Search
Close this search box.

Anunţ de selecţie a auditorilor

25/08/2023

Autoritatea pentru Digitalizarea României anunţă lansarea procedurii de selecţie a auditorilor pentru verificarea îndeplinirii condiţiilor de autorizare a centrului de date aparţinând OMV Petrom Global Solutions SRL, având sediul în Complexul Petrom City, Clădirea Infinity, etajul 3, camera B401, Str. Coralilor nr. 22, sector 1, București, tel. 021.40.60.737, fax 021.40.60.25.

În acest scop, părţile interesate găsesc documentul privind condiţiile de calificare pe site-ul Autoritatea pentru Digitalizarea României (www.adr.gov.ro) sau la sediul Autoritatăţii pentru Digitalizarea României, B-dul Libertăţii nr. 14, sector 5, Bucureşti, Registratură, începând cu data 25.08.2023, ora 09:00.

Documentele de identificare necesare, în cazul ridicării de la sediul Autoritatea pentru Digitalizarea României sunt: împuternicirea din partea firmei şi copie xerox a actului de identitate al persoanei împuternicite să ridice documentul privind condiţiile de calificare.

Procedura de selecţie a auditorilor este descrisă în OMCSI nr. 489/2009 privind normele metodologice de autorizare a centrelor de date, cu modificările şi completările ulterioare.

Data limită până la care se poate depune documentaţia de calificare este
31.08.2023, ora 16:30.

Documentaţia poate fi adusă la sediul Autoritatea pentru Digitalizarea României sau trimisă prin poştă.

CRITERII DE CALIFICARE PENTRU AUDITORI

în vederea realizării auditului necesar autorizării centrului de date

  1. Preambul

Legislaţia în vigoare în domeniul arhivării electronice şi a centrelor de date prevede posibilitatea autorizării centrelor de date aparţinând solicitanţilor, persoane fizice sau juridice. Această autorizare se acordă de către Autoritatea pentru Digitalizarea României la cererea persoanelor fizice și juridice în temeiul art. 5 alin f) din H.G. 89/2020 privind organizarea și funcționarea Autorității pentru Digitalizarea României.

Pentru obţinerea sau reînnoirea autorizării, centrul de date deţinut de persoana fizică sau juridică care a solicitat autorizarea centrului de date trebuie să îndeplinească toate condiţiile cerute de legislaţia în vigoare în vederea desfăşurării operaţiunilor de arhivare electronică.  În cadrul procesului premergător acordării sau reînnoirii autorizării centrului de date se vor face verificări atât în ceea ce priveşte declaraţiile conţinute în documentaţia depusă la Autoritatea pentru Digitalizarea României, cât şi asupra concordanţei dintre sistemele, procedurile şi practicile afirmate a fi folosite şi cele existente în realitate.

Verificarea îndeplinirii condiţiilor de autorizare se face de către un auditor desemnat de către Autoritatea pentru Digitalizarea României, în urma parcurgerii procesului de calificare a auditorilor prevăzut de Ordinul ministrului comunicaţiilor şi societăţii informaţionale nr. 489/2009 privind normele metodologice de autorizare a centrelor de date, cu modificările şi completările ulterioare.

Prezentul document cuprinde condiţiile minimale care trebuie îndeplinite de către auditori pentru a fi incluşi pe lista candidaţilor calificaţi în vederea realizării auditului, precum şi conţinutul documentaţiei de calificare.

După primirea documentaţiei de calificare din partea candidaţilor, Autoritatea pentru Digitalizarea României va verifica respectarea criteriilor prezentate, va întocmi şi va comunica solicitantului autorizării centrului de date lista candidaţilor calificaţi. Solicitantul va selecta, dintre candidaţii calificaţi, auditorul care va fi desemnat de către Autoritatea pentru Digitalizarea României pentru efectuarea auditului de autorizare a centrului de date.

II. Legislaţie aplicabilă şi standarde relevante din domeniul securităţii informaţiei, arhivării electronice şi centrelor de date

  • Legea nr. 135 din 15 mai 2007 privind arhivarea documentelor în formă electronică;
  • Ordinul ministrului MCSI nr. 489/15.06.2009 privind normele metodologice de autorizare a centrelor de date, cu modificările şi completările ulterioare;
  • SR ISO/CEI 17799:2006 Tehnologia informaţiei. Tehnici de securitate. Cod de bună practică pentru managementul securităţii informaţiei;
  • SR ISO/IEC 27001:2006 Tehnologia informaţiei. Tehnici de securitate. Sisteme de management al securităţii informaţiei. Cerinţe;
  • SR ISO/CEI 15408-1:2004 Tehnologia informaţiei. Tehnici de securitate. Criterii de evaluare pentru securitatea tehnologiei informaţiei. Partea 1: Introducere şi model general;
  • ISO/IEC 20000-1:2005 Tehnologia informaţiei- Managementul securităţii-P 1: Specificaţii;
  • ISO/IEC 20000-2:2005 Tehnologia informaţiei – Managementul securităţii – Partea a 2-a: Cod de practică;
  • TIA/EIA 942 2005 Standard privind infrastructura de telecomunicaţii a Centrului de date;
  • SR EN 50173-5 2008 Tehnologia informaţiei. Sisteme generice de cablare. Partea a 5-a: Centre de date;
  • SR EN 50173-1 2008 Tehnologia informaţiei. Sisteme generice de cablare. Partea 1: Cerinţe generale.

