Autoritatea pentru Digitalizarea României anunţă lansarea procedurii de selecţie a
auditorilor pentru verificarea îndeplinirii condiţiilor de autorizare a centrului de date
aparţinând Direcției Județene de Evidență a Persoanelor Cluj, având sediul în ClujNapoca, str. Aviator Bădescu, nr.7-9, județul Cluj, tel.0264.450.406, fax 0264.450.405.
În acest scop, părţile interesate găsesc documentul privind condiţiile de calificare
pe site-ul Autoritatea pentru Digitalizarea României (www.adr.gov.ro) sau la sediul
Autoritatăţii pentru Digitalizarea României, B-dul Libertăţii nr. 14, sector 5, Bucureşti,
Registratură, începând cu data 27.12.2023, ora 10:00.
Documentele de identificare necesare, în cazul ridicării de la sediul Autoritatea
pentru Digitalizarea României sunt: împuternicirea din partea societății şi copie de pe
actul de identitate al persoanei împuternicite să ridice documentul privind condiţiile de
calificare.
Procedura de selecţie a auditorilor este descrisă în OMCSI nr. 489/2009 privind
normele metodologice de autorizare a centrelor de date, cu modificările şi completările
ulterioare.
Data limită până la care se poate depune documentaţia de calificare este
10.01.2024, ora 10:00.
Documentaţia poate fi adusă la sediul Autoritatea pentru Digitalizarea României,
transmisă pe e-mail la adresa contact@adr.gov.ro sau trimisă prin poştă.
CRITERII DE CALIFICARE PENTRU AUDITORI
în vederea realizării auditului necesar autorizării centrului de date
aparținând Direcției Județene de Evidență a Persoanelor Cluj
I. Preambul
Legislaţia în vigoare în domeniul arhivării electronice şi a centrelor de date prevede
posibilitatea autorizării centrelor de date aparţinând solicitanţilor, persoane fizice sau juridice.
Această autorizare se acordă de către Autoritatea pentru Digitalizarea României la cererea
persoanelor fizice și juridice în temeiul art. 5 alin f) din H.G. 89/2020 privind organizarea și
funcționarea Autorității pentru Digitalizarea României.
Pentru obţinerea sau reînnoirea autorizării, centrul de date deţinut de persoana fizică sau
juridică care a solicitat autorizarea centrului de date trebuie să îndeplinească toate condiţiile
cerute de legislaţia în vigoare în vederea desfăşurării operaţiunilor de arhivare electronică. În
cadrul procesului premergător acordării sau reînnoirii autorizării centrului de date se vor face
verificări atât în ceea ce priveşte declaraţiile conţinute în documentaţia depusă la Autoritatea
pentru Digitalizarea României, cât şi asupra concordanţei dintre sistemele, procedurile şi
practicile afirmate a fi folosite şi cele existente în realitate.
Verificarea îndeplinirii condiţiilor de autorizare se face de către un auditor desemnat de către
Autoritatea pentru Digitalizarea României, în urma parcurgerii procesului de calificare a
auditorilor prevăzut de Ordinul ministrului comunicaţiilor şi societăţii informaţionale nr.
489/2009 privind normele metodologice de autorizare a centrelor de date, cu modificările şi
completările ulterioare.
Prezentul document cuprinde condiţiile minimale care trebuie îndeplinite de către auditori
pentru a fi incluşi pe lista candidaţilor calificaţi în vederea realizării auditului, precum şi
conţinutul documentaţiei de calificare.
După primirea documentaţiei de calificare din partea candidaţilor, Autoritatea pentru
Digitalizarea României va verifica respectarea criteriilor prezentate, va întocmi şi va comunica
solicitantului autorizării centrului de date lista candidaţilor calificaţi. Solicitantul va selecta,
dintre candidaţii calificaţi, auditorul care va fi desemnat de către Autoritatea pentru
Digitalizarea României pentru efectuarea auditului de autorizare a centrului de date.
II. Legislaţie aplicabilă şi standarde relevante din domeniul securităţii informaţiei, arhivării
electronice şi centrelor de date
• Legea nr. 135 din 15 mai 2007 privind arhivarea documentelor în formă electronică;
• Ordinul ministrului MCSI nr. 489/15.06.2009 privind normele metodologice de autorizare
a centrelor de date, cu modificările şi completările ulterioare;
• SR ISO/CEI 17799:2006 Tehnologia informaţiei. Tehnici de securitate. Cod de bună
practică pentru managementul securităţii informaţiei;
• SR ISO/IEC 27001:2006 Tehnologia informaţiei. Tehnici de securitate. Sisteme de
management al securităţii informaţiei. Cerinţe;
• SR ISO/CEI 15408-1:2004 Tehnologia informaţiei. Tehnici de securitate. Criterii de
evaluare pentru securitatea tehnologiei informaţiei. Partea 1: Introducere şi model
general;
• ISO/IEC 20000-1:2005 Tehnologia informaţiei- Managementul securităţii-P 1:
Specificaţii;
• ISO/IEC 20000-2:2005 Tehnologia informaţiei – Managementul securităţii – Partea a 2-a:
Cod de practică;
• TIA/EIA 942 2005 Standard privind infrastructura de telecomunicaţii a Centrului de date;
• SR EN 50173-5 2008 Tehnologia informaţiei. Sisteme generice de cablare. Partea a 5-a:
Centre de date;
• SR EN 50173-1 2008 Tehnologia informaţiei. Sisteme generice de cablare. Partea 1:
Cerinţe generale.
