Cselekvési tervek

Adminisztratív védelmi intézkedések

Vissza2014. 12. 14.

A Kormány honlapján megjelent a részletes adminisztratív, fizikai és logikai védelmi intézkedéseket tartalmazó végrehajtási rendelet tervezete.

 

Ennek alapján az önkormányzatoknak – a 2-es biztonsági szintet feltételezve – a következő adminisztratív védelmi intézkedéseket kell végrehajtaniuk:

 

III. 1. ADMINISZTRATÍV VÉDELMI INTÉZKEDÉSEK

 

SZERVEZETI SZINTŰ ALAP FELADATOK (AL)

 

AL 1. Informatikai biztonságpolitika

 

Az érintett szervezet:

 

a) megfogalmazza, az érintett szervezetre érvényes követelmények szerint dokumentálja, és a szervezeten belül kihirdeti az informatikai biztonságpolitikát;

 

b) belső szabályzóban, vagy magában az informatikai biztonságpolitikáról szóló dokumentumban meghatározza a biztonságpolitika felülvizsgálatának és frissítésének gyakorisággát.

 

Elvárás:

 

1. meg kell határozni azokat az okokat, melyeknél fogva a kiberbiztonság fontos a szervezet számára, így különösen a biztonsági célok meghatározása, az informatikai biztonságpolitikai szervezeti szempontú alapelveinek bemutatása;

 

2. be kell mutatni az érintett szervezet vezetői beosztású tagjainak elkötelezettségét a biztonsági feladatok irányítására és támogatására;

 

3. ki kell fejteni az érintett szervezetben alkalmazott biztonsági alapelveket és megfelelőségi követelményeket;

 

AL 2. Informatikai biztonsági stratégia

 

Az érintett szervezet:

 

a) megfogalmazza, az érintett szervezetre érvényes követelmények szerint dokumentálja, és a szervezeten belül kihirdeti az informatikai biztonsági stratégiát, amely kifejti az informatikai biztonságpolitikában biztonsági célok megvalósításának módszerét, eszközrendszerét, ütemezését;

 

b) belső szabályzóban, vagy magában az informatikai biztonsági stratégiáról szóló dokumentumban meghatározza a biztonsági stratégia felülvizsgálatának és frissítésének gyakoriságát;

 

c) gondoskodik arról, hogy az informatikai biztonsági stratégia jogosulatlanok számára ne legyen megismerhető, illetve módosítható.

 

Elvárás:

 

1. A stratégia rövid, közép és hosszú távú célokat tűz ki.

 

2. A stratégia illeszkedik az érintett szervezet más stratégiáihoz (így különösen a költségvetési és humánerőforrás tervezéshez, tevékenységi kör változáshoz, fejlesztéshez), jövőképéhez.

 

 AL 3 Informatikai biztonsági szabályzat

 

Az érintett szervezet:

 

a) megfogalmazza, a szervezetre érvényes követelmények szerint dokumentálja, és a szervezeten belül kihirdeti az informatikai biztonsági szabályzatot;

 

b) belső szabályzóban, vagy magában az informatikai biztonsági szabályzatról szóló dokumentumban meghatározza az informatikai biztonsági szabályzat felülvizsgálatának és frissítésének gyakoriságát;

 

c) gondoskodik arról, hogy az informatikai biztonsági szabályzat jogosulatlanok számára ne legyen megismerhető, illetve módosítható.

 

Elvárás:

 

1. az informatikai biztonsági szabályzatban meg kell határozni a

 

– célokat, a szabályzat tárgyi és személyi (a szervezet jellegétől függően esetleg területi) hatályát,

 

– az elektronikus információbiztonsággal kapcsolatos szerepköröket,

 

– a szerepkörhöz rendelt tevékenységet,

 

– a tevékenységhez kapcsolódó felelősséget,

 

– az információbiztonság szervezetrendszerének belső, illetve szervezet egészének együttműködését;

 

2. az informatikai biztonsági szabályzat a következő elektronikus információs rendszerbiztonsággal kapcsolatos területeket szabályozza akár külön függelékekben, akár egységes szerkezetben:

 

– kockázatelemzést (amely szorosan kapcsolódik a biztonsági osztályba és biztonsági szintbe soroláshoz),

 

– biztonsági helyzet-, és eseményértékelés eljárási rendjét,

 

– rendszer (ideértve ezek elemeit is) és információtechnológiai szolgáltatás beszerzést (amennyiben Az érintett szervezet ilyet végez, vagy végezhet),

 

– biztonsággal kapcsolatos tervezést (például: beszerzés, fejlesztés, eljárásrendek kialakítását),

 

– fizikai és környezeti védelem szabályait, jellemzőit,

 

– az emberi erőforrásokban rejlő veszélyek megakadályozását (pl.: személyzeti felvételi- és kilépési eljárás során követendő szabályok, munkavégzésre irányuló szerződésben a személyes kötelmek rögzítése, a felelősség érvényesítése, stb.)

