pentru aprobarea Normelor metodologice privind procedurile de lucru, conţinutul raportarilor şi activităţile legate de "Anul 2000"
În temeiul prevederilor art. 6 alin. (3) din Ordonanţa de urgenta a Guvernului nr. 29/1999 privind unele măsuri legate de trecerea la anul 2000 a sistemelor informatice şi a sistemelor electronice microprogramate,Guvernul României hotărăşte: +
Articolul UNICSe aprobă Normele metodologice privind procedurile de lucru, conţinutul raportarilor şi activităţile legate de "Anul 2000", prevăzute în anexa care face parte integrantă din prezenta hotărâre.PRIM-MINISTRURADU VASILEContrasemnează:–––––p. Preşedintele AgenţieiNaţionale pentru Comunicaţiişi Informatica,Dumitru MoinescuMinistrul finanţelor,Decebal Traian Remes +
AnexăNORME METODOLOGICEprivind procedurile de lucru, conţinutul raportarilor şi activităţile legate de "Anul 2000" +
Capitolul 1Dispoziţii generale1.1. Pentru prevenirea disfunctionalitatilor ce pot aparea înainte şi după data de 31 decembrie 1999, ora 24,00, din cauza unor defecte tehnologice legate de reprezentarea digitala a datei calendaristice, care pot fi identificate în sistemele informatice şi în sistemele electronice microprogramate (cu microprocesor incorporat), defecte care pot aduce prejudicii securităţii persoanelor, funcţionarii serviciilor publice, siguranţei naţionale, apărării naţionale, ordinii publice, economiei şi societăţii în ansamblul ei, se va acţiona în următoarele direcţii:a) organizarea de campanii de constientizare a factorilor responsabili, a mass-media şi a cetăţenilor privind problema "Anul 2000"; … b) întocmirea şi aplicarea de planuri de acţiuni pentru remedierea disfunctionalitatilor; … c) întocmirea şi aplicarea de planuri de avarie pentru asigurarea continuităţii activităţii de baza în sectoarele critice, pentru prevenirea unor incidente ce pot decurge din nesoluţionarea problemelor incluse în planurile de acţiuni; … d) adoptarea şi aplicarea unui sistem de urmărire şi monitorizare a stadiului de soluţionare şi a problemelor apărute, referitoare la problema "Anul 2000". … 1.2. Factorii responsabili pentru planificarea şi monitorizarea acţiunii "Anul 2000" sunt ministerele şi organele coordonatoare ale diferitelor domenii de activitate, prevăzute la cap. V. +
Capitolul 2Acţiuni de constientizare2.1. Agenţia Naţionala pentru Comunicaţii şi Informatica, asociaţiile profesionale şi institutele de cercetare din domeniul tehnologiei, informatiei şi comunicaţiilor şi al automatizarilor, în colaborare cu partenerii strategici ai Guvernului României pentru furnizarea de produse şi servicii pentru tehnologia informatiei, vor organiza acţiuni de informare şi sensibilizare, după cum urmează:a) seminarii, cursuri şi mese rotunde cu factorii responsabili din administraţia publică centrala şi locală, regii autonome de interes naţional, instituţii publice şi autorităţi administrative autonome, companii şi societăţi naţionale, agenţi economici; … b) seminarii şi conferinţe de presa cu reprezentanţi ai mass-media; … c) puncte de informare, puncte de acces şi de regasire pe Internet; … d) editarea şi distribuirea, în tiraj de masa, a unui pliant de informare şi constientizare asupra problemei "Anul 2000"; … e) organizarea unei expoziţii cu prezentări de soluţii, studii de caz şi practici utilizate pentru soluţionarea problemei "Anul 2000"; … f) întocmirea unui ghid de recomandări tehnice privind domeniile critice şi riscurile posibile, conducerea proiectelor de soluţionare a problemei "Anul 2000", puncte-cheie şi proceduri recomandate, surse de informare etc. … 2.2. Responsabilii de compartimente/activităţi informatice din cadrul administraţiei publice centrale şi locale, al regiilor autonome de interes naţional, instituţiilor publice şi autorităţilor administrative autonome, companiilor şi societăţilor naţionale, agenţilor economici vor iniţia acţiuni de informare şi sensibilizare a conducerii executive a organizaţiilor respective şi a compartimentelor utilizatoare de tehnologie a informatiei, asupra importantei şi urgenţei soluţionării problemei "Anul 2000". +
