sã asigure respectarea condiţiilor tehnice şi operaţionale aferente utilizãrii conturilor globale, efectuãrii operaţiunilor de împrumut de valori mobiliare şi de constituire a garanţiilor asociate acestora prevãzute de reglementãrile C.N.V.M.;
    c) sã asigure posibilitatea imprimãrii documentelor pe format hârtie clare, inteligibile şi complete reprezentând rapoartele precizate în reglementãrile emise de C.N.V.M.;
    d) sã asigure respectarea conţinutului de informaţii prevãzut în formularele de raportare corespunzãtoare entitãţilor, aşa cum sunt prevãzute în legislaţia pieţei de capital, precum şi alte raportãri solicitate prin reglementãrile pieţei de capital;
    e) sã asigure în orice moment reconstituirea rapoartelor şi informaţiilor supuse verificãrii. Utilizatorii acestor sisteme informatice trebuie sã asigure pãstrarea datelor înregistrate şi jurnalizate de cãtre sistemele de tranzacţionare şi back-office într-un sistem de tip bazã de date de stocare pentru o perioada de timp în conformitate cu legislaţia aplicabilã în vigoare. Acest sistem de pãstrare a datelor trebuie sã asigure posibilitatea ca aceste date sã poatã fi transmise sau puse la dispoziţia C.N.V.M. la cerere;
    f) sã asigure elemente de identificare a datelor supuse prelucrãrii şi verificãrii. Sistemele informatice trebuie sã asigure identificarea exactã a timpului la care înregistrãrile au fost efectuate şi identificarea utilizatorilor sistemului la acel moment;
    g) sã asigure confidenţialitatea şi protecţia informaţiilor şi a programelor prin parole, coduri de identificare pentru accesul la informaţii, precum şi realizarea de copii de siguranţã pentru programe şi informaţii deţinute;
    h) sã asigure la sediul entitãţii, pe o perioadã nedeterminatã, manuale de utilizare complete şi actualizate ale programelor informaţionale utilizate;
    i) sã asigure verificarea prin teste de control a programelor informatice utilizate.
    Entitãţile, ca utilizatori ai sistemelor informatice, trebuie sã procedeze regulat la testarea funcţionalitãţilor noi introduse pentru îndeplinirea cerinţelor pieţelor. Aceasta practicã trebuie sã fie formalizatã prin alcãtuirea de planuri de testare;
    j) sã asigure arhivarea pe suport digital extern a informaţiilor, a datelor introduse, a situaţiilor financiare sau a altor documente, cu posibilitatea de reintegrare în sistem a datelor arhivate;
    k) sã asigure respectarea oricãror altor cerinţe care rezultã din dispoziţiile legale în vigoare, aplicabile în funcţie de obiectul de activitate al entitãţii;
    2. cerinţe generale privind programele informatice utilizate în activitatea financiarã şi contabilã, cuprinse în cap. G şi H din anexa nr. 1 la <>Ordinul ministrului economiei şi finanţelor nr. 3.512/2008 privind documentele financiar-contabile, cu completãrile ulterioare.
    (2) Mãsurile tehnice aplicate de entitãţi pentru îndeplinirea cerinţelor prevãzute la alin. (1) trebuie sã fie în concordanţã cu progresul tehnologic în domeniu.
    (3) În procesul de supraveghere, C.N.V.M. poate solicita în scris entitãţii auditate orice informaţii sau documente relevante, aceasta având obligaţia de a se conforma.
    (4) C.N.V.M. asigurã confidenţialitatea informaţiilor primite, în conformitate cu prevederile legislaţiei pieţei de capital, cu excepţiile prevãzute de lege.

    CAP. III
    Auditarea sistemului informatic

    ART. 6
    (1) Entitãţile prevãzute la art. 3 alin. (1) lit. c) au obligaţia de a audita sistemul informatic utilizat. Sistemul informatic al entitãţii va fi auditat de un auditor IT.
    (2) Auditarea se efectueazã în baza unui contract încheiat între auditorul IT şi entitatea care a solicitat auditarea.
    (3) În situaţia în care auditul sistemului informatic este efectuat de o echipã formatã din mai mulţi auditori, aceştia rãspund solidar pentru asigurarea derulãrii procesului de audit în conformitate cu legislaţia în domeniu.
    (4) Auditorii IT sunt rãspunzãtori pentru conformarea cu cerinţele necesare efectuãrii auditului sistemului informatic.