 

– az informatikai biztonság tudatosítására irányuló tevékenységet és képzést, szervezet összes érintett tagja tekintetében,

 

– az érintett szervezetnél alkalmazott elektronikus információs rendszerek biztonsági beállításával kapcsolatos feladatokat, elvárásokat, jogokat (amennyiben a szervezetnél ez értelmezhető),

 

– üzlet, vagy üzemmenet folytonosság tervezését (így különösen a rendszerleállás során a kézi eljárásokra történő átállás, visszaállás az elektronikus rendszerre, adatok pótlása, stb.),

 

– az elektronikus információs rendszerek karbantartásának rendjét,

 

– az adathordozók fizikai és logikai védelmének szabályozását,

 

– az elektronikus információs rendszerhez való hozzáférés során követendő azonosítási és hitelesítési eljárást, illetve a hozzáférés szabályok betartásának ellenőrzését,

 

– amennyiben a szervezetnek erre lehetősége van, a rendszerek használatáról szóló rendszerbejegyzések értékelését, az értékelés eredményétől függő eljárások meghatározását,

 

– az adatok mentésének, archiválásának rendjét,

 

– a biztonsági események – ideértve az adatok sérülését is – bekövetkeztekor követendő eljárást, ideértve a helyreállítást is,

 

– az elektronikus információs rendszerhez jogosultsággal (vagy jogosultság nélkül fizikailag) hozzáférő, nem az érintett szervezet tagjainak tevékenységét (karbantartók, magán-, vagy polgári jogi szerződés alapján az érintett szervezet számára feladatokat végrehajtók), az informatikai biztonságot érintő, szerződéskötés során érvényesítendő követelményeket;

 

3. meghatározza a biztonsági szintjét, valamint a szervezet összes elektronikus információs rendszerének biztonsági osztályát.

 

AL 4. Az elektronikus információs rendszerek biztonságáért felelős személy

 

Az érintett szervezet vezetője az elektronikus információs rendszer biztonsági osztálya és a szervezet biztonsági szintje alapján előírt követelményeknek megfelelően az elektronikus információs rendszer biztonságáért felelős személyt nevez ki vagy bíz meg, aki:

 

a) azonos lehet a minősített adat védelméről szóló 2009. évi CLV. törvény szerinti biztonsági vezetővel;

 

b) ellátja a törvény Ibtv. 13 §-ban meghatározott feladatokat.

 

AL 5. Pénzügyi erőforrások biztosítása

 

Az érintett szervezet:

 

a) a költségvetés tervezés, és a beruházások, beszerzések során biztosítja az informatikai biztonsági stratégia megvalósításához szükséges forrásokat, illetve dokumentálja ezen követelmény alá eső kivételeket;

 

b) biztosítja a terveknek megfelelő kiadásokhoz szükséges erőforrások rendelkezésre állását.

 

Elvárás:

 

A pénzügyi erőforrások tervezése illeszkedik AL 2-höz.

 

AL 6. Cselekvési terv és mérföldkövei

 

Az érintett szervezet:

 

a) cselekvési tervet készít az informatikai biztonsági stratégia megvalósításához, ebben mérföldköveket határoz meg;

 

b) karbantartja a cselekvési tervet

 

Elvárás:

 

Felülvizsgálja és karbantartja a cselekvési tervet és mérföldköveit

 

1 a szervezet kockázatkezelési stratégiájának és a kockázatokra adott válasz tevékenységeknek az érintett szervezet belső prioritása alapján;

 

2. ha a szervezet az adott elektronikus információs rendszerére vonatkozó biztonsági osztály Ibtv. 8. § szerinti meghatározásánál hiányosságot állapít meg (ebben az esetben a vizsgálatot követő 90 napon belül kell a felülvizsgálatot elkészíteni, a hiányosság megszüntetésére koncentrálva);

 

3. ha a szervezet által meghatározott biztonsági szint alacsonyabb, mint az adott szervezetre az Ibtv. 9. § (2) bekezdésében előírt biztonsági szint (ebben az esetben a vizsgálatot követő 90 napon belül kell a felülvizsgálatot elkészíteni, a szervezet számára előírt biztonsági szint elérésére koncentrálva).

