Skip to main content

Információ bisztonsági szabályzat

Az Informatikai Biztonsági Szabályzat célja, információbiztonsági politika

Cél:

Famex Tools Kft. (a továbbiakban: „Cég”) informatikai biztonsági politikájának célja, hogy biztosítsa az informatikai rendszerek, adatok és az ügyfelek információinak védelmét. Ez a politika az ügyfelek, a vállalat és a munkatársak érdekeinek védelmét szolgálja, és az alkalmazandó jogszabályoknak és szabályozásoknak való megfelelést támogatja.

Alapelv:

1.       Adatvédelem: A Cég kötelezettséget vállal az ügyfelek és a munkatársak személyes adatainak védelmére, és szigorúan betartja az adatvédelmi szabályozásokat.

2.       Hozzáférési ellenőrzés: Az informatikai rendszerekhez való hozzáférés csak az arra jogosult munkatársaknak biztosított hitelesítő adatokkal és megfelelő jogosultságokkal lehetséges.

3.       Veszélyek és fenyegetések felismerése: A Cég rendszeresen értékeli az informatikai környezetben fennálló veszélyeket és fenyegetéseket, és megfelelő intézkedéseket tesz azok minimalizálására vagy megszüntetésére.

4.       Folyamatos felügyelet és ellenőrzés: Az informatikai rendszereket rendszeresen monitorozzuk és ellenőrizzük annak érdekében, hogy azok megfelelő védelmi szinten legyenek.

5.       Vészhelyzeti tervek: A Cég rendelkezik vészhelyzeti tervekkel, melyek nem várt események esetén biztosítják a zavartalan és biztonságos működést.

6.       Információbiztonság irányítási rendszer: Kidolgoztuk, rendszeresen felülvizsgáljuk és szükség szerint módosítjuk, a Cég tevékenységéhez kapcsolódó információbiztonsági tevékenységeinket szabályozó dokumentumokat, melyekben meghatározásra kerültek a felelősségek, valamint végrehajtási, ellenőrzési feladatok.

Minden munkatársnak kötelessége betartani az informatikai biztonsági irányelveket.

Az Informatikai Biztonsági Politika minden munkatársra és közvetlenül szolgáltatásainkban érintett félre vonatkozik, akik kötelesek betartani és támogatni annak végrehajtását.

Az Informatikai Biztonsági Szabályzat hatálya

Személyi hatálya

Az IBSZ személyi hatálya a vállalat valamennyi fő- és részfoglalkozású vagy megbízott dolgozójára, illetve az informatikai eljárásban résztvevő más vállalatok / szervezetek dolgozóira egyaránt kiterjed.

Tárgyi hatálya

  • kiterjed a védelmet élvező adatok teljes körére, felmerülésük és feldolgozási helyüktől, idejüktől és az adatok fizikai megjelenési formájuktól függetlenül,
  • kiterjed a vállalat tulajdonában lévő, illetve az általa bérelt valamennyi informatikai berendezésre, valamint a gépek műszaki dokumentációira is,
  • kiterjed az informatikai folyamatban szereplő összes dokumentációra (fejlesztési, szervezési, programozási, üzemeltetési),
  • kiterjed a rendszer- és felhasználói programokra,
  • kiterjed az adatok felhasználására vonatkozó utasításokra,
  • kiterjed az adathordozók tárolására, felhasználására.
  • kiterjed a távoli munkavállalók által használt saját munkaeszközökre munkavégzés céljából
  • A Szabályzatban foglaltak az Famex Tools Kft minden telephelyének vonatkozásában, a helyi sajátosságok figyelembevételével, értelemszerűen alkalmazandó.

A vállalat által használt programok a GLPI eszközkezelő rendszerünkben találhatók.

