Anexa 3 - Indicatori de raportare electronică anuală. - NORMĂ nr. 6/2015 - gestionarea riscurilor operaţionale generate de sistemele informatice utilizate de entităţile reglementate, autorizate/avizate şi/sau supravegheate de Autoritatea de Supraveghere Financiară

Obiectiv în perioada de raportare

Indicator

1

2

Indicatori referitori la accesarea online a serviciilor oferite de entitate

Număr de clienți (total utilizatori) care accesează serviciile online oferite de entitate

Indicatori referitori la persoanele care pot să efectueze modificări ale sistemelor/programelor informatice importante

Număr de persoane (total utilizatori) care au acces direct la bazele de date ale entității (referitor la portofolii, tranzacții și active) cu drepturi de modificare asupra acestora, rol de administrator sau privilegii echivalente

Număr de persoane (total utilizatori) care au drepturi de modificare asupra programelor informatice importante ale entității (programe informatice interne/externe/online accesate via internet)

Indicatori referitori la principiul dublei validări prin operațiuni în sistemele informatice importante

Număr de operațiuni INIȚIATE care presupun dubla validare

Număr de operațiuni CONFIRMATE care presupun dubla validare

Număr de operațiuni ANULATE care presupun dubla validare

Indicatori referitori la accesul la sistemele informatice importante

Număr de persoane (total utilizatori) care au acces la sistemele informatice importante care conțin informații referitoare la portofolii, tranzacții și active

Număr administratori de sistem (total utilizatori) care au acces la credențialele conturilor de acces ale clienților

Indicatori referitori la incidente interne de securitate informatică, declarate

Număr total incidente interne de securitate informatică

Număr total incidente informatice externe

Număr încălcări politică și proceduri securitate

Număr pierderi date generate de acțiuni neaprobate

Număr incidente declarate aferente pierderii de date (date electronice)

Număr de incidente declarate care au dus la distrugere accidentală sau intenționată de documente/înregistrări/fișiere

Număr de incidente declarate de încălcare gravă a regulilor/fraude/înșelătorii

Număr incidente declarate de distrugere în centrul de date

Număr mediu de zile de la identificarea unui incident de securitate până la rezolvarea acestuia

Niveluri servicii agreate interne și pentru clienți

Număr ore de indisponibilitate neprogramată a sistemelor informatice importante la care au acces clienții (precum, dar nelimitat la aplicații de tranzacționare online, aplicații online pentru subscrierea de polițe de asigurare)

Număr de ore de indisponibilitate neprogramată a serviciilor IT externalizate care afectează serviciile oferite către clienții entităților

Management schimbări

Numărul programelor informatice importante

Numărul de modificări aduse programelor informatice importante

Număr erori în exploatare generate de deficiențe în proiectarea sistemelor informatice importante

Număr erori în exploatare neidentificate în testarea sistemelor informatice importantes

Indicatori managementul continuității

Număr de teste efectuate conform planului de continuitate a afacerii

Număr de teste efectuate conform planului de recuperare în caz de dezastru

Audituri și testări

Număr de audituri interne anuale