Skip to main content

Információ bisztonsági szabályzat

Az Informatikai Biztonsági Szabályzat célja, információbiztonsági politika

Cél:

Famex Tools Kft. (a továbbiakban: „Cég”) informatikai biztonsági politikájának célja, hogy biztosítsa az informatikai rendszerek, adatok és az ügyfelek információinak védelmét. Ez a politika az ügyfelek, a vállalat és a munkatársak érdekeinek védelmét szolgálja, és az alkalmazandó jogszabályoknak és szabályozásoknak való megfelelést támogatja.

Alapelv:

1.       Adatvédelem: A Cég kötelezettséget vállal az ügyfelek és a munkatársak személyes adatainak védelmére, és szigorúan betartja az adatvédelmi szabályozásokat.

2.       Hozzáférési ellenőrzés: Az informatikai rendszerekhez való hozzáférés csak az arra jogosult munkatársaknak biztosított hitelesítő adatokkal és megfelelő jogosultságokkal lehetséges.

3.       Veszélyek és fenyegetések felismerése: A Cég rendszeresen értékeli az informatikai környezetben fennálló veszélyeket és fenyegetéseket, és megfelelő intézkedéseket tesz azok minimalizálására vagy megszüntetésére.

4.       Folyamatos felügyelet és ellenőrzés: Az informatikai rendszereket rendszeresen monitorozzuk és ellenőrizzük annak érdekében, hogy azok megfelelő védelmi szinten legyenek.

5.       Vészhelyzeti tervek: A Cég rendelkezik vészhelyzeti tervekkel, melyek nem várt események esetén biztosítják a zavartalan és biztonságos működést.

6.       Információbiztonság irányítási rendszer: Kidolgoztuk, rendszeresen felülvizsgáljuk és szükség szerint módosítjuk, a Cég tevékenységéhez kapcsolódó információbiztonsági tevékenységeinket szabályozó dokumentumokat, melyekben meghatározásra kerültek a felelősségek, valamint végrehajtási, ellenőrzési feladatok.

Minden munkatársnak kötelessége betartani az informatikai biztonsági irányelveket.

Az Informatikai Biztonsági Politika minden munkatársra és közvetlenül szolgáltatásainkban érintett félre vonatkozik, akik kötelesek betartani és támogatni annak végrehajtását.

Az Informatikai Biztonsági Szabályzat hatálya

Személyi hatálya

Az IBSZ személyi hatálya a vállalat valamennyi fő- és részfoglalkozású vagy megbízott dolgozójára, illetve az informatikai eljárásban résztvevő más vállalatok / szervezetek dolgozóira egyaránt kiterjed.

Tárgyi hatálya

  • kiterjed a védelmet élvező adatok teljes körére, felmerülésük és feldolgozási helyüktől, idejüktől és az adatok fizikai megjelenési formájuktól függetlenül,
  • kiterjed a vállalat tulajdonában lévő, illetve az általa bérelt valamennyi informatikai berendezésre, valamint a gépek műszaki dokumentációira is,
  • kiterjed az informatikai folyamatban szereplő összes dokumentációra (fejlesztési, szervezési, programozási, üzemeltetési),
  • kiterjed a rendszer- és felhasználói programokra,
  • kiterjed az adatok felhasználására vonatkozó utasításokra,
  • kiterjed az adathordozók tárolására, felhasználására.
  • kiterjed a távoli munkavállalók által használt saját munkaeszközökre munkavégzés céljából
  • A Szabályzatban foglaltak az Famex Tools Kft minden telephelyének vonatkozásában, a helyi sajátosságok figyelembevételével, értelemszerűen alkalmazandó.

A vállalat által használt programok a GLPI eszközkezelő rendszerünkben találhatók.