Az adatkezelés során használt fontosabb fogalmak

érintett: bármely meghatározott, személyes adat alapján azonosított vagy - közvetlenül vagy közvetve - azonosítható természetes személy;

személyes adat: az érintettel kapcsolatba hozható adat - különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból levonható, az érintettre vonatkozó következtetés;

adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajttatja;

adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők rögzítése;

adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;

nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele;

adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges;

adatmegjelölés: az adat azonosító jelzéssel ellátása annak megkülönböztetése céljából;

adatzárolás: az adat azonosító jelzéssel ellátása további kezelésének végleges vagy meghatározott időre történő korlátozása céljából;

adatmegsemmisítés: az adatokat tartalmazó adathordozó teljes fizikai megsemmisítése;

adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve, hogy a technikai feladatot az adatokon végzik;

adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely az adatkezelővel kötött szerződése alapján - beleértve a jogszabály rendelkezése alapján történő szerződéskötést is - adatok feldolgozását végzi;

adatállomány: az egy nyilvántartásban kezelt adatok összessége.

vagyonelem: vagyonelemnek tekinthető a rendelkezésre álló erőforrás vagy képesség. A Szolgáltató cég () vagyonelemei közé sorolható minden olyan elem, amely hozzájárul az adott szolgáltatás vagy termék rendelkezésre állásához.

A vagyonelemek a következő kategóriák szerint oszlanak el: üzleti folyamatok, információ, tőke, HW/SW-, hálózati-, humán erőforrás-, ingatlan-, kommunikációs-, közművek és egyéb szolgáltatási vagyonelemek.

fix vagyonelem: Olyan megfogható vagyonelem, amelynek hosszútávú felhasználásra alkalmas (pl. épület, iroda, földterület, hardverek, szoftver licenszek).

vagyonelem jegyzék: A fix vagyonelemek listája, amely nyilvántartja a vagyonelemek értékét és tulajdonosait.

információbiztonsági incidens: Olyan esemény, amely veszélyezteti az információk bizalmasságát, integritását vagy elérhetőségét.

érintett személy: Az incidens által érintett alkalmazott vagy felhasználó.

zavar: Olyan esemény vagy körülmény, amely potenciálisan vagy ténylegesen veszélyezteti az információk bizalmasságát, integritását vagy elérhetőségét

Kapcsolódó szabályozások

Az Informatikai Biztonsági Szabályzatot az alábbiakban felsorolt előírásokkal összhangban kell alkalmazni:

  • Szervezeti és Működési Szabályzat,
  • Leltárkészítési és leltározási szabályzat (ha van ilyen),
  • Kockázatkezelési Szabályzat,
  • Vagyonleltár és a hozzákapcsolódó felelősségkörök,
  • Vírusvédelmi Szabályzat.
  • Felhasználói hozzáférés szabályozások

Védelmet igénylő, az informatikai rendszerre ható elemek

Az informatikai rendszer egymással szervesen együttműködő és kölcsönhatásban lévő elemei határozzák meg a biztonsági szempontokat és védelmi intézkedéseket.

Az informatikai rendszerre az alábbi tényezők hatnak:

  • a környezeti infrastruktúra,
  • a hardver elemek,
  • az adathordozók,
  • a dokumentumok,
  • a szoftver elemek,
  • az adatok,
  • a rendszerelemekkel kapcsolatba kerülő személyek.

A védelem tárgya

A védelmi intézkedések kiterjednek:

  • a rendszer elemeinek elhelyezésére szolgáló helyiségekre,
  • az alkalmazott hardver eszközökre és azok működési biztonságára,
  • az informatikai eszközök üzemeltetéséhez szükséges okmányokra és dokumentációkra,
  • az adatokra és adathordozókra, a megsemmisítésükig, illetve a törlésre szánt adatok felhasználásáig,
  • az adatfeldolgozó programrendszerekre, valamint a feldolgozást támogató rendszer szoftverek tartalmi és logikai egységére, előírásszerű felhasználására, reprodukálhatóságára,
  • a személyhez fűződő és vagyoni jogokra.

A védelem eszközei

A mindenkori technikai fejlettségnek megfelelő műszaki, szervezeti, programozási, jogi intézkedések azok az eszközök, amelyek a védelem tárgyának különböző veszélyforrásokból származó kárt okozó hatásokkal, szándékokkal szembeni megóvását elősegítik, illetve biztosítják.