    CAP. IV
    Obligaţiile auditorilor IT

    ART. 7
    (1) Auditorii IT care auditeazã sistemele informatice utilizate de entitãţile prevãzute la art. 3 alin. (1) lit. c) au obligaţia de a se înscrie în Registrul public al C.N.V.M.
    (2) În vederea înscrierii în Registrul public al C.N.V.M., auditorul IT trebuie sã depunã la C.N.V.M. o cerere care sã cuprindã urmãtoarele informaţii şi documente anexate, dupã caz:
    a) numele şi prenumele complete şi orice alt nume folosit;
    b) locul şi data naşterii;
    c) codul numeric personal sau echivalentul acestuia, pentru persoanele strãine;
    d) seria şi numãrul documentului de identitate;
    e) data eliberãrii documentului de identitate şi emitentul;
    f) domiciliul stabil/reşedinţa (adresa completã - stradã, numãr, bloc, scarã, etaj, apartament, oraş, judeţ/sector, cod poştal, dupã caz);
    g) cetãţenia/naţionalitatea şi ţara de origine;
    h) adresa unde îşi desfãşoarã activitatea;
    i) telefon/fax, e-mail, adresa paginii de internet, dupã caz;
    j) certificatul de membru ISACA în copie legalizatã, precum şi dovada de membru activ emisã de cãtre ISACA;
    k) curriculum vitae, datat şi semnat, cu prezentarea experienţei profesionale;
    l) certificatul de auditor al sistemelor informatice (CISA Certified Information Systems Auditor) în copie legalizatã, precum şi dovada faptului cã certificarea este activã;
    m) contract de asigurare de rãspundere profesionalã de minimum 100.000 euro, în copie;
    n) certificate de cazier judiciar şi fiscal, în original sau copie legalizatã, aflate în interiorul termenului de valabilitate;
    o) dovada achitãrii tarifului de înscriere în Registrul public al C.N.V.M., în copie.
    (3) Radierea din Registrul public al C.N.V.M. a auditorilor IT se realizeazã în urmãtoarele condiţii, dupã caz:
    a) la cerere;
    b) la decesul auditorului IT;
    c) din alte cauze prevãzute de lege.
    ART. 8
    (1) Auditorul IT are obligaţia de a întocmi la încheierea auditãrii prevãzute la art. 6 un raport de audit care trebuie sã cuprindã cel puţin urmãtoarele elemente:
    1. titlul raportului şi denumirea entitãţii auditate (beneficiarul raportului);
    2. datele de identificare ale auditorului IT (cel puţin numele, numãrul certificatului CISA, telefon, fax, e-mail şi adresa unde îşi desfãşoarã activitatea);
    3. semnãtura auditorului;
    4. destinatarii raportului şi restricţiile privind distribuţia raportului;
    5. locul auditãrii;
    6. data raportului;
    7. perioada acoperitã de audit;
    8. descrierea ariei auditului, incluzând şi:
    a) descrierea entitãţii auditate;
    b) descrierea sistemelor auditate;
    c) mãsurile organizatorice: politicile aplicabile şi procedurile implementate;
    d) identificarea aplicaţiilor utilizate şi persoanele implicate;
    e) componentele sistemelor informatice utilizate: aplicaţie/server/sistem de operare/detalii configurare/locaţie/ administrare;
    f) analiza riscurilor implicate de activitate, a posibilelor vulnerabilitãţi ale sistemului informatic auditat şi a mãsurilor de reducere a riscurilor asociate (controale);
    g) descrierea modului prin care s-a efectuat atacul etic şi rezultatul obţinut;
    9. opinia detaliatã a auditorului privind îndeplinirea cerinţelor prevãzute la art. 4 şi 5. (Pentru fiecare cerinţã, cu menţiunea: DA/NU, precum şi motivaţia);
    10. afirmaţia de conformitate (opinia pozitivã), de conformare parţialã/totalã referitoare la obiectivele auditate, indicând punctele care trebuie îmbunãtãţite (opinia cu rezerve/calificatã), sau de neîndeplinire a obiectivelor auditate (opinia negativã);
    11. anexã distinctã conţinând constatãrile, riscurile asociate, recomandãrile pentru acţiuni corective şi rãspunsul managementului entitãţii auditate (pentru fiecare constatare din raport). Anexa va fi semnatã de un reprezentant al conducerii executive a entitãţii auditate;
    12. declaraţia auditorului cã auditul a fost efectuat în conformitate cu standardele de audit ISACA;
    13. declaraţie a auditorului pe propria rãspundere, sub semnãturã olografã, cã nu se aflã în relaţii cu entitatea auditatã sau cu angajaţii-cheie ori cu conducerea entitãţii, care ar putea sã îi afecteze independenţa sau obiectivitatea;
    14. mãsurile corective recomandate;
    15. rãspunsul managementului cu privire la mãsurile corective recomandate, inclusiv termenul de aplicare;
    16. data urmãtorului audit;
    17. alte observaţii.
    (2) Raportul prevãzut la alin. (1) va fi întocmit în conformitate cu standardele ISACA-S2 şi S7 sau cu standardul ISAE 3000 şi ghidul ISACA-G20 pentru verificãri de tip audit.
   Art. 9
    Auditorul IT va notifica la C.N.V.M., în regim de urgenţã, fãrã sã vinã în contradicţie cu dispoziţiile din Codul privind conduita eticã, profesionalã şi cu Standardele de audit ISACA, orice fapt sau act în legãturã cu sistemul informatic utilizat de entitate şi care:
    a) constituie o încãlcare semnificativã a actelor normative ce reglementeazã condiţiile de autorizare şi funcţionare a entitãţii auditate;
    b) este de naturã sã afecteze continuitatea activitãţii entitãţii reglementate auditate;
    c) poate conduce la o opinie de audit cu rezerve, la imposibilitatea exprimãrii unei opinii profesionale sau la o opinie negativã.
   Art. 10
    Auditorul IT, la solicitarea scrisã a C.N.V.M., are obligaţia:
    a) sã prezinte C.N.V.M. orice raport sau document ce a fost adus la cunoştinţa entitãţii auditate;
    b) sã prezinte C.N.V.M. o declaraţie care sã indice motivele de încetare a contractului de audit, indiferent de natura acestora;
    c) sã prezinte C.N.V.M. orice alte informaţii sau documente solicitate.