 

AL 7. Az elektronikus információs rendszerek nyilvántartása

 

Az érintett szervezet:

 

a) elektronikus információs rendszereiről nyilvántartást készít;

 

b) folyamatosan aktualizálja a nyilvántartást.

 

Elvárás:

 

1. a nyilvántartás minden rendszerre tartalmazza annak alap feladatait,

 

2. a rendszerek által biztosítandó szolgáltatásokat,

 

3. tartalmazza az érintett rendszerekhez tartozó licenc számot (amennyiben azok az érintett szerv kezelésében vannak),

 

4. a rendszer felett felügyeletet gyakorló személyazonosító és elérhetőségi adatait,

 

5. a rendszert szállító, fejlesztő és karbantartó szervezetek azonosító és elérhetőségi adatait, valamint ezen szervezetek rendszer tekintetében illetékes kapcsolattartó személyeinek azonosító és elérhetőségi adatait.

 

AL 10. Kockázatkezelési stratégia

 

Az érintett szervezet:

 

a) megfogalmazza, a szervezetre érvényes követelmények szerint dokumentálja, és a szervezeten belül kihirdeti a kockázatkezelési stratégiát;

 

b) következetesen alkalmazza a kockázatkezelési stratégiát Az érintett szervezet egészére;

 

c) belső szabályzóban, vagy magában a kockázatkezelési stratégiában szóló dokumentumban meghatározza a kockázatkezelési stratégia felülvizsgálatának és frissítésének gyakoriságát.

 

Elvárás:

 

1. a stratégia terjedjen ki Az érintett szervezetnél lehetséges kockázatok felmérésére,

 

2. a stratégia terjedjen ki a kockázatok kezelésének felelősségére,

 

3. a stratégia terjedjen ki a kockázatok kezelésének elvárt minőségére.

 

AL 11. Az elektronikus információbiztonsággal kapcsolatos engedélyezési eljárás

 

Az érintett szervezet:

 

a) megfogalmazza, a szervezetre érvényes követelmények szerint dokumentálja, és a szervezeten belül kihirdeti az elektronikus információbiztonsággal kapcsolatos (ideértve a rendszer- és felhasználói, külső és belső hozzáférési) engedélyezési eljárási folyamatokat;

 

b) irányítja és kezeli az elektronikus információs rendszer és környezet biztonsági állapotát;

 

c) egyértelműen meghatározza az információbiztonsággal összefüggő szerep- és felelősség köröket, kijelöli az ezeket betöltő személyeket;

 

d) integrálja az elektronikus információbiztonsággal engedélyezési folyamatokat Az érintett szervezeti szintű kockázatkezelési eljárásba, kapcsolatban az információbiztonsági szabályzattal.

 

Elvárás:

 

1. az elektronikus információbiztonsággal kapcsolatos engedélyezés terjedjen ki minden az érintett szerv hatókörébe tartozó emberi, fizikai és logikai erőforrásra,

 

2. terjedjen ki minden, a szervezet hatókörébe tartozó szintre és folyamatra.

 

KOCKÁZATELEMZÉS (KE)

 

KE 1.  Kockázatelemzési eljárásrend

 

Az érintett szervezet:

 

a) megfogalmazza, a szervezetre érvényes követelmények szerint dokumentálja, és Az érintett szervezeten belül kihirdeti a kockázatelemzési eljárásrendet, mely a szervezet informatikai biztonsági szabályzatának részét képező kockázatelemzési szabályzat és az ehhez kapcsolódó ellenőrzések megvalósítását segíti elő;

 

b) belső szabályzóban, vagy magában a kockázatelemzési eljárásrendről szóló dokumentumban meghatározza a kockázatelemzési eljárásrend felülvizsgálatának és frissítésének gyakoriságát.

 

KE 2. Biztonsági osztályba sorolás

 

Az érintett szervezet:

 

a) a jogszabályban meghatározott szempontok alapján megvizsgálja elektronikus információs rendszereit az azokról szóló AL 7. nyilvántartás alapján, és meghatározza, hogy azok a vizsgálat elvégzésekor melyik biztonsági osztálynak felelnek meg;

 

b) rögzíti a biztonsági osztályba sorolás eredményét a szervezet informatikai biztonsági szabályzatában;

 

c) vezetője jóváhagyja a biztonsági osztályba sorolást.