A védelem felelőse

A védelem felelőse az IT csapat. Az IT csapatba tartozik a: Rendszergazda

A jelen szabályzatban foglaltak szakszerű végrehajtásáról az IT csapatnak kell gondoskodnia.

rendszergazda feladatai

  • ellátja az adatfeldolgozás felügyeletét,
  • ellenőrzi a védelmi előírások betartását,
  • kialakítja a védelmi eszközök alkalmazására vonatkozó döntés elkészítése érdekében a szakterületek bevonásával a biztonságot növelő intézkedéseket,
  • felelős az informatikai rendszerek üzembiztonságáért, biztonsági másolatok készítéséért és karbantartásáért
  • gondoskodik a rendszer kritikus részeinek újraindíthatóságáról, illetve az újra indításhoz szükséges paraméterek reprodukálhatóságáról,
  • feladata a védelmi eszközök működésének, szerviz ellátás biztosításának folyamatos ellenőrzése,
  • az adatvédelmi tevékenységet segítő nyilvántartási rendszer kialakítása,
  • a Szervezeti és Működési Szabályzat adatvédelmi szempontból való véleményezése,
  • az adatvédelmi feladatok ismertetése, oktatása,
  • a védelmi rendszer érvényesülésének ellenőrzése,
  • felelős a vállalat informatikai rendszere hardver eszközeinek karbantartásáért, és időszakos hardver tesztjeiért,
  • ellenőrzi a vásárolt szoftverek helyes működését, vírusmentességét, a használat jogszerűségét,
  • a vírusvédelemmel foglalkozó szervezetekkel kapcsolatot tart,
  • a vírusfertőzés gyanúja esetén gondoskodik a fertőzött rendszerek izolálásáról,
  • folyamatosan figyelemmel kíséri és vizsgálja a rendszer működésére és biztonsága szempontjából a lényeges paraméterek alakulását,
  • ellenőrzi a rendszer önadminisztrációját,
  • javaslatot tesz a rendszer szűk keresztmetszeteinek felszámolására,
  • tevékenységéről rendszeresen beszámol a cégvezetésnek.

A rendszergazda ellenőri feladatai

  • évente egy alkalommal részletesen ellenőrzi az IBSZ előírásainak betartását,
  • rendszeresen ellenőrzi a védelmi eszközökkel való ellátottságot,
  • előzetes bejelentési kötelezettség nélkül ellenőrzi az informatikai munkafolyamat bármely részét.

A rendszergazda jogai

  • az előírások ellen vétőkkel szemben felelősségre vonási eljárást kezdeményezhet az cégvezetésnél,
  • bármely érintett szervezeti egységnél jogosult ellenőrzésre,
  • betekinthet valamennyi iratba, ami az informatikai feldolgozásokkal kapcsolatos,
  • javaslatot tesz az új védelmi, biztonsági eszközök és technológiák beszerzésére, illetve bevezetésére,
  • adatvédelmi szempontból az informatikai beruházásokat véleményezi.

A rendszergazda kiválasztása

Az alábbi követelményeknek kell megfelelnie:

  • erkölcsi feddhetetlenség,
  • összeférhetetlenség - az adatvédelmi felelős funkció összeférhetetlen minden olyan vezetői munkakörrel, amelyben adatvédelmi kérdésekben a napi munka szintjén dönteni, intézkedni kell.

az informatika szintjén:

  • az informatikai hardver eszközök és a védelmi technikai berendezések ismerete,
  • üzemeltetésben jártasság,
  • szervezőkészség.

A rendszergazda megbízatása

A rendszergazda-adatvédelmi felelőst a cégvezetés bízza meg. A rendszergazda-adatvédelmi felelős írásbeli meghatalmazás alapján jogosult ellátni a hatáskörébe tartozó feladatokat. Az Informatikai Biztonsági Szabályzat alkalmazásának módja

Az Informatikai Biztonsági Szabályzat alkalmazásának módja

Az Informatikai Biztonsági Szabályzat megismerését az érintett dolgozók részére a HR adminisztratív oktatás formájában biztosítja. Erről nyilvántartást vezet. Az Informatikai Biztonsági Szabályzatban érintett munkakörökben az egyes munkaköri leírásokat ki kell egészíteni az IBSZ előírásainak megfelelően.

Az Informatikai Biztonsági Szabályzat karbantartása

Az IBSZ-t a fejlődés során bekövetkező változások miatt időközönként aktualizálni kell.

Az Informatikai Biztonsági Szabályzat folyamatos karbantartása az adatvédelmi felelős feladata. A tevékenységről, annak konkrét tartalmáról évente egyszer írásbeli beszámolót kell készíteni.

