Timp de lucru: 135 minute
- 15 minute Introducere
- 30 minute lucru pe echipe
- 60 minute prezentările soluțiilor echipelor (5 minute/echipă)
- 30 minute discuții finale.
Număr de participanți: 36 (12 echipe, 3 persoane/echipă).
Scopul exercițiului: identificarea testelor de conformitate și a testelor de fond aplicabile controalelor din Normele tehnice privind cerințele minime de asigurare a securității rețelelor și sistemelor informatice aplicabile operatorilor de servicii esențiale
Cunostinte minime pentru participare:
Note:
- Va rugam sa va inscrieti doar daca aveti disponibilitate pe tot parcursul workshopului; doar astfel vom putea coordona in mod eficient grupurile de lucru;
- Recomandam acest workshop celor ce activeaza in industriile sub incidenta NIS sau a celor colaterale (de ex consultanta).
Modul de desfasurare:
Participanții se vor grupa în echipe de cîte 3 persoane și vor lucra independent, fiecare echipă într-o cameră virtuală separată.
Fiecare echipă trage la sorți 3 controale din Anexa la Normele tehnice privind cerințele minime de asigurare a securității rețelelor și sistemelor informatice aplicabile operatorilor de servicii esențiale.
Pentru fiecare din cele 3 controale se completează o foaie/program de lucru (vezi exemplul de mai jos) în care se menționează:
- Testul/testele de conformitate („compliance„) realizate
- Testul/testele de fond („substantive„) realizate
|
Foaie de lucru nr. 1
|
Pagina
|
1
|
|
Organizație
|
SC Gogoașa veselă SRL
|
Departament
|
Risc și conformitate
|
Data
|
08.03.2021
|
|
Domeniu
|
Guvernanță (A)
|
Auditor:
|
Gigel Popescu
|
Auditor Șef
|
Joe Doe
|
|
Categoria de activitate: Managementul securității informației (A1)
|
Măsura de securitate
|
Test de conformitate
|
Teste de fond
|
|
Cerința de Securitate/Control: 1. Analizarea și evaluarea riscurilor (A11)
|
|
A111- Analiza riscurilor de securitate
|
OSE efectuează și actualizează periodic o analiză a riscurilor de securitatea rețelelor și sistemelor informatice care asigură furnizarea serviciilor esențiale identificînd sistemele/echipamentele informatice critice care stau la baza furnizării serviciului esential și principalele riscuri
|
ARNIS – documentul Analiza riscurilor de securitate a rețelelor și sistemelor informatice critice identifică elementele critice care stau la baza furnizării serviciului esențial. Sînt identificate riscurile și modul de gestionare și diminuare.
|
Din Registrul riscurilor (care trebuie să existe în Analiză) se selectează aleator un risc și controlul/măsura menționată. Se verifică existența reală a măsurii/controlului și a modului de funcționare (dacă de exemplu se menționează o soluție DRP/EDR etc se selectează o stație de lucru dacă este de tip client/agent sau serverul/appliance
|
|
REZULTAT TEST ȘI DOVEZI:
|
|
|
|
A......
|
......
|
......
|
.....
|
|
Rezultat: ✔ = Control documentat corespunzător ? = Control care nu a trecut un test 🗶 = Lipsă referințe/probe documentare
|