 

Elvárás:

 

1. a biztonsági osztályba sorolást az elektronikus információs rendszereket érintő változások után ismételten el kell végezni,

 

2. kapcsolódást kell biztosítani AL 6-hoz.

 

KE 3. Kockázatelemzés

 

Az érintett szervezet:

 

a) végrehajtja a biztonsági kockázatelemzéseket;

 

b) megállapítja a kockázatelemzések eredményét az informatikai biztonsági szabályzatban, kockázatelemzési jelentésben, vagy más a KE 1. szerint előírt dokumentumban;

 

c) a KE 1. szerinti felülvizsgálja a kockázatelemzések eredményét;

 

d) a KE 1., vagy AL 3. szerint megismerteti a kockázatelemzés eredményét az érintettekkel;

 

e) amikor jelentős változás áll be az elektronikus információs rendszerben vagy annak működési környezetében (beleértve az új fenyegetések és sebezhetőségek megjelenését), továbbá olyan körülmények esetén, amelyek befolyásolják az elektronikus információs rendszer biztonsági állapotát, ismételt kockázatelemzést hajt végre;

 

f) gondoskodik arról, hogy a kockázatelemzési eredmények jogosulatlanok számára ne legyenek megismerhetők.

 

TERVEZÉS (TE)

 

TE 1. Biztonságtervezési eljárásrend

 

Az érintett szervezet:

 

a) megfogalmazza, a szervezetre érvényes követelmények szerint dokumentálja, és a szervezeten belül a munka- és feladatkörük miatt érintettek számára kihirdeti a biztonságtervezési eljárásrendet, mely a szervezet informatikai biztonsági szabályzatának részét képező biztonságtervezési szabályzat és az ehhez kapcsolódó ellenőrzések megvalósítását segíti elő;

 

b) a biztonságtervezési eljárásrendben, vagy más belső szabályzóban meghatározott gyakorisággal felülvizsgálja és frissíti a biztonságtervezési eljárásrendet.

 

TE 2. Rendszerbiztonsági terv

 

Az érintett szervezet, amennyiben az elektronikus információs rendszer tervezése hatókörébe tartozik:

 

a) az elektronikus információs rendszerhez rendszerbiztonsági tervet készít, amely:

 

1. összhangban áll a szervezeti felépítésével/szervezeti szintű architektúrájával (AL 9.),

 

2. meghatározza az elektronikus információs rendszer hatókörét, alap feladatait (biztosítandó szolgáltatásait), biztonságkritikus elemeit és alap funkcióit,

 

3. meghatározza elektronikus információs rendszer és az általa kezelt adatok jogszabály szerinti biztonsági osztályát,

 

4. meghatározza az elektronikus információs rendszer működési körülményeit és más elektronikus információs rendszerrel való kapcsolatait,

 

5. a vonatkozó rendszerdokumentáció keretébe foglalja az elektronikus információs rendszer biztonsági követelményeit,

 

6. meghatározza a követelményeknek megfelelő aktuális vagy tervezett védelmi intézkedéseket és intézkedésbővítéseket, végrehajtja a jogszabály szerinti biztonsági feladatokat.

 

Elvárás:

 

b) gondoskodik arról, hogy a rendszerbiztonsági tervet az érintett szervezet által meghatározott személyi- és szerepkörök megismerje (ideértve annak változásait is);

 

c) belső szabályzóban, vagy a rendszerbiztonsági tervben meghatározott gyakorisággal felül kell vizsgálni az elektronikus információs rendszer rendszerbiztonsági tervét;

 

d) frissíteni kell a rendszerbiztonsági tervet az elektronikus információs rendszerben vagy annak üzemeltetési környezetében történt változások, illetve a terv végrehajtása vagy a védelmi intézkedések értékelése során feltárt problémák esetén;

 

e) elvégzi a TE 2. 1. pont szerintieket;

 

e) gondoskodik arról, hogy a rendszerbiztonsági terv jogosulatlanok számára ne legyen megismerhető, illetve módosítható.