    CAP. V
    Cerinţe de raportare

    ART. 11
    (1) Entitãţile prevãzute la art. 3 alin. (1) lit. c) au obligaţia auditãrii sistemului informatic cel puţin anual.
    (2) Raportul de audit menţionat la art. 8 va fi transmis cãtre C.N.V.M. în termen de 90 de zile de la încheierea perioadei de auditare a sistemului informatic şi va cuprinde cel puţin informaţiile prevãzute la art. 8 alin. (1) pct. 1-7, pct. 8 lit. a)d), pct. 9, 10, 12-17 şi art. 8 alin. (2)
    (3) Pentru entitãţile prevãzute la art. 3 alin. (1) lit. i), C.N.V.M. va hotãrî prin act individual termenul de întocmire a raportului de audit şi, dupã caz, obţinerea certificãrii SMSI.
    (4) Raportul de audit prevãzut la alin. (2) se transmite la C.N.V.M. de cãtre entitatea auditatã. Entitatea auditatã, prin reprezentantul legal, depune odatã cu raportul o declaraţie pe propria rãspundere prin care confirmã faptul cã a remediat situaţiile vulnerabile evidenţiate în sistemul informatic utilizat, având în vedere recomandarea fãcutã de auditorul IT, dupã caz, şi inclusã în raportul de audit.
    (5) În cazul în care la nivelul entitãţii se adoptã hotãrârea unor schimbãri majore în structura sistemelor informatice, cum ar fi:
    a) schimbarea integralã a unor aplicaţii informatice folosite în contabilitatea entitãţii;
    b) schimbarea procedurilor sau a fluxurilor de prelucrare a datelor contabile;
    c) schimbarea procedurilor de arhivare şi/sau de restaurare a datelor contabile;
    d) schimbarea unuia dintre serverele care ruleazã aplicaţiile de contabilitate, se va realiza, în termen de 60 de zile, un raport de audit al sistemelor informatice care va cuprinde o analizã a impactului şi a riscurilor induse de schimbãrile care se introduc. Raportul de audit va fi transmis la C.N.V.M. în termen de 5 zile de la finalizare.
    (6) Rapoartele de audit prevãzute în prezenta instrucţiune vor fi semnate şi stampilate de cãtre persoanele autorizate în acest sens şi se vor depune la C.N.V.M. într-un exemplar original în format hârtie, precum şi în format electronic.

