ORDIN nr. 585 din 9 mai 2011 pentru completarea Ordinului ministrului comunicaţiilor şi societăţii informaţionale nr. 489/2009 privind normele metodologice de autorizare a centrelor de date
EMITENT MINISTERUL COMUNICAŢIILOR ŞI SOCIETĂŢII INFORMAŢIONALE
Publicat în MONITORUL OFICIAL nr. 544 din 1 august 2011
În temeiul art. 4 alin. (1) pct. 58 şi al art. 6 alin. (6) din Hotărârea Guvernului nr. 12/2009 privind organizarea şi funcţionarea Ministerului Comunicaţiilor şi Societăţii Informaţionale, cu modificările şi completările ulterioare, precum şi al art. 17 alin. (2) şi art. 27 alin. (1) din Legea nr. 135/2007 privind arhivarea documentelor în formă electronică, Ministrul Comunicaţiilor şi Societăţii Informaţionale emite prezentul ordin.
EMITENT MINISTERUL COMUNICAŢIILOR ŞI SOCIETĂŢII INFORMAŢIONALE
Publicat în MONITORUL OFICIAL nr. 544 din 1 august 2011
În temeiul art. 4 alin. (1) pct. 58 şi al art. 6 alin. (6) din Hotărârea Guvernului nr. 12/2009 privind organizarea şi funcţionarea Ministerului Comunicaţiilor şi Societăţii Informaţionale, cu modificările şi completările ulterioare, precum şi al art. 17 alin. (2) şi art. 27 alin. (1) din Legea nr. 135/2007 privind arhivarea documentelor în formă electronică, Ministrul Comunicaţiilor şi Societăţii Informaţionale emite prezentul ordin.
Art 1
Ordinul Ministrului Comunicaţiilor şi Societăţii Informaţionale nr. 489/2009 privind normele metodologice de autorizare a centrelor de date, publicat în Monitorul Oficial al României, Partea I, nr. 435 din 25 iunie 2009, se completează după cum urmează:
1. La articolul 5, după alineatul (2) se introduc două noi alineate, alineatele (3) şi (4), cu următorul cuprins: "(3) Verificările se fac atât asupra declaraţiilor conţinute în documentaţia depusă la autoritate, cât şi asupra concordanţei dintre sistemele, procedurile şi practicile afirmate şi cele existente în realitate.
(4) Auditul pentru autorizare este realizat de autoritate sau de o terţă parte numită de aceasta, conform normelor europene pentru acest gen de activitate, prin parcurgerea procedurii de autorizare a centrului de date prevăzută în anexa nr. 3."
2. După anexa nr. 2 se introduce o nouă anexă, anexa nr. 3, al cărei conţinut este prevăzut în anexa care face parte integrantă din prezentul ordin.
1. La articolul 5, după alineatul (2) se introduc două noi alineate, alineatele (3) şi (4), cu următorul cuprins: "(3) Verificările se fac atât asupra declaraţiilor conţinute în documentaţia depusă la autoritate, cât şi asupra concordanţei dintre sistemele, procedurile şi practicile afirmate şi cele existente în realitate.
(4) Auditul pentru autorizare este realizat de autoritate sau de o terţă parte numită de aceasta, conform normelor europene pentru acest gen de activitate, prin parcurgerea procedurii de autorizare a centrului de date prevăzută în anexa nr. 3."
2. După anexa nr. 2 se introduce o nouă anexă, anexa nr. 3, al cărei conţinut este prevăzut în anexa care face parte integrantă din prezentul ordin.
Art 2 - Anexa nr. 3
Anexa
─────
(Anexa nr. 3 la Ordinul nr. 489/2009)
─────────────────────────────────────
PROCEDURA de autorizare a centrului de date
Articolul 1
1. Numirea auditorului se face în urma unui proces de calificare, pe baza criteriilor stabilite de către autoritate şi în urma selecţiei acestuia dintre candidaţii calificaţi.
2. În acest scop autoritatea va face public anunţul de selecţie odată cu punerea la dispoziţia oricărei părţi interesate, contra cost, a condiţiilor de calificare. Anunţul va cuprinde inclusiv data-limită de depunere a documentaţiei de calificare.
Articolul 2
Orice persoană juridică care a intrat în posesia condiţiilor de calificare prevăzute la art. 1 alin. (2) poate participa la procesul de calificare.
Articolul 3
Autoritatea verifică documentele de calificare din partea candidaţilor şi respectarea criteriilor stabilite.
Articolul 4
În termen de 30 de zile de la data primirii cererii pentru începerea procedurii de autorizare, autoritatea întocmeşte şi comunică solicitantului autorizării centrului de date lista candidaţilor calificaţi.
Articolul 5
Solicitantul autorizării centrului de date selectează dintre candidaţii calificaţi auditorul care va fi numit de către autoritate pentru efectuarea auditului de autorizare.