 

TE 3. Személyi biztonság

 

Az érintett szervezet:

 

a) megfogalmazza, a szervezetre érvényes követelmények szerint dokumentálja, és a szervezeten belül kihirdeti az elektronikus információs rendszerhez hozzáférési jogosultságot igénylő személyekkel, felhasználókkal szembeni elvárásokat, a rájuk vonatkozó szabályokat, felelősségüket, az adott rendszerhez kapcsolódó kötelező, vagy tiltott tevékenységet (kapcsolat AL 3-al, és AL 11-el);

 

b) az elektronikus információs rendszerhez való hozzáférés engedélyezése előtt írásbeli nyilatkozat megtételére szólítja fel a hozzáférési jogosultságot igénylő személyt, felhasználót, aki nyilatkozatával igazolja, hogy az elektronikus információs rendszer használatához kapcsolódó, rá vonatkozó biztonsági szabályokat és kötelezettségeket megismert, saját felelősségére betartja;

 

c) meghatározott gyakorisággal felülvizsgálja és frissíti az elektronikus információs rendszerhez hozzáférési jogosultságot igénylő személyekkel, felhasználókkal szembeni elvárásokat, a rájuk vonatkozó szabályokat, felelősségüket, az adott rendszerhez kapcsolódó kötelező, vagy tiltott tevékenységet a viselkedési szabályokat;

 

d) gondoskodik arról, hogy a c) pont szerinti változás esetén a hozzáféréssel rendelkezők tekintetében a b) pont szerinti eljárás megtörténjen;

 

e) meghatározza a szervezeten kívüli irányban megvalósuló követelményeket

 

RENDSZER ÉS SZOLGÁLTATÁS BESZERZÉS (RB)

 

Jelen címben meghatározott eljárásokat abban az esetben kell bevezetni az érintett szervezetnél, amennyiben saját hatókörében informatikai szolgáltatást, vagy eszközöket (ide nem értve a jellemzően kisebb egyedi értékű, kereskedelmi forgalomban kapható általában irodai alkalmazásokat, szoftvereket, illetve azokat a hardver beszerzéseket, amelyek jellemzően a tönkrement eszközök pótlása, illetve az eszközpark addigiakkal azonos, vagy hasonló eszközökkel való bővítése céljából történnek, valamint a javítás, karbantartás céljára történő beszerzéseket) nem szerez be, illetve nem végez, vagy végeztet rendszerfejlesztési tevékenységet. Nem kell a fejlesztések tekintetében előírt követelményeket alkalmazni, amennyiben azok a kereskedelmi forgalomban kapható szoftverek szolgáltatásainak kihasználásával jönnek létre.

 

RB 1. Beszerzési eljárásrend

 

Az érintett szervezet:

 

a) megfogalmazza, a szervezetre érvényes követelmények szerint dokumentálja, és a szervezeten belül kihirdeti a beszerzési eljárásrendet, mely a szervezet elektronikus információs rendszerére, az ezekhez kapcsolódó szolgáltatások és információs rendszer biztonsági eszközök beszerzésére vonatkozó szabályait fogalmazza meg (akár az általános beszerzési szabályzat részeként), és az ehhez kapcsolódó ellenőrzések megvalósítását segíti elő;

 

b) a beszerzési eljárásrendben, vagy más belső szabályzóban meghatározott gyakorisággal felülvizsgálja és frissíti a beszerzési eljárásrendet.

 

RB 3.  A rendszer fejlesztési életciklusa

 

Az érintett szervezet:

 

a) elektronikus információs rendszereit a rendszer teljes életútjára tekintettel kezeli, amelynek minden életciklusában figyelemmel van az informatikai biztonságra;

 

b) a fejlesztési életciklus egészére meghatározza és dokumentálja az információ biztonsági szerepköröket és felelősségeket;

 

c) meghatározza, és a szervezetre érvényes szabályok szerint kijelöli az információ biztonsági szerepköröket betöltő, felelős személyeket.

 

Elvárás:

 

Egy rendszer életciklus szakaszait a következők szerint kell meghatározni:

 

1. követelmény meghatározás,

 

2. fejlesztés/beszerzés,

 

3. megvalósítás/értékelés,

 

4. üzemeltetés és fenntartás,

 

4. kivonás (archiválás, megsemmisítés).

 

RB 7. Külső elektronikus információs rendszerek szolgáltatásai

 

Az érintett szervezet:

 

a) szerződéses kötelezettségként követeli meg, hogy a külső – nem az érintett szervezet által üzemeltetett, hanem annak szolgáltatásait szerződés alapján igénybe vett – elektronikus információs rendszerek szolgáltatásai megfeleljenek a szervezet elektronikus információbiztonsági követelményeinek;

 

b) meghatározza és dokumentálja a szervezet felhasználóinak feladatait és kötelezettségeit a külső elektronikus információs rendszerek szolgáltatásával kapcsolatban;

 

c) folyamatosan ellenőrzi, hogy a külső elektronikus információs rendszer szolgáltatója biztosítja-e az elvárt védelmi intézkedéseket.