Capitolul 3Planificarea şi implementarea acţiunilor pentru soluţionarea problemei "Anul 2000"3.1. Agenţia Naţionala pentru Comunicaţii şi Informatica va transmite, în numele Consiliului Naţional "Mileniul", obligaţiile ce le revin următoarelor structuri:a) ministerelor; … b) agentiilor guvernamentale, inclusiv pentru regiile autonome, societăţile şi companiile naţionale, institutele naţionale de cercetare-dezvoltare din coordonare sau la care reprezintă statul ca acţionar unic; … c) Secretariatului General al Guvernului, pentru aparatul Guvernului şi pentru unităţile subordonate; … d) Parlamentului, pentru secretarii generali ai celor două Camere; … e) Presedentiei, pentru Cancelarie; … f) Departamentului pentru Administraţie Publică Locală, pentru prefecturi, primării, consilii judeţene şi locale, precum şi pentru regiile de interes local din subordine; … g) Fondului Proprietăţii de Stat, pentru toţi agenţii economici la care statul este acţionar, precum şi pentru propriul aparat; … h) Băncii Naţionale a României, pentru bănci şi societăţi de asigurare-reasigurare. … 3.2. Planurile de acţiuni "Anul 2000", întocmite în conformitate cu prevederile Ordonanţei de urgenta a Guvernului nr. 29/1999, vor cuprinde:a) inventarierea şi diagnosticul sistemelor informatice şi ale sistemelor electronice microprogramate (cu microprocesor incorporat); … b) evaluarea riscurilor şi a prioritatilor de remediere; … c) soluţii de adaptare sau de înlocuire a sistemelor în cauza; … d) estimarea resurselor umane şi financiare necesare; … e) graficul pentru implementarea soluţiilor identificate; … f) graficul pentru testarea sistemelor remediate; … g) calendarul de desfăşurare a acţiunilor. … Procedurile şi recomandările metodologice de întocmire şi implementare a planurilor de acţiuni sunt prezentate în anexa nr. 1 la prezentele norme metodologice.Planurile de acţiuni care nu au fost transmise Agenţiei Naţionale pentru Comunicaţii şi Informatica până la data intrării în vigoare a prezentei hotărâri vor fi întocmite în conformitate cu procedurile şi recomandările din anexa nr. 1 la prezentele norme metodologice şi vor fi transmise ministerului/organului coordonator/prefecturii, în vederea formulării unui plan agregat de acţiuni pe domeniu (anexa nr. 3).Aceeaşi obligaţie revine şi persoanelor juridice care au transmis planurile de acţiuni Agenţiei Naţionale pentru Comunicaţii şi Informatica, dar care nu conţin informaţiile în structura şi conţinutul prevăzute în anexa nr. 1 la prezentele norme metodologice. +