 A védelmet igénylő adatok és információk osztályozása, minősítése, hozzáférési jogosultság

Az adatok és információk jelentőségük és bizalmassági fokozatuk az alábbiak szerint kerülnek osztályozásra:

C1-Szigorúan bizalmas: Olyan adatok és információk, amelyek illetéktelen kézbe jutás esetén cégünk működését jelentősen befolyásolhatják vagy olyan személyes adatok, amelyek a GDPR szerint bizalmasan kezelendők.

Ebbe a kategóriába tartozó adatokhoz az ügyvezetőnek, illetve az operatív vezetésnek van engedélye a hozzáféréshez. További hozzáféréseket kizárólag az ügyvezető jóváhagyásával lehet készíteni. Ezeket az eléréseket a jogosultások.xlsx dokumentációban részletesen láthatjuk.

Az alábbi adatok tartoznak ide:

  • Szerződések
  • Személyes adatok GDPR szerint
  • Alvállalkozói és megrendelői egyedi díjak
  • Bér adatok

C2-Bizalmas: Cég működésével kapcsolatos adatok és információk, amelyek az alkalmazottak számára elérhetőek, de külső félnek át nem adhatóak. Ezen információk illetéktelen kézbe jutása jogi következményt vonhatnak maguk után.

Ebbe a kategóriába tartozó adatokhoz az érintett részlegnek van engedélye a hozzáféréshez.

Az alábbi adatok tartoznak ide:

  • Belsős tréning anyagok
  • Belső szabályozó dokumentumok (ISO dokumentációk)
  • Riportok
  • IT és fejlesztői dokumentációk / jogosultságok és jelszavak
  • Ajánlatok
  • Projekt adatok

C3-Belső használatra: Ebbe a kategóriába tartozó adatokhoz minden munkavállalónak van engedélye a hozzáféréshez.

Az alábbi adatok tartoznak ide:

  • Általános tájékoztatók

C4-Nyilvános

Ebben a kategóriába tartozó adatokhoz mindenkinek van hozzáférése.

Az alábbi adatok tartoznak ide:

  • Álláshirdetések
  • Tenderek / Tájékoztató anyagok
  • Közösségi média
  • A szervezet weboldalán elérhető nyilvános információk
  • A webshopunkban található termék árai, és az itt forgalmazott termékek adatai

Az informatikai feldolgozás során keletkező adatok minősítője az ügyvezető igazgató. Különös védelmi utasítások és szabályozások nem mondhatnak ellent a törvények és a jogszabályok mindenkori előírásainak. Az üzleti titoknak minősülő adatok feldolgozásakor meg kell határozni írásban és névre szólóan a hozzáférési jogosultságot. A kijelölt dolgozók előtt a titokvédelmi és egyéb szabályokat, a betekintési jogosultság terjedelmét, gyakorlási módját és időtartamát ismertetni kell. Az alapelv az az, hogy mindenki csak olyan adathoz férjen hozzá, ami a napi munkavégzéséhez szükséges.

C1, C2 és C3 esetén, az információhoz való hozzáférést a tevékenység naplózásával dokumentálni kell, ezáltal bármely  számítógépen végzett tevékenység - adatbázisokhoz való hozzáférés, a fájlba vagy külső adathordozóra történő mentés, a  rendszer védett részeibe történő illetéktelen behatolási kísérlet - utólag visszakereshető. A hozzáférési jogosultságok részletezésére egy külön dokumentum, az „Információ elérési mátrix” szolgál, amely tartalmazza, hogy ki milyen típusú információhoz férhet hozzá. Az elérési mátrixban található adatok segítenek a biztonságos és szabályozott információkezelés fenntartásában.

Sérthetetlenség (Integritás)

Az információk sértetlensége azt jelenti, hogy azok pontosak és teljesek maradnak, és nem változnak meg jogosulatlanul.

  • I1 - Magas integritás: Az információk pontossága kritikus. Példák: pénzügyi nyilvántartások, jogi dokumentumok.
  • I2 - Közepes integritás: Az információk pontossága fontos, de nem kritikus. Példák: belső jelentések, operatív adatok.
  • I3 - Alacsony integritás: Az információk pontossága nem létfontosságú. Példák: hétköznapi kommunikáció, nem hivatalos jegyzetek.

Rendelkezésre állás

Az információk rendelkezésre állása azt jelenti, hogy szükség esetén hozzáférhetők.