Az adatkezelés során használt fontosabb fogalmak

érintett: bármely meghatározott, személyes adat alapján azonosított vagy - közvetlenül vagy közvetve - azonosítható természetes személy;

személyes adat: az érintettel kapcsolatba hozható adat - különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból levonható, az érintettre vonatkozó következtetés;

adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajttatja;

adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők rögzítése;

adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;

nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele;

adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges;

adatmegjelölés: az adat azonosító jelzéssel ellátása annak megkülönböztetése céljából;

adatzárolás: az adat azonosító jelzéssel ellátása további kezelésének végleges vagy meghatározott időre történő korlátozása céljából;

adatmegsemmisítés: az adatokat tartalmazó adathordozó teljes fizikai megsemmisítése;

adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve, hogy a technikai feladatot az adatokon végzik;

adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely az adatkezelővel kötött szerződése alapján - beleértve a jogszabály rendelkezése alapján történő szerződéskötést is - adatok feldolgozását végzi;

adatállomány: az egy nyilvántartásban kezelt adatok összessége.

vagyonelem: vagyonelemnek tekinthető a rendelkezésre álló erőforrás vagy képesség. A Szolgáltató cég () vagyonelemei közé sorolható minden olyan elem, amely hozzájárul az adott szolgáltatás vagy termék rendelkezésre állásához.

A vagyonelemek a következő kategóriák szerint oszlanak el: üzleti folyamatok, információ, tőke, HW/SW-, hálózati-, humán erőforrás-, ingatlan-, kommunikációs-, közművek és egyéb szolgáltatási vagyonelemek.

fix vagyonelem: Olyan megfogható vagyonelem, amelynek hosszútávú felhasználásra alkalmas (pl. épület, iroda, földterület, hardverek, szoftver licenszek).

vagyonelem jegyzék: A fix vagyonelemek listája, amely nyilvántartja a vagyonelemek értékét és tulajdonosait.

információbiztonsági incidens: Olyan esemény, amely veszélyezteti az információk bizalmasságát, integritását vagy elérhetőségét.

érintett személy: Az incidens által érintett alkalmazott vagy felhasználó.

zavar: Olyan esemény vagy körülmény, amely potenciálisan vagy ténylegesen veszélyezteti az információk bizalmasságát, integritását vagy elérhetőségét

Kapcsolódó szabályozások

Az Informatikai Biztonsági Szabályzatot az alábbiakban felsorolt előírásokkal összhangban kell alkalmazni:

  • Szervezeti és Működési Szabályzat,
  • Leltárkészítési és leltározási szabályzat (ha van ilyen),
  • Kockázatkezelési Szabályzat,
  • Vagyonleltár és a hozzákapcsolódó felelősségkörök,
  • Vírusvédelmi Szabályzat.
  • Felhasználói hozzáférés szabályozások

Védelmet igénylő, az informatikai rendszerre ható elemek

Az informatikai rendszer egymással szervesen együttműködő és kölcsönhatásban lévő elemei határozzák meg a biztonsági szempontokat és védelmi intézkedéseket.

Az informatikai rendszerre az alábbi tényezők hatnak:

  • a környezeti infrastruktúra,
  • a hardver elemek,
  • az adathordozók,
  • a dokumentumok,
  • a szoftver elemek,
  • az adatok,
  • a rendszerelemekkel kapcsolatba kerülő személyek.

A védelem tárgya

A védelmi intézkedések kiterjednek:

  • a rendszer elemeinek elhelyezésére szolgáló helyiségekre,
  • az alkalmazott hardver eszközökre és azok működési biztonságára,
  • az informatikai eszközök üzemeltetéséhez szükséges okmányokra és dokumentációkra,
  • az adatokra és adathordozókra, a megsemmisítésükig, illetve a törlésre szánt adatok felhasználásáig,
  • az adatfeldolgozó programrendszerekre, valamint a feldolgozást támogató rendszer szoftverek tartalmi és logikai egységére, előírásszerű felhasználására, reprodukálhatóságára,
  • a személyhez fűződő és vagyoni jogokra.