    CAP. VI
    Certificarea SMSI

    ART. 12
    (1) Entitãţile prevãzute la art. 3 alin. (1) lit. a), b), d)-h) şi alin. (2) au obligaţia sã obţinã certificarea SMSI (în baza implementãrii standardelor SR EN ISO/IEC 27001:2005) emisã de o organizaţie naţionalã sau internaţionalã acreditatã de un semnatar al acordului EA MLA.
    (2) Componenta de audit a procesului de certificare SMSI se va realiza de cãtre un ISMS Lead Auditor.
    (3) Entitãţile prevãzute la alin. (1) au obligaţia sã îşi revizuiascã anual SMSI obţinut.
    (4) Entitãţile prevãzute la alin. (1) au obligaţia sã îşi reînnoiascã certificatul SMSI obţinut dupã fiecare perioadã de 3 ani.
    (5) Dispoziţiile prevãzute la alin. (1) se aplicã şi în cazul sistemelor de tranzacţionare administrate de un operator de piaţã/operator de sistem.
    ART. 13
    (1) Entitãţile prevãzute la art. 12 alin. (1) au obligaţia de a depune la C.N.V.M. cel puţin urmãtoarele documente:
    a) certificatul SMSI, în copie legalizatã;
    b) datele de identificare ale organismului de certificare acreditat [adresa completã, codul unic de înregistrare (CUI) sau echivalentul acestuia pentru organismele internaţionale; numãr de telefon, fax, e-mail, persoane de contact];
    c) datele de identificare ale organismului care a acreditat organismul de certificare (adresa completã, codul unic de înregistrare (CUI) sau echivalentul acestuia pentru organismele internaţionale; numãr de telefon, fax, e-mail, persoane de contact);
    d) domeniul acreditat;
    e) dovada revizuirii SMSI, dupã caz;
    f) dovada reînnoirii certificãrii SMSI, dupã caz.
    (2) Documentele prevãzute la alin. (1) se depun la C.N.V.M. în termen de 10 zile lucrãtoare de la data primirii certificatului SMSI.
    (3) În cazul revizuirii sau reînnoirii certificatului SMSI entitãţile prevãzute la art. 12 alin. (1) vor depune la C.N.V.M. documentele prevãzute la alin. (1) în termen de 5 zile lucrãtoare de la primirea documentelor relevante.

    CAP. VII
    Sancţiuni

    ART. 14
    Nerespectarea prevederilor prezentei instrucţiuni de cãtre entitãţile prevãzute la art. 3 se sancţioneazã în conformitate cu prevederile titlului X "Rãspunderi şi sancţiuni" din <>Legea nr. 297/2004 privind piaţa de capital, cu modificãrile şi completãrile ulterioare.
    ART. 15
    În cazul constatãrii unor deficienţe semnificative în activitatea profesionalã desfãşuratã de auditorul IT în legãturã cu auditarea sistemelor informatice ale unei entitãţi, C.N.V.M. va sesiza organele competente, respectiv ISACA, în vederea adoptãrii unor mãsuri corective şi, dupã caz, disciplinare corespunzãtoare, potrivit reglementãrilor în vigoare.

    CAP. VIII
    Dispoziţii tranzitorii şi finale

    ART. 16
    (1) Pentru anul 2011, entitãţile prevãzute la art. 3 pot opta pentru obţinerea certificãrii SMSI conform prevederilor cap. VI sau pentru auditarea sistemelor informatice conform cap. II-V.
    (2) În termen de maximum 30 de zile de la intrarea în vigoare a prezentei instrucţiuni, entitãţile prevãzute la art. 3 au obligaţia de a transmite la C.N.V.M. o declaraţie pe propria rãspundere a reprezentantului legal referitoare la modul de exercitare a opţiunii prevãzute la alin. (1).
    (3) Entitãţile prevãzute la art. 3 care aplicã prevederile cap. II-V au obligaţia transmiterii la C.N.V.M. a primului raport de audit în termen de 9 luni de la intrarea în vigoare a prezentei instrucţiuni.
    (4) Entitãţile prevãzute la art. 3 care aplicã prevederile cap. VI au obligaţia transmiterii la C.N.V.M. a documentelor prevãzute la art. 13 în termen de 12 luni de la intrarea în vigoare a prezentei instrucţiuni.
    ART. 17
    Obligaţia prevãzutã la art. 12 se aplicã începând cu 1 ianuarie 2012.
    ART. 18
    Instrucţiunea şi ordinul de aprobare se publicã în Monitorul Oficial al României, Partea I, în Buletinul C.N.V.M. şi pe pagina de internet a C.N.V.M.

                                    -------
Da, vreau informatii despre produsele Rentrop&Straton. Sunt de acord ca datele personale sa fie prelucrate conform Regulamentul UE 679/2016

Comentarii


Maximum 3000 caractere.
Da, doresc sa primesc informatii despre produsele, serviciile etc. oferite de Rentrop & Straton.

Cod de securitate


Fii primul care comenteaza.
MonitorulJuridic.ro este un proiect:
Rentrop & Straton
Banner5

Atentie, Juristi!

5 modele Contracte Civile si Acte Comerciale - conforme cu Noul Cod civil si GDPR

Legea GDPR a modificat Contractele, Cererile sau Notificarile obligatorii

Va oferim Modele de Documente conform GDPR + Clauze speciale

Descarcati GRATUIT Raportul Special "5 modele Contracte Civile si Acte Comerciale - conforme cu Noul Cod civil si GDPR"


Da, vreau informatii despre produsele Rentrop&Straton. Sunt de acord ca datele personale sa fie prelucrate conform Regulamentul UE 679/2016