III. Cerinţe pentru auditori IT

Auditul poate fi realizat atât de o persoană fizică, care îndeplineşte condiţiile necesare realizării acestei proceduri, cât şi de o persoană juridică de drept privat. În vederea realizării auditului necesar pentru acordarea autorizării centrului de date, selectarea persoanelor fizice/ persoanelor juridice calificate se va face după următoarele criterii obligatorii:

  1. metodologia de audit utilizată;
  2. bonitatea candidatului;
  3. existenţa unui sistem de management al calităţii implementat;
  4. experienţa în domeniul auditului securităţii tehnologiei informaţiei;
  5. îndeplinirea cerinţelor pentru personalul implicat în activitatea de audit solicitată (aceste cerinţe sunt prezentate la capitolul IV al acestui document);
  6. independenţa auditorului faţă de solicitantul autorizării centrului de date.

IV. Cerinţe pentru personalul care va realiza auditul

  • să fie absolvenţi de studii superioare în domeniul tehnologiei informaţiei (experienţa vastă şi studiile de specialitate suplimentare pot fi echivalente unui astfel de nivel de studii) şi să aibă cunoştinţe şi abilităţi în domeniul managementului securităţii informaţiei;
  • să aibă cel puţin patru ani de experienţă practică în domeniul tehnologiei informaţiei, din care cel puţin doi ani într-o funcţie din cadrul departamentului de management al securităţii informaţiei;
  • să fi urmat un curs de instruire de cel puţin 5 zile având ca subiect auditul sistemelor informatice, auditul sistemelor de management şi managementul proceselor de audit;
  • să aibă calificări/atestări pe standardele menţionate la Capitolul II sau pe standarde echivalente;
  • să aibă experienţă în domeniul auditului sistemelor informatice.
  • Auditorul desemnat să conducă echipa de audit (auditorul şef) trebuie să îndeplinească în plus următoarele condiţii:
  • să fi efectuat cel puţin trei audituri complete în domeniul tehnologiei informaţiei, ca auditor calificat;
  • să aibă cunoştinţe şi calităţi de conducere a procesului de audit;
  • calităţi personale: capacitatea de a conduce un audit în concordanţă cu procedura de audit, capacitate organizatorică.

Pentru realizarea auditului, echipa de audit poate fi asistată de experţi, care să aibă şi să demonstreze cunoştinţe specifice în domeniul de audit: cerinţe şi reglementări legale referitoare la arhivarea electronică şi centrele de date, evaluarea ameninţărilor, vulnerabilităţilor şi riscurilor din punct de vedere al securităţii informaţiei pentru solicitanţii autorizării centrelor de date.

V. Conţinutul documentaţiei de calificare

Documentaţia de calificare trebuie să asigure o descriere corectă şi concisă a îndeplinirii de către persoana fizică/ persoana juridică a condiţiilor de calificare. Pentru o abordare uniformă a documentaţiei de calificare şi obţinere a unui grad maxim de comparabilitate, documentaţia de calificare va fi organizată astfel:

  1. Pagina de titlu: numele persoanei fizice/ persoanei juridice, adresa, număr telefon, fax.
  2. Data depunerii documentaţiei de calificare, numele persoanei de contact.
  3. Cuprins: identificarea clară a textului prin număr de secţiune sau pagină.
  4. Considerente operaţionale: se va oferi o descriere a companiei, subliniind metodele de operare, structura operaţională, serviciile oferite. Această descriere trebuie să demonstreze capacitatea candidatului de a îndeplini cerinţele de calificare în scopul selecţiei pentru realizarea auditului în vederea autorizării  centrului de date.
  • Metodologia de lucru (Cap. III lit. a): se va descrie modalitatea de abordare a procesului de audit în cazul auditului realizat în scopul verificării condiţiilor de autorizare a centrului de date, conform Legii nr. 135 din 15 mai 2007 privind arhivarea documentelor în formă electronică, republicată şi a Ordinului ministrului MCSI nr. 489/15.06.2009 privind normele metodologice de autorizare a centrelor de date, cu modificările ulterioare.
  • Prezentarea experienţei în domeniu (Cap. III lit. d): se va prezenta un document în care se va descrie experienţa în efectuarea auditului sistemelor informatice; se va prezenta o listă de referinţe de la cel puţin trei clienţi către care s-au oferit servicii de audit al sistemelor informatice, audit al sistemelor de management al securităţii informaţiei. Lista va conţine:
  • Numele clientului.
  • Data la care s-a efectuat auditul
  • Adresa clientului
  • Persoana de contact
  • Numărul de telefon/fax.
  • Prezentarea CV-urilor personalului care va realiza auditul (Cap. III lit. e): se va face o prezentare completă din punct de vedere a personalului (experienţă, instruire) care va fi angrenat în activitatea de audit pentru care se face calificarea.
  • Descrierea sistemului de management al calităţii (Cap. III lit. c).
  • Planificarea activităţii de audit solicitate.
  • Declaraţia candidatului (Cap. III lit. f): declaraţia de independenţă a auditorului faţă de compania şi sistemul care vor fi auditate.
  • Documente financiare (Cap. III lit. b): se vor prezenta documente oficiale din care să rezulte cifra de afaceri realizată în ultimii trei ani, cu specificarea sumelor provenite din activităţi similare celei supuse atenţiei în cerinţele de calificare, acolo unde este cazul.
  • Semnătura candidatului: în cazul unei persoane juridice, documentaţia de calificare trebuie semnată de către persoana cu drept de semnătură, cu precizarea în clar a numelui şi funcţiei deţinute.
  • Documentaţia de calificare: fiecare pagină va fi numerotată, semnată şi ştampilată, iar copiile xerox vor avea menţiunea “conform cu originalul”.