III. Cerinţe pentru auditori IT
Auditul poate fi realizat atât de o persoană fizică, care îndeplineşte condiţiile necesare
realizării acestei proceduri, cât şi de o persoană juridică de drept privat. În vederea realizării
auditului necesar pentru acordarea autorizării centrului de date, selectarea persoanelor fizice/
persoanelor juridice calificate se va face după următoarele criterii obligatorii:
a) metodologia de audit utilizată;
b) bonitatea candidatului;
c) existenţa unui sistem de management al calităţii implementat;
d) experienţa în domeniul auditului securităţii tehnologiei informaţiei;
e) îndeplinirea cerinţelor pentru personalul implicat în activitatea de audit solicitată (aceste
cerinţe sunt prezentate la capitolul IV al acestui document);
f) independenţa auditorului faţă de solicitantul autorizării centrului de date.
IV. Cerinţe pentru personalul care va realiza auditul
- să fie absolvenţi de studii superioare în domeniul tehnologiei informaţiei (experienţa vastă
şi studiile de specialitate suplimentare pot fi echivalente unui astfel de nivel de studii) şi să
aibă cunoştinţe şi abilităţi în domeniul managementului securităţii informaţiei; - să aibă cel puţin patru ani de experienţă practică în domeniul tehnologiei informaţiei, din
care cel puţin doi ani într-o funcţie din cadrul departamentului de management al securităţii
informaţiei; - să fi urmat un curs de instruire de cel puţin 5 zile având ca subiect auditul sistemelor
informatice, auditul sistemelor de management şi managementul proceselor de audit; - să aibă calificări/atestări pe standardele menţionate la Capitolul II sau pe standarde
echivalente; - să aibă experienţă în domeniul auditului sistemelor informatice.
- Auditorul desemnat să conducă echipa de audit (auditorul şef) trebuie să îndeplinească în
plus următoarele condiţii: - să fi efectuat cel puţin trei audituri complete în domeniul tehnologiei informaţiei, ca
auditor calificat; - să aibă cunoştinţe şi calităţi de conducere a procesului de audit;
- calităţi personale: capacitatea de a conduce un audit în concordanţă cu procedura de audit,
capacitate organizatorică.
Pentru realizarea auditului, echipa de audit poate fi asistată de experţi, care să aibă şi să
demonstreze cunoştinţe specifice în domeniul de audit: cerinţe şi reglementări legale
referitoare la arhivarea electronică şi centrele de date, evaluarea ameninţărilor,
vulnerabilităţilor şi riscurilor din punct de vedere al securităţii informaţiei pentru solicitanţii
autorizării centrelor de date.
V. Conţinutul documentaţiei de calificare
Documentaţia de calificare trebuie să asigure o descriere corectă şi concisă a îndeplinirii de
către persoana fizică/ persoana juridică a condiţiilor de calificare. Pentru o abordare uniformă
a documentaţiei de calificare şi obţinere a unui grad maxim de comparabilitate, documentaţia
de calificare va fi organizată astfel:
- Pagina de titlu: numele persoanei fizice/ persoanei juridice, adresa, număr telefon, fax.
- Data depunerii documentaţiei de calificare, numele persoanei de contact.
- Cuprins: identificarea clară a textului prin număr de secţiune sau pagină.
- Considerente operaţionale: se va oferi o descriere a companiei, subliniind metodele de
operare, structura operaţională, serviciile oferite. Această descriere trebuie să demonstreze
capacitatea
candidatului de a îndeplini cerinţele de calificare în scopul selecţiei pentru realizarea auditului
în vederea autorizării centrului de date. - Metodologia de lucru (Cap. III lit. a): se va descrie modalitatea de abordare a procesului
de audit în cazul auditului realizat în scopul verificării condiţiilor de autorizare a centrului de
date, conform Legii nr. 135 din 15 mai 2007 privind arhivarea documentelor în formă
electronică, republicată şi a Ordinului ministrului MCSI nr. 489/15.06.2009 privind normele
metodologice de autorizare a centrelor de date, cu modificările ulterioare. - Prezentarea experienţei în domeniu (Cap. III lit. d): se va prezenta un document în care
se va descrie experienţa în efectuarea auditului sistemelor informatice; se va prezenta o listă
de referinţe de la cel puţin trei clienţi către care s-au oferit servicii de audit al sistemelor
informatice, audit al sistemelor de management al securităţii informaţiei. Lista va conţine:
a. Numele clientului.
b. Data la care s-a efectuat auditul
c. Adresa clientului
d. Persoana de contact
e. Numărul de telefon/fax. - Prezentarea CV-urilor personalului care va realiza auditul (Cap. III lit. e): se va face o
prezentare completă din punct de vedere a personalului (experienţă, instruire) care va fi
angrenat în activitatea de audit pentru care se face calificarea. - Descrierea sistemului de management al calităţii (Cap. III lit. c).
- Planificarea activităţii de audit solicitate.
- Declaraţia candidatului (Cap. III lit. f): declaraţia de independenţă a auditorului faţă de
compania şi sistemul care vor fi auditate. - Documente financiare (Cap. III lit. b): se vor prezenta documente oficiale din care să
rezulte cifra de afaceri realizată în ultimii trei ani, cu specificarea sumelor provenite din
activităţi similare celei supuse atenţiei în cerinţele de calificare, acolo unde este cazul. - Semnătura candidatului: în cazul unei persoane juridice, documentaţia de calificare
trebuie semnată de către persoana cu drept de semnătură, cu precizarea în clar a numelui şi
funcţiei deţinute. - Documentaţia de calificare: fiecare pagină va fi numerotată, semnată şi ştampilată, iar
copiile xerox vor avea menţiunea “conform cu originalul”.