 

EMBERI TÉNYEZŐKET FIGYELEMBE VEVŐ – SZEMÉLY – BIZTONSÁG (SZ)

 

Minden, a személybiztonsággal kapcsolatos eljárás, vagy elvárás kiterjed az érintett szervezet teljes személyi állományára, valamint minden olyan természetes személyre, aki a szervezet elektronikus információs rendszereivel kapcsolatba kerül, vagy kerülhet.

 

Azokban az esetekben, amikor az elektronikus információs rendszereivel tényleges, vagy feltételezhető kapcsolatba kerülő személy nem az érintett szervezet tagja, a jelen fejezet felé irányuló elvárásait a tevékenység alapját képező jogviszonyt megalapozó szerződés, megállapodás, megkötés során kell, mint kötelezettséget érvényesíteni (ideértve szabályzatok, eljárásrendek megismerése és betartására irányuló kötelezettségvállalást, titoktartási nyilatkozatot)

 

SZ 4. Eljárás jogviszony megszűnésekor

 

Az érintett szervezet:

 

a) belső szabályozásban meghatározott időpontban megszünteti a hozzáférési jogosultságot az elektronikus információs rendszerhez;

 

b) megszünteti, illetve visszaveszi a személy egyéni hitelesítő eszközeit;

 

c) tájékoztatja a kilépőt az esetleg reá vonatkozó, jogi úton is kikényszeríthető, a jogviszony megszűnése után is fennálló kötelezettségekről;

 

d) visszaveszi a szervezet elektronikus információs rendszerével kapcsolatos, tulajdonát képező összes eszközt;

 

e) megtartja a hozzáférés lehetőségét a kilépő személy által korábban használt, kezelt elektronikus információs rendszerekhez és szervezeti információkhoz;

 

f) a szervezet által meghatározott módon a jogviszony megszűnéséről értesíti a szervezet által meghatározott szerepköröket betöltő, feladatokat ellátó személyeket.

 

Elvárás:

 

1. a szervezet a jogviszonyt megszüntető személy elektronikus információs rendszerrel, vagy annak biztonságával kapcsolatos esetleges feladatainak ellátásáról a jogviszony megszűnését megelőzően gondoskodik,

 

2. a jogviszony megszűnésekor fokozott figyelmet kell fordítani arra, hogy a jogviszonyt megszüntető személy esetleges káros tevékenysége megelőzhető legyen.

 

SZ 7. Fegyelmi intézkedések

 

Az érintett szervezet:

 

a) belső eljárási rendje szerint fegyelmi intézkedést kezdeményez az elektronikus információ biztonsági szabályokat és az ehhez kapcsolódó eljárásrendeket megsértő személyekkel szemben;

 

b) amennyiben az elektronikus információ biztonsági szabályokat nem a szervezet személyi állományába tartozó személy sérti meg, érvényesíti a vonatkozó szerződésben meghatározott következményeket, megvizsgálja az egyéb jogi lépések fennállásának lehetőségét, szükség szerint bevezeti ezeket az eljárásokat.

 

TUDATOSSÁG ÉS KÉPZÉS (TK)

 

TK 1. Képzési eljárásrend

 

Az érintett szervezet:

 

a) megfogalmazza, a szervezetre érvényes követelmények szerint dokumentálja, és a szervezeten belül kihirdeti a képzési eljárásrendet, mely szervezet informatikai biztonsági szabályzatának részét képező képzési szabályzat és az ehhez kapcsolódó ellenőrzések megvalósítását segíti elő;

 

b) a képzési eljárásrendben, vagy más belső szabályzóban meghatározott gyakorisággal felülvizsgálja és frissíti a képzési eljárásrendet.

 

TK 2. Biztonság tudatosság képzés

 

Az érintett szervezet az alapvető biztonsági követelményekről tudatossági képzést nyújt az elektronikus információs rendszer felhasználói számára:

 

a) az új felhasználók kezdeti képzésének részeként;

 

b) amikor az elektronikus információs rendszerben bekövetkezett változás szükségessé teszi;

 

c) ezen túlmenően a szervezet által meghatározott gyakorisággal.

 

Elvárás

 

A biztonság tudatossági képzés az érintett személyeket készítse fel a lehetséges belső fenyegetések felismerésére.