Capitolul 4Planuri de avarie pentru asigurarea continuităţii activităţii4.1. Organizaţiile care se încadrează în nivelurile de risc I, II şi III (definite în anexa nr. 1 lit. C) vor întocmi planuri de avarie pentru asigurarea continuităţii activităţii de baza/proceselor vitale în vederea prevenirii unor incidente ce pot decurge din nesoluţionarea sau esecul acţiunilor întreprinse pentru "Anul 2000".4.2. Planurile de avarie vor cuprinde, în principal:a) organizarea echipelor operative, responsabilităţile, procedurile, acţiunile şi resursele necesare pentru asigurarea continuităţii activităţii de baza/proceselor vitale din organizaţie; … b) gradul de restaurare a proceselor (total, parţial, alternative); … c) variante de înlocuire a proceselor automatizate cu proceduri manuale; … d) datele critice şi condiţiile de declansare a procedurilor de urgenta şi de activare a persoanelor responsabile; … e) durata estimată a posibilei stări de criza şi condiţiile de finalizare. … 4.3. Planurile de avarie întocmite de organizaţiile menţionate la pct. 4.1 vor fi înaintate Agenţiei Naţionale pentru Comunicaţii şi Informatica şi vor fi analizate în cadrul grupului de lucru al Consiliului Naţional "Mileniul".4.4. În cadrul grupului de lucru al Consiliului Naţional "Mileniul" se vor face schimburi de informaţii privind stadiul şi conţinutul planurilor de avarie, cu prioritate pentru sistemele de utilităţi publice şi infrastructura (energie electrica, comunicaţii, transporturi, sisteme financiar-bancare, alimentare cu apa, gaze etc.), care creează dependente functionale importante pentru celelalte sisteme. Problemele critice rezultate vor fi prezentate Consiliului Naţional "Mileniul" pentru adoptarea de măsuri corespunzătoare. +
Capitolul 5Sistemul de urmărire şi monitorizare5.1. Toate persoanele juridice utilizatoare de sisteme informatice şi/sau de sisteme electronice microprogramate au obligaţia de a raporta ministerelor/organelor coordonatoare/prefecturilor/consiliilor judeţene stadiul şi acţiunile întreprinse pentru rezolvarea problemei "Anul 2000", pe baza chestionarului din anexa nr. 2.Colectarea informaţiilor, sinteza acestora şi raportarea lor Agenţiei Naţionale pentru Comunicaţii şi Informatica se vor face după cum urmează:a) de către ministere/instituţii centrale coordonatoare de domeniu pentru: … – aparatul propriu (central şi din teritoriu);– regiile autonome de interes naţional;– societăţile şi companiile naţionale;b) de către Banca Naţionala a României, pentru bănci şi societăţi de asigurare; … c) de către prefecturi, pentru aparatul propriu; … d) de către consiliile judeţene, consiliile locale şi consiliile municipale, pentru aparatul propriu. … Regiile autonome de interes local, societăţile comerciale [altele decât cele menţionate la lit. a)] vor raporta ministerelor/instituţiilor centrale coordonatoare de domeniu, prin intermediul prefecturilor în a căror rază teritorială îşi desfăşoară activitatea; prefecturilor le revine numai sarcina de a colecta aceste raportări, pe care le transmit ministerelor/autorităţilor coordonatoare de domeniu, care le vor sintetiza şi le vor raporta Agenţiei Naţionale pentru Comunicaţii şi Informatica.Instituţiile publice şi autorităţile administrative autonome vor raporta direct Agenţiei Naţionale pentru Comunicaţii şi Informatica.5.2. Instituţiile destinatare ale raportarilor menţionate la pct. 5.1 vor întocmi şi vor inainta, pe baza planurilor de acţiuni, conform pct. 3.2, şi a chestionarelor de raportare individuală, rapoarte de sinteza către Consiliul Naţional "Mileniul", prin Agenţia Naţionala pentru Comunicaţii şi Informatica, după cum urmează:a) raport de sinteza privind planurile de acţiuni din domeniul coordonat, conform anexei nr. 3 (integral) până la data de 30 iulie 1999; … b) rapoarte de stadiu privind gradul de îndeplinire şi de finalizare a planurilor de acţiuni, conform pct. 2, 4 şi 7 din anexa nr. 3, la datele de 30 septembrie 1999 şi 15 noiembrie 1999. … +