  • A1 - Kritikus rendelkezésre állás: Az információk folyamatosan hozzáférhetőek kell legyenek. Példák: valós idejű tranzakciós adatok, szolgáltatásmenedzsment rendszerek.
  • A2 - Fontos rendelkezésre állás: Az információk elérhetősége fontos, de rövid időre megszakítható. Példák: heti jelentések, projekttervek.
  • A3 - Alacsony rendelkezésre állás: Az információk elérhetősége kevésbé fontos. Példák: archív adatok, régebbi jelentések.

Érdekelt felek vonatkozó követelményei

Az információk osztályozása az érdekelt felek követelményei alapján történik, figyelembe véve a jogi és szabályozási előírásokat, valamint a vállalati irányelveket.

  • Jogszabályi követelmények: Bizonyos adatok esetében szigorú törvényi előírások vannak érvényben. Példák: személyes adatok védelme, pénzügyi jelentési követelmények.
  • Vállalati irányelvek: A szervezet belső irányelvei és politikái határozzák meg az adatkezelési gyakorlatokat. Példák: adatvédelmi szabályzat, biztonsági előírások.
  • Ügyfélelvárások: Az ügyfelek biztonsági és adatvédelmi elvárásai. Példák: adatkezelési megállapodások, ügyfélszolgálati adatok védelme.

A naplófájlokat havonta át kell tekinteni, s a jogosulatlan hozzáférést vagy annak a kísérletét a cégvezetésnek azonnal jelenteni kell.

A naplófájlok áttekintéséért, értékeléséért a rendszergazda felelős.

Minden dolgozóval, aki az adatok gyűjtése, felvétele, tárolása, feldolgozása, hasznosítása (ideértve a továbbítást és a nyilvánosságra hozatalt) és törlése során információkhoz jut adatkezelési nyilatkozatot kell aláíratni.

Az adatkezelési nyilatkozat naprakészen tartásáért az adatvédelmi felelős felel.

A titkot képező adatok védelmét, a feldolgozás - az adattovábbítás, a tárolás - során az operációs rendszerben és a felhasználói programban alkalmazott logikai matematikai, illetve a hardver berendezésekben kiépített technikai megoldásokkal is biztosítani kell (szoftver, hardver adatvédelem).

7.6.   Intézkedési Terv az Információátadási Szabályokhoz és Eljárásokhoz

7.6.1.  Elektronikus Átadás

·         Titkosítás: Minden érzékeny információ titkosítva kerül átadásra. Például az internetes kommunikációhoz SSL/TLS protokollokat alkalmazunk, míg távoli kapcsolatok esetén VPN használata javasolt.

·         E-mail Biztonság: Titkosított e-mail rendszereket alkalmazunk és megfelelő hitelesítési eljárásokat biztosítunk, mint például PGP vagy S/MIME. Minden érzékeny adatot tartalmazó e-mail titkosítással védendő.

A küldő fél további 3 plusz titkosítási módszerből választhat, melyek a következőek:

o   a küldött email-t nem lehet továbbítani

o   a küldött email-t nem lehet továbbítani, másolni, nyomtatni

o   a küldött email-t lehet továbbítani, de nem lehet másolni, nyomtatni.

·         Fájlmegosztás: Ha E-mailen kívül szeretnénk dokumentumot megosztani külső féllel, csak és kizárólag az Office365 által biztosított megosztást alkalmazzuk. A használatáról a következő dokumentum segít a felhasználóknak:

IT-01SZ-01U - OneDrive megosztás

7.6.2.  Fizikai Átadás

·         Dokumentumok: Érzékeny fizikai dokumentumok zárt, biztonságos borítékokban vagy zárt konténerekben kerülnek továbbításra. A dokumentumokhoz való hozzáférés naplózása kötelező.

·         Hordozható Eszközök: Titkosított hordozható eszközöket (pl. USB meghajtók, laptopok) biztosítunk az adatok fizikai továbbítására. Ezeket az eszközöket jelszóval és/vagy biometrikus azonosítással védjük.

7.6.3.  Verbális Átadás

·         Biztonságos Kommunikáció: Biztonságos csatornákat biztosítunk a verbális kommunikációhoz, például titkosított telefonvonalak és biztonságos konferenciahívások használatával. Az érzékeny információk átadásakor a helyiséget biztosítani kell illetéktelen hozzáférés ellen.

