Prezenta politică stabilește cerințele minime de securitate cibernetică pentru toți angajații, colaboratorii și voluntarii organizației care utilizează sisteme informatice, rețele sau date ale organizației, indiferent de locul de muncă.
Politica se aplică tuturor dispozitivelor, conturilor, sistemelor și datelor deținute sau administrate de organizație.
2. Roluri și responsabilități
Rol
Persoana desemnată
Responsabilități principale
Responsabil Securitate (RSC)
Coordonare politică, răspuns la incidente, raportare CERT-MD
Toate parolele conturilor organizaționale trebuie să aibă minim 12 caractere și să includă litere mari, mici, cifre și caractere speciale
Fiecare cont trebuie să aibă o parolă unică — reutilizarea parolelor este interzisă
Autentificarea în doi pași (MFA) este obligatorie pe toate conturile de email și sistemele critice
Utilizarea unui manager de parole aprobat de organizație este obligatorie
Parolele nu se comunică nimănui — nici IT-ului, nici conducerii
La plecarea unui angajat, toate parolele accesate de acesta se schimbă în ziua plecării
4. Utilizarea dispozitivelor și rețelelor
Calculatoarele de serviciu se blochează la fiecare absentare de la birou (Win+L / Cmd+Ctrl+Q)
Nu se conectează USB-uri necunoscute sau primite de la surse nesigure
Accesul la sisteme interne de pe rețele Wi-Fi publice este permis numai prin VPN
Calculatoarele de serviciu nu se împrumută membrilor familiei sau altor persoane
Actualizările automate de sistem și antivirus trebuie să fie active pe toate dispozitivele
5. Gestionarea datelor
Accesul la date se acordă pe principiul necesității (need-to-know) — fiecare angajat are acces doar la datele necesare rolului său
Datele personale ale beneficiarilor se prelucrează conform Legii 133/2011 și GDPR
Backup-ul datelor organizației se realizează conform regulii 3-2-1 (3 copii, 2 medii, 1 offline)
Documentele fizice cu date confidențiale se distrug prin tocare — nu se aruncă la coș întregi
6. Utilizarea instrumentelor AI
Se utilizează exclusiv instrumentele AI aprobate de organizație (lista disponibilă la RSC)
Este interzisă introducerea în AI extern a datelor personale, financiare, juridice sau confidențiale
Orice output AI folosit în documente oficiale trebuie verificat și asumat de autor
Versiunile gratuite ale instrumentelor AI (ChatGPT free, Gemini free) sunt interzise pentru date organizaționale
7. Răspuns la incidente
Orice incident sau comportament suspect se raportează imediat RSC-ului conform Playbook-ului de Răspuns la Incidente (document D03). Termenul de notificare internă: maxim 1 oră de la detectare. Termenul ANDPDCP (date personale): 72 ore.
8. Formare obligatorie
Training complet de securitate cibernetică — minim o dată pe an pentru toți angajații
Simulare phishing — minim de două ori pe an
Training de securitate la onboarding — obligatoriu pentru angajații noi înainte de primul acces la sisteme
9. Consecințele nerespectării politicii
Nerespectarea intenționată sau neglijentă a prezentei politici poate atrage sancțiuni disciplinare conform Regulamentului Intern, inclusiv avertisment, reducerea salariului sau desfacerea contractului de muncă, fără a exclude răspunderea civilă sau penală.
10. Revizuire
Politica se revizuiește anual sau după orice incident de securitate semnificativ. Versiunea actualizată înlocuiește toate versiunile anterioare.