A védelem eszközei

A mindenkori technikai fejlettségnek megfelelő műszaki, szervezeti, programozási, jogi intézkedések azok az eszközök, amelyek a védelem tárgyának különböző veszélyforrásokból származó kárt okozó hatásokkal, szándékokkal szembeni megóvását elősegítik, illetve biztosítják.

A védelem felelőse

A védelem felelőse az IT csapat. Az IT csapatba tartozik a: Rendszergazda

A jelen szabályzatban foglaltak szakszerű végrehajtásáról az IT csapatnak kell gondoskodnia.

rendszergazda feladatai

  • ellátja az adatfeldolgozás felügyeletét,
  • ellenőrzi a védelmi előírások betartását,
  • kialakítja a védelmi eszközök alkalmazására vonatkozó döntés elkészítése érdekében a szakterületek bevonásával a biztonságot növelő intézkedéseket,
  • felelős az informatikai rendszerek üzembiztonságáért, biztonsági másolatok készítéséért és karbantartásáért
  • gondoskodik a rendszer kritikus részeinek újraindíthatóságáról, illetve az újra indításhoz szükséges paraméterek reprodukálhatóságáról,
  • feladata a védelmi eszközök működésének, szerviz ellátás biztosításának folyamatos ellenőrzése,
  • az adatvédelmi tevékenységet segítő nyilvántartási rendszer kialakítása,
  • a Szervezeti és Működési Szabályzat adatvédelmi szempontból való véleményezése,
  • az adatvédelmi feladatok ismertetése, oktatása,
  • a védelmi rendszer érvényesülésének ellenőrzése,
  • felelős a vállalat informatikai rendszere hardver eszközeinek karbantartásáért, és időszakos hardver tesztjeiért,
  • ellenőrzi a vásárolt szoftverek helyes működését, vírusmentességét, a használat jogszerűségét,
  • a vírusvédelemmel foglalkozó szervezetekkel kapcsolatot tart,
  • a vírusfertőzés gyanúja esetén gondoskodik a fertőzött rendszerek izolálásáról,
  • folyamatosan figyelemmel kíséri és vizsgálja a rendszer működésére és biztonsága szempontjából a lényeges paraméterek alakulását,
  • ellenőrzi a rendszer önadminisztrációját,
  • javaslatot tesz a rendszer szűk keresztmetszeteinek felszámolására,
  • tevékenységéről rendszeresen beszámol a cégvezetésnek.

A rendszergazda ellenőri feladatai

  • évente egy alkalommal részletesen ellenőrzi az IBSZ előírásainak betartását,
  • rendszeresen ellenőrzi a védelmi eszközökkel való ellátottságot,
  • előzetes bejelentési kötelezettség nélkül ellenőrzi az informatikai munkafolyamat bármely részét.

A rendszergazda jogai

       az előírások ellen vétőkkel szemben felelősségre vonási eljárást kezdeményezhet az cégvezetésnél,

       bármely érintett szervezeti egységnél jogosult ellenőrzésre,

       betekinthet valamennyi iratba, ami az informatikai feldolgozásokkal kapcsolatos,

       javaslatot tesz az új védelmi, biztonsági eszközök és technológiák beszerzésére, illetve bevezetésére,

       adatvédelmi szempontból az informatikai beruházásokat véleményezi.

A rendszergazda kiválasztása

Az alábbi követelményeknek kell megfelelnie:

  • erkölcsi feddhetetlenség,
  • összeférhetetlenség - az adatvédelmi felelős funkció összeférhetetlen minden olyan vezetői munkakörrel, amelyben adatvédelmi kérdésekben a napi munka szintjén dönteni, intézkedni kell.

az informatika szintjén:

  • az informatikai hardver eszközök és a védelmi technikai berendezések ismerete,
  • üzemeltetésben jártasság,
  • szervezőkészség.

A rendszergazda megbízatása

A rendszergazda-adatvédelmi felelőst a cégvezetés bízza meg.

A rendszergazda-adatvédelmi felelős írásbeli meghatalmazás alapján jogosult ellátni a hatáskörébe tartozó feladatokat.

Back to top