·         Konferenciahívások és Meetingek: Titkosítást és jelszóval védett hozzáférést biztosítunk az online meetingekhez és konferenciahívásokhoz. Az ilyen hívások során az érzékeny információkat kizárólag a megfelelő jogosultságokkal rendelkező résztvevők számára tesszük elérhetővé.

7.7.   Fizikai Biztonsági Intézkedések

Az irodaépület teljes területe munkaidőn kívül riasztórendszerrel védett és zárva tartott. Illetéktelen behatolás esetén a biztonsági szolgálat azonnal értesíti a megfelelő személyeket. A szigorúan bizalmas (C1) kategóriába sorolt adatok biztonságos tárolása érdekében és a szerver hozzáféréséhez a következő intézkedések kerültek bevezetésre:

Adatok Tárolása

·         A szigorúan bizalmas adatok (C1) fizikai formában egy elzárható irodában (HR iroda) vagy a szerveren kerülnek tárolásra.

·         A szerver egy kulccsal elzárható fali szekrényben található.

·         A szerver egy kulccsal elzárható fali szekrényben kerül elhelyezésre,

Hozzáférés-szabályozás

·         Mind a fali szekrényhez, mind a HR irodához a következő személyek rendelkeznek kulccsal: Belszolgálati vezető, Pénzügyi vezető, HR vezető

·         Az adatokhoz való hozzáférést korlátozni kell a hozzáférés-felügyeletre kialakított témaspecifikus politikával összhangban. Csak az arra feljogosított személyek férhetnek hozzá a személyes adatokhoz, kizárólag az adatkezelés céljával összefüggésben. A munkaköri leírásban minden személynek meg van határozva milyen adatokhoz férhet hozzá.

·         A szerver fali szekrényhez való hozzáférés korlátozott, és csak a következő személyek rendelkeznek kulccsal: Belszolgálati vezető, Pénzügyi vezető, HR vezető

Széf Használata

Az intézkedések célja, hogy biztosítsák az információk és egyéb kapcsolódó vagyonelemek fizikai biztonságát, megakadályozva az illetéktelen hozzáférést és védve az adatokat a különféle fenyegetésekkel szemben.

A biztonsági kódok jóváhagyása a következők szerint történik:

·         Győr hűtőház utca telephely: A telephely tulajdonosa kezeli a riasztó kódokat és a kapunyitási engedélyt. Következő személyek kérhetnek tőle új hozzáféréseket:

o   Belszolgálati vezető

o   Imre Péter ügyvezető

o   Rendszergazda

o   HR vezető

A teljes hozzáférési mátrix a következő dokumentumban található:

IT-01SZ-01E - Információ átadás kockázatai

7.8.   Hitelesítési információk

7.8.1.  Jelszókezelő

A hitelesítési adatokat a munkaköri leírásban meghatározott pozíció alapján osztjuk ki. Hitelesítés adatok egy saját hálózaton futtatott Bitwarden szerveren tároljuk, így külső félhez semmilyen formában nem kerülnek adatok, ezzel biztosítjuk a hitelesítési adatok legnagyobb biztonságát.

Az IT@famextools.hu felhasználó alatt található minden IT biztonsággal kapcsolatos jelszó, amelyhez hozzáférésé a rendszergazdának és a belszolgálati vezetőnek van hozzáférése, továbbá az elzárt széfben papíron a felhasználó név és jelszó elérhető.

A jelszókezelő kliensünkön belül a pozícióhoz ugyanúgy vannak kialakítva, mint a szervezeti ábrában, ezzel biztosítjuk, hogy mindenki hozzáfér a munkavégzéséhez szükséges adatokhoz. Minden munkaállomáson telepítve van a kliens. A kiadott jogosultságok a közvetkező dokumentumban találhatók:

IT-01N  - Elérési jogosultság.xlsx

A jelszavak exportálása csak jelszóval lehetséges, így a felhasználok nem tudják a teljes adatbázist lementeni, ezzel is védve az adatok védelmét.

7.8.2.  Office365 fiókok kezelése

Az Office 365 fiókok kezelését a rendszergazda végzi, ennek következtében hozzáfér az E-mail fiókok jelszavakhoz. Személyes fiókok megnyitása kizárólag a GDPR-nak megfelelően történik.

7.8.3.  Személyi számítógépekhez tartozó jelszavak

A személyi számítógépek jelszavát a rendszergazda osztja ki igény és szükség szerint (pl.: vírus támadás a jelszó módosításra kerül).

Back to top