Anexa 1––-la normele metodologice––––––––PROCEDURI ŞI RECOMANDĂRIde întocmire şi implementare a planurilor de acţiuniA. Formarea structurilor de lucru şi de deciziePrin ordin al conducătorului organizaţiei se constituie structurile de lucru şi de decizie pentru întocmirea planului de acţiuni şi de implementare a soluţiilor necesare pentru soluţionarea problemei "Anul 2000". Din acestea vor face parte:a) reprezentanţi ai conducerii executive; … b) şefi ai compartimentelor utilizatoare de tehnologii ale informatiei şi comunicaţiilor; … c) specialişti în informatica, comunicaţii şi automatizări; … d) reprezentanţi ai compartimentelor comercial, investiţii, juridic, după caz. … Pentru organizaţii mari se pot constitui grupe de lucru distincte pe componente ale structurii organizatorice/geografice sau pe probleme (de exemplu: sisteme informatice, sisteme electronice microprogramate, telecomunicaţii), subordonate unui comitet director central.B. Inventarierea şi diagnosticul sistemelor informatice şi ale sistemelor electronice microprogramate Se vor inventaria în mod distinct:a) sistemele informatice; … b) sistemele electronice microprogramate (cu microprocesor incorporat); … c) interfetele/dependentele externe de alte sisteme. … Pentru sistemele informatice vor fi inventariate, în principal:
|
|
Hardware |
Software |
Aplicaţii |
Baze de date |
|
|
▪ |
Mainframuri |
▪ |
Sisteme de operare |
(în funcţie de specific) |
(în funcţie de specific) |
|
|
▪ |
Servere |
▪ |
Sisteme software de reţea |
|
|
|
|
▪ |
Minicalculatoare |
▪ |
Sisteme de baze de date |
|
|
|
|
▪ |
PC/laptopuri |
▪ |
Procesoare de texte |
|
|
|
|
▪ |
Controler de reţea |
▪ |
Procesoare pentru calcul tabelar (Spreadsheets) |
|
|
|
|
▪ |
Rutere de reţea |
▪ |
……………………. |
|
|
|
|
▪ |
Imprimante |
|
|
|
|
|
|
▪ |
Scannere |
|
|
|
|
|
|
▪ |
Memorii (disc, bandă) |
|
|
|
|
NOTĂ:Pentru fiecare element se recomanda să se specifice, în afară informaţiilor generale de identificare, data achiziţiei, precum şi furnizorul produsului şi al serviciilor suport.Pentru sistemele electronice microprogramate (cu microprocesor incorporat) se vor avea în vedere la inventariere:a) sistemele de conducere a fabricaţiei şi proceselor tehnologice; … b) dispozitivele electronice utilizate în construcţii; … c) dispozitivele electronice utilizate în transporturi; … d) instalaţiile electronice pentru clădiri şi anexe; … e) dispozitivele electronice utilizate în comunicaţii; … f) sistemele de birotica şi echipamente mobile; … g) dispozitivele electronice pentru activităţi bancare; … h) dispozitivele electronice pentru activităţi comerciale; … i) dispozitivele electronice pentru diagnostic şi monitorizare medicală; … j) sistemele generale de testare, monitorizare şi diagnostic (pentru protecţia mediului, energie electrica, climatizare, lifturi şi elevatoare etc.). … NOTĂ:Pentru fiecare element se recomanda să se specifice, în afară informaţiilor generale de identificare, data achiziţiei, precum şi furnizorul produsului şi al serviciilor suport.Sistemele astfel inventariate vor fi diagnosticate şi clasificate în funcţie de importanţa procesului sau a funcţiei pe care o îndeplinesc în cadrul organizaţiei analizate (de exemplu: vitale, importante, marginale).C. Evaluarea riscurilor şi a prioritatilor de remediereÎn ordinea importantei componentelor inventariate se estimeaza:a) cerinţele de conformitate pentru "Anul 2000"; … b) cerinţele tehnice; … c) duratele de remediere; … d) resursele necesare. … Pentru evaluarea riscurilor la nivel naţional sunt avute în vedere următoarele patru niveluri de risc:I – dezastre majore: pierderi de vieţi omeneşti, dezastre