Articolul 6
În urma selecţiei efectuate de către solicitantul autorizării centrului de date, autoritatea emite decizia de numire a auditorului. Numirea auditorului se face prin ordin al ministrului comunicaţiilor şi societăţii informaţionale.
Articolul 7
Auditul se realizează pe cheltuiala solicitantului autorizării centrului de date.
Articolul 8
Pe perioada efectuării auditului, autoritatea poate solicita orice documente referitoare la activitatea solicitantului autorizării centrului de date şi poate desemna personal propriu pentru a participa la procesul de audit.
Articolul 9
1. Rezultatul auditului efectuat asupra activităţii furnizorului de servicii de certificare va fi prezentat sub forma unui raport de audit însoţit de opinia de audit.
2. Autoritatea îşi rezervă dreptul de a respinge cererea de autorizare în urma analizei raportului de audit, precum şi în cazul unei opinii de audit exprimate cu rezerve.
3. În cazul unor observaţii referitoare la raportul de audit prezentat, autoritatea are obligaţia comunicării acestora atât furnizorului de servicii de certificare, cât şi auditorului, în termen de 5 zile de la prezentarea raportului.
Articolul 10
Pentru cazurile în care centrul de date este situat în afara ţării, auditarea sistemului se face prin una din următoarele metode:
a) auditorul român va audita sistemele din străinătate;
b) auditorul român agreează auditarea sistemului din străinătate de către personal cu calificare similară din acea ţară;
c) auditorul român îşi va baza atestatul pe documente/atestate emise în ţara în care rulează sistemul şi care au un grad de asigurare corespunzător.
Articolul 11
Întreaga documentaţie legată de procedura de autorizare este întocmită în limba română.
__________
─────
(Anexa nr. 3 la Ordinul nr. 489/2009)
─────────────────────────────────────
PROCEDURA de autorizare a centrului de date
Articolul 1
1. Numirea auditorului se face în urma unui proces de calificare, pe baza criteriilor stabilite de către autoritate şi în urma selecţiei acestuia dintre candidaţii calificaţi.
2. În acest scop autoritatea va face public anunţul de selecţie odată cu punerea la dispoziţia oricărei părţi interesate, contra cost, a condiţiilor de calificare. Anunţul va cuprinde inclusiv data-limită de depunere a documentaţiei de calificare.
Articolul 2
Orice persoană juridică care a intrat în posesia condiţiilor de calificare prevăzute la art. 1 alin. (2) poate participa la procesul de calificare.
Articolul 3
Autoritatea verifică documentele de calificare din partea candidaţilor şi respectarea criteriilor stabilite.
Articolul 4
În termen de 30 de zile de la data primirii cererii pentru începerea procedurii de autorizare, autoritatea întocmeşte şi comunică solicitantului autorizării centrului de date lista candidaţilor calificaţi.
Articolul 5
Solicitantul autorizării centrului de date selectează dintre candidaţii calificaţi auditorul care va fi numit de către autoritate pentru efectuarea auditului de autorizare.
Articolul 6
În urma selecţiei efectuate de către solicitantul autorizării centrului de date, autoritatea emite decizia de numire a auditorului. Numirea auditorului se face prin ordin al ministrului comunicaţiilor şi societăţii informaţionale.
Articolul 7
Auditul se realizează pe cheltuiala solicitantului autorizării centrului de date.
Articolul 8
Pe perioada efectuării auditului, autoritatea poate solicita orice documente referitoare la activitatea solicitantului autorizării centrului de date şi poate desemna personal propriu pentru a participa la procesul de audit.
Articolul 9
1. Rezultatul auditului efectuat asupra activităţii furnizorului de servicii de certificare va fi prezentat sub forma unui raport de audit însoţit de opinia de audit.
2. Autoritatea îşi rezervă dreptul de a respinge cererea de autorizare în urma analizei raportului de audit, precum şi în cazul unei opinii de audit exprimate cu rezerve.
3. În cazul unor observaţii referitoare la raportul de audit prezentat, autoritatea are obligaţia comunicării acestora atât furnizorului de servicii de certificare, cât şi auditorului, în termen de 5 zile de la prezentarea raportului.
Articolul 10
Pentru cazurile în care centrul de date este situat în afara ţării, auditarea sistemului se face prin una din următoarele metode:
a) auditorul român va audita sistemele din străinătate;
b) auditorul român agreează auditarea sistemului din străinătate de către personal cu calificare similară din acea ţară;
c) auditorul român îşi va baza atestatul pe documente/atestate emise în ţara în care rulează sistemul şi care au un grad de asigurare corespunzător.
Articolul 11
Întreaga documentaţie legată de procedura de autorizare este întocmită în limba română.
__________