economice şi financiare, dezastre ecologice neremediabile, disfunctionalitati masive ale sistemelor strategice (energie, transporturi, alimentare cu apa, comunicaţii etc.);II – ameninţarea vieţii oamenilor, pierderi economice importante, dezastre ecologice remediabile, disfunctionalitati remediabile ale sistemelor strategice;III – ameninţarea proprietăţii, drepturilor şi serviciilor pentru persoanele fizice, pierderi semnificative la nivelul agenţilor economici, accidente ecologice locale, riscuri de erori localizate în funcţionarea sistemelor strategice;IV – mici riscuri pentru proprietatea, drepturile şi serviciile pentru persoanele fizice, pierderi economice neglijabile pentru agenţii economici, mediul şi sistemele strategice neafectate.Pe aceasta baza pot fi identificate şi definite niveluri de risc locale, specifice organizaţiei.Cu cat nivelul de risc este mai ridicat, cu atât prioritatea soluţionării este mai mare.D. Soluţii de adaptare sau înlocuire a sistemelor în cauzaÎn funcţie de rezultatele fazelor anterioare cuprinse la lit. B şi C se pot aplica diferite strategii alternative sau o combinaţie a acestora:a) adaptarea – menţinerea în funcţiune a sistemului, fără modificarea iesirilor şi a funcţiunilor aplicatiilor, cu unele corectii/adaptari software privind tratarea datei calendaristice; … b) înlocuirea – înlocuirea unor componente hardware şi/sau software, care asigura conformitatea cu "Anul 2000", sau înlocuirea completa a sistemului (în cazul sistemelor cu microprocesor incorporat pentru care nu se pot rezolva în timp util operaţiuni de adaptare sau înlocuire de componente); … c) retragerea – scoaterea din funcţiune a componentelor care nu prezintă garanţii de conformitate cu "Anul 2000" şi care, totodată, nu sunt vitale, sunt redundante sau sunt slab utilizate în organizaţie; … d) by-pass – suntarea temporară a acelor componente şi/sau subsisteme care nu prezintă garanţii de conformitate cu "Anul 2000", care nu sunt vitale, urmând a fi rezolvate într-un timp determinat, după 31 decembrie 1999. … E. Testarea sau validarea (după efectuarea remedierilor)Se vor aplica strategii de testare/validare distincte pentru:a) sistemele informatice; … b) sistemele microprogramate (cu microprocesor incorporat); … c) dependentele externe de alte sisteme; … d) planul de avarie. … Se vor avea în vedere următoarele măsuri:a) întocmirea planului de testare/validare în paralel cu operaţiunile de remediere; … b) participarea la teste a utilizatorilor finali; … c) constituirea de platforme speciale de testare; … d) implicarea directa a furnizorilor sau a unor consultanţi, în special pentru sistemele microprogramate; … e) validarea acţiunilor prevăzute în planul de avarie. … F. ImplementareaSe recomanda să se realizeze în următoarea ordine: hardware, software, reţele, schimburi de date interne şi externe, transferul de date de la/la dispozitivele de control, sisteme microprogramate, urmărindu-se în mod deosebit interdependentele dintre acestea.Ordinea de implementare trebuie să ţină seama de gradul de criticitate a sistemelor respective.G. Planificarea resurselor, calendarul acţiunilorPentru evaluarea resurselor umane şi financiare necesare vor fi avute în vedere, în principal, următoarele activităţi şi surse de cheltuieli:a) contracte de consultanţa sau de servicii; … b) întocmirea şi derularea planului de acţiuni, pe faze; … c) întocmirea planului de avarie; … d) achiziţii de hardware/software pentru remedieri; … e) plata unor posibile daune către terţe părţi (clienţi, furnizori etc.); … f) asigurări. … Se recomanda următoarea alocare de resursa-timp pe faze:
|
|
|
– |
sensibilizare, pregătire |
– |
1%; |
|
|
|
– |
inventariere, evaluare |
– |
25%; |
|
|
|
– |
remediere |
– |
20%; |
|
|
|
– |
validare, testare |
– |
45%; |
|
|
|
– |
implementare |
– |
9%. |
H. Evaluarea finala (certificare, raportare finala, stabilirea gradului de expunere etc.):a) stabilirea unui termen limita de îndeplinire a planului; … b) stabilirea unei proceduri de certificare a asigurării compatibilitatii, în funcţie de nivelul de risc; aceasta poate consta în: … – declaraţie pe propria răspundere;– certificare de către o organizaţie independenta de specialitate, cu competente dovedite/referinţe. +
Anexa 2––-la normele metodologice–––––––– CHESTIONAR de raportare individuală
|
|
|
|
|
|
|
|
|
Organizarea acţiunii, management |
Da |
În curs |
Nu |
|
|
A1. |
Au fost organizate structuri de lucru şi de decizie pentru soluţionarea problemei "Anul 2000" |
|
|
|
|
|
A2. |
Conducerea executivă a numit o persoană responsabilă |
|
|
|
|
|
A3. |
S-a întocmit un plan de acţiuni |
|
|
|
|
|
A4. |
S-a întocmit un plan de avarie (acolo unde este cazul) |
|
|
|
|
|
A5. |
Există un sistem de urmărire la nivelul conducerii executive |
|
|
|
|
|
A6. |
Au fost alocate resursele umane şi financiare necesare |
|
|
|
|
|
|
Evaluarea riscurilor şi a priorităţilor |
|
|
|
|
|
B1. |
S-au evaluat activităţile/procesele vitale afectate |
|
|
|
|
|
B2. |
S-au evaluat riscurile |
|
|
|
|
|
B3. |
S-au evaluat priorităţile |
|
|
|
|
|
|
Remedieri |
|
|
|
|
|
C1. |
Soluţii de adaptare |
|
|
|
|
|
C2. |
Soluţii de înlocuire a unor componente |
|
|
|
|
|
C3. |
Soluţii de înlocuire a sistemelor |
|
|
|
|
|
C4. |
Soluţii de retragere |
|
|
|
|
|
C5. |
By-pass |
|
|
|
|
|
|
Testare, validare, implementare |
|
|
|
|
|
D1. |
A fost testat sistemul informatic |
|
|
|
|
|
D2. |
A(u) fost testat(e) sistemul(ele) microprogramat(e) |
|
|
|
|
|
D3. |
Au fost testate dependenţele externe de alte sisteme |
|
|
|
|
|
D4. |
A fost validat planul de avarie (acolo unde este cazul) |
|
|
|
|
|
D5. |
Au fost implementate sistemele remediate |
|
|
|
|
|
|
|
|
|
Partea a II-a |
|
|
1. În ce nivel de risc consideraţi că se încadrează organizaţia dumneavoastră, în cazul nesoluţionării problemei "Anul 2000"? |
|
|
|
I. ………………………………………….. |
|
|
|
II. ………………………………………….. |
|
|
|
III. ………………………………………….. |
|
|
|
IV. ………………………………………….. |
|
|
2. Specificaţi persoana responsabilă cu problema "Anul 2000" din organizaţia dumneavoastră. |
+
Anexa 3––-la normele metodologice––––––––Raport de sinteza privind planurile de acţiuni din domeniul coordonat/Raport de stadiu1. Modul de organizare şi monitorizare a acţiunii în cadrul ministerului/organului coordonator al sectorului:a) acţiuni de constientizare; … b) formarea structurilor de lucru şi de decizie; … c) sistem propriu de urmărire şi de raportare. … 2. Stadiul derulării acţiunilor în cadrul unităţilor pe care le coordonează/subordonează, pe faze:a) inventariere, evaluare; … b) remediere; … c) validare, testare; … d) implementare. … 3. Activităţi/procese vitale dependente de "Anul 2000" pentru sectorul de activitate coordonat4. Volumul resurselor umane şi financiare alocate, gradul de acoperire, surse suplimentare propuse5. Relaţii cu organizaţii internaţionale şi cu alte tari pentru soluţionarea problemei "Anul 2000"6. Cerinţe speciale pentru alte sectoare de activitate de care este dependent, pentru soluţionarea problemei7. Aprecieri globale asupra conformitatii soluţiilor, gradului de risc.Ministru/Conducătorul